Overlay，數據中心網絡的新寵

張利

計算虛擬化提高了服務器資源的利用率，其快速部署、動態遷移等特性滿足了業務快速擴展需求，成為當前企業IT建設的常規形態。但是傳統網絡對計算虛擬化的適配一直存在問題，網絡無法快速地適配虛擬機的擴展及業務的快速變更。利用Overlay網絡技術，可以實現傳統網絡向網絡虛擬化的深度延伸，實現真正的云網融合，從而構建新架構下的數據中心網絡。

一、傳統數據中心網絡面臨的問題

1.虛擬機遷移范圍受限

傳統網絡架構以三層網絡為主，主要是以控制南北數據流量為目標。由于數據中心虛擬機的大規模使用，虛擬機遷移的特點以東西流量為主。虛擬機遷移前后需要其IP地址、MAC地址等參數要求保持不變，因此要求業務網絡是一個二層網絡，但現有二層網絡技術，無論是生成樹技術還是近幾年出現的大規模二層網絡技術TRILL/SPB/FabricPath等都存在不同程度的局限。

2.業務規模受網絡設備規格限制

云計算數據中心部署了大量的虛擬機，每個虛擬機都會占用一個二層地址表項。而二層地址表是有規格上限的，尤其對接入設備而言，設備本身二層地址表現規格較小，因此極大地限制了云計算數據中心的業務規模。

3.不能適應大規模租戶部署

云計算數據中心內承載了大量不同租戶的業務，租戶與租戶之間有安全隔離的需求。當前主流的租戶隔離技術就是傳統的VLAN技術，而在大型的云數據中心，大量租戶部署會遇到兩大限制：

限制一：VLAN可用的數量為4K（4X1024），遠遠不能滿足云業務部署的需求。

限制二：如果在大規模數據中心部署VLAN，會使得所有VLAN在數據中心內都被允許通過，導致任何一個VLAN的廣播風暴會在整個數據中心內泛濫，大量消耗網絡帶寬，同時運維管理困難。

二、Overlay——解決問題的新思路

針對前文提出的三大技術挑戰，業界提出新的思路，在不改變原先網絡架構的基礎之上，新建一個面向應用的邏輯網絡——Overlay網絡，為云業務提供支撐。

Overlay網絡是指建立在物理網絡上的邏輯網絡。該網絡中的結點可以看做通過虛擬或邏輯鏈路而連接起來的。

Overlay網絡具有獨立的控制和轉發平面，對于連接在Overlay邊緣設備之外的終端系統來說，物理網絡是透明的。

Overlay網絡是物理網絡向云和虛擬化的深度延伸，使云資源池化能力可以擺脫物理網絡的限制，是實現云網融合的關鍵。

1.Overlay技術如何應對挑戰

（1）虛擬機遷移范圍受限的解決方式

Overlay技術是把二層報文封裝在IP報文之上的隧道技術。因此，只要網絡支持IP可達就可以部署Overlay網絡，且在網絡結構上沒有特殊要求。路由網絡本身具備良好的擴展能力、很強的故障自愈能力和負載均衡能力。采用Overlay技術后，企業不用改變現有網絡架構就可用于支撐云計算業務，部署極其方便。

（2）業務規模受網絡規格限制的解決方式

部署Overlay網絡后，虛擬機數據封裝在IP數據包中，對于承載網絡（特別是接入交換機）只需要學習隧道端點的MAC，MAC地址規格需求極大降低。而對于核心網關處的設備表項（MAC/ARP）要求依然極高，采用分布式網關解決方案，通過多個核心網關設備提高表項的總體規格，有效解決核心設備規格表項受限問題。

（3）租戶數量限制的解決方式

Overlay技術擴展了隔離標識的位數，可以支持數量高達16M（16X1024X1024）的用戶，極大地擴展了隔離數量，足以滿足超大規模公有云數據中心需求。針對廣播風暴問題，Overlay對廣播流量轉化為組播流量，可以避免網絡本身的無效流量的帶寬浪費。

2.Overlay網絡模型

根據客戶不同組網需求，Overlay分為三種組網模型（如圖1所示）。

（1）網絡Overlay。隧道封裝在物理交換機完成。這種Overlay的優勢在于物理網絡設備性能轉發性能比較高，可以支持非虛擬化的物理服務器之間的組網互通。

（2）主機Overlay。隧道封裝在vSwitch完成，不用增加新的網絡設備即可完成Overlay部署，支持虛擬化的服務器之間的組網互通。

（3）混合Overlay。是網絡Overlay和主機Overlay的混合組網，可以支持物理服務器和虛擬服務器之間的組網互通。

當前業界主流廠商對Overlay都是積極支持，但每個廠商的支持程度有所不同。目前思科主要支持網絡Overlay，Vmware僅支持主機Overlay，H3C支持以上三種類型的Overlay網絡架構，并提供支持Overlay技術的全套軟硬件產品，以滿足不同客戶的各種組網需求。

3.實現Overlay網絡的三大技術方案

IETF在Overlay技術領域提出三大技術方案。分別是VXLAN、NVGRE和STT（有關三者的具體介紹詳見《IP領航》第29期“基于多租戶的云計算網絡”一文）。三者的簡單對比如表1所示。

