CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案-云網(wǎng)一體化設(shè)計(jì)指南

1、 DOCPROPERTY PartNumber DOCPROPERTY Product&Project Name CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計(jì)指南（云網(wǎng)一體化）目 錄 TOC h z t 標(biāo)題 1,1,標(biāo)題 2,2,標(biāo)題 3,3, 標(biāo)題 4,4, 標(biāo)題 5,5, 標(biāo)題 7,1, 標(biāo)題 8,2, 標(biāo)題 9,3, Heading1 No Number,1,Appendix heading 1,1,Appendix heading 2,2,Appendix heading 3,3,Appendix heading 4,4,Appe

2、ndix heading 5,5, Heading 1,1,Heading 2,2,Heading 3,3, Heading 4,4, Heading 5,5, Heading 7,1,Heading 8,2,Heading 9,3 HYPERLINK l _Toc55052870 1 云網(wǎng)一體化場(chǎng)景概述 PAGEREF _Toc55052870 h 1 HYPERLINK l _Toc55052871 1.1 云網(wǎng)一體化的由來(lái) PAGEREF _Toc55052871 h 1 HYPERLINK l _Toc55052872 1.2 云網(wǎng)一體化簡(jiǎn)介 PAGEREF _Toc55052872

3、h 2 HYPERLINK l _Toc55052873 1.3 Overlay網(wǎng)絡(luò)類型和對(duì)比 PAGEREF _Toc55052873 h 5 HYPERLINK l _Toc55052874 2 設(shè)計(jì)云網(wǎng)一體化類型的數(shù)據(jù)數(shù)據(jù)中心 PAGEREF _Toc55052874 h 10 HYPERLINK l _Toc55052875 2.1 業(yè)務(wù)模型與概念 PAGEREF _Toc55052875 h 10 HYPERLINK l _Toc55052876 2.1.1 常見概念解釋 PAGEREF _Toc55052876 h 10 HYPERLINK l _Toc55052877 2.1.2

4、 FusionSphere和開源OpenStack業(yè)務(wù)模型簡(jiǎn)介 PAGEREF _Toc55052877 h 13 HYPERLINK l _Toc55052878 2.1.3 控制器業(yè)務(wù)模型簡(jiǎn)介 PAGEREF _Toc55052878 h 15 HYPERLINK l _Toc55052879 2.2 業(yè)務(wù)規(guī)劃設(shè)計(jì)流程和原則 PAGEREF _Toc55052879 h 16 HYPERLINK l _Toc55052880 2.3 云網(wǎng)一體化方案說(shuō)明 PAGEREF _Toc55052880 h 20 HYPERLINK l _Toc55052881 2.3.1 云網(wǎng)一體化方案架構(gòu) PA

5、GEREF _Toc55052881 h 20 HYPERLINK l _Toc55052882 2.3.2 云網(wǎng)出口業(yè)務(wù) PAGEREF _Toc55052882 h 22 HYPERLINK l _Toc55052883 FusionCloud多出口業(yè)務(wù) PAGEREF _Toc55052883 h 22 HYPERLINK l _Toc55052884 OpenStack外部網(wǎng)絡(luò)業(yè)務(wù) PAGEREF _Toc55052884 h 25 HYPERLINK l _Toc55052885 2.3.3 云網(wǎng)DHCP業(yè)務(wù) PAGEREF _Toc55052885 h 26 HYPERLINK l

6、 _Toc55052886 2.3.4 云網(wǎng)VAS業(yè)務(wù) PAGEREF _Toc55052886 h 29 HYPERLINK l _Toc55052887 FWaaS業(yè)務(wù) PAGEREF _Toc55052887 h 29 HYPERLINK l _Toc55052888 VPNaaS業(yè)務(wù) PAGEREF _Toc55052888 h 31 HYPERLINK l _Toc55052889 LBaaS業(yè)務(wù) PAGEREF _Toc55052889 h 33 HYPERLINK l _Toc55052890 2.3.5 云網(wǎng)裸機(jī)業(yè)務(wù) PAGEREF _Toc55052890 h 35 HYPE

7、RLINK l _Toc55052891 2.4 業(yè)務(wù)發(fā)放流程 PAGEREF _Toc55052891 h 38 HYPERLINK l _Toc55052892 2.5 業(yè)務(wù)下發(fā)時(shí)的自動(dòng)化交互過(guò)程 PAGEREF _Toc55052892 h 40 HYPERLINK l _Toc55052893 3 附：OpenStack入門 PAGEREF _Toc55052893 h 42 HYPERLINK l _Toc55052894 3.1 什么是OpenStack PAGEREF _Toc55052894 h 42 HYPERLINK l _Toc55052895 3.2 OpenStack

8、的主要模型 PAGEREF _Toc55052895 h 42 HYPERLINK l _Toc55052896 3.3 OpenStack中的Neutron PAGEREF _Toc55052896 h 44 HYPERLINK l _Toc55052897 3.4 FusionSphere PAGEREF _Toc55052897 h 46 HYPERLINK l _Toc55052898 A 參考圖片 PAGEREF _Toc55052898 h 48云網(wǎng)一體化場(chǎng)景概述 HYPERLINK l _ZH-CN_TOPIC_0192837663 o 1.1 云網(wǎng)一體化的由來(lái) HYPERLIN

9、K l _ZH-CN_TOPIC_0192837728 o 1.2 云網(wǎng)一體化簡(jiǎn)介 HYPERLINK l _ZH-CN_TOPIC_0192837685 o 1.3 Overlay網(wǎng)絡(luò)類型和對(duì)比云網(wǎng)一體化的由來(lái)傳統(tǒng)數(shù)據(jù)中心的挑戰(zhàn)傳統(tǒng)數(shù)據(jù)中心遇到了以下幾個(gè)困境：困境一：業(yè)務(wù)部署效率低。新業(yè)務(wù)上線時(shí)，需要大量規(guī)劃、配置、測(cè)試、老業(yè)務(wù)影響評(píng)估等，部署時(shí)長(zhǎng)無(wú)法滿足新業(yè)務(wù)要求。困境二：資源利用率低。很多系統(tǒng)獨(dú)立占用資源池，形成煙囪式資源利用形態(tài)，當(dāng)一個(gè)系統(tǒng)資源使用率低時(shí)，其他系統(tǒng)無(wú)法使用此資源池中多余的資源。困境三：運(yùn)維管理復(fù)雜。數(shù)據(jù)中心中多樣化業(yè)務(wù)疊加運(yùn)行，當(dāng)某一業(yè)務(wù)故障時(shí)，很難快速發(fā)現(xiàn)并隔離故障。

10、SDN和云計(jì)算可以來(lái)解決傳統(tǒng)數(shù)據(jù)中心的上述困境。云化數(shù)據(jù)中心具有業(yè)務(wù)自動(dòng)化、彈性資源池、精細(xì)化運(yùn)維三個(gè)典型特征。SDN是用來(lái)支撐ICT實(shí)現(xiàn)云計(jì)算的關(guān)鍵技術(shù)。目前軟件定義計(jì)算（虛擬服務(wù)器）、軟件定義存儲(chǔ)（分布式存儲(chǔ)）已經(jīng)具備，因此呼喚網(wǎng)絡(luò)層面也必須實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)，從而實(shí)現(xiàn)敏捷網(wǎng)絡(luò)的目標(biāo)。云計(jì)算的分類云主要分為私有云、公有云、混合云三類：私有云是單個(gè)企業(yè)的一種專用云基礎(chǔ)架構(gòu)，其基礎(chǔ)設(shè)施的定制化程度較高，突顯了企業(yè)自身的業(yè)務(wù)特點(diǎn)。很多中小型企業(yè)無(wú)法自己建設(shè)具有一定規(guī)模的云，因此轉(zhuǎn)而向云服務(wù)提供商租用相關(guān)的基礎(chǔ)設(shè)施和資源，從而迅速構(gòu)建自己的虛擬數(shù)據(jù)中心，這就是公有云。企業(yè)的一部分基礎(chǔ)設(shè)施在公有云上，

