關于機場數據中心部署NSX虛擬化網絡的探討

摘? 要：軟件定義網絡（SDN）是解決傳統網絡技術對云計算平臺支持不力問題的有效手段。結合浦東機場數據中心云平臺的實際問題，分析軟件定義網絡的技術選型、方案設計及部署要點，以此構建與物理網絡解耦的虛擬化網絡資源池，配合vSphere、VSAN技術一道建成軟件定義數據中心，從而提升IT基礎設施的靈活性、可靠性，為機場航班運營提供有力的支撐。

關鍵詞：數據中心;虛擬化網絡;軟件定義數據中心

中圖分類號：TP393.03? ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）06-0110-03

Abstract：Software Defined Network （SDN） is an effective way to solve the problem that traditional network technology can not support cloud computing platform effectively. Based on the actual problems of cloud platform of Pudong Airport data center，analyze the key points of technical selection，scheme design and deployment of software defined network，so as to build a virtual network resource pool decoupled from physical network，and build a software defined data center together with vSphere and VSAN technology，in order to improve the flexibility and reliability of IT infrastructure and provide powerful support for airport flight operation.

Keywords：data center;virtual network;software defined datacenter

0? 引? 言

隨著云計算技術的普及，各類機場信息系統逐步由物理服務器遷移至虛擬云平臺。然而，類似虛擬機在物理機房之間遷移的網絡需求、不同系統虛擬機互訪的安全控制等問題在傳統數據中心網絡環境下卻未能得到有效解決。上海機場集團建設指揮部在浦東機場衛星廳數據中心建設項目中嘗試引入NSX軟件定義網絡技術，破解上述云平臺的運行難題。本文對浦東機場數據中心軟件定義網絡技術選型、實施方案設計及部署要點進行了詳細的介紹。

1? 項目背景

浦東機場自2015年開始物理服務器向云平臺遷移，建設了VMware vSphere云平臺。經過幾年的逐步發展，現已基本形成穩定、可靠的云計算平臺資源池。目前云平臺承載各類航班生產系統的上百個應用。隨著云平臺規模不斷擴大、應用系統的增多以及業務需求不斷疊加，數據中心網絡穩定性、安全性逐漸成為云平臺發展的制約因素，數據中心內部二層網絡潛在的廣播風暴風險、數據中心內部應用系統互訪的安全控制問題日益突出。究其原因，主要存在以下兩點：

（1）數據中心網絡仍采用傳統的二層網絡技術，由IP網絡設備組成，沒有采用SDN或其他硬件大二層技術滿足云計算資源在兩個不同物理中心機房之間遷移的需求（出于災備考慮）;

（2）數據中心內部應用系統互訪的安全控制采用在數據中心核心網絡設備上部署Vlan ACL實現，在原應用發生變化或新應用上線時，維護人員需要在核心網絡設備上手工更改ACL。隨著云計算平臺承載應用的不斷增多，網絡配置日益復雜，運維工作量大且容易出錯。

作為浦東機場衛星廳項目建設單位，上海機場集團建設指揮部嘗試在衛星廳數據中心建設中引入NSX軟件定義網絡技術，組成軟件定義數據中心，以解決上述問題。

2? 軟件定義網絡（SDN）

2.1? SDN的定義

軟件定義網絡（Software-Defined-Network，SDN）技術是解決云化的計算資源池與傳統數據中心網絡之間需求不匹配問題的理想方案。SDN是一種設計理念或框架，主要包括以下特征：

（1）網絡系統中的控制平面和轉發平面分離;

（2）開放的可編程接口;

（3）集中化的網絡控制。

2.2? 實現方案

SDN的具體實現方案包括以下3種：

（1）基于硬件網絡設備專用接口的方案：其思路是升級現有網絡設備的操作系統，使之支持專用的可編程接口，供網絡管理系統調用，實現統一的網絡配置/策略下發，避免逐臺設備的手工配置。例如思科的onePK（Open Network Environment Platform Kit）;

（2）基于疊加網絡（Overlay Network）的方案：在底層物理網絡之上建立邏輯的疊加網絡，用以屏蔽底層硬件網絡的差異，實現網絡資源的虛擬化，在同一硬件網絡之上構建多個異構虛擬網絡。例如VMware的NSX等;

（3）基于開放協議的方案：使用開放網絡協議實現控制平面與轉發平面分離，支持南向網絡設備的集中控制，并提供豐富的北向接口，支持網絡資源的靈活調配。例如ONF提出的基于Openflow的SDN方案。

從機場的現狀及需求出發，最終采用VMware NSX方案，相對其他兩種方案，其優勢包括：NSX技術成熟度及商業化程度較高;弱化數據中心網絡設備品牌差異，有利于提高硬件設備采購靈活性;作為疊加網絡，NSX部署對現有網絡改動最小，有利于減少項目風險。