總體比較，VXLAN利用了現有通用的UDP傳輸，成熟度極高，VXLAN技術具有更明顯的優勢。

（1）L2-L4層鏈路HASH能力強，不需要對現有網絡改造（GRE有不足，需要網絡設備支持）。

（2）對傳輸層無修改，使用標準的UDP傳輸流量（STT需要修改TCP）。

（3）業界支持度最好，商用網絡芯片大部分支持。

三、數據中心間Overlay網絡

為了滿足災備和擴容的需求，越來越多的云計算數據中心跨越了多個位于不同地理位置的物理站點，在多個站點部署相同業務，并以主備或雙活模式對外提供服務。站點間資源動態調配管理的首要需求是虛擬機能夠跨站點透明遷移，遷移前后IP地址不變，所以必須在各站點間實現二層網絡互聯。數據中心之間二層互聯需要具備以下基本要求：

1.站點相互獨立

數據中心間二層互聯后，某個站點的故障不會傳遞到其他站點，如廣播風暴。另外，站點內的拓撲互不影響和依賴。

2.傳輸無關性

對站點之間傳輸數據時使用的技術與站點位置、提供商的網絡無特殊要求，盡量使用最通用的技術，例如只要求核心網絡支持IP即可。

3.高可靠性

使用多歸屬來提供冗余接入，并具有在站點間避免流量環路的機制。

4.鏈路使用效率

站點之間的流量包括組播和廣播必須得到充分的優化從而盡量節省帶寬，在具有冗余鏈路時實現負載分擔。

5.靈活性

數據中心互聯不要依賴于站點的拓撲結構，不對站點拓撲結構有特定要求。

6.運營維護簡單

站點互聯使用的技術盡量簡單，可以快速新增和減少站點。邊緣設備上的配置要盡量簡單，并且對站點現有的網絡變動最小化，部署過程對流量轉發不產生影響。

傳統的二層互聯技術可以達到二層打通的目的（如表2所示），但是無法同時滿足數據中心二層互聯的基本要求，比如與鏈路形態無關、站點之間完全獨立等。傳統的二層互聯技術只是簡單地把二層范圍從一個數據中心擴展到兩個數據中心，所以二層廣播域隨之擴展到兩個數據中心，無法實現故障的隔離。

為了彌補上述的不足，數據中心互聯解決方案EVI（以太網虛擬互聯）應運而生。EVI是一種先進的“MACinIP”技術，基于IP核心網實現二層互聯。通過EVI連接到IP核心網的數據中心站點，就像是直接連接到二層交換機上，同時實現數據中心之間的安全隔離。EVI是H3C的一項專有技術，與此類似的技術還有Cisco的OTV。

EVI技術在實現數據中心之間二層互聯的基礎上，也滿足二層互聯的基本要求。通過ARP代答功能、未知目的報文抑制功能、協議報文抑制功能及多歸屬機制實現數據中心之間的安全隔離、高可靠、靈活部署的目標。

EVI既支持以VLAN為單位，又支持以VXLAN為單位，在數據中心之間實現二層互聯，是目前最靈活最可靠的云間二層互聯解決方案。

四、Overlay網絡服務鏈（ServiceChain）

傳統數據中心的L4-L7層設備不僅部署復雜，而且有極強的拓撲依賴，無法實現快速的橫向擴展及自動化部署。解決這個問題，可以借助Overlay網絡服務鏈技術，輕松實現服務能力橫向擴展，使業務上線快速安全。

數據報文在數據中心網絡中傳遞時，需要經過各種各樣的服務節點，才能保證網絡能夠按照設計要求，提供給用戶安全、快速、穩定的網絡服務。這些服務節點（ServiceNode），包括熟知的防火墻、入侵檢測、負載均衡等。通常網絡流量需要按照業務邏輯所要求的既定順序，穿過這些業務點，這就是服務鏈（ServiceChain）。可見服務鏈并不是一個新的概念。而隨著軟件定義網絡（SDN）及網絡功能虛擬化（NFV）的不斷推進，服務鏈逐漸變得更重要。

以H3C的Overlay網絡服務鏈解決方案為例，它是部署與實際物理位置無關的服務鏈方案，支持服務鏈的靈活編排、設備內和設備間的混合業務編排、支持單向和雙向服務鏈，同時支持服務鏈的負載分擔及備份（如圖2所示）。

H3C的Overlay網絡服務鏈是基于控制器的解決方案。通過VCFController內置服務鏈功能模塊，可以管理所有的服務節點，在各個節點上配置多個服務鏈。服務鏈功能模塊提供北向API，供各種云管理系統使用；同時通過南向接口，管理服務節點，部署服務鏈。

五、結語

Overlay的網絡架構是網絡支持云業務發展的理想選擇，提供了網絡資源池化的最佳解決方式，克服了基于VLAN的傳統限制，可為處于任何位置的用戶帶來最高的可擴展性和靈活性及優化的性能。云計算數據中心借助Overlay彌補網絡資源虛擬化短板后，才能實現計算、存儲及網絡的一體化運維管理，實現真正的虛擬化和自動化的IaaS云。