基于SDN技术构建业务支撑互联网域的双活数据中心网络架构
(一)数据中心的发展
云计算技术能将网络上分布的计算、存储、服务构建、网络软件等各种网络资源和互联网基础设施统筹起来,基于资源虚拟化的方式,为用户提供通过网络访问定制IT资源共享池能力(IT资源包括网络、服务器、存储、应用、服务),实现资源按需提供服务,并通过规模运营降低消耗。在这种计算模式下,计算开始向网络的中心迁移,传统的计算、存储一体的方式转变成计算、存储功能分离的集群系统。
网络的发展与计算系统的发展彼此影响并相互联系,计算系统主要在网络结构、网络功能和网络体系3个方面影响着网络的发展。适应计算系统虚拟化进程的网络体系结构的新设计和新想法不断提出,网络虚拟化是一个重要方向,在方案选优的过程中有很多因素都将影响其发展,这其中有两个关键问题必须回答:为什么网络虚拟化是必须的;为什么传统网络方法不能很好的支持虚拟化。
(二)传统网络技术在云计算数据中心的局限性
由于数据中心在传统物理网络与操作系统之间的紧耦合关系,构建多租户云数据中心时,受限于多种网络技术之间复杂的相互影响和作用,使用传统网络设计达到完全虚拟化的数据中心是非常困难的,经常有一些网络限制能采用局部方案处理,但同时会在架构的其他地方产生不利影响。如在某些场景下,移动性管理可以通过在虚拟机VM上运行路由器来处理,单这会减少单个虚拟机的吞吐量,在很多场景下这是不切实际的。在使用传统方法构建虚拟化数据中心基础网络时,公认的障碍及实施难点包括以下几点:不支持地址空间虚拟化。一般情况下,虚拟机使用与物理网络相同的地址空间。如虚拟机VM的第一跳网关被配置为网络上的一个物理路由器,同一L2网络中,负荷分担的虚拟机VM被限制在该物理子网中,限制了移动性和VM部署点。在很多大型虚拟数据中心,由于无法在数据中心内部或者数据中心之间任意部署虚拟机VM,因此很难接纳日益增长的多租户。难以支持同一租户所有的VM在相同IP子网以及对同一租户扩展性的限制,所有虚拟机VM必须在同一子网空间内移动限制,都会引起计算资源的中断运行和碎片化。
(三)数据中心规模
虚拟化对传统网络的处理规模提出了更高要求,这方面的权威例子是VLAN。传统VLAN被限制在4096个独立段内。很多大型云计算中心远超过4096个,要求采用多个、支持自有VLAN空间的非叠加网络来进行隔离。除VLAN外,传统网络技术还有其他限制不能满足现代数据中心的规模需求。
(四)整合网络层业务
负载均衡、防火墙等是网络层的主要业务,虚拟数据中心中,此类业务也是主要的网络负载。在虚拟数据中心集成这些虚拟业务时,要确保流量路由到合适的业务。虚拟化数据中心运营商通过虚拟机迁移来有效的使用服务器。由于虚拟机的移动,负载均衡器需要追踪它们的位置并请求发送到它们新的正确位置。通常用VLAN来处理,要求虚拟机VM和中间节点之间的二层邻接提供这种业务。虚拟网络需要匹配网络带宽和业务容量。由虚拟应用负责负载均衡时,如果虚拟网络流量路由到某个瓶颈点,可能出现带宽需求超过了该处容量的情况,在这种情况下就要求网络层业务本身必须虚拟化,实现网络与虚拟机间的快速协同。但现有网络无法支持虚拟私有云的客户定制化网络配置实时生效,不能实现多层网络间的协同,难以按需调整带宽。
(五)服务开通依赖硬件
随着计算虚拟化的发展,任何虚拟机VM可以运行在标准服务器上,也可以完全自动的实现服务开通和虚拟机管理。然后,为虚拟机VM创造一个独立网络(及它们关联的网络策略)需要手动实现硬件配置。这种方式面临几个问题:数据中心运营主体与特定硬件供应商绑定,如果是手动配置,容易出错;另外,如果部署某种网络策略,不引起混乱而实现升级或者替换网络设备是很困难的。
(六)网络业务的提供能力与硬件设计周期相关联
增加新业务的能力受限于新硬件的提供时间和部署周期。由于部署周期过长,大型虚拟数据中心运营实体不依赖物理硬件来开通虚拟网络业务或者提供虚拟网络服务。为了能够快速通过软件开发来提供新业务,多数大型数据中心会在网络边缘提供基于软件的服务。
(七)网络虚拟化的特点