11、另一部分在私有云上，這兩種云通過(guò)某種形式互通，實(shí)現(xiàn)應(yīng)用可移植、數(shù)據(jù)可遷移等，這就是混合云。REF _table1715225310109 r h表1-1中總結(jié)了公有云和私有云之間的區(qū)別。公有云和私有云的簡(jiǎn)要對(duì)比云分類關(guān)鍵區(qū)別安全/合規(guī)資源使用基礎(chǔ)設(shè)施服務(wù)器規(guī)模使用者私有云企業(yè)自建自用嚴(yán)格較粗放、以不計(jì)費(fèi)居多靈活、可定制1003K大型企業(yè)公有云服務(wù)于公眾較弱按使用量計(jì)費(fèi)標(biāo)準(zhǔn)化一般大于10K中小型企業(yè)云數(shù)據(jù)中心的行業(yè)訴求當(dāng)企業(yè)的網(wǎng)絡(luò)部門和IT部門已經(jīng)有機(jī)結(jié)合，并具備一定技術(shù)實(shí)力，則可以考慮部署云網(wǎng)一體化方式的云化數(shù)據(jù)中心。REF _table39631393169 r h表1-2中總結(jié)了三個(gè)典型行

12、業(yè)對(duì)云數(shù)據(jù)中心的訴求和業(yè)務(wù)場(chǎng)景。典型行業(yè)對(duì)云數(shù)據(jù)中心的訴求項(xiàng)目政企/金融運(yùn)營(yíng)商互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景IT計(jì)算池化、EDC云化機(jī)架出租、IDC云化、NFVI電信云物理機(jī)/虛擬機(jī)/VPC出租、提供IaaS/PaaS業(yè)務(wù)網(wǎng)絡(luò)核心訴求1. 提升新業(yè)務(wù)TTM2. 部署復(fù)雜業(yè)務(wù)，降低CAPEX3. 業(yè)務(wù)可靠性保障，多活數(shù)據(jù)中心部署1. 利用率：多數(shù)據(jù)中心網(wǎng)絡(luò)資源整合2. 標(biāo)準(zhǔn)化：多廠商Fabric互通、多廠商VAS兼容3. 網(wǎng)絡(luò)質(zhì)量： 跨廣域質(zhì)量保證1. 大規(guī)模服務(wù)器部署（10萬(wàn)+）2. SLA服務(wù)：租戶級(jí)粒度、實(shí)時(shí)網(wǎng)絡(luò)質(zhì)量感知、主動(dòng)運(yùn)維3. 新業(yè)務(wù)快速部署、網(wǎng)絡(luò)支持業(yè)務(wù)彈性擴(kuò)展云網(wǎng)一體化簡(jiǎn)介華為CloudFab

13、ric云數(shù)據(jù)中心網(wǎng)解決方案中的云網(wǎng)一體化方案，其邏輯分層架構(gòu)如下圖所示。云網(wǎng)一體化邏輯分層架構(gòu)示意圖邏輯分層層次說(shuō)明業(yè)務(wù)呈現(xiàn)/協(xié)同層支持對(duì)接社區(qū)或第三方商業(yè)OpenStack云平臺(tái)+第三方云管理平臺(tái)。支持對(duì)接華為FusionSphere云平臺(tái)+華為ManageOne云管理平臺(tái)。用戶的操作界面一般在云管理平臺(tái)上。網(wǎng)絡(luò)控制層控制器北向與OpenStack Neutron對(duì)接，實(shí)現(xiàn)云平臺(tái)業(yè)務(wù)模型參數(shù)向控制器的下發(fā)?？刂破髂舷蛑С諳penFlow/OVSDB/Netconf/SNMP等接口，統(tǒng)一管理控制物理和虛擬網(wǎng)絡(luò)，完成網(wǎng)絡(luò)配置的自動(dòng)化下發(fā)。SecoManager納管華為防火墻，提供L4L7策略業(yè)務(wù)

14、發(fā)放。FabricInsight提供流量數(shù)據(jù)采集、網(wǎng)絡(luò)故障分析功能。網(wǎng)絡(luò)服務(wù)層由物理設(shè)備組成的Spine-Leaf基礎(chǔ)物理組網(wǎng)（常見的有華為CloudEngine系列交換機(jī)、NGFW、vNGFW、LB等），用以承載VXLAN Overlay網(wǎng)絡(luò)，并由物理或虛擬設(shè)備提供VAS服務(wù)。計(jì)算接入層虛擬化服務(wù)器：虛擬機(jī)的上線信息由云平臺(tái)通知給控制器。物理服務(wù)器：通過(guò)L2BR接入到VXLAN網(wǎng)絡(luò)，通過(guò)控制器界面來(lái)發(fā)放接入配置，云平臺(tái)不感知。裸金屬服務(wù)器：一般形成一個(gè)裸金屬服務(wù)器池；由云平臺(tái)觸發(fā)裸金屬服務(wù)器的端到端上線過(guò)程。交互接口圖中序號(hào)接口兩端接口說(shuō)明1控制器云平臺(tái)控制器提供插件部署在云平臺(tái)上，從而完成

15、云平臺(tái)與控制器提的對(duì)接。控制器提通過(guò)RESTful（控制器北向開放的接口）和RESTConf接口（控制器調(diào)用的接口）與云平臺(tái)對(duì)接，接收云平臺(tái)下發(fā)的網(wǎng)絡(luò)業(yè)務(wù)指令。2云平臺(tái)VMM云平臺(tái)與VMM間接口，控制流不經(jīng)過(guò)控制器提傳遞。3SecoManager防火墻SNMP：用于SecoManager發(fā)現(xiàn)和獲取防火墻的信息。NETCONF：用于SecoManager向防火墻下發(fā)配置。4FabricInsight物理交換機(jī)SNMP：用于FabricInsight發(fā)現(xiàn)和獲取物理交換機(jī)的信息。NETCONF：用于FabricInsight與物理交換機(jī)進(jìn)行流鏡像同步。gRPC：FabricInsight獲取交換機(jī)C

16、PU、RAM利用率。Netstream：交換機(jī)通過(guò)Netstream上送指定流 分析結(jié)果。5控制器提物理交換機(jī)SNMP：用于控制器提發(fā)現(xiàn)和獲取物理交換機(jī)的信息。NETCONF：用于控制器提向物理交換機(jī)下發(fā)配置。OpenFlow：主要在運(yùn)維層面提供路徑探測(cè)等功能。7LB云平臺(tái)LB提供補(bǔ)丁部署在云平臺(tái)上，同時(shí)本身部署相應(yīng)的插件，兩者通過(guò)RESTFul接口對(duì)接，從而使云平臺(tái)納管LB設(shè)備，并向LB設(shè)備下發(fā)配置。控制器提在云平臺(tái)上的插件和LB在云平臺(tái)上的插件會(huì)交互信息，由控制器提告訴LB流量應(yīng)該攜帶哪一個(gè)VLAN標(biāo)簽進(jìn)入到Fabric網(wǎng)絡(luò)中。Overlay網(wǎng)絡(luò)類型和對(duì)比在VXLAN網(wǎng)絡(luò)中，根據(jù)承擔(dān)Ove