3? NSX實施設計方案

3.1? 整體設計思路

NSX是在物理網絡之上建立一種抽象的虛擬網絡，從而將下層物理網絡的復雜結構與虛擬網絡進行解耦。其基本功能組件如圖1所示。

邏輯架構分為管理平面、控制平面、數據平面三層。NSX Manager位于管理平面，提供單一配置點和REST API入口點;控制平面在NSX Controller中運行，NSX Controller管理邏輯網絡并提供控制平面和數據平面的分離;數據平面分為分布式服務（包括邏輯交換機、分布式邏輯路由器、分布式防火墻）以及NSX Edge服務。

通過這些組件完成網絡抽象化并提供分布式服務，邏輯網絡與物理網絡實現了完全的解耦。分功能域：計算（Computering）、管理（Management）、邊緣（Edge），如圖2所示。

3.2? 物理網絡設計

為成功部署NSX，物理網絡必須能夠提供高可靠的IP傳輸，并具備下列特性。

（1）高帶寬及高容錯性;

（2）支持Jumbo MTU，最小為1600字節;

（3）支持Qos。

本次項目整體物理網絡架構如圖3所示。

物理網絡架構設計的主要內容如下：

（1）衛星廳以及TOC兩個數據中心節點的云平臺NSX系統以及網絡系統作為雙中心，互作災備設計。衛星廳以及TOC網絡中，各部署一組Server Farm匯聚交換機;

（2）衛星廳/TOC Server Farm匯聚交換機分別上聯衛星廳/TOC主網、離港、安防、無線網核心交換機;

（3）網絡功能層面上，云平臺在邏輯上劃分為主網Server Farm、離港Server Farm、安防網Server Farm、無線網Server Farm、NSX管理網絡以及VSAN網絡;

（4）為保證每個Server Farm區域之間在邏輯上完全獨立，衛星廳以及AOC Server Farm匯聚交換機上將通過為每一套網絡配置獨立VRF（虛擬路由轉發）的方式來實現。

3.3? 虛擬網絡設計

此次項目為單個vCenter NSX環境，以下分三個物理功能域介紹虛擬網絡的主要配置情況（物理網絡架構參見圖3）。

3.3.1? 計算集群

計算物理資源池上劃分邏輯區域：主網、離港、安防和無線，可以在多個區域內統一管理NSX網絡;啟用分布式虛擬防火墻（微分段）功能，以對東西向流量進行安全控制。

3.3.2? 邊緣集群

Edge都采用ECMP方式部署，先采用2～4臺Edge做ECMP方式，以后根據邏輯區南北流量擴充Edge;路由上Edge與區域匯聚交換機之間采用動態OSPF路由，Edge和內部DLR也采用OSPF動態路由。

3.3.3? 管理集群

衛星廳的多個邏輯區域對應單個vCenter Server，有統一的管理集群，上面部署vCenter和NSX-Manager。vCetner必須與其NSX Manager進行配對，NSX Manager用于部署控制器群集。

4? 結? 論

在衛星廳數據中心網絡中部署NSX，有效實現了網絡資源的云計算池化，消除了傳統二層鏈路的廣播風暴問題，體現在以下3個方面：

（1）通過NSX實現對云平臺資源內部虛擬化網絡更大程度的管理和控制，改變了傳統物理網絡架構下云平臺內部網絡管控力度較弱的現狀;

（2）無需借助硬件大二層技術便可實現虛機在兩個物理數據中心節點之間的無縫遷移，對機場來說是必不可少的災備手段;

（3）對于數據中心內部的“東西向”以及物理網絡與虛擬網絡之間“南北向”流量安全控制，通過NSX的虛擬化防火墻（微分段）技術得到較好的解決，避免傳統網絡部署ACL帶來的繁重工作負擔以及隨之而來的技術風險。

總之，NSX以對網絡較小改動代價實現了網絡資源的池化，對諸如浦東機場的國有企業數據中心網絡建設是較好的選擇。

參考文獻：

[1] 范恂毅，張曉和.新一代SDN VMware NSX網絡原理與實踐 [M].北京：人民郵電出版社，2016：48-56.

[2] larryvmw.VMware NSX網絡虛擬化設計指南 [EB/OL].（2013-12-26）.https：//wenku.baidu.com/view/0a8a2a1ccfc7 89eb172dc8c4.html.

[3] 顧炯炯.云計算架構技術與實踐（第2版） [M].北京：清華大學出版社，2016：153-185.

作者簡介：鐘敦遠（1977-），男，漢族，廣東揭陽人，項目經理，工程師，本科，研究方向：網絡技術、信息安全、云計算。