新一代金融云網(wǎng)絡(luò)架構(gòu)方案設(shè)計

1、新一代金融云計算網(wǎng)絡(luò)架構(gòu)設(shè)計1魏航hangwe,科系統(tǒng)網(wǎng)絡(luò)科技有限公司議題架構(gòu)思路方案設(shè)計方案總結(jié)現(xiàn)有金融應(yīng)用移植到常規(guī)公有云平臺的挑戰(zhàn)金融應(yīng)用運行環(huán)境的復(fù)雜性和異構(gòu)化，不可能能象移動、游戲業(yè)務(wù)那樣統(tǒng)一化到一種虛機運行環(huán)境，這就需要企業(yè)云平臺對于包括物理機、小機、不同的虛機平臺以及Docker等都能提供很好的支持3多平臺融合HYPERVISORHYPERVISORHYPERVISOR多業(yè)務(wù)優(yōu)化No SQLMPP DatabasesHadoop多云融合自服務(wù)自動化金融應(yīng)用遷移到云計算環(huán)境中能否保持與在原有IT架構(gòu)上一致的體驗，包括安全合規(guī)、性能、服務(wù)質(zhì)量等等，特別是正在

2、大力發(fā)展的大數(shù)據(jù)、分布式業(yè)務(wù)未來的企業(yè)云平臺不可能單一的委托在公有云平臺上，也不應(yīng)當(dāng)是一個封閉孤立的私有云，而應(yīng)當(dāng)是一個開放融合的多云構(gòu)成的混合云平臺傳統(tǒng)公有云服務(wù)提供的基礎(chǔ)架構(gòu)容器為單一模式應(yīng)用定制，不符合企業(yè)系統(tǒng)要求的應(yīng)用承載容器的形態(tài)和可定制性全企業(yè)廣度的多廠商異構(gòu)的資源協(xié)調(diào)和部署需要有配合IT治理的深度服務(wù)內(nèi)容要與整體IT運維和管理系統(tǒng)整合和定制化自定義門戶現(xiàn)有的構(gòu)造云平臺的總體架構(gòu)IT AdminsIT Operations合作伙伴生態(tài)系統(tǒng)End Users自服務(wù)門戶云服務(wù)提供商混合云云服務(wù)控制（計算、存儲、網(wǎng)絡(luò)資源整合）基礎(chǔ)資源池存儲資源控制器計算資源控制器網(wǎng)絡(luò)資源控制器Cisco

3、 Whiptail其他云其他云其他云應(yīng)對挑戰(zhàn)的關(guān)鍵在于云服務(wù)控制的模式和資源池的實現(xiàn)云服務(wù)控制（計算、存儲、網(wǎng)絡(luò)資源整合）基礎(chǔ)資源池其他云網(wǎng)絡(luò)資源控制器而云服務(wù)控制和基礎(chǔ)資源池設(shè)計的關(guān)鍵則在適于企業(yè)特點的資源承載容器的實現(xiàn)，這樣的容器由網(wǎng)絡(luò)容器的構(gòu)造方式?jīng)Q定云服務(wù)控制的構(gòu)架思路云服務(wù)控制（計算、存儲、網(wǎng)絡(luò)資源整合）現(xiàn)有的云服務(wù)控制系統(tǒng)的網(wǎng)絡(luò)容器難以適應(yīng)發(fā)展需要7基礎(chǔ)架構(gòu)團隊（云服務(wù)部署者）應(yīng)用人員（云服務(wù)使用者）應(yīng)用分層應(yīng)用邏輯關(guān)系應(yīng)用服務(wù)質(zhì)量應(yīng)用安全要求兩個團隊，兩個語言傳統(tǒng)數(shù)據(jù)中心部署周期長、數(shù)據(jù)中心結(jié)構(gòu)定制化，矛盾不突出但企業(yè)云租戶要求的應(yīng)用容器形態(tài)多樣、網(wǎng)絡(luò)策略復(fù)雜、敏捷上線和自定制自

4、服務(wù)，這就對云系統(tǒng)管理員提出了巨大的挑戰(zhàn)TopologySubnet/VLANRouterProtocolL4-7 Servs業(yè)內(nèi)的應(yīng)對：把應(yīng)用對網(wǎng)絡(luò)的復(fù)雜需求抽象化通過抽象實現(xiàn)策略與基礎(chǔ)架構(gòu)解耦，云管理員對策略調(diào)整時無須關(guān)心底層架構(gòu)8只需直觀的把應(yīng)用對網(wǎng)絡(luò)的需求抽象化為“組和組之間的”通信需求各類的網(wǎng)絡(luò)要求都可以被表達為“組和組之間的不同策略所有的表達都與底層的具體實現(xiàn)“無關(guān)”將應(yīng)用對網(wǎng)絡(luò)的需求從網(wǎng)絡(luò)的底層實現(xiàn)中抽象出來每個租戶在實現(xiàn)自己的應(yīng)用需求時無須考慮底層網(wǎng)絡(luò)的具體配置和實現(xiàn)應(yīng)用對網(wǎng)絡(luò)的需求抽象出來網(wǎng)絡(luò)策略基于組實現(xiàn)且包含豐富的內(nèi)容管理員可自我定制抽象化的網(wǎng)絡(luò)策略Low level /

5、 Detailed DesignGroup AGroup CService A consumes service B and Service CGroup BGroup AGroup CFirewallOperator / AdminGroup AGroup CAbstract Application APIOpenStack TenantGroup BQoS類型 IL2L3L3類型 IILBL2L3L3類型 IIIFWL2L3L3LBL2L3FWLBLBPublic ZonePrivateZone 1L2L3FWLBPrivateZone N類型 VL3L2類型 IVL2L3FWLBLBFW

