基于SDN服務鏈的云技術數據中心建設研究

婁峰

（中國民航信息網絡股份有限公司，北京 101310）

0 引言

在現代以太網、交換技術的支撐下，云計算與移動互聯的網絡框架應運而出，且迅速發展成現代主流的網絡形態，對應的云技術數據中心也得到了發展契機，但這也讓網絡用戶的需求發生了變化，傳統云技術數據中心很難滿足這樣的需求。在這一基礎上，人們意識到云技術數據中心需要更新換代，故相關領域展開了研究，提出了一種以SDN服務鏈為基礎的新云技術數據中心，理論上新的云技術數據中心能更好地滿足用戶當下需求，且不存在傳統云技術數據中心中的問題，說明新云技術中心更具優勢，因此接下來的問題就是如何在SDN服務鏈基礎上實現該云技術數據中心。

1 SDN服務鏈云技術數據中心主要優勢

首先，傳統的云技術數據中心存在一些問題，具體為：第一，傳統云技術數據中心的虛擬機遷移受限，即云技術數據中心實現了服務器虛擬化，而虛擬化服務器的最主要特征就是虛擬機遷移，這能保障數據中心更好地對動態資源進行分配，有利于數據中心的連續可用性，但實際情況是，傳統云技術數據中心雖然具備一定的虛擬機遷移能力，但因為虛擬機遷移一般不能更換IP地址、MAC地址，所以傳統數據中心受自身網絡結構以及性能影響，不能隨意地遷移虛擬機；第二，傳統云技術數據中心存在設備MAC地址不足的問題，即因為數據中心的數據傳輸活動是在大二層網絡結構基礎上展開的，所以數據流必須在明確的網絡地址指引下才能進行準確傳輸，這一基礎上傳統云技術數據中心的VM虛擬機規模過大，使得交換機的MAC地址解析難度大幅增長，嚴重影響了MAC地址的產出率，故常常出現MAC地址不足的問題；第三，傳統云技術數據中心的VLAN承受比較容易過載，原因在于VLAN作為當下主流的網絡隔離技術，只能給網絡提供4096（212）個隔離網絡，但這個量級對于不斷擴展的云技術數據中心而言完全不夠，因此VLAN過載是常態。同時，VLAN是一種靜態配置技術，在數據中心網絡中所有VLAN都會獲得通過許可，這就嚴重消耗了網絡帶寬和交換能力，加重了網絡負擔，過載情況變得更加嚴重；第四，傳統云技術數據中心在異地網絡整合方面也存在問題，主要問題表現就是整合難度過大，即現代用戶的數據中心基本都是分布式布置的，彼此之間存在異地性，而在這種異地架構基礎上，傳統云技術數據中心不能很好地將異地網絡整合，難以滿足統一跨數據中心網絡拓撲結構、大二層遷移建設、流量優化、應急預案、災備管理等需要[1]。

其次，相比于傳統云技術數據中心，SDN服務鏈云技術數據中心具有明顯優勢：第一，SDN服務鏈云技術數據中心在虛擬機遷移方面，有二層網絡結構作為支撐，使得數據中心網絡具備多路冗余，因此虛擬機遷移基本不受限制，整體可靠性更高；第二，SDN服務鏈云技術數據中心優化了VM虛擬機的規模，解決了虛擬機規模過大的問題，對應MAC地址解析難度降低，產出速度提升，根本問題自然得以解決；第三，SDN服務鏈云技術數據中心借助SDN服務鏈能夠大幅度擴充隔離網絡的數量，且數量會隨著云技術數據中心的擴展而提高，同時因為SDN服務鏈取代了傳統的靜態VLAN技術，因此全面避免了VLAN承受過載問題的發生；第四，SDN服務鏈云技術數據中心對于異地網絡的整合能力更強，原因就在于SDN服務鏈可以兼容異地架構，保障整體統一。除此以外，SDN服務鏈云技術數據中心的優勢主要體現在靈敏度、調度性能、準確性等多個方面，這使得SDN服務鏈云技術數據中心可以更好地滿足用戶的需求。

