基于OpenStack的私有云混合資源池方案

劉正浩

（中移（蘇州）軟件技術有限公司，江蘇 蘇州 215163）

0 引 言

在傳統私有云環境中，裸金屬與云主機通常被不同的云計算平臺管理，兩者相對獨立并在網絡的互聯互通上具有非常復雜的策略配置。隨著云計算的發展，云計算數據中心開始對網絡提出了虛擬化、自動化等要求。SDN作為具備控制與轉發分離、集中化控制等特征的技術，很好地匹配了云計算數據中心的需求，目前已被廣泛應用[1]。在云計算中，裸金屬由于其固有的硬件物理屬性，相較于虛擬云主機在資源部署與配置方面缺乏靈活性[2]。通過引入SDN技術，提升了裸金屬的配置靈活性，使云主機與裸金屬的統一納管變得更易實現[3-5]。

1 私有云混合資源池

隨著私有云的深入建設，根據資源池的建設與使用經驗，逐步形成了云主機和裸金屬一體管理的混合資源池解決方案。所謂混合資源池，是指實現了虛擬化云主機與資源獨占裸金屬一體能力的資源池。本文旨在介紹SDN組網下的OpenStack云平臺混合資源池方案，探討一種實現虛擬化和物理機混合部署的私有云建設方法[6-8]。

本文建設的混合資源池對比普通資源池具有多種優勢，一是具備提供云主機和裸金屬的一體化業務能力，二是滿足租戶靈活的資源需求和業務組網需求，三是云主機與裸金屬實現了網絡的簡易無縫互聯。下面從物理組網、邏輯架構以及流量模型等方面闡述混合資源池解決方案在私有云中的應用實踐。

2 混合資源池物理組網

云計算數據中心通常規劃為公共管理POD、獨立業務POD以及公共存儲POD。公共管理POD部署公用管理服務和業務POD控制服務，可以通過虛擬路由轉發（Virtual Routing Forwarding，VRF）技術隔離公共管理POD中的管理網絡，主要包括PUB網絡域和各業務POD網絡域。PUB網絡域與所有管理網絡互聯互通，而業務POD網絡域僅與關聯POD管理網互聯互通。此外，業務POD主要部署OpenStack云平臺的鏡像、計算以及存儲等服務。

在混合資源池內，裸金屬會上聯至實體SDN接入交換機，而云主機則上聯至宿主機上的虛擬VSW交換機。SDN接入交換機和VSW交換機都由SDN控制器管理，可以降低網絡操作的復雜性。混合資源池擁有獨立的池內防火墻、負載均衡以及SDN網關等硬件設備，也可存在非共享的塊存儲等。

3 混合資源池邏輯架構

從網絡平面考慮，混合資源池方案將僅使用管理網絡的云服務組件規劃在管理域，將涉及多網絡平面的云服務組件規劃在業務域。同時考慮到云服務的高可用性，總結了對應物理組網的云服務組件分布。管理域服務器規劃如表1所示，業務域服務器規劃如表2所示。

表1 管理域服務器規劃

表2 業務域服務器規劃

由圖1混合資源池云組件邏輯關系可知，混合資源池共用鑒權服務，以Region為界限劃分不同的資源。每個Region都有完整的OpenStack環境，Regions之間除共用組件外完全隔離。

圖1 混合資源池云組件邏輯關系

混合資源池與單資源池邏輯架構的不同之處在于混合資源池采用雙Region部署，而普通資源池采用單Region部署。此外，混合資源池共享Keystone和Horizon組件來實現資源池的訪問控制與界面操作。混合資源池Neutron組件共享數據庫，對接一套SDN控制器，可以實現云主機和裸金屬的互聯互通。

4 私有云混合資源池流量模型

通過Region劃分虛擬化和裸金屬資源，保留對網絡可用域的規劃，即采用Nova aggregate邏輯單元來分隔核心業務域和DMZ域[9,10]。核心業務域和DMZ域擁有不同的網絡訪問控制策略，核心業務域可以實現企業內部網絡的聯通，DMZ域則可以實現外部網絡的訪問，這有效地保護了資源池的內部網絡，降低了安全風險。下面以兩種典型的業務場景為例，說明雙域流量模型。

4.1 POD內南北向流量模型

外部網絡訪問DMZ區業務主機，流量需通過外層防火墻后到達SDN網關，不經過內層防火墻處理，直接訪問業務主機。當有負載均衡需求時，流量通過外層防火墻后，先通過負載均衡器，再到達DMZ區業務主機，如圖2所示。

圖2 業務POD南北向流量模型

4.2 POD內東西向流量模型

POD內業務系統相同安全域內虛擬機與裸金屬業務主機互訪流量不經過內層防火墻，通過業務核心交換機進行轉發，流量會路經虛擬化VSW、虛擬化接入交換機以及SDN接入交換機。當配置負載均衡器時，先通過負載均衡設備，然后再到達業務主機。

5 結 論

目前基于混合資源池解決方案，已經完成了40多個私有云資源池的交付。后續將會不斷優化方案，逐步提高云計算IaaS層的建設質量，帶給客戶更優質的使用體驗。結合不同行業的應用需求，將混合資源池建設方案作為資源池交付的一種典型解決方案，為各領域提供云計算資源。