6、ProtectedBack-EndProtectedFront-EndL2L3類型 VIL2L3L3FW傳統(tǒng)云服務(wù)控制對提供的是“傳統(tǒng)網(wǎng)絡(luò)容器”的服務(wù)構(gòu)建新的Virtual Private Cloud (VPC) 過程復(fù)雜，不具備運維敏捷性構(gòu)建新服務(wù)的時候要準確的定義網(wǎng)段、VLAN和地址，不同安全域網(wǎng)段不能重疊 構(gòu)建新服務(wù)的時候要要根據(jù)網(wǎng)段、地址進行策略，每一次架構(gòu)變化都需要重新調(diào)整策略?業(yè)內(nèi)最新的發(fā)展認為應(yīng)提供全新的“云網(wǎng)絡(luò)容器”構(gòu)建新租戶網(wǎng)絡(luò)更加快捷，運維更為簡單把應(yīng)用需求抽象化為組和組之間的策略，管理員無須關(guān)心網(wǎng)絡(luò)通信的細節(jié)，關(guān)注的是應(yīng)用需求組內(nèi)可以容納各種網(wǎng)段和地址，管理員無須關(guān)心組之

7、間的策略與網(wǎng)段、地址等基礎(chǔ)架構(gòu)無關(guān)，只與應(yīng)用邏輯相關(guān)組策略比基于地址的策略更為精簡，更接近用戶應(yīng)用視角維護抽象化后的“組”顯然比維護零散的“網(wǎng)段、地址、路由器、L4-7層設(shè)備”更簡單“組策略”抽象化后與基礎(chǔ)架構(gòu)解耦，更反映租戶應(yīng)用需求更適于云計算平臺的需要根據(jù)不同租戶需求快速構(gòu)建各類網(wǎng)絡(luò)容器（抽象化的組策略）因而比傳統(tǒng)網(wǎng)絡(luò)容器更適于云租戶的應(yīng)用性質(zhì)：即配合不同租戶、不同業(yè)務(wù)類型構(gòu)造不同種類容器，并且還能夠快速上線、敏捷部署、簡化運維、提高資源利用效率的場合而傳統(tǒng)網(wǎng)絡(luò)容器則只是比傳統(tǒng)網(wǎng)絡(luò)多了網(wǎng)絡(luò)虛擬化功能而已，只適合數(shù)據(jù)中心的非云租戶類的應(yīng)用資源靈活放置、快速上線、高效復(fù)用“組策略”抽象化的條件

8、1：“組策略”的云服務(wù)控制層OpenStack的Group Based Policy（GBP），一些商用化云服務(wù)控制系統(tǒng)，比如UCSD12/wiki/GroupBasedPolicyCisco UCS Director (Formally Cloupia)“組策略”抽象化的條件2：“原生GBP網(wǎng)絡(luò)”13/view/Group_Policy:MainDesigned by Big Switch, Cisco, IBM, Juniper,Midokura, Nuage Networks, One ConvergenceCisco ACIALU Nuage開箱即用的UCS Director開箱即用（

9、Out-of-the-Box）免編程固定云系統(tǒng)軟硬件配置，包括原生GBP網(wǎng)絡(luò)（ACI）和傳統(tǒng)網(wǎng)絡(luò)“自定義工作流”或“自定義應(yīng)用容器”使用自帶或第三方門戶14GBPNetworkTasksStorageTasksVirtualServerTasksPhysicalServerTasksAnd MoreAPIsSDKsetc.1500+Overall TasksOut-of-the-Box (UCSD 5.3)1234NOrchestration WorkflowUCSDirector14183Tasks for GBP Network (ACI)Out-of-the-Box (UCSD 5.3)

10、開源的云服務(wù)控制系統(tǒng)：OpenStack15月度參與企業(yè)累計開發(fā)人口OpenStack GBP同時支持傳統(tǒng)網(wǎng)絡(luò)和原生GBP網(wǎng)絡(luò)16Group PolicyCLIHorizonHeat其他用戶自定義或自行開發(fā)的云管理工具Neutron DriverNeutronAny Existing Plugins and ML2 DriversNative Driver12Neutron Driver 把Group Based策略轉(zhuǎn)換為以傳統(tǒng)的Neutron API方式的調(diào)用，這樣可以支持現(xiàn)存的幾乎所有Neutron Plugin和ML2 Driver現(xiàn)有OpenStack支持的所有傳統(tǒng)網(wǎng)絡(luò)12Native

11、 Drivers 實現(xiàn)對已經(jīng)支持Group Based策略的基礎(chǔ)架構(gòu)的調(diào)度，包括OpenDaylight，OVS，Cisco ACI, Nuage Networks, 和One Convergence等等原生支持GBP的網(wǎng)絡(luò)ACI兩種GBP云服務(wù)控制系統(tǒng)的比較17支持GBP的開源系統(tǒng)支持GBP的商用系統(tǒng)典型代表OpenStack GBPCisco UCS DirectorGBP支持是是代碼開源是否工程開放性中開源代碼在工程中必須定制，影響了跨廠商兼容性中通過豐富的北向API和對第三方的標(biāo)準協(xié)議提供更工程化的開放性編程定制化強中多廠商支持強中固定的系統(tǒng)搭配方案系統(tǒng)穩(wěn)定性不穩(wěn)定Bug、安全漏洞較多

12、，版本碎片化穩(wěn)定廠商成熟的互操作搭配和服務(wù)保證使用便利性復(fù)雜，需要大量二次開發(fā)成熟產(chǎn)品，開箱即用服務(wù)無靠多家第三方和二次開發(fā)商，服務(wù)協(xié)調(diào)難度大有統(tǒng)一廠商服務(wù)功能差社區(qū)版功能簡單，需要大量定制開發(fā)豐富功能完整豐富，包括Bare Metal、L4-7功能等等適用行業(yè)舉例大型運營商大型互聯(lián)網(wǎng)企業(yè)大型銀行進行自研云系統(tǒng)的試點測試企業(yè)中小規(guī)模的生產(chǎn)業(yè)務(wù)云計算系統(tǒng)一般企業(yè)要求快速投產(chǎn)的云計算系統(tǒng)云基礎(chǔ)資源中的網(wǎng)絡(luò)架構(gòu)思路其他云網(wǎng)絡(luò)資源控制器理論上任何網(wǎng)絡(luò)都可以支持基于GBP的云服務(wù)控制層，但要想更好的發(fā)揮GBP網(wǎng)絡(luò)容器的優(yōu)勢，則需要新一代網(wǎng)絡(luò)架構(gòu)的支撐為什么需要新一代網(wǎng)絡(luò)架構(gòu)傳統(tǒng)架構(gòu)的問題：19虛機廠商的

