基于SDN技術構建業務支撐互聯網域的雙活數據中心網絡架構

楊敬巍 張立成 李佳記

一、SDN技術的發展

（一）數據中心的發展

云計算技術能將網絡上分布的計算、存儲、服務構建、網絡軟件等各種網絡資源和互聯網基礎設施統籌起來，基于資源虛擬化的方式，為用戶提供通過網絡訪問定制IT資源共享池能力（IT資源包括網絡、服務器、存儲、應用、服務），實現資源按需提供服務，并通過規模運營降低消耗。在這種計算模式下，計算開始向網絡的中心遷移，傳統的計算、存儲一體的方式轉變成計算、存儲功能分離的集群系統。

網絡的發展與計算系統的發展彼此影響并相互聯系，計算系統主要在網絡結構、網絡功能和網絡體系3個方面影響著網絡的發展。適應計算系統虛擬化進程的網絡體系結構的新設計和新想法不斷提出，網絡虛擬化是一個重要方向，在方案選優的過程中有很多因素都將影響其發展，這其中有兩個關鍵問題必須回答：為什么網絡虛擬化是必須的；為什么傳統網絡方法不能很好的支持虛擬化。

（二）傳統網絡技術在云計算數據中心的局限性

由于數據中心在傳統物理網絡與操作系統之間的緊耦合關系，構建多租戶云數據中心時，受限于多種網絡技術之間復雜的相互影響和作用，使用傳統網絡設計達到完全虛擬化的數據中心是非常困難的，經常有一些網絡限制能采用局部方案處理，但同時會在架構的其他地方產生不利影響。如在某些場景下，移動性管理可以通過在虛擬機VM上運行路由器來處理，單這會減少單個虛擬機的吞吐量，在很多場景下這是不切實際的。在使用傳統方法構建虛擬化數據中心基礎網絡時，公認的障礙及實施難點包括以下幾點：不支持地址空間虛擬化。一般情況下，虛擬機使用與物理網絡相同的地址空間。如虛擬機VM的第一跳網關被配置為網絡上的一個物理路由器，同一L2網絡中，負荷分擔的虛擬機VM被限制在該物理子網中，限制了移動性和VM部署點。在很多大型虛擬數據中心，由于無法在數據中心內部或者數據中心之間任意部署虛擬機VM，因此很難接納日益增長的多租戶。難以支持同一租戶所有的VM在相同IP子網以及對同一租戶擴展性的限制，所有虛擬機VM必須在同一子網空間內移動限制，都會引起計算資源的中斷運行和碎片化。

（三）數據中心規模

虛擬化對傳統網絡的處理規模提出了更高要求，這方面的權威例子是VLAN。傳統VLAN被限制在4096個獨立段內。很多大型云計算中心遠超過4096個，要求采用多個、支持自有VLAN空間的非疊加網絡來進行隔離。除VLAN外，傳統網絡技術還有其他限制不能滿足現代數據中心的規模需求。

（四）整合網絡層業務

負載均衡、防火墻等是網絡層的主要業務，虛擬數據中心中，此類業務也是主要的網絡負載。在虛擬數據中心集成這些虛擬業務時，要確保流量路由到合適的業務。虛擬化數據中心運營商通過虛擬機遷移來有效的使用服務器。由于虛擬機的移動，負載均衡器需要追蹤它們的位置并請求發送到它們新的正確位置。通常用VLAN來處理，要求虛擬機VM和中間節點之間的二層鄰接提供這種業務。虛擬網絡需要匹配網絡帶寬和業務容量。由虛擬應用負責負載均衡時，如果虛擬網絡流量路由到某個瓶頸點，可能出現帶寬需求超過了該處容量的情況，在這種情況下就要求網絡層業務本身必須虛擬化，實現網絡與虛擬機間的快速協同。但現有網絡無法支持虛擬私有云的客戶定制化網絡配置實時生效，不能實現多層網絡間的協同，難以按需調整帶寬。

（五）服務開通依賴硬件

隨著計算虛擬化的發展，任何虛擬機VM可以運行在標準服務器上，也可以完全自動的實現服務開通和虛擬機管理。然后，為虛擬機VM創造一個獨立網絡（及它們關聯的網絡策略）需要手動實現硬件配置。這種方式面臨幾個問題：數據中心運營主體與特定硬件供應商綁定，如果是手動配置，容易出錯；另外，如果部署某種網絡策略，不引起混亂而實現升級或者替換網絡設備是很困難的。

（六）網絡業務的提供能力與硬件設計周期相關聯

增加新業務的能力受限于新硬件的提供時間和部署周期。由于部署周期過長，大型虛擬數據中心運營實體不依賴物理硬件來開通虛擬網絡業務或者提供虛擬網絡服務。為了能夠快速通過軟件開發來提供新業務，多數大型數據中心會在網絡邊緣提供基于軟件的服務。