2 SDN服務鏈云技術數據中心關鍵技術分析

2.1 SDN架構

SDN架構是SDN服務鏈的基本框架，其屬于典型的三層架構，各層分別是應用層、控制層、基礎設施層。其中應用層是頂層，包含了SDN服務鏈的各種具體業務，因此也包括了各種業務相關的應用邏輯，這些邏輯會進入控制層，被其開放式的API管理設備接收，然后借助設備進行報文轉發。控制層為中間層，主要由各種SDN控制軟件組成，能夠與下層的Open Flow進行協議通信，過程中控制層的主要功能就是編排數據平面資源、實現網絡拓撲、維護轉改信息等。基礎設施層是最底層，由各種轉發設備組成，主要功能是依托于流標進行數據處理、轉發與狀態采集。在SDN架構基礎上，可以將SDN服務鏈定義為一個具備“控制與轉發分離”“設備資源虛擬化”“通用軟硬件可編程”的服務流程，這使得SDN服務鏈能夠給云技術數據中心提供三大幫助，其一，SDN服務鏈可以實現設備硬件整合與統一化管理，使得硬件設備只需要負責數據轉發與儲存；其二，促使網絡軟件能夠專門服務于數據中心網絡的智能邏輯，同時可以通過軟件配置來決定網絡設備的類型與功能，以便人們對網絡進行操作管理、整體控制；其三，提高了云技術數據中心的業務響應速度，也使得網絡參數能夠個性化定制，以便縮短具體業務的開通時間。

2.2 Overlay技術

在SDN架構的基礎上，結合云技術數據中心結構特征，相關領域通過研究提出了Overlay方案，該方案的核心技術就是Overlay。Overlay技術是一種在網絡架構上進行疊加操作的虛擬技術，能夠在不大幅修改基礎網絡的基礎上讓網絡承載各種應用功能，也能分離相關網絡業務，因此Overlay技術的網絡是建立在既有網絡基礎上的，由各種邏輯節點、邏輯鏈路組成。Overlay的網絡還具有獨立的控制、轉發平面，使得在Overlay邊緣設備以外的終端系統的物理網絡更加透明，故物理網絡能夠向云與虛擬化方向延伸，讓云資源池化脫離物理網絡的限制，在真正意義上實現了云網結合。另外，SDN服務鏈云技術數據中心的各種優勢基本是通過Overlay技術來體現的，即針對傳統云技術數據中心的各種問題，人們圍繞Overlay技術提出了專門的解決方案：首先，利用Overlay技術將數據中的二層報文封裝至IP報文上，這樣只要網絡支持IP地址向路由，就能著手部署Overlay網絡，能更好地發揮路由網絡本身的良好業務擴展能力、故障自愈能力、負載均衡能力等，實現數據中心網絡結構二層化，使得虛擬機遷移不再受限。且通過Overlay技術，能夠在不改變現有網絡結構的基礎上支持新的云計算業務，說明其部署更加便捷；其次，通過Overlay技術，將虛擬機數據封裝至IP數據包當中，這時數據對網絡而言只具備參數表現，如隧道端點地址，這種情況下MAC地址的規格需求大幅降低，若遭遇特殊情況，也能通過分散方式讓多核心網關設備來分攤壓力，避免相關問題發生；最后，Overlay技術拓寬了云技術數據中心網絡的隔離標識位數，最高可達16M網格，因此隔離網絡的數量級別提升，區別于傳統VLAN只支持4K網絡的性能水平[2]。

3 SDN服務鏈云技術數據服務中心建設方案

3.1 框架方案

3.1.1 SDN-Overlay 組網建模

因為SDN-Overlay可以同時支持Overlay網絡、Overlay主機、混合式Overlay三大組網模型，所以整體上，SDN-Overlay組網模型就由三者組成。建模的方式比較簡單，首先按照三大組網模型建立基本的框架，其次采用VCF控制器對三者進行集中控制，由此實現業務流程的下發與處理。值得注意的是，雖然SDN-Overlay組網模型建立方式簡單，但在建模完成后需要根據三大模型的使用條件設計模型調用邏輯，即三大模型各自有各自的應用場景，存在適用條件上的差異，故為了更好地發揮SDNOverlay組網模型作用，需要設計模型調用邏輯。首先，在Overlay網絡模型中，所有設備都屬于物理設備，不需要服務器的支持，因此該模型能夠更好地支撐虛擬化服務器、物理服務器介入，能夠給數據中心用戶提供更多的服務器選擇，且采用該模型能夠有效提高數據中心的網絡性能，比較適合用于對虛擬化沒有特別需要的應用場景當中。其次，Overlay主機模型與其網絡模型相反，內部所有設備都是虛擬設備，必須在虛擬化服務器基礎上才能運作，但這也使得該模型下的設備調度不涉及物理網絡，即可以在不改動物理網絡的基礎上調度設備，或者是傳輸數據。Overlay主機模型的特征使得其無法接入任何非虛擬化的服務器，一般建議與VMware、KVM等主流Hypervisor平臺配合使用。最后，Overlay混合模型則兼容了以上兩大模型的特點，同時支持物理服務器、虛擬服務器，而這些服務器在該模型中均作為邊緣設備來使用，可以靈活組網、配置服務器，這樣有利于硬件網關的性能與虛擬網關靈活性，也讓組網彈性良好，可全面滿足用戶多方面需求。需要注意的是，Overlay混合模型雖然兼容了前兩者的特征，但專項性能上低于前兩者，因此Overlay混合模型并不能取代前兩者[3]。