13、虛擬化網(wǎng)絡(luò)追求軟件靈活性缺乏硬件性能和管理2傳統(tǒng)網(wǎng)絡(luò)廠商架構(gòu)追求硬件性能缺乏效率和靈活性1傳統(tǒng)SDN網(wǎng)絡(luò)3追求集中控管缺乏應(yīng)用策略和GBPSwitchControllerSwitchSwitchSwitchOpenFlow Protocol傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的問題：片面提高硬件性能卻難以實現(xiàn)云計算的資源池和多云擴展性按傳統(tǒng)企業(yè)數(shù)據(jù)中心構(gòu)架云數(shù)據(jù)中心難以實現(xiàn)云計算所需的“可擴展的二層環(huán)境”傳統(tǒng)的大二層技術(shù)（生成樹、TRILL、VXLAN等）存在多種弊病20VLAN組1L3L2VLAN組2VLAN組3環(huán)路不穩(wěn)定無負載均衡不能橫向擴展腦裂網(wǎng)關(guān)問題廣播洪泛，導(dǎo)致不可擴展、差錯率高、不穩(wěn)定1NG Fabric

14、形成動態(tài)可橫向擴展的資源融合架構(gòu)21環(huán)路不穩(wěn)定無負載均衡不能橫向擴展腦裂網(wǎng)關(guān)問題廣播洪泛，導(dǎo)致不可擴展、差錯率高、不穩(wěn)定NG Fabric需要一種全新的下一代Fabric技術(shù)（NG Fabric），改善現(xiàn)有的大二層技術(shù)增強的TRILL增強的VXLAN實現(xiàn)云計算資源池所需的按需彈性擴展，但沒有二層廣播、組播和單播洪泛等問題1NG Fabric消除云之間的資源豎井（混合云）22企業(yè)云云提供商Cloud A云提供商Cloud B將二層網(wǎng)絡(luò)以及相應(yīng)的網(wǎng)絡(luò)策略延展到公有云，使用二層加密通道按需自動將VM按目標(biāo)運營商網(wǎng)絡(luò)環(huán)境進行格式轉(zhuǎn)換和驅(qū)動安裝在公有云環(huán)境下生成新的VM，并且繼承企業(yè)原有的安全策略按需收

15、回VM按需自動將VM的格式和驅(qū)動轉(zhuǎn)換回私有云內(nèi)原有的格式和驅(qū)動提供給用戶在多個云之間靈活的選擇，形成多云混合自動進行VM格式轉(zhuǎn)換和驅(qū)動適配Key Value Props of ICF for Business計算負載彈性延展到不同的云，且保持企業(yè)策略全局一致自動進行VM格式和驅(qū)動轉(zhuǎn)換，提高靈活性按需收回計算量，高效經(jīng)濟提供多云選擇，實現(xiàn)Build Once Run Anywhere1傳統(tǒng)主機Overlay架構(gòu)的問題：重視資源虛擬化卻忽視異構(gòu)平臺的性能和可視化管理No SQLMPP DatabasesHadoop?79%Source: Gartner http:/id=2210316Multi-

16、HypervisorPhysicalMachine2NG Fabric軟硬件混合的Overlay技術(shù)解決問題一方面采用軟件Overlay技術(shù)解決靈活性，另一方面利用硬件解決服務(wù)質(zhì)量和策略一致性2479%Source: Gartner http:/id=2210316Multi-HypervisorPhysicalMachineHYPERVISORHYPERVISORHYPERVISORNo SQLMPP DatabasesHadoop基于網(wǎng)絡(luò)硬件的Overlay技術(shù)保持硬件網(wǎng)絡(luò)的高性能提供虛擬網(wǎng)絡(luò)的靈活性NG Fabric to deny TCP 445 to deny TCP 445 to

17、deny TCP 445 to deny TCP 445 to permit TCP 8080 to permit TCP 8080 to permit TCP 8080 to permit TCP 8080deny allDBEPGWEBEPGAPPEPGWeb EPG to App EPG:deny TCP 445permit TCP 8080deny allFabric智能 + L4-7服務(wù)自動串接(多廠商、多平臺、分布式、負載均衡) APP EPG2應(yīng)用的可視化：傳統(tǒng)網(wǎng)絡(luò)虛擬化技術(shù)遮蔽了應(yīng)用的可視化252應(yīng)用的可視化：NG Fabric軟硬一體Overlay技術(shù)提供了透過Overlay

18、層直達硬件的可視化HYPERVISORHYPERVISORHYPERVISORHEALTH SCORELATENCYDROP COUNTVISIBILITYVMsPhysicalApplication Delivery ControllerFirewall96%Microsecond(s)Packets Dropped525 73PayloadIPeVXLANiVTEPVNIDFlagsPolicyGroup應(yīng)用標(biāo)識和測量標(biāo)識2應(yīng)用的可視化：基于應(yīng)用的健康分值的進行自動化資源調(diào)整HEALTH SCORELATENCYDROP COUNTVISIBILITYVMsPhysicalApplicat

19、ion Delivery ControllerFirewall2752%Microsecond(s)Packets Dropped10350 96%525 1682應(yīng)用的可視化：應(yīng)用級故障定位和云租戶視角管理2NG Fabric管理員基礎(chǔ)架構(gòu)團隊（云服務(wù)部署者）TopologySubnet/VLANRouterProtocolL4-7 Servs兩個團隊，兩個語言應(yīng)用需求到基礎(chǔ)架構(gòu)部署周期長，變更慢基礎(chǔ)架構(gòu)對應(yīng)用需求不可見，無法優(yōu)化和可視化應(yīng)用人員（云服務(wù)使用者）應(yīng)用分層應(yīng)用邏輯關(guān)系應(yīng)用服務(wù)質(zhì)量應(yīng)用安全要求?3傳統(tǒng)SDN網(wǎng)絡(luò)控制的問題：不支持面向應(yīng)用策略的網(wǎng)絡(luò)配置SLAQoSSecurityL