通过把操作系统与底层硬件相耦合,为计算虚拟化提供了极其灵活的虚拟机运作模式,让IT把一系列服务器看成是通用资源池,计算虚拟化已经改变了IT业界关于成本、效率、新应用和服务的推出速度等方面的预期设想。与此同时,计算虚拟化为如何更宽泛地考虑IT基础架构提供了一个样板。也就是说,所有的数据中心基础架构,包括基础网络在内,应该供一个与计算虚拟化类似的属性。计算系统经历了从大型机封闭系统到客户端——服务器水平扩展的演化过程,一旦基础架构完全虚拟化,应用软件不再受限于物理设备,任何应用软件将可以运行在任何物理设备上;通过自动化部署统一和几种控制以节约资本。
网络虚拟化可以在逻辑上把一个物理的网络划分成多个逻辑网络,同时提供一种强有力的方式使多个网络体系结构同时运行(可以是不通的网络体系结构)在一共享物理设施上。最常见的虚拟化技术有VLAN、VPN等。
目前,实现多个网络体系结构的共存仍然需要考虑多方面的因素,如系统的稳定性、安全性、资源管理(资源计算、资源隔离)等。同时,应注意一下几个主要问题:支持多种体系结构并存;支持非IP体系结构;异质体系结构间的数据通信、交互。
二、业务支撑互联网接口域现状
图1 典型业务支撑系统网络拓扑当前电子渠道部署在A中心,业务连续性存在较高风险,主要问题包括:该接口区域内不同类型业务间不具备安全隔离能力,无法满足集团云计算网络安全域-互联网接口安全规范规定;传统方式每个业务系统需一对独立物理防火墙隔离,资源复用度不高,增加投资成本;域内各业务主机间无法控制跳转登录访问,出现病毒或攻击时在域内各主机间无法进行有效隔离。
三、 SDN技术构建业务支撑互联网域数据中心虚拟网络
(一)部署方案
图2 网络部署拓扑在A局址与B局址互联网接口部署SDN网络系统,通过统一的物理资源建设,承载多套不同安全等级的业务系统综合接入,实现域内各业务系统间逻辑安全防护,节省硬件设备投资成本。
通过SDN对双数据中心互联网接口域的逻辑统一组网与资源池融合,实现业务间主机、网络及负载等资源灵活分配。
实现业务的安全保障,对门户网站、手机旗舰店及自有业务平台等业务进行安全隔离,业务系统间故障互不干扰。
(二)技术方案
软件定义网络(SDN)采用OpenFlow协议构成一个控制/转发分离的网络,开发者/用户可以很容易的在控制器上编程控制网络的转发行为,而转发面是一个完全按照Flowtable流表规则进行转发的简单硬件设备。
转发面和控制面分开承载,数据转发和控制信息可共用物理网,但逻辑上可以使用不同的路由协议分开承载;
集中控制,集中控制是简化网络管理的关键,是实现网络操作系统、网络可编程的基础;
控制和转发的开发接口OpenFlow是网络迈向开放的“桥头堡”。
图3 网络拓扑1、业务即软件,实现完全虚拟化地址
控制面、转发面分别演进,转发面不感知任何业务逻辑,只是机械地按照流表中的指令集进行转发,从而实现数通设备转发面与控制面的解耦,使数据中心网络摆脱网络硬件的束缚,只关注对网络的功能需求,彻底解放了软件的创造力,无需手动配置或者重新布线基础设置,业务实施可以动态添加、扩展和配置。
2、集中控制面,易管理
与数据中心分散的管理数十台乃至数百台交换机相比,一个集中的管理点无疑大大的降低了管理的复杂度。
Openflow的集中控制能力使得全局、动态转发策略非常容易维护,实现一次配置、处处生效。如基于MAC的VLAN,只要在控制器中配置后,无论该主机接入哪个交换机,对应的VLAN均会生效。
新的转发规则、拓扑算法无需改动交换机硬件,只要在控制器中实现一个软件模块或编写一段脚本即可。控制器本身基于上用服务器、操作系统,安装、开发、部署网络应用模块非常容易。
可以对数据中心计算系统提供接口,实现计算和网络的联动调度。如在虚拟机VM集中管理器创建VM时,可以通知OpenFlow控制器创建网络VLAN资源以及负载均衡、安全等策略。
通过网络设备虚拟化,实现独立的安全策略管理;独立的硬件资源享用;独立的日志报表呈现;安全特性的独享。支持大量相互隔离的租户网络。租户通过自服务门户分配虚拟数据中心,资源按需分配。
数据中心采用网络虚拟化,通过SDN的集中控制模式完全控制整个数据中心,可以最大化地发挥软件定义网络优势。从运营管理角度来说,SDN的集中管控架构恰好与IaaS的需求是一致的。通过SDN控制器与虚拟机管理器的联动,不仅可以降低管理的复杂度,也使得Iaas的运营、业务开通更高效、快捷。
虚拟化时代的数据中心网络,引入SDN技术赋予了数据中心网络更灵活的能力,以降低网络开发维护成本,有利于推动设备侧/网络层新协议、新功能、新业务在网络上快速实现和部署。
作者单位:中国移动通信集团黑龙江有限公司