Ruitongdatacenter1在云數(shù)據(jù)中心內(nèi)部的應(yīng)用

SDN/NFV在云數(shù)據(jù)中心內(nèi)部的應(yīng)用目錄1.云數(shù)據(jù)中心面臨的問題3.多租戶的網(wǎng)絡(luò)隔離實(shí)現(xiàn)2.基于SDN的解決方案比較4.利用NFV實(shí)現(xiàn)路由及邊界防護(hù)21.云數(shù)據(jù)中心面臨的問題計算和存儲虛擬化技術(shù)經(jīng)過幾年時間的發(fā)展，已經(jīng)基本能夠滿足用戶的需求，而隨著云計算IDC的規(guī)模越來越大，以及客戶個性化需求的日趨強(qiáng)烈，網(wǎng)絡(luò)已經(jīng)成為制約云計算IDC發(fā)展的最大瓶頸，主要體現(xiàn)在以下幾個方面。31.云數(shù)據(jù)中心面臨的問題（1）虛擬化環(huán)境下網(wǎng)絡(luò)配置的復(fù)雜度極大提升。IDC內(nèi)部設(shè)備眾多，特別是計算資源虛擬化后，虛擬機(jī)的數(shù)量更是數(shù)十倍地增長，且各類業(yè)務(wù)特性各異，導(dǎo)致網(wǎng)絡(luò)配置的復(fù)雜度大大增加，基于傳統(tǒng)點(diǎn)到點(diǎn)手工配置的模式已難以滿足業(yè)務(wù)快速上線的要求。（2）虛擬化環(huán)境下無法有效進(jìn)行拓?fù)湔宫F(xiàn)?，F(xiàn)有的網(wǎng)管系統(tǒng)均是基于傳統(tǒng)網(wǎng)絡(luò)環(huán)境的，在虛擬化環(huán)境下，由于虛擬機(jī)與網(wǎng)絡(luò)設(shè)備端口并不是一一對應(yīng)的，因此無法很好地呈現(xiàn)業(yè)務(wù)系統(tǒng)與網(wǎng)絡(luò)資源之間的對應(yīng)關(guān)系，導(dǎo)致運(yùn)維復(fù)雜，極易出現(xiàn)問題。41.云數(shù)據(jù)中心面臨的問題（3）無法很好地實(shí)現(xiàn)多租戶網(wǎng)絡(luò)隔離。在云計算環(huán)境下，各業(yè)務(wù)系統(tǒng)共用同一套核心的交換機(jī)、路由器、防火墻、負(fù)載均衡器等設(shè)備。目前的傳統(tǒng)網(wǎng)絡(luò)很難在滿足云IDC對IP地址、VLAN、安全等網(wǎng)絡(luò)策略統(tǒng)一規(guī)劃的前提下，實(shí)現(xiàn)各系統(tǒng)間的有效隔離，并支持其個性化要求。（4）無法實(shí)現(xiàn)動態(tài)的資源調(diào)整。不同業(yè)務(wù)系統(tǒng)的流量、安全策略等均有所不同，傳統(tǒng)的網(wǎng)絡(luò)技術(shù)無法動態(tài)感知各業(yè)務(wù)屬性，從而靈活地進(jìn)行適應(yīng)性的資源調(diào)整，容易造成資源的浪費(fèi)或過載。52.基于SDN的解決方案比較目前基于SDN的IDC網(wǎng)絡(luò)解決方案主要有以下3種。（1）基于專用接口。此方案主要為一些網(wǎng)絡(luò)設(shè)備廠家主導(dǎo)的方案，SDN控制器與網(wǎng)絡(luò)設(shè)備之間通過私有協(xié)議進(jìn)行通信，實(shí)現(xiàn)網(wǎng)絡(luò)配置的統(tǒng)一管理和下發(fā)。方案需要對現(xiàn)有網(wǎng)絡(luò)設(shè)備進(jìn)行軟件化的升級改造，較易實(shí)現(xiàn)，過渡平滑。但缺點(diǎn)也很明顯，就是標(biāo)準(zhǔn)不統(tǒng)一，異廠家無法互通，SDN控制器適配多種設(shè)備難度很大。62.基于SDN的解決方案比較（2）基于開放協(xié)議。