20、oadBalancingAPPLICATION NETWORK PROFILESLAQoSSecurityLoadBalancingAPPLICATION NETWORK PROFILEADCappdbf/wADCWEBHYPERVISORHYPERVISORHYPERVISOR連接策略WEB組由構(gòu)成只能訪問APP組只能被Outside組訪問安全策略Web訪問App必須通過ACLACL策略為QoS策略Web到App帶寬最低保證1G流量優(yōu)先級為1丟棄優(yōu)先級為0L4-7服務(wù)Web到App需要經(jīng)過負載均衡負載均衡策略為用“合同”（Contract）連接起來3采用“應(yīng)用策略架構(gòu)控制器”（APIC）：應(yīng)

21、用策略天生就是組策略（GBP）APIC追求軟件靈活性缺乏硬件性能基于主機的虛擬化2傳統(tǒng)網(wǎng)絡(luò)架構(gòu)1追求硬件性能缺乏效率和靈活性傳統(tǒng)SDN控制3SwitchControllerSwitchSwitchSwitchOpenFlow Protocol追求集中控管缺乏云應(yīng)用視角新一代云計算的網(wǎng)絡(luò)架構(gòu)總結(jié)云應(yīng)用策略控制器自服務(wù)、自動化繼承集中控管能力且具備GBP組策略ComputeComputeStorageStorageServicesServicesL2,L3ProgrammableAutomation軟硬結(jié)合的虛擬化多平臺融合、業(yè)務(wù)優(yōu)化繼承Overlay虛擬化且提高應(yīng)用性能和可視化NG Fabric

22、資源池、多云融合ComputeComputeStorageStorageServicesServicesSpine SwitchesL2,L3Leaf SwitchesNG Fabric繼承硬件自身特性且實現(xiàn)資源池化和彈性Underlay新一代網(wǎng)絡(luò)架構(gòu)的實現(xiàn)：采用第二代SDN技術(shù)32ControllerPolicy CPFabric CPPHYPHYPHYPHYControllerPolicy CPFabric CP軟硬結(jié)合一體化OverlayOpenFlowOVSDBNetConf開放的網(wǎng)絡(luò)協(xié)議開放的策略協(xié)議策略控制器NGFabric第一代SDN硬VTEP軟VTEP硬VTEP軟VTEPFab

23、ric和Policy緊耦合：導(dǎo)致控制器集群機制復(fù)雜，穩(wěn)定性下降；顧此失彼導(dǎo)致Policy CP功能單一，沒有組策略能力Overlay和Underlay失聯(lián)：整體性能和服務(wù)質(zhì)量受影響；無法提供關(guān)聯(lián)可視化，運維風(fēng)險高Overlay技術(shù)不統(tǒng)一：功能不一致（比如網(wǎng)關(guān)、策略執(zhí)行）；依賴Host Overlay（性能差，與系統(tǒng)版本高度耦合，難以維護）第二代SDNFabric和Policy松耦合：控制器只負責(zé)策略，NG Fabric自帶Fabric控制能力，因而可靠性高，策略功能豐富（支持GBP）Overlay和Underlay一體化：性能高，服務(wù)質(zhì)量好，上下關(guān)聯(lián)可視化，易于運維管理和故障診斷Overlay

24、技術(shù)統(tǒng)一：功能全局一致（比如網(wǎng)關(guān)一體化、統(tǒng)一策略）；不依賴Host Overlay（性能高，與系統(tǒng)類型完全解耦，易于維護）第二代SDN技術(shù)的兩種實現(xiàn)形態(tài)開源定制化產(chǎn)品，如：Cisco VTS/BGP/EVPN，OpenDL/OpFlex定制自由度大，但需要大量開發(fā)自身功能簡單，如：缺少GBP（需要另行開發(fā)）、健康可視、網(wǎng)絡(luò)管理、可靠性、安全性和性能優(yōu)化等產(chǎn)品成熟性差，運維和穩(wěn)定性高度依賴開發(fā)團隊33成熟商用化產(chǎn)品，如：Cisco ACI, 阿朗Nuage, OneConvergence內(nèi)置功能豐富，帶有豐富GBP網(wǎng)絡(luò)容器、健康可視化、網(wǎng)絡(luò)管理、服務(wù)質(zhì)量、安全性、可靠性優(yōu)化等功能基本開箱即用，提

25、供豐富的北向編程接口實現(xiàn)SDN商用產(chǎn)品成熟，運維有高度專業(yè)化團隊策略控制器NGFabricOTT運營商金融企業(yè)ACI兼顧開源系統(tǒng)的開放和可定制能力，商用系統(tǒng)的成熟性、穩(wěn)定性和可靠性服務(wù)34傳統(tǒng)開源系統(tǒng)傳統(tǒng)商用系統(tǒng)ACI代碼開源私有開源和私有結(jié)合OpenDL，GBP，Device Package等開源，iNXOS內(nèi)置協(xié)議開放私有開放OpFlex、BGP/OSPF、LLDP等編程定制化可定制不可定制可定制基于策略的SDN定制編程能力系統(tǒng)穩(wěn)定性不穩(wěn)定Bug、安全漏洞多，版本碎片化穩(wěn)定廠商保證穩(wěn)定廠商保證使用便利性需要二次開發(fā)成熟產(chǎn)品，系統(tǒng)集成成熟產(chǎn)品，系統(tǒng)集成服務(wù)無靠第三方和二次開發(fā)商有廠商服務(wù)有思