17、rlay邊緣設(shè)備（VXLAN NVE）屬性的不同，又可以分為Network Overlay、Host Overlay、Hybrid Overlay三種網(wǎng)絡(luò)類型。CloudFabric解決方案推薦使用Network Overlay類型的VXLAN網(wǎng)絡(luò)。Network Overlay：所有NVE全部由物理交換機(jī)承擔(dān)。Host Overlay：所有NVE全部由vSwitch承擔(dān)。Hybrid Overlay：NVE一部分部署在物理交換機(jī)上，另一部分部署在vSwitch上。Network OverlayNetwork Overlay的特點(diǎn)是VXLAN隧道的兩個(gè)端點(diǎn)全部是物理交換機(jī)。其中，Network

18、 Overlay有分為集中式和分布式兩類，如REF _fig8698510132617 r h圖1-2所示。集中式Network Overlay中，Leaf作為VXLAN的L2網(wǎng)關(guān)、Spine或Border Leaf作為VXLAN的L3網(wǎng)關(guān)。分布式Network Overlay中，Leaf同時(shí)作為VXLAN的L2和L3網(wǎng)關(guān)，Spine僅作為IP流量高速轉(zhuǎn)發(fā)節(jié)點(diǎn)，不處理VXLAN報(bào)文。Network Overlay及其集中式和分布式示意圖Host OverlayHost Overlay的特點(diǎn)是VXLAN隧道的兩個(gè)端點(diǎn)全部是虛擬交換機(jī)，而虛擬交換機(jī)部署在服務(wù)器上，如REF _fig23511639

19、3285 r h圖1-3所示。數(shù)據(jù)中心內(nèi)部的東西向流量在虛擬交換機(jī)之間通過(guò)VXLAN隧道轉(zhuǎn)發(fā)；南北向流量在虛擬交換機(jī)與虛擬路由器之間轉(zhuǎn)發(fā)，作為L(zhǎng)eaf和Spine的物理交換機(jī)僅作IP報(bào)文的高速轉(zhuǎn)發(fā)，不處理VXLAN報(bào)文。Host Overlay示意圖Hybrid OverlayHybrid Overlay的特點(diǎn)是VXLAN隧道的端點(diǎn)既可以是虛擬交換機(jī)也可以是物理交換機(jī)，因此也稱為混合Overlay，如REF _fig15493114712388 r h圖1-4所示，混合Overlay常見的是分布式的。數(shù)據(jù)中心內(nèi)部的東西向流量在虛擬交換機(jī)和物理Leaf交換機(jī)之間通過(guò)VXLAN隧道轉(zhuǎn)發(fā)；南北向流量

20、在虛擬交換機(jī)/Leaf物理交換機(jī)與Spine/Edge之間通過(guò)VXLAN隧道轉(zhuǎn)發(fā)。Hybrid Overlay示意圖網(wǎng)絡(luò)類型對(duì)比REF _table1630754271220 r h表1-3中對(duì)Network Overlay、Host Overlay和Hybrid Overlay三種類型的網(wǎng)絡(luò)特點(diǎn)進(jìn)行了對(duì)比。Network Overlay、Host Overlay和Hybrid Overlay對(duì)比說(shuō)明對(duì)比項(xiàng)Network OverlayHost OverlayHybrid OverlayNVE硬件交換機(jī)vSwitch硬件交換機(jī)vSwitchVXLAN L3 GW硬件交換機(jī)（分布式部署，根據(jù)VM

21、上線位置相應(yīng)的部署）vSwitch（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）硬件交換機(jī)和vSwitch（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）接入服務(wù)器類型虛擬化服務(wù)器、物理服務(wù)器虛擬化服務(wù)器虛擬化服務(wù)器、物理服務(wù)器接入L4L7類型硬件L4L7軟件L4L7（X86物理服務(wù)器）軟件L4L7（SRIOV接入）軟件L4L7（vSwitch接入）硬件L4L7X86物理服務(wù)器軟件L4L7SRIOV虛擬化軟件L4L7軟件L4L7（vSwitch接入）控制面設(shè)備L2/L3自學(xué)習(xí)設(shè)備間L2通過(guò)頭端復(fù)制廣播自學(xué)習(xí)可支持控制面上收控制器（特指ARP/ND及路由。當(dāng)前未合入主線，可POC測(cè)試）可支持設(shè)備間通過(guò)BG

22、P-EVPN同步vSwitch通過(guò)openflow將ARP/ND上報(bào)控制器，控制器L2/L3學(xué)習(xí)vSwitch間通過(guò)控制器下發(fā)流表同步硬件設(shè)備L2/L3本地自學(xué)習(xí)，硬件設(shè)備間通過(guò)BGP-EVPN同步vSwitch通過(guò)OpenFlow將ARP/ND上報(bào)控制器，控制器L2/L3學(xué)習(xí)，vSwitch間通過(guò)控制器下發(fā)流表同步硬件NVE和vSwitch NVE之間通過(guò)控制器的BGP-EVPN同步轉(zhuǎn)發(fā)性能不占用服務(wù)器CPU資源，硬件設(shè)備轉(zhuǎn)發(fā)性能高VXLAN處理占用服務(wù)器CPU資源，性能受CPU影響大硬件部分不占用服務(wù)器CPU資源，軟件部分VXLAN處理占用服務(wù)器資源虛擬機(jī)規(guī)格VPC數(shù)量受限于TOR VRF

23、和路由規(guī)格同一VPC虛機(jī)數(shù)量受限于TOR表項(xiàng)規(guī)格僅受限于控制器的能力海量VPC，海量虛機(jī)海量VPC，海量虛機(jī)同一VPC虛機(jī)數(shù)量受限于TOR表項(xiàng)規(guī)格適用場(chǎng)景適用于對(duì)轉(zhuǎn)發(fā)性能、運(yùn)維、安全等有很高要求的私有云用戶適用于虛擬化服務(wù)器/物理服務(wù)器同時(shí)接入SDN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)互聯(lián)互通適用于僅虛擬化服務(wù)器接入適用于租戶規(guī)模超大的用戶網(wǎng)絡(luò)內(nèi)有多個(gè)廠商網(wǎng)絡(luò)設(shè)備，需要VXLAN與硬件網(wǎng)絡(luò)設(shè)備解耦適用于虛擬化服務(wù)器/物理服務(wù)器同時(shí)接入SDN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)互聯(lián)互通對(duì)硬件成本敏感，強(qiáng)調(diào)網(wǎng)絡(luò)利舊，需要VXLAN與硬件網(wǎng)絡(luò)設(shè)備解耦設(shè)計(jì)云網(wǎng)一體化類型的數(shù)據(jù)數(shù)據(jù)中心 HYPERLINK l _ZH-CN_TOPIC_01928