大致同方案一，只是將廠家的私有協(xié)議換成基于ONF主導(dǎo)的OpenFlow等標(biāo)準(zhǔn)開放協(xié)議。缺點(diǎn)是OpenFlow標(biāo)準(zhǔn)的產(chǎn)業(yè)化成熟度不高，目前不同的標(biāo)準(zhǔn)化組織之間還存在激烈的競爭，標(biāo)準(zhǔn)無法統(tǒng)一，而且需要對現(xiàn)有的網(wǎng)絡(luò)設(shè)備進(jìn)行大規(guī)模的升級與替換，無法很好地實(shí)現(xiàn)業(yè)務(wù)的平滑升級過渡。（3）基于疊加（Overlay）。方案一、二的問題都是需要對現(xiàn)有的硬件設(shè)備進(jìn)行全面的升級或替換，一方面會造成前期投資的浪費(fèi)，另一方面也容易造成業(yè)務(wù)的中斷。因此，我們主要推薦采用基于疊加的SDN解決方案，如圖8-15所示。72.基于SDN的解決方案比較82.基于SDN的解決方案比較此方案的特點(diǎn)是以現(xiàn)有的IP網(wǎng)絡(luò)為基礎(chǔ)，在其中建立軟件實(shí)現(xiàn)的疊加層，全面屏蔽底層物理網(wǎng)絡(luò)設(shè)備，所有的網(wǎng)絡(luò)能力均以NFV倡導(dǎo)的軟件虛擬化的方式提供。方案的優(yōu)勢是不依賴于底層網(wǎng)絡(luò)設(shè)備，可靈活地實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的安全、流量、性能等策略，實(shí)現(xiàn)多租戶模式，基于可編程能力實(shí)現(xiàn)網(wǎng)絡(luò)自動配置。缺點(diǎn)是在一定程度上增加了網(wǎng)絡(luò)架構(gòu)的復(fù)雜度，且通用服務(wù)器架構(gòu)與傳統(tǒng)的專用網(wǎng)絡(luò)設(shè)備相比存在一定的性能缺失。93.多租戶的網(wǎng)絡(luò)隔離實(shí)現(xiàn)為了實(shí)現(xiàn)多租戶的網(wǎng)絡(luò)隔離，采用一種L2overL3的隧道技術(shù)來構(gòu)建一張?zhí)摂M網(wǎng)絡(luò)，隧道封裝協(xié)議的選擇有VxLAN、MPLSoverGRE（基于多協(xié)議標(biāo)簽交換的標(biāo)準(zhǔn)路由封裝）、NV-GRE（基于網(wǎng)絡(luò)虛擬化的標(biāo)準(zhǔn)路由封裝）、STT（StatelessTransportTunneling，無狀態(tài)傳輸隧道）等多種，由于VMware在業(yè)界的領(lǐng)先地位，目前支持較多的是VxLAN。VxLAN的工作原理是創(chuàng)建第二層的邏輯網(wǎng)絡(luò)，并將其封裝在標(biāo)準(zhǔn)的第三層IP包中，無需依賴傳統(tǒng)的VLAN等二層隔離手段，即可實(shí)現(xiàn)多租戶的邏輯區(qū)分，使得用戶可以很方便地在現(xiàn)有網(wǎng)絡(luò)上大量創(chuàng)建虛擬域，并使它們彼此之間以及與底層網(wǎng)絡(luò)完全隔離。104.利用NFV實(shí)現(xiàn)路由及邊界防護(hù)4.利用NFV實(shí)現(xiàn)路由及邊界防護(hù)IDC的東、西向流量給傳統(tǒng)的集中式路由模式帶來了挑戰(zhàn)，為了很好地解決這個問題，采用基于軟件定義的路由器以及防火墻，將其分布式部署在各個通用服務(wù)器的虛擬化層，為每個租戶分配獨(dú)立的邏輯路由器以及防火墻，支持各租戶之間的個性化定制要求，并智能地將流量按最短路徑進(jìn)行轉(zhuǎn)發(fā)，從而減輕核心交換機(jī)的壓力?；谕ㄓ梅?wù)器架構(gòu)的虛