26、科服務(wù)功能基本一般面向開發(fā)者的通用版本豐富廠商根據(jù)目標(biāo)用戶已做優(yōu)化豐富比如應(yīng)用到底層的健康關(guān)聯(lián)分析典型例子OpenFlow SDNIBM大機系統(tǒng)ACI，互聯(lián)網(wǎng)（商用產(chǎn)品為主，靠開放協(xié)議集成的開放系統(tǒng)）新一代網(wǎng)絡(luò)架構(gòu)的實現(xiàn)APIC Open REST APIs Support Integration With Any SoftwareOpFlex: Open Fabric Attached Device API Supports Integration with Any Network Device Automation Enterprise MonitoringSystemsManagemen

27、tOrchestrationFrameworksOVMHypervisor ManagementApplications北向南向Openflow, 3rd party switches, 商用化的ACI同樣具備開放性和完善的生態(tài)全企業(yè)廣度的多廠商異構(gòu)的資源協(xié)調(diào)和部署需要有配合IT治理的深度服務(wù)內(nèi)容要與整體IT運維和管理系統(tǒng)整合和定制化自定義門戶設(shè)計思路總結(jié)IT AdminsIT Operations合作伙伴生態(tài)系統(tǒng)云服務(wù)控制（計算、存儲、網(wǎng)絡(luò)資源整合）End Users自服務(wù)門戶云服務(wù)提供商混合云基礎(chǔ)資源池存儲資源控制器計算資源控制器Cisco Whiptail其他云其他云其他云網(wǎng)絡(luò)資源控制器

28、網(wǎng)絡(luò)容器：抽象化組策略模型，與底層架構(gòu)解耦系統(tǒng)選型：OpenStack或商用化系統(tǒng)NG Fabric：彈性延展，穩(wěn)定可靠軟硬結(jié)合Overlay：兼顧軟件靈活性和硬件性能，實現(xiàn)管理可視化組策略控制器：基于應(yīng)用策略需求的原生GBP實現(xiàn)方式：開源定制或成熟商用的第二代SDNNG FabricUCS Director議題架構(gòu)思路方案設(shè)計方案總結(jié)金融系統(tǒng)云計算的總體發(fā)展方案不是所有的金融IT資源都適合“云化”優(yōu)先云化資源彈性需求較高的部分全渠道互聯(lián)網(wǎng)業(yè)務(wù)大數(shù)據(jù)智能虛擬化計算（Application/Web Server）保持一些資源需求固定的業(yè)務(wù)不變大機、Core Banking數(shù)據(jù)庫、但云化的網(wǎng)絡(luò)卻適

29、合于所有金融IT資源云化的資源需要云化網(wǎng)絡(luò)作為基礎(chǔ)平臺非云化的資源也能在云化的網(wǎng)絡(luò)上得到更穩(wěn)定的二層、更優(yōu)質(zhì)的服務(wù)質(zhì)量、更可視化的管理以及基于應(yīng)用策略的自動化等好處因此，云計算建設(shè)由點到面，網(wǎng)絡(luò)平臺建設(shè)要則要全面考慮！38全企業(yè)廣度的多廠商異構(gòu)的資源協(xié)調(diào)和部署需要有配合IT治理的深度服務(wù)內(nèi)容要與整體IT運維和管理系統(tǒng)整合和定制化自定義門戶（面向最終云使用者）云化部分所推薦的宏觀架構(gòu)IT AdminsIT Operations合作伙伴生態(tài)系統(tǒng)云服務(wù)控制（面向云服務(wù)管理員）End Users自服務(wù)門戶云服務(wù)提供商混合云基礎(chǔ)資源池存儲資源控制器計算資源控制器Cisco Whiptail其他云其他云其

30、他云網(wǎng)絡(luò)資源控制器定制化基礎(chǔ)服務(wù)：KeyStone, Nova, Glance, Cinder, Swift, GBP/Neutron.定制化編排和服務(wù)展示：云服務(wù)編排, 云服務(wù)資源健康檢查、管理和診斷,NG Fabric云化網(wǎng)絡(luò)的建設(shè)：不僅僅為云提供支撐，目標(biāo)是為整個數(shù)據(jù)中心提供服務(wù)其他云網(wǎng)絡(luò)資源控制器NG Fabric云化的網(wǎng)絡(luò)：“以網(wǎng)絡(luò)為中心”和“以應(yīng)用為中心”APIC以應(yīng)用策略為中心以網(wǎng)絡(luò)策略為中心只實施NG Fabric，保持現(xiàn)有IT運維體制適于兼容現(xiàn)有產(chǎn)品、應(yīng)用部署方式傳統(tǒng)Nexus 9500,9300,7700,7000,6000,5000,4000,3000,2000,1000

31、,外連兼容各廠商網(wǎng)絡(luò)Nexus 9500,9300,2000,1000,外連兼容其他Nexus及各廠商網(wǎng)絡(luò)資源融合應(yīng)用優(yōu)化業(yè)務(wù)自動化資源融合應(yīng)用優(yōu)化業(yè)務(wù)自動化使用新產(chǎn)品，IT運維體制的革新適于要求敏捷應(yīng)用開發(fā)的創(chuàng)新云業(yè)務(wù)部分產(chǎn)品軟件升級APPF/WL/BWEBl/bDBAPPF/WADCWEBADCDBNG FabricDCNMVTS / NSO*APIC企業(yè)的網(wǎng)絡(luò)云化演進路線網(wǎng)絡(luò)策略網(wǎng)絡(luò)策略網(wǎng)絡(luò)策略應(yīng)用策略產(chǎn)品：傳統(tǒng)N2kN7kProgrammable API（無集中控制）或控制器：DCNM / VTSNG Fabric：Enhanced FabricPath / VxLAN產(chǎn)品：高性能N9

32、k控制器：VTS / NSONG Fabric：Enhanced VxLAN產(chǎn)品：高性能N9k控制器：APICNG Fabric：ACI (Enhanced VxLAN)產(chǎn)品：高性能N9k控制器：APICNG Fabric：ACI (Enhanced VxLAN)傳統(tǒng)產(chǎn)品SDN高性能SDNACISDNACISDN硬件升級軟件升級*CY2016Q2應(yīng)用梳理某銀行的云計算網(wǎng)絡(luò)設(shè)計路線按照擴大資源池的要求進行分區(qū)的重新歸并歸并后對彈性需求較多的生產(chǎn)區(qū)進行云化網(wǎng)絡(luò)的改造（使用ACI）Extranet接入1Extranet接入2安全控制安全控制安全控制安全控制Extranet1Extranet2主機生產(chǎn)