24、37662 o 2.1 業(yè)務(wù)模型與概念 HYPERLINK l _ZH-CN_TOPIC_0192837680 o 2.2 業(yè)務(wù)規(guī)劃設(shè)計(jì)流程和原則 HYPERLINK l _ZH-CN_TOPIC_0192837688 o 2.3 云網(wǎng)一體化方案說(shuō)明 HYPERLINK l _ZH-CN_TOPIC_0192837737 o 2.4 業(yè)務(wù)發(fā)放流程 HYPERLINK l _ZH-CN_TOPIC_0192837723 o 2.5 業(yè)務(wù)下發(fā)時(shí)的自動(dòng)化交互過(guò)程業(yè)務(wù)模型與概念常見概念解釋DC、POD和AZDC：Data Center，數(shù)據(jù)中心。DC是物理概念，是指在一個(gè)物理空間（比如機(jī)房）內(nèi)實(shí)現(xiàn)信息

25、的集中處理、存儲(chǔ)、傳輸、交換和管理。服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)設(shè)備是DC的關(guān)鍵設(shè)備，供電、制冷、消防、監(jiān)控等基礎(chǔ)設(shè)施是DC的關(guān)鍵配套。POD：Point of Delivery，分發(fā)點(diǎn)。為了便于DC的資源池化操作，可將一個(gè)DC劃分為一或多個(gè)物理分區(qū)，每個(gè)物理分區(qū)就稱為一個(gè)POD，如REF _fig1613653163115 r h圖2-1所示。由此可見，POD也是物理概念，是DC的基本部署單元，一臺(tái)物理設(shè)備只能屬于一個(gè)POD。DC和POD示意圖AZ：Availability Zone，可用區(qū)域。AZ是一個(gè)計(jì)算側(cè)的邏輯概念，代表了一個(gè)故障隔離區(qū)域。比如一些主機(jī)共用了一套電源和網(wǎng)絡(luò)設(shè)施，當(dāng)這套設(shè)施出現(xiàn)故障

26、時(shí)，這部分資源就全部不可用了。在規(guī)劃時(shí)，AZ與DC可按實(shí)際部署情況靈活映射。例如在大規(guī)模公有云中，一個(gè)AZ可包含多個(gè)DC；在中小規(guī)模私有云中，一個(gè)DC內(nèi)可設(shè)置多套獨(dú)立的AZ；也可將一個(gè)DC規(guī)劃為一個(gè)AZ，這時(shí)DC與AZ是等同的。VDC和TenantVDC：Virtual Data Center，虛擬數(shù)據(jù)中心。VDC是一個(gè)組織可使用資源的集合，一般包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源。Tenant：租戶，由系統(tǒng)管理員創(chuàng)建和分配。租戶是一個(gè)VDC的實(shí)際擁有者和管理者，不同VDC對(duì)應(yīng)不同的租戶，如REF _fig13103105818379 r h圖2-2所示。在公有云場(chǎng)景，系統(tǒng)管理員可以定義VDC并為VDC分

27、配管理員，只有該VDC的管理員才可管理該VDC下的資源。在私有云場(chǎng)景，VDC可以靈活定義，分配給一個(gè)業(yè)務(wù)/應(yīng)用/部門。系統(tǒng)管理員可以通過(guò)VDC對(duì)企業(yè)內(nèi)的不同業(yè)務(wù)/應(yīng)用/部門進(jìn)行不同等級(jí)的資源配額管理。VDC和Tenant示意圖VPCVPC：Virtual Private Cloud，虛擬私有云?；谖锢砭W(wǎng)絡(luò)中抽象出來(lái)的邏輯網(wǎng)元，并根據(jù)業(yè)務(wù)的實(shí)際情況，編排這些邏輯網(wǎng)元，從而形成一個(gè)虛擬的網(wǎng)絡(luò)。不同VPC之間是邏輯上隔離的，但是都共用一套物理網(wǎng)絡(luò)，從而實(shí)現(xiàn)了物理網(wǎng)絡(luò)資源資源池化以后的共享問(wèn)題?？梢詫PC理解為一種“容器”，VPC中提供了vRouter、Subnet、vFW、vLB等邏輯元素，租戶

28、可以根據(jù)自己的需要，在一定的規(guī)則下靈活組合這些元素，例如需要幾個(gè)網(wǎng)段，每個(gè)網(wǎng)段中接入多少臺(tái)VM，VM流量需要配置什么樣的安全策略和負(fù)載策略等，典型部署方式如REF _fig102649805318 r h圖2-3所示。VPC和VPC內(nèi)部邏輯元素示意圖VPC有以下特點(diǎn)：VPC使用VDC中的資源，一個(gè)VPC只能屬于一個(gè)VDC，而一個(gè)VDC可包含多個(gè)VPC。每個(gè)VPC為一個(gè)安全域，對(duì)應(yīng)于一個(gè)業(yè)務(wù)/應(yīng)用/部門。VPC提供隔離的虛擬機(jī)和網(wǎng)絡(luò)環(huán)境，滿足不同業(yè)務(wù)/部門的網(wǎng)絡(luò)隔離要求。每個(gè)VPC可提供豐富的獨(dú)立業(yè)務(wù)，例如vFW、vLB、安全組、EIP、IPsec VPN、NAT等。VPC可提供直聯(lián)網(wǎng)絡(luò)、路由網(wǎng)

29、絡(luò)和內(nèi)部網(wǎng)絡(luò)等多種組網(wǎng)模式。VPC中常見的元素有以下幾種：vRouter：作為業(yè)務(wù)子網(wǎng)的網(wǎng)關(guān)，用于子網(wǎng)間的三層互通。一個(gè)VPC只能有一個(gè)vRouterNetwork：定義為一個(gè)二層網(wǎng)絡(luò)，通常只含一個(gè)Subnet，在Share模式下可包含多個(gè)Subnet。（Share模式映射到交換機(jī)上為一個(gè)接口下啟用多個(gè)從IP，用于劃分不同網(wǎng)段，例如多個(gè)小型租戶共用一個(gè)VLAN的場(chǎng)景）注：FusionSphere模型不支持Share模式，開源的OpenStack模型中是呈現(xiàn)此元素的。Subnet：用于二層廣播域的隔離，對(duì)應(yīng)于一個(gè)子網(wǎng)網(wǎng)段。同一VPC內(nèi)不同Subnet的三層網(wǎng)關(guān)，都在同一個(gè)vRouter上。同一S

30、ubnet內(nèi)默認(rèn)互通；不同Subnet間默認(rèn)互通，也可通過(guò)配置安全組進(jìn)行隔離vFW：作為VPC的邊界，除了可提供外部訪問(wèn)VPC內(nèi)的安全訪問(wèn)控制，還可提供外部訪問(wèn)VPC內(nèi)的接入服務(wù)，可提供的特性有：FW、EIP、SNAT、IPsec VPN等。vLB：用于對(duì)外提供內(nèi)部服務(wù)器間的負(fù)載均衡能力，一個(gè)vLB可以帶多個(gè)監(jiān)聽器，用戶可給不同業(yè)務(wù)申請(qǐng)不同的監(jiān)聽器。FusionSphere和開源OpenStack業(yè)務(wù)模型簡(jiǎn)介FusionSphere業(yè)務(wù)模型簡(jiǎn)介FusionSphere是華為公司的云平臺(tái)，基于開源OpenStack來(lái)開發(fā)，并在此基礎(chǔ)上進(jìn)行了商業(yè)加強(qiáng)，因此很多基本概念與開源OpenStack是類似