3.1.2 SDN-Overlay 轉發流程設計

在SDN-Overlay組網模型基礎上對其轉發流程進行設計：第一，因為VREP需要識別報文的VXLAN才能對報文進行處理，所以在轉發流程當中需要建立VXLAN隧道，確保報文帶上VXLAN標簽，由此VTEP可以根據報文的VNI來進行識別，且完成后，針對本地站點的二層數據幀，采用VTEP-以太網服務實現數據幀與相關VSI的映射；第二，針對本地MAC地址，采用動態學習數據幀的源MAC地址來判斷數據幀中的VSI，同時也將數據幀的源MAC地址添加到VSI的MAC地址列表中，這樣做是為了讓源MAC地址的對應接口轉化為數據接收結構，實現VTEP通過VXLAN隧道接收遠端VXLAN的流程；第三，為了讓Overlay網絡能夠與非Overlay網絡進行數據流程，實現相關轉發，首先，讓虛擬機作為報文發送端，將報文發送給物理機，而后物理機OVS的MAC地址與IP地址將成為報文轉發目標，這樣當報文從虛擬機端發出后，OVS優先接收報文，然后匹配流標表項，修改報文目標MAC地址，再將報文從指定隧道接口處向外發送，并在報文當中添加VXLAN頭信息，以便封裝隧道外層報文；其次，VXLAN-GW將作為報文轉發終端的接收端，能夠從隧道出口獲取報文，獲取后隧道將自動關閉，并且通過FIB進行三層轉發。

3.2 安全防護體系建設

3.2.1 組網模式優化

框架設計中提出了三大組網模型，三者可以自由組網，但組網模式的不同會對數據中心的安全性造成不同的影響。從這一角度出發，本文提出了三種側重于數據中心安全的組網模式，實際建設中可以參考：第一，依托于VSR網關基礎上的VXLAN服務鏈，通過VSR網關向Overlay提供網關功能，而后采取VSwitch作為虛擬機與VXLAN網絡連接終端，這樣做能夠發揮VSwitch軟件的設備安全作用，即使用該軟件的多種設備設立對應的安全服務節點，同時利用VCFC對各安全節點進行控制即可；第二，將物理交換機作為VXLAN的網關，實現Overlay網關功能，由此物理交換機將作為虛擬機、物理服務器的介入接口，并與VXLAN 網絡連接，這種情況下能借助虛擬化平臺進行安全部署，諸如使用SDN服務鏈的VSR、VFW、VLB與物理防火墻移動保護數據中心安全；第三，將VXLAN的二層網關作為SDN服務鏈的代理服務節點，這樣能夠解析SDN服務鏈的報文特征，同時使得服務鏈能夠兼容第三方安全設備，這種組網方式能夠很好地保護數據傳輸安全[4]。

3.2.2 SDN 服務鏈部署

云技術數據中心需要處理大量數據，其中許多數據都屬于流量數據，針對這一類數據需要通過 SDN服務鏈部署的方式來保障安全。首先，可以使用集成NGFW，將其作為VXLAN網關，通過網關對用戶VXLAN流量進行管理，同時開發NGFW的安全設備、物理拓撲業務來實現安全保障，即NGFW的防護功能多種多樣，通過開發可以根據現實需求來實現差異化、個性化安全服務，建構人們所需要的安全防護體系。其次，可以在云技術數據中心中添加不同的安全虛擬設備，建構多樣化的安全服務池，用戶能夠根據現實需求來進行選擇。為實現這一目的，可以在SDN服務鏈部署當中使用FW/LB、IPS功能來實現，且這兩大功能可以保障安全設備的獨立性，便于設備復用且互不干擾。

4 結語

綜上，因為傳統云技術數據中心存在缺陷，不能滿足現代用戶的需求，所以數據中心需要升級換代，而SDN服務鏈的出現給了數據中心升級的契機，故應當積極圍繞SDN服務鏈開發新的云技術數據中心。新的數據中心相比以往具有很多優勢，無論是性能還是功能上都更加完善，使用起來也非常便捷，說明其具有更高的應用價值。另外，在新數據中心建設中，除了要注意數據中心的框架完整性以外，還要重視數據安全性，以保障數據中心可以投入使用。