33、業(yè)務(wù)B安全控制安全控制生產(chǎn)業(yè)務(wù)A前置3安全控制生產(chǎn)業(yè)務(wù)C安全控制前置2安全控制安全控制辦公業(yè)務(wù)安全控制網(wǎng)管1安全控制廣域網(wǎng)區(qū)核心骨干網(wǎng)分行2分行1主網(wǎng)銀備網(wǎng)銀安全控制安全控制InternetInternet安全控制災(zāi)備中心安全控制網(wǎng)管2安全控制前置1安全控制高速交換核心安全控制安全控制Extranet1Extranet2外聯(lián)接入?yún)^(qū)生產(chǎn)核心區(qū)（傳統(tǒng)）網(wǎng)管辦公區(qū)廣域網(wǎng)區(qū)分行2分行1安全控制安全控制InternetInternet網(wǎng)銀區(qū)高速交換核心多中心前置1生產(chǎn)業(yè)務(wù)B安全控制安全控制安全控制安全控制生產(chǎn)業(yè)務(wù)C前置2前置3辦公業(yè)務(wù)網(wǎng)管1承載網(wǎng)廣域模塊安全控制主網(wǎng)銀備網(wǎng)銀Extranet接入1Extr

34、anet接入2網(wǎng)管2主機生產(chǎn)業(yè)務(wù)A生產(chǎn)核心區(qū)（開放）安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制某銀行的技術(shù)路線具體規(guī)劃NG Fabric關(guān)鍵生產(chǎn)業(yè)務(wù)切片（ACI的一個Tenant，執(zhí)行網(wǎng)絡(luò)策略）使用ACI構(gòu)建NG Fabric使用現(xiàn)網(wǎng)1:1映射到ACI NG Fabric獲得ACI絕大部分收益，包括服務(wù)器靈活擺放彈性擴容、穩(wěn)定可靠性大二層、應(yīng)用高性能高服務(wù)質(zhì)量、虛機網(wǎng)絡(luò)統(tǒng)一管理、上層到底層關(guān)聯(lián)分析可視化、策略化運維管理、自動化運維管理、兼顧開源與商用化優(yōu)勢等等只損失以上收益中與應(yīng)用感知相關(guān)部分，比如關(guān)聯(lián)分析是Overlay/Underlay而非應(yīng)用/Underla

35、yAPICAPPF/WL/BWEBl/bDBAPPF/WADCWEBADCDB云計算試點業(yè)務(wù)切片（ACI的另一個Tenant，云計算服務(wù)）在以上ACI中構(gòu)造特定租戶切片用以實現(xiàn)應(yīng)用策略和云計算服務(wù)在租戶切片上試點特定應(yīng)用的應(yīng)用策略控制服務(wù)挑選歷史負擔(dān)輕、要求敏捷性高的互聯(lián)網(wǎng)+應(yīng)用未來逐步平滑過度現(xiàn)有應(yīng)用，比如：優(yōu)先遷移有應(yīng)用架構(gòu)重構(gòu)需求的應(yīng)用共用同一個Fabric，可以同時共存且通過核心層三層互連，平滑遷移LeafSpine該銀行開放平臺生產(chǎn)業(yè)務(wù)區(qū)的整體物理架構(gòu)存儲層SAN MDS 9500FC/FCoE/IP Storage計算層Layer 3Nexus 9500Nexus 7700全網(wǎng)核心

36、其他分區(qū)/WANdVSwitch/AVCVirtual MachineUnified ComputingAPICSAN/iSCSI/Nexus 9300Service Border LeafNexus 9300Compute Leaf另一種云網(wǎng)絡(luò)建設(shè)方式安全控制安全控制Extranet1Extranet2外聯(lián)接入?yún)^(qū)生產(chǎn)核心區(qū)（傳統(tǒng)）網(wǎng)管辦公區(qū)廣域網(wǎng)區(qū)分行2分行1安全控制安全控制InternetInternet網(wǎng)銀區(qū)高速交換核心多中心前置1生產(chǎn)業(yè)務(wù)B安全控制安全控制安全控制安全控制生產(chǎn)業(yè)務(wù)C前置2前置3辦公業(yè)務(wù)網(wǎng)管1承載網(wǎng)廣域模塊安全控制主網(wǎng)銀備網(wǎng)銀Extranet接入1Extranet接入2網(wǎng)

37、管2主機生產(chǎn)業(yè)務(wù)A生產(chǎn)核心區(qū)（開放）安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制公共云資源池保持現(xiàn)網(wǎng)不變，另外開辟新的公共云資源分區(qū)，與現(xiàn)網(wǎng)通過三層高速核心互連云分區(qū)內(nèi)試點下一代SDN，試運行云服務(wù)系統(tǒng)為其他需要彈性資源的功能區(qū)提供云服務(wù)資源（IP可達即可）未來考慮將下一代SDN逐步復(fù)制到全網(wǎng)云服務(wù)控制層的設(shè)計云服務(wù)控制（面向云服務(wù)管理員）定制化基礎(chǔ)服務(wù)：KeyStone, Nova, Glance, Cinder, Swift, GBP/Neutron.定制化編排和服務(wù)展示：云服務(wù)編排, 云服務(wù)資源健康檢查、管理和診斷,云服務(wù)控制系統(tǒng)演進路線傳統(tǒng)網(wǎng)絡(luò)容器GBP網(wǎng)絡(luò)