31、的。FusionSphere業(yè)務(wù)模型的內(nèi)部映射關(guān)系如REF _fig83319569487 r h圖2-4所示。FusionSphere業(yè)務(wù)模型的內(nèi)部映射關(guān)系POD是物理單元，比如可將一個(gè)Fabric網(wǎng)絡(luò)視為一個(gè)POD，作為承載業(yè)務(wù)的基本部署單元，一套資源可部署在一個(gè)或多個(gè)POD內(nèi)，而一個(gè)POD也可承載多套資源。VDC是資源單元，于租戶對(duì)應(yīng)。VDC支持跨POD部署，租戶以VDC為粒度進(jìn)行資源租用。一個(gè)VDC中可以有多個(gè)VPC。VPC是業(yè)務(wù)單元，VPC支持跨POD部署，同一租戶的不同VPC也可部署在不同POD內(nèi)。一個(gè)VPC對(duì)應(yīng)一個(gè)vRouter，一個(gè)vRouter在交換機(jī)上就表現(xiàn)為一個(gè)VRF。v

32、Router是VPC中的一個(gè)邏輯單元，與vLB、vFW之間是1:1的關(guān)系；一個(gè)vRouter可以連接多個(gè)Subnet，一個(gè)Subnet可連接多臺(tái)VM。上述業(yè)務(wù)模型之間的典型部署關(guān)系如REF _fig17910163694911 r h圖2-5所示。FusionSphere業(yè)務(wù)模型部署關(guān)系開源OpenStack業(yè)務(wù)模型簡(jiǎn)介OpenStack的業(yè)務(wù)模型和FusionSphere的業(yè)務(wù)關(guān)系有少量的不同，開源OpenStack業(yè)務(wù)模型的內(nèi)部映射關(guān)系如REF _fig46031415135219 r h圖2-6所示。OpenStack內(nèi)部的業(yè)務(wù)模型和部署關(guān)系中，重點(diǎn)介紹一下POD和Project。開源O

33、penStack業(yè)務(wù)模型的內(nèi)部映射關(guān)系POD是物理單元，比如可將一個(gè)Fabric網(wǎng)絡(luò)視為一個(gè)POD。作為承載業(yè)務(wù)的基本部署單元，一套資源可部署在一或多個(gè)POD內(nèi)，而一個(gè)POD也可承載多套資源。Project是資源單元，對(duì)應(yīng)于租戶。Project支持跨POD部署，租戶以Project為粒度進(jìn)行資源租用。在Project中，以vRouter為核心部署不同的業(yè)務(wù)單元。業(yè)務(wù)單元可跨POD部署，同一租戶的不同業(yè)務(wù)單元也可部署在不同POD內(nèi)。一個(gè)Project中可以包含多個(gè)vRoute，一個(gè)vRouter可以連接多個(gè)Network，一個(gè)Network可以連接多個(gè)Subnet（類似于一個(gè)VLAN三層接口可以

34、配置Secondary IP地址），一個(gè)Subnet可連接多臺(tái)VM。上述業(yè)務(wù)模型之間的典型部署關(guān)系如REF _fig856861356 r h圖2-7所示。OpenStack業(yè)務(wù)模型部署關(guān)系控制器業(yè)務(wù)模型簡(jiǎn)介如REF _fig389192618715 r h圖2-8所示，控制器的基本業(yè)務(wù)模型中包含了Tenant、VPC、Logic Router、Logic Switch、Logic FW和Logic LB?？刂破鞯臉I(yè)務(wù)模型示意圖在控制器中，管理員可以將一定數(shù)量的VPC授權(quán)給Tenant（租戶）使用，并授權(quán)Logic Router、Logic Switch、Logic FW和Logic LB的使

35、用限額。其中，Logic Router、Logic Switch、Logic FW和Logic LB就提供了FaaS（Fabric As a Service），即將網(wǎng)絡(luò)抽象成了多種服務(wù)。控制器中定義的Logic Router對(duì)應(yīng)云平臺(tái)的vRouter；Logic Switch對(duì)應(yīng)云平臺(tái)的Network/Subnet；Logic FW和Logic LB分別對(duì)應(yīng)云平臺(tái)的vFW和vLB?？刂破髦卸x logical port標(biāo)識(shí)物理機(jī)交換機(jī)上的邏輯接口；End Port是用來(lái)模擬鏈接到Logic Switch上的邏輯接入點(diǎn)，可以是VM，也可以是物理服務(wù)器或第三方設(shè)備，可以配置EndPort的接入信息

36、。REF _table174901038131210 r h表2-1中針對(duì)FusionSphere、開源OpenStack和控制器的業(yè)務(wù)模型，從資源管理層、邏輯組織層、網(wǎng)絡(luò)實(shí)體層、計(jì)算實(shí)體層進(jìn)行對(duì)比。資源管理層：本層將數(shù)據(jù)中心資源以租戶粒度進(jìn)行分配，并指定相應(yīng)的租戶管理員，是基本的資源單元。邏輯組織層：本層是網(wǎng)絡(luò)和計(jì)算實(shí)體的邏輯組織，是基本的業(yè)務(wù)單元，各業(yè)務(wù)單元之間的網(wǎng)絡(luò)是安全隔離的。網(wǎng)絡(luò)實(shí)體層：一個(gè)業(yè)務(wù)單元中包含的各種網(wǎng)絡(luò)實(shí)體在本層予以呈現(xiàn)。計(jì)算實(shí)體層：一個(gè)業(yè)務(wù)單元中包含的所有計(jì)算實(shí)體在本層予以呈現(xiàn)。FusionSphere、開源OpenStack和控制器之間業(yè)務(wù)模型的對(duì)比信息項(xiàng)目資源管理層

37、邏輯組織層網(wǎng)絡(luò)實(shí)體層計(jì)算實(shí)體層OpenStackProject/Tenant無(wú)External NetworkvRouterNetwork/SubnetvFW/vLBVMFusionSphereVDC/TenantVPCExternal NetworkvRouterSubnetvFW/vLBVM控制器TenantVPCExternal NetworkLogic RouterLogic SwitchLogic FW/Logic LBEnd Port業(yè)務(wù)規(guī)劃設(shè)計(jì)流程和原則業(yè)務(wù)規(guī)劃的一般流程網(wǎng)絡(luò)管理員先基于業(yè)務(wù)特點(diǎn)，劃分物理網(wǎng)絡(luò)的分區(qū)，并進(jìn)行分區(qū)內(nèi)物理網(wǎng)絡(luò)的設(shè)計(jì)。典型的網(wǎng)絡(luò)分區(qū)劃分如REF _fig

38、1959175616260 r h圖2-9所示，分為業(yè)務(wù)區(qū)、核心互聯(lián)區(qū)、DMZ區(qū)、出口區(qū)等。注：在CloudFabric解決方案中，物理網(wǎng)絡(luò)的分區(qū)設(shè)計(jì)一般建議與控制器中的Fabric相對(duì)應(yīng)，控制器編排界面中的Fabric是指一組位于同一VXLAN路由域內(nèi)的網(wǎng)絡(luò)設(shè)備，組網(wǎng)上通常采用Spine-Leaf架構(gòu)，F(xiàn)abric內(nèi)所有業(yè)務(wù)可共用相同的出口網(wǎng)絡(luò)資源和L4-L7網(wǎng)絡(luò)資源；基于以上原則，建議網(wǎng)絡(luò)分區(qū)的按控制器中的Fabric定義范疇進(jìn)行設(shè)計(jì)，也支持將多個(gè)Fabric屬性相同的分區(qū)劃分為一個(gè)Fabric。典型的物理網(wǎng)絡(luò)分區(qū)設(shè)計(jì)被控制器納管的網(wǎng)絡(luò)分區(qū)推薦采用各種Leaf角色相互解耦的組網(wǎng)方式，并部署