（七）網絡虛擬化的特點

通過把操作系統與底層硬件相耦合，為計算虛擬化提供了極其靈活的虛擬機運作模式，讓IT把一系列服務器看成是通用資源池，計算虛擬化已經改變了IT業界關于成本、效率、新應用和服務的推出速度等方面的預期設想。與此同時，計算虛擬化為如何更寬泛地考慮IT基礎架構提供了一個樣板。也就是說，所有的數據中心基礎架構，包括基礎網絡在內，應該供一個與計算虛擬化類似的屬性。計算系統經歷了從大型機封閉系統到客戶端——服務器水平擴展的演化過程，一旦基礎架構完全虛擬化，應用軟件不再受限于物理設備，任何應用軟件將可以運行在任何物理設備上；通過自動化部署統一和幾種控制以節約資本。

網絡虛擬化可以在邏輯上把一個物理的網絡劃分成多個邏輯網絡，同時提供一種強有力的方式使多個網絡體系結構同時運行（可以是不通的網絡體系結構）在一共享物理設施上。最常見的虛擬化技術有VLAN、VPN等。

目前，實現多個網絡體系結構的共存仍然需要考慮多方面的因素，如系統的穩定性、安全性、資源管理（資源計算、資源隔離）等。同時，應注意一下幾個主要問題：支持多種體系結構并存；支持非IP體系結構；異質體系結構間的數據通信、交互。

二、業務支撐互聯網接口域現狀

當前電子渠道部署在A中心，業務連續性存在較高風險，主要問題包括：該接口區域內不同類型業務間不具備安全隔離能力，無法滿足集團云計算網絡安全域-互聯網接口安全規范規定；傳統方式每個業務系統需一對獨立物理防火墻隔離，資源復用度不高，增加投資成本；域內各業務主機間無法控制跳轉登錄訪問，出現病毒或攻擊時在域內各主機間無法進行有效隔離。

三、 SDN技術構建業務支撐互聯網域數據中心虛擬網絡

（一）部署方案

在A局址與B局址互聯網接口部署SDN網絡系統，通過統一的物理資源建設，承載多套不同安全等級的業務系統綜合接入，實現域內各業務系統間邏輯安全防護，節省硬件設備投資成本。

通過SDN對雙數據中心互聯網接口域的邏輯統一組網與資源池融合，實現業務間主機、網絡及負載等資源靈活分配。

實現業務的安全保障，對門戶網站、手機旗艦店及自有業務平臺等業務進行安全隔離，業務系統間故障互不干擾。

（二）技術方案

軟件定義網絡（SDN）采用OpenFlow協議構成一個控制/轉發分離的網絡，開發者/用戶可以很容易的在控制器上編程控制網絡的轉發行為，而轉發面是一個完全按照Flowtable流表規則進行轉發的簡單硬件設備。

轉發面和控制面分開承載，數據轉發和控制信息可共用物理網，但邏輯上可以使用不同的路由協議分開承載；

集中控制，集中控制是簡化網絡管理的關鍵，是實現網絡操作系統、網絡可編程的基礎；

控制和轉發的開發接口OpenFlow是網絡邁向開放的“橋頭堡”。

1、業務即軟件，實現完全虛擬化地址

控制面、轉發面分別演進，轉發面不感知任何業務邏輯，只是機械地按照流表中的指令集進行轉發，從而實現數通設備轉發面與控制面的解耦，使數據中心網絡擺脫網絡硬件的束縛，只關注對網絡的功能需求，徹底解放了軟件的創造力，無需手動配置或者重新布線基礎設置，業務實施可以動態添加、擴展和配置。

2、集中控制面，易管理

與數據中心分散的管理數十臺乃至數百臺交換機相比，一個集中的管理點無疑大大的降低了管理的復雜度。

Openflow的集中控制能力使得全局、動態轉發策略非常容易維護，實現一次配置、處處生效。如基于MAC的VLAN，只要在控制器中配置后，無論該主機接入哪個交換機，對應的VLAN均會生效。

新的轉發規則、拓撲算法無需改動交換機硬件，只要在控制器中實現一個軟件模塊或編寫一段腳本即可。控制器本身基于上用服務器、操作系統，安裝、開發、部署網絡應用模塊非常容易。

可以對數據中心計算系統提供接口，實現計算和網絡的聯動調度。如在虛擬機VM集中管理器創建VM時，可以通知OpenFlow控制器創建網絡VLAN資源以及負載均衡、安全等策略。

通過網絡設備虛擬化，實現獨立的安全策略管理；獨立的硬件資源享用；獨立的日志報表呈現；安全特性的獨享。支持大量相互隔離的租戶網絡。租戶通過自服務門戶分配虛擬數據中心，資源按需分配。

數據中心采用網絡虛擬化，通過SDN的集中控制模式完全控制整個數據中心，可以最大化地發揮軟件定義網絡優勢。從運營管理角度來說，SDN的集中管控架構恰好與IaaS的需求是一致的。通過SDN控制器與虛擬機管理器的聯動，不僅可以降低管理的復雜度，也使得Iaas的運營、業務開通更高效、快捷。

虛擬化時代的數據中心網絡，引入SDN技術賦予了數據中心網絡更靈活的能力，以降低網絡開發維護成本，有利于推動設備側/網絡層新協議、新功能、新業務在網絡上快速實現和部署。