38、容器VMware等虛擬化平臺傳統(tǒng)純軟件化網(wǎng)絡(luò)容器無云服務(wù)控制系統(tǒng)OpenStack功能發(fā)展完全成熟，逐步取代商用化功能用戶掌控云服務(wù)控制的全部代碼，完全根據(jù)需求定制計算虛擬化GBP商用化系統(tǒng)OpenStack GBP+GBP商用化系統(tǒng)OpenStackGBP云試點異構(gòu)云*CY2016Q2全自主化GBP網(wǎng)絡(luò)容器GBP網(wǎng)絡(luò)容器商用系統(tǒng)和OpenStack融合基于統(tǒng)一的GBP策略O(shè)penStack作為服務(wù)控制主體OpenStack不支持的特性（L4-7層、物理服務(wù)器部署等）使用商用化補充采用商用化云服務(wù)控制實現(xiàn)GBP的網(wǎng)絡(luò)容器例：UCS Director/Cloupia云服務(wù)控制層的整體架構(gòu)（網(wǎng)絡(luò)視

39、角）Group Policy3rd Party DriverAPIC Native Driver用戶自定義門戶：最終用戶門戶，租戶運維門戶，廠商提供的OpenStack運維門戶（或API）：云服務(wù)編排設(shè)置, 云服務(wù)資源健康檢查、管理和診斷,VMwaredvSwtichKVMOVSKVMOVSL4-7層設(shè)備LocalVLAN/VXLANLocalVLAN/VXLANLocalVLAN/VXLANLocalVLANACI Fabric用戶視角的云網(wǎng)絡(luò)容器和ACI底層實現(xiàn)的對應(yīng)關(guān)系采用ACI內(nèi)的Tenant實現(xiàn)采用Application Profile，也稱為該租戶的一個VPC（Virtual Pr

40、ivate Cloud）采用ACI的EPG，是共同網(wǎng)絡(luò)策略的集合對應(yīng)ACI的Subnet，在ACI內(nèi)可以做到跨網(wǎng)絡(luò)組，甚至可以跨網(wǎng)絡(luò)容器，與基礎(chǔ)架構(gòu)解耦就是EPG內(nèi)的End Point，只不過ACI的End Point更加廣義，不僅包括虛機，也包括不同平臺的虛機、物理機、小機等等。實際一個機器的不同接口或子接口可以作為不同End Point看待用戶視角的云網(wǎng)絡(luò)容器模型ACI在網(wǎng)絡(luò)層面的實現(xiàn)方式租戶網(wǎng)絡(luò)容器：安全域內(nèi)為應(yīng)用單獨設(shè)置的虛擬網(wǎng)網(wǎng)絡(luò)組：網(wǎng)絡(luò)容器內(nèi)具備相同策略的云主機集合，可包含多個子網(wǎng)子網(wǎng)：IP網(wǎng)絡(luò)的Subnet，利用IP網(wǎng)關(guān)實現(xiàn)路由互連云主機：云內(nèi)的計算單元，虛機是常見形式，可跨多個

41、網(wǎng)絡(luò)組安全域：租戶內(nèi)設(shè)定的可由防火墻隔離的區(qū)域采用ACI的VRF實現(xiàn)，安全域之間的訪問需要通過防火墻等安全機制設(shè)計實現(xiàn)1：云管理員快速創(chuàng)建租戶和網(wǎng)絡(luò)容器包括創(chuàng)建租戶、VPC、Domain、Subnet和策略2、APIC Group Driver操作APIC控制器將管理員繪制的網(wǎng)絡(luò)容器設(shè)置在ACI上1、根據(jù)需求，云管理員在Portal快速方便的繪制新的網(wǎng)絡(luò)容器3、管理員可靈活改變基礎(chǔ)架構(gòu)屬性，比如包含的子網(wǎng)和網(wǎng)關(guān)等，網(wǎng)絡(luò)容器不變（即基礎(chǔ)架構(gòu)解耦）設(shè)計實現(xiàn)2：云用戶創(chuàng)建并配置云主機3、APIC通過OpFlex Proxy（Leaf內(nèi)）來控制OpFlex Agent（Hypervisor內(nèi)），后者操

42、作OVS把對應(yīng)虛機按網(wǎng)絡(luò)容器要求打VLAN或VXLAN標(biāo)記（標(biāo)記只有本地意義，可復(fù)用）4、ACI Fabric ToR正確理解邊緣所打的VLAN/ VXLAN標(biāo)記，映射到已經(jīng)設(shè)好的ACI的EPG內(nèi)，從而使云主機成功加入網(wǎng)絡(luò)容器，得到網(wǎng)絡(luò)云服務(wù)1、用戶在Portal通過Nova創(chuàng)建并配置虛機2、用戶在Portal把該虛機裝入網(wǎng)絡(luò)容器和網(wǎng)絡(luò)組5、該方法可用于將任何虛擬平臺和物理機裝入網(wǎng)絡(luò)容器，兌現(xiàn)前文所述網(wǎng)絡(luò)策略與計算節(jié)點類型位置無關(guān)。推薦邊緣采用VLAN標(biāo)記作為進入網(wǎng)絡(luò)容器的識別，因為其封裝開銷小、效率高。設(shè)計實現(xiàn)3：網(wǎng)絡(luò)策略的實現(xiàn)兩級策略：第1級是網(wǎng)絡(luò)管理視角，第2級是系統(tǒng)管理視角(第1級)網(wǎng)

43、絡(luò)組策略：云網(wǎng)絡(luò)管理員構(gòu)建網(wǎng)絡(luò)容器時就已經(jīng)把網(wǎng)絡(luò)視角的基本組策略建立完成了，包括：基于組的ACL、QoS、L4-7服務(wù)等等(第2級)主機策略：作為網(wǎng)絡(luò)組策略的補充，云系統(tǒng)管理員還可以從主機視角設(shè)置“安全組”，提供以主機為單位的各種網(wǎng)絡(luò)策略，在創(chuàng)建云主機時選用。該功能包括流量管控、QoS標(biāo)記、ACL等，是在Hypervisor層面實現(xiàn)的功能3、用戶可通過APIC控制器或Portal對L4-7設(shè)備策略進行集中控管，并且APIC有動態(tài)對智能策略進行調(diào)整的功能設(shè)計實現(xiàn)4：網(wǎng)絡(luò)策略中的L4-7層服務(wù)54防火墻、負載均衡等智能服務(wù)設(shè)備（無論是物理還是虛擬的）可放置在任意位置，形成服務(wù)池APIC直接支持的產(chǎn)