39、分布式VXLAN網(wǎng)關(guān)。系統(tǒng)管理員進(jìn)行VDC的規(guī)劃設(shè)計(jì)，這個(gè)階段主要是基于業(yè)務(wù)的種類和需求來(lái)規(guī)劃。對(duì)企業(yè)私有云來(lái)說(shuō)，首先區(qū)分網(wǎng)絡(luò)中需要部署多少種業(yè)務(wù)，對(duì)應(yīng)于多少個(gè)邏輯相互隔離的網(wǎng)絡(luò)。有業(yè)務(wù)相關(guān)性的網(wǎng)絡(luò)放到同一個(gè)VDC中，沒(méi)有相關(guān)性的放到不同的VDC中，如REF _fig9162813173614 r h圖2-10所示。系統(tǒng)管理員再創(chuàng)建具體的租戶管理員賬號(hào)，并分配資源給該租戶。VDC設(shè)計(jì)規(guī)劃示意圖租戶管理員根據(jù)被分配到的資源進(jìn)行自己VPC網(wǎng)絡(luò)的設(shè)計(jì)和配置，可以根據(jù)業(yè)務(wù)需求對(duì)VPC中提供的邏輯元素進(jìn)行組合、編排，如REF _fig1624418190403 r h圖2-11所示。租戶管理員設(shè)計(jì)VPC

40、網(wǎng)絡(luò)示意圖VDC和VPC的規(guī)劃原則公有云場(chǎng)景中，VDC和VPC的規(guī)劃原則如下。VDC規(guī)劃要求：一個(gè)Fabric可部署多個(gè)VDC，單個(gè)VDC不能跨Fabric部署。單個(gè)VDC的網(wǎng)絡(luò)資源必須被分配在一個(gè)Fabric內(nèi)，相應(yīng)的計(jì)算和存儲(chǔ)資源需要被分配到一個(gè)AZ內(nèi)。VPC規(guī)劃要求：組建VPC的資源范疇只能是VDC的子集，因此VPC在多租戶場(chǎng)景下也只能部署在一個(gè)Fabric內(nèi)，不能跨Fabric部署。租戶內(nèi)部網(wǎng)絡(luò)自行規(guī)劃，租戶間IP地址可重疊。公有云VDC和VPC劃分示意圖私有云場(chǎng)景中，VDC和VPC的規(guī)劃原則如下。VDC規(guī)劃要求：一個(gè)Fabric可部署多個(gè)VDC，單個(gè)VDC可以跨Fabric部署。在選

41、擇VDC資源部署時(shí)可以包含多個(gè)AZ。VPC規(guī)劃要求：同一個(gè)VPC的所有計(jì)算和網(wǎng)絡(luò)資源需要發(fā)放到同一個(gè)Fabric中，但同一個(gè)VDC中的不同VPC可以屬于不同的Fabric。全網(wǎng)IP地址統(tǒng)一規(guī)劃，所有VDC內(nèi)IP地址無(wú)重疊。私有云VDC和VPC劃分示意圖在公有云和私有云中，對(duì)VDC和VPC的規(guī)劃設(shè)計(jì)原則有所區(qū)別，參見REF _table16281149142712 r h表2-2。公有云和私有云中的VDC和VPC規(guī)劃原則說(shuō)明場(chǎng)景VDC規(guī)劃指導(dǎo)VPC規(guī)劃指導(dǎo)Fabric劃分原則VDC劃分原則業(yè)務(wù)要求VPC部署原則公有云按性能等級(jí)按增值服務(wù)能力按資源容量每租戶一個(gè)VDC業(yè)務(wù)內(nèi)部互訪無(wú)須安全控制每業(yè)務(wù)

42、一個(gè)VPCVPC內(nèi)部子網(wǎng)間默認(rèn)互通業(yè)務(wù)內(nèi)部互訪需要安全控制，但要求較低每業(yè)務(wù)一個(gè)VPCVPC內(nèi)部子網(wǎng)間默認(rèn)互通VPC內(nèi)部子網(wǎng)互訪通過(guò)安全組隔離業(yè)務(wù)分層部署，內(nèi)部互訪有較高安全控制要求每業(yè)務(wù)多個(gè)VPCVPC之間互訪通過(guò)防火墻控制私有云按安全等級(jí)按部門按業(yè)務(wù)類別每部門一個(gè)VDC規(guī)模大、部署復(fù)雜的業(yè)務(wù)單獨(dú)劃分為一個(gè)VDC多業(yè)務(wù)混合部署的Fabric業(yè)務(wù)要求請(qǐng)參考公有云VPC部署原則請(qǐng)參考公有云單個(gè)業(yè)務(wù)或業(yè)務(wù)某一層體量較大，需要占用獨(dú)立的Fabric業(yè)務(wù)與外部的東西向流量大，默認(rèn)無(wú)須安全控制業(yè)務(wù)與外部的南北向流量需要安全控制每個(gè)業(yè)務(wù)或業(yè)務(wù)某一層（如APP或DB），一個(gè)VPC占用一個(gè)Fabric東西向流

43、量默認(rèn)互通，可按需配置安全組進(jìn)行隔離南北向流量須通過(guò)防火墻控制業(yè)務(wù)與外部的東西、南北向流量均需要安全控制每個(gè)業(yè)務(wù)或業(yè)務(wù)某一層（如Web），一個(gè)VPC占用一個(gè)Fabric東西/南北向流量均須通過(guò)防火墻控制云網(wǎng)一體化方案說(shuō)明本章介紹云網(wǎng)一體化方案方案組件架構(gòu)，組件功能及關(guān)鍵業(yè)務(wù)流程。云網(wǎng)一體化方案架構(gòu)如REF _fig1133079101711 r h圖2-14所示，云網(wǎng)一體化方案：支持對(duì)接開源OpenStack、Redhat OpenSack 10、和華為FusionCloud（不支持 AC GBP Plugin Driver）。對(duì)接開源/Redhat OpenStack支持Network ov

44、erlay和Hybrid overlay組網(wǎng)。對(duì)接FusionCloud私有云場(chǎng)景支持Network Overlay組網(wǎng)。NFVI電信云場(chǎng)景支持Hybrid Overlay組網(wǎng)。云網(wǎng)一體化方案架構(gòu)示意圖云網(wǎng)一體化方案架構(gòu)說(shuō)明組件說(shuō)明AC ML2 DriverAC ML2 Driver主要實(shí)現(xiàn)Neutron ML2定義標(biāo)準(zhǔn)接口，感知neutron port事件，調(diào)用控制器北向REST API實(shí)現(xiàn)物理機(jī)、虛擬機(jī)對(duì)應(yīng)TOR側(cè)的網(wǎng)絡(luò)配置。AC VPN DriverAC VPN Driver感知用戶通過(guò)云平臺(tái)發(fā)放的VPN服務(wù)，調(diào)用控制器北向API下發(fā)Service Leaf與防火墻的互聯(lián)配置，控制器調(diào)用