44、品包括Cisco、F5、Citrix、Checkpoint、Palo Alto、Enbrane、RADWARE、及網(wǎng)絡(luò)功能虛擬化版本如果沒在APIC支持列表內(nèi)的其他第三方服務(wù)設(shè)備，在開源社區(qū)提供開發(fā)組件，實現(xiàn)定制化開發(fā)不希望被APIC控制或在Fabric以外的L4-7層設(shè)備，ACI提供快速串接入服務(wù)鏈的外部接口，人工或通過定制開發(fā)實現(xiàn)服務(wù)串接和策略管控在即將的Kilo版本中OpenStack將增加直接通過Native GBP完成服務(wù)鏈的定義和L4-7設(shè)備的管控新Serveradd server EP-1 add service web-service-1 HTTP 80bind lb vser

45、ver vserver-web web-service-1unbind lb vserver vserver-web web-service-1rm service web-service-1 HTTP 80rm server EP-1 VPC-0001Web組 VPC-0001外部組Func: FirewallFunc: SSL offloadFunc: Load BalancerService Graph: “web-application”1、基礎(chǔ)架構(gòu)管理員構(gòu)想L4-7層服務(wù)鏈條，通過管理員Portal驅(qū)動第三方Driver（本案例為UCSD/ Cloupia）提供的工作流完成“服務(wù)鏈”

46、的定義2、云管理員在Portal的組策略中引用定義好的“服務(wù)鏈”設(shè)計實現(xiàn)5：云服務(wù)的對外交互云內(nèi)不同網(wǎng)絡(luò)容器之間的交互55網(wǎng)絡(luò)容器VPC-0001網(wǎng)絡(luò)容器VPC-0002邊界網(wǎng)絡(luò)組A邊界網(wǎng)絡(luò)組BA的出策略B的出策略網(wǎng)絡(luò)容器的互訪可將自己對外展示的服務(wù)放到網(wǎng)絡(luò)組策略內(nèi)（圖中的出策略）網(wǎng)絡(luò)容器引用對方的出策略即可完成互連在本方視角里，對方的網(wǎng)絡(luò)容器被充分抽象為對方的組策略，引用即可，無須關(guān)心其內(nèi)部細節(jié)雙方共同制定互訪策略，策略分工清晰，易于自助管理策略不僅管控互訪的地址，也可管控互訪的方式，比如允許的應(yīng)用類型、帶寬、插入L4-7層服務(wù)等等雙方網(wǎng)絡(luò)容器的地址如有重疊，需通過雙方的策略中引用L3或L4

47、-7層設(shè)備來進行NAT實現(xiàn)互訪設(shè)計實現(xiàn)5：云服務(wù)的對外交互（續(xù)）混合云InterCloud Fabric/DCI實現(xiàn)網(wǎng)絡(luò)容器的通信延展56多種手段提供具備租戶感知的二層、三層Fabric延展，比如圖示的VXLAN/BGP-EVPN方式與知名公有云的二層、三層Fabric延展與內(nèi)部其他私有云之間的DCI互連 APICICF DirectorICFProviderPlatform設(shè)計實現(xiàn)5：云服務(wù)的對外交互（續(xù)）混合云InterCloud Fabric Director/Provider Platform實現(xiàn)網(wǎng)絡(luò)容器的策略延展57 APICICF DirectorICFProviderPlatfo

48、rm設(shè)計實現(xiàn)6：SDN控制器將Overlay/Underlay相結(jié)合的復(fù)合監(jiān)控管理通過直接展示或提供API調(diào)用給Portal用戶可獲得最全面的云平臺網(wǎng)絡(luò)健康狀態(tài)可視化、診斷與管理網(wǎng)絡(luò)容器傳統(tǒng)視圖網(wǎng)絡(luò)容器組成部分的故障追蹤Fabric物理拓撲網(wǎng)絡(luò)容器/網(wǎng)絡(luò)組策略視圖和健康展示面板狀態(tài)ToR交換機節(jié)點間流量熱點分析網(wǎng)絡(luò)容器內(nèi)部或之間流量熱點分析在底層基礎(chǔ)架構(gòu)上進行故障追蹤設(shè)計實現(xiàn)7：利舊系統(tǒng)的整合利舊網(wǎng)絡(luò)利舊網(wǎng)絡(luò)利舊網(wǎng)絡(luò)利舊網(wǎng)絡(luò)利舊網(wǎng)絡(luò)利舊網(wǎng)絡(luò)需要利舊網(wǎng)絡(luò)支持二層VLAN或VXLAN延展如果要支持OVS/dvSwitch協(xié)調(diào)管控，利舊網(wǎng)絡(luò)需支持LLDP透傳，否則須在APIC上啟用VMM Pre-P

49、revisioning模式，或手工配置compute-hostname=module-id.node-idGroup Policy3rd Party DriverAPIC Native Driver議題架構(gòu)思路方案設(shè)計方案總結(jié)總結(jié)云服務(wù)控制系統(tǒng)：網(wǎng)絡(luò)容器：抽象為組策略GBP，與底層架構(gòu)解耦系統(tǒng)選型：短期適于商用化系統(tǒng)（如UCSD），OpenStack作為長期演進目標(biāo)下一代SDN：NG Fabric：彈性延展，穩(wěn)定可靠軟硬結(jié)合Overlay：兼顧軟件靈活性和硬件性能，實現(xiàn)管理可視化GBP策略控制器：新一代SDN控制方式，穩(wěn)定可靠，原生GBP實現(xiàn)方式：開源定制SDN，成熟商用SDN非常感謝！關(guān)于開源開放的辯證比較傳統(tǒng)SDN（OpenFlow控制器 + Overlay