45、SecoManager北向API將VPN配置下發(fā)的華為防火墻（注：僅限華為防火墻）。AC L3 pluginAC L3 plugin感知Neutron vRouter，network、EIP、SNAT相關(guān)事件，調(diào)用控制器北向API動(dòng)態(tài)下發(fā)對(duì)應(yīng)配置。AC FWaaS pluginAC FWaaS plugin感知云平臺(tái)下發(fā)的防火墻業(yè)務(wù)，調(diào)用控制器北向API配置Service Leaf與防火墻間的互聯(lián)配置，控制器調(diào)用SecoManage將具體配置下發(fā)到華為防火墻（注：僅限華為防火墻）。AC QoS PluginAC QoS plugin感知云平臺(tái)下發(fā)的QoS業(yè)務(wù)（端口限速、DSCP Remark）

46、，調(diào)用控制器北向API下發(fā)QoS配置。GBP AC DriverAC GBP Driver遵從開源GBP北向接口，感知GBP業(yè)務(wù)下發(fā)調(diào)用控制器下發(fā)微分段策略到TOR（注：要求微分段基線款型設(shè)備）。CE1800V替代開源OVS，作為VXLAN的VTEP提供VM接入功能，支持分布式防火墻。3rd LBaaS Plugin3rd LBaaS Pluing由負(fù)載均衡廠商提供，納管負(fù)載均衡設(shè)備，發(fā)放LBaaS業(yè)務(wù)到設(shè)備。AC L3 Plugin和ML2 Driver感知LB業(yè)務(wù)對(duì)于Port事件，下發(fā)層次化綁定配置。云網(wǎng)出口業(yè)務(wù)開源/Redhat OpenStack的vRouter只支持關(guān)聯(lián)1個(gè)外部網(wǎng)絡(luò)（

47、即1個(gè)Internet出口），用于EIP、SNAT及VPaaS服務(wù)。FusionCloud的VPC（對(duì)應(yīng)開源OpenStack的vRouter）支持三個(gè)出口（外部網(wǎng)絡(luò)）：Internet出口用于EIP、SNAT、DNAT及VPNaaS服務(wù)公共服務(wù)出口用于訪問(wèn)FusionCloud內(nèi)部提供公共服務(wù)器（NTP服務(wù)器）路由直通出口用于與私有云之外網(wǎng)絡(luò)互通，如傳統(tǒng)網(wǎng)絡(luò)FusionCloud多出口業(yè)務(wù)多出口業(yè)務(wù)模型網(wǎng)絡(luò)管理員通過(guò)控制器創(chuàng)建Internet網(wǎng)關(guān)、路由直通網(wǎng)關(guān)和公共服務(wù)外部網(wǎng)關(guān)，指定對(duì)應(yīng)的Border Leaf設(shè)備組，以確定物理出口位置。FusionCloud的租戶VPC默認(rèn)關(guān)聯(lián)一個(gè)公共服務(wù)

48、外部網(wǎng)絡(luò)，公共服務(wù)外部網(wǎng)絡(luò)由計(jì)算管理員創(chuàng)建，租戶不感知；租戶可以顯式創(chuàng)建路由直通網(wǎng)絡(luò)和Internet外部網(wǎng)絡(luò)。FusionCloud上的外部網(wǎng)絡(luò)（公共服務(wù)、路由直通、Internet）通過(guò)名稱匹配與控制器上的外部網(wǎng)關(guān)建立關(guān)聯(lián)關(guān)系。FusionCloud多出口業(yè)務(wù)模型示意圖IPv4多出口業(yè)務(wù)流程路由直通出口，由租戶通過(guò)顯式發(fā)放路由直通外部網(wǎng)絡(luò)并關(guān)聯(lián)VPC的方式來(lái)觸發(fā)控制器下發(fā)對(duì)應(yīng)的業(yè)務(wù)。路由直通業(yè)務(wù)發(fā)放流程如下圖所示。IPv4路由直通出口業(yè)務(wù)下發(fā)流程公共服務(wù)出口是租戶創(chuàng)建VM時(shí)，由控制器插件隱式調(diào)用FusionCloud的EIP接口，觸發(fā)控制器下發(fā)對(duì)應(yīng)NAT、路由配置到防火墻和Service

49、Leaf。Internet出口通過(guò)租戶為VM創(chuàng)建EIP、SNAT、DNAT業(yè)務(wù)，控制器根據(jù)EIP、SNAT、DNAT所在的Network名稱，匹配對(duì)應(yīng)Internet外部網(wǎng)關(guān)，下發(fā)對(duì)應(yīng)NAT、路由策略到防火墻和Service Leaf。Internet出口業(yè)務(wù)發(fā)放流程如下圖所示。IPv4 Internet出口業(yè)務(wù)下發(fā)流程IPv6多出口業(yè)務(wù)流程IPv6的路由直通出口業(yè)務(wù)流程與IPv4一致。路由直通業(yè)務(wù)發(fā)放流程如下圖所示。IPv6路由直通出口業(yè)務(wù)下發(fā)流程IPv6場(chǎng)景下，由于FusionCloud無(wú)EIP、NAT業(yè)務(wù)流程，無(wú)法通過(guò)EIP、NAT流程觸發(fā)控制器下發(fā)Internet和公共服務(wù)出口業(yè)務(wù)，I

50、Pv6的公共服務(wù)出口由控制器插件在租戶創(chuàng)建/更新VPC時(shí)隱式編排公共服務(wù)出口；Internet出口，則有租戶顯式關(guān)聯(lián)Internet外部網(wǎng)絡(luò)實(shí)現(xiàn)。Internet業(yè)務(wù)發(fā)放流程如下圖所示。IPv6 Internet出口業(yè)務(wù)下發(fā)流程OpenStack外部網(wǎng)絡(luò)業(yè)務(wù)開源和Redhat OpenStack的vRouter只能關(guān)聯(lián)一個(gè)外部網(wǎng)絡(luò)，用于發(fā)放EIP、SNAT和VPNaaS Service業(yè)務(wù)。開源OpenStack和Redhat OpenStack的vRouter只有一個(gè)Internet出口，通過(guò)外部網(wǎng)絡(luò)的名稱與控制器上創(chuàng)建的外部網(wǎng)關(guān)來(lái)進(jìn)行關(guān)聯(lián)，模型對(duì)象如下圖所示。開源和Redhat OpenS

51、tack外部網(wǎng)絡(luò)業(yè)務(wù)模型示意開源OpenStack Internet IPv4出口業(yè)務(wù)流程：開源OpenStack外部網(wǎng)絡(luò)出口物理位置（Border）由網(wǎng)絡(luò)管理員通過(guò)控制器發(fā)放外部網(wǎng)關(guān)指定；計(jì)算管理員通過(guò)OpenStack的Internet外部網(wǎng)絡(luò)名稱與控制器上的外部網(wǎng)關(guān)名稱關(guān)聯(lián)。開源OpenStack Internet IPv4出口業(yè)務(wù)流程開源OpenStack IPv6 Internet出口業(yè)務(wù)流程：開源OpenStack在IPv6場(chǎng)景下，支持IPv6的NAT、EIP功能，所有Internet出口通過(guò)顯式地創(chuàng)建外部網(wǎng)絡(luò)，并關(guān)聯(lián)router來(lái)實(shí)現(xiàn)，其流程如下圖所示。開源OpenStack I

52、Pv6 Internet出口業(yè)務(wù)流程云網(wǎng)DHCP業(yè)務(wù)FusionCloud配套云網(wǎng)場(chǎng)景下，F(xiàn)usionCloud Type 2場(chǎng)景只支持有狀態(tài)的DHCPv6，DHCPv6服務(wù)器由FusionCloud提供；即VM通過(guò)DHCPv6協(xié)議獲取VM的IP、DNS、NTP等信息。組件控制面架構(gòu)DHCP Server由FusionCloud提供，通過(guò)FusionCloud的DHCP agent納管，如REF _fig6204191019376 r h圖2-23所示。AC L3 plugin感知VPC、Network事件，調(diào)用控制器創(chuàng)建Logical Router和Logical Switch。AC ML2

53、 Driver感知DHCP port和VM port的上線事件，調(diào)用控制器下發(fā)端口的VLAN到VXLAN的映射配置。云網(wǎng)DHCP組件控制面架構(gòu)圖DHCPv6/v4業(yè)務(wù)下發(fā)流程DHCPv4和DHCPv6的業(yè)務(wù)流程，差別點(diǎn)在于DHCPv6時(shí)，創(chuàng)建分布式網(wǎng)關(guān)時(shí)，需要設(shè)置網(wǎng)關(guān)的managed flag和other flag屬性，用于通過(guò)RS/RA協(xié)議告訴VM需要通過(guò)有狀態(tài)的DHCP協(xié)議來(lái)獲取IP地址、DNS、NTP等其他配置。DHCPv6/v4業(yè)務(wù)下發(fā)流程VM獲取IPv6地址流程VM獲取IPv6地址的流程如REF _fig12994112219347 r h圖2-25所示。VM獲取IPv6地址流程示意

54、圖VM發(fā)放Router Solicitation報(bào)文。GW回復(fù)Router Advertisement報(bào)文，設(shè)置Managed Configuration Flag=1、Other Configuration Flag = 1，表示IPv6地址和其他配置信息（DNS、NTP）通過(guò)DHCP獲取。VM發(fā)送DHCP Solicit報(bào)文，請(qǐng)求IP和其他配置信息。DHCP Server通過(guò)DHCP Replay返回VM的IP地址，DNS、NTP等信息。云網(wǎng)DHCP場(chǎng)景關(guān)鍵約束私有云場(chǎng)景，只支持有狀態(tài)的DHCPv6服務(wù)，DHCPv6 Server由云平臺(tái)提供。云網(wǎng)VAS業(yè)務(wù)FWaaS業(yè)務(wù)OpenStack

55、 FWaaS v1模型包括Firewall對(duì)象、Firewall policy和Firewall rule對(duì)象。Firewall對(duì)象與policy對(duì)象1：1關(guān)聯(lián)。Policy對(duì)象與Firewall rule對(duì)象1：N關(guān)聯(lián)。Firewall rule用例定義包括源目的IP、源目的4層端口號(hào)和協(xié)議號(hào)的安全策略。Firewall與Neutron router對(duì)象為1：N關(guān)系。OpenStack FWaaS v1模型OpenStack FWaaS業(yè)務(wù)對(duì)接架構(gòu)OpenStack Firewall對(duì)象實(shí)例化為防火墻上的vSYS（以華為防火墻為例），OpenStack Firewall policy對(duì)象實(shí)例

56、化為防火墻的Policy對(duì)象，OpenStack Firewallrule實(shí)例化為防火墻上的安全ACL規(guī)則。AC FWaaS plugin遵從OpenStack社區(qū)FWaaS v1接口，負(fù)責(zé)感知OpenStack firewall、Firewall policy和Firewall rule下發(fā)，調(diào)用控制器的REST接口創(chuàng)建vSYS、firewall policy及對(duì)應(yīng)的安全ACL規(guī)則?？刂破髫?fù)責(zé)分配vSYS與VRF的互聯(lián)VLAN&IP地址，調(diào)用SecoManager的接口創(chuàng)建vSYS，配置互聯(lián)接口的VALN&IP及路由配置。SecoManager負(fù)責(zé)防火墻設(shè)備的納管、防火墻安全策略的下發(fā)。Op

57、enStack FWaaS業(yè)務(wù)對(duì)接架構(gòu)OpenStack FWaaS業(yè)務(wù)發(fā)放流程通過(guò)OpenStack UI/CLI，發(fā)放FWaaS業(yè)務(wù)發(fā)放的典型步驟如REF _fig4477103812291 r h圖2-28所示。OpenStack FWaaS業(yè)務(wù)發(fā)放流程云網(wǎng)FWaaS關(guān)鍵約束只支持FWaaS v1接口。FusionCloud私有云場(chǎng)景，對(duì)接我司防火墻，安全策略的IP、四層端口號(hào)支持聚合下發(fā)。VPNaaS業(yè)務(wù)如REF _fig1280491117520 r h圖2-29所示，OpenStack VPNaaS業(yè)務(wù)模型包括VPN Service對(duì)象、site connection對(duì)象和IPSe

58、c Policy對(duì)象：VPN Service對(duì)象定義虛擬IPSec VPN服務(wù)實(shí)例，IPSec VPN服務(wù)關(guān)聯(lián)多個(gè)site connection對(duì)象；Site connection對(duì)象定義1個(gè)VPN隧道，定義對(duì)端peer地址、本地site的私網(wǎng)地址，site connection關(guān)聯(lián)1個(gè)IPSec policy對(duì)象；IPSec Policy對(duì)象定義IPSec隧道所需要的證書、加密算法、認(rèn)證模式。OpenStack VPNaaS業(yè)務(wù)模型OpenStack VNPaaS業(yè)務(wù)對(duì)接架構(gòu)AC VPNaaS Plugin感知IPSec VPN服務(wù)的發(fā)放，轉(zhuǎn)換為控制器調(diào)用下發(fā)IPSec VPN業(yè)務(wù)配置到防火

59、墻。控制器透?jìng)鱅PSec VPN業(yè)務(wù)配置到SecoManager，SecoManager調(diào)用設(shè)備NETCONF接口，下發(fā)IPSec VPN配置到防火墻。Site connection對(duì)象映射為IPSec Tunnel及對(duì)應(yīng)的配置；IPSec policy映射為防火墻的IPSec policy配置。OpenStack VNPaaS業(yè)務(wù)對(duì)接架構(gòu)OpenStack VPNaaS業(yè)務(wù)發(fā)放流程通過(guò)OpenStack UI/CLI，發(fā)放VPNaaS業(yè)務(wù)發(fā)放的典型步驟如REF _fig747144512019 r h圖2-31所示。OpenStack VPNaaS業(yè)務(wù)發(fā)放流程云網(wǎng)VPNaaS場(chǎng)景關(guān)鍵約束不支

60、持IPv6 IPSec VPN。LBaaS業(yè)務(wù)OpenStack LBaaS模型包括Load balancerl對(duì)象、listener對(duì)象和pool對(duì)象。Load balancer對(duì)象定義虛擬LB服務(wù)實(shí)例，定義vLB所使用的VIP，Load balancer與多個(gè)listener關(guān)聯(lián)；listener對(duì)象定義vLB監(jiān)聽的L4端口號(hào)及協(xié)議；pool對(duì)象定義與listenser關(guān)聯(lián)后端業(yè)務(wù)member。OpenStack LBaaS模型OpenStack LBaaS業(yè)務(wù)對(duì)接架構(gòu)OpenStack的LBaaS v2插件由負(fù)載均衡廠商提供，北向感知負(fù)載均衡服務(wù)的發(fā)放，南向調(diào)用負(fù)載均衡的API下發(fā)負(fù)載均