李逊
(杭州华三通信技术有限公司,杭州 310052)
狭义的SDN是实现控制平面与数据平面的分离,通过经典的Openflow流表,由集中化的控制器对网络设备进行可定义的转发控制。这种经典的SDN也有不足,比如Openflow更多关注于控制层面而对于管理、OAM等方面是有较大缺失的,并且市场上的非专门Openflow交换机在对流表的支持能力上也有较大的限制,从一定层面上限制Openflow这种技术应用场景和规模。
广义的SDN是指具备上层应用开放资源接口,可实现软件程序化控制的网络架构,至于控制集中与否、控制和转发分离与否则并不作严格限定,与ONF组织定义的软件定义网络有更广泛的外延。SDN也可认为是一种网络虚拟化技术,通过抽象出网络操作系统平台,屏蔽底层网络设备物理细节差异,并向上层提供统一的管理和编程接口,以网络操作系统平台为基础开发出应用程序,通过软件来定义网络拓扑、资源分配和处理机制等。
目前实际应用中SDN较多的与Overlay技术(虚拟化叠加网络)和NFV(网络功能虚拟化)紧密结合在一起。这也是SDN、Overlay和NFV等技术所具有的软件化、虚拟化、可定义化等特点决定的,Overlay和NFV都可以看做“泛SDN”技术。
常说的SDN其实是这种“泛SDN”理念的实现,是SDN、Overlay、NFV三者的有机融合。本文SDN特指这种融合了SDN、Overlay、NFV等技术的“泛SDN”。
SDN的美好前景吸引着众多厂商的热情参与,其中既有传统网络厂商如华为、华三、思科、阿朗、博科、瞻博等,也有虚拟化软件厂商如威睿,还有其他新兴专门做SDN厂商如Nicira(已被威睿收购)等。
对于SDN Overlay控制平面可以是设备间通过协议分布式交互的方式,也可以采用控制器集中式控制的实现方案。对于后者更加易于对云业务进行全流程的编排部署,也更利于运营集中化和可视化。另外更好的方式是同时支持集中式控制和分布式控制,以集中式为主用,以分布式为备用。
运营商现网中硬件和软件厂商、型号较多,十分强调兼容性;建设规模也较大,特别是近年建设的大型云项目,物理服务器从上千台至几万台,对性能和扩展能力提出很高要求;运营商对系统的安全性、可用性有严格要求,一旦发生问题不仅对运营商造成经济损失,对企业声誉也会造成不利影响,因此在SDN的建设中要特别关注一些关键技术。
SDN网络中所有网元控制平面由控制器统一控制,传统网络单一设备故障影响面可能较小,但SDN网络中控制器故障可能引发更大面积甚至全网瘫痪。因此控制器务必采用高可靠集群。控制器集群提供统一的北向IP与上层平台交互,并在不同的控制器间进行负载分担。保障集群内对任何网元的控制节点在两个以上,控制器采用1+1热备的方式,保证故障倒换的无损性,并且具有自动选择新的控制器节点。将众多设备的控制平面集中在控制器上,对控制器的性能要求也很高,另外在网元节点较多时,控制器集群分配不同的控制器管理不超过一定数量的网元可以保证管理的效率和实时性。控制器集群可线性扩展,保证大规模计算节点接入SDN网络中。
在云数据中心中,除了虚机计算节点,还可能有一定数量的物理服务器(如一些重载业务服务器或无法虚拟化的业务平台)。如何使两种不同形态的计算资源同时纳入到SDN网络中?对于虚机,可以将其Hypervisor中的vSwitch更换为支持vxlan特性的VTEP;对于物理服务器没有vSwitch这个概念,因此需要通过vxlan网关代理加入到Overlay网络中去,同样可以选用支持vxlan特性的TOR交换机既做Underlay网络的接入交换机也作为Overlay网络的VTEP。另外在需要高性能的场景,用硬件VTEP的性能超过软VTEP的1~3数量级,并且vSwitch在重载情况下需要消耗更多的CPU性能,甚至是得不偿失的。这种硬件VTEP代理对于兼容各种第三方设备也是不可或缺的。
在SDN组网的兼容性方面,还需考虑Underlay物理网络和Overlay虚拟网络的统一管理问题。在云计算中心中要考虑多种Hypervisor共存时的兼容性。
我们把网络中存在着的防火墙、负载均衡、入侵检测等设备功能称为服务节点。传统组网中各个设备间边界清晰,源与目的间数据报文转发经过服务节点的路径和物理设备是紧耦合容易确定的。虚拟网络中应用与物理设备解耦边界似乎不够清晰。这时源与目的间的报文按照业务逻辑所要求的既定的路径次序经过这些业务点,这就是服务链(Service Chain)。实际是控制器对有安全类服务需求的报文进行引流的逻辑路径。
由SDN控制器解析用户配置的策略,下发配置的策略给服务节点网关,引导服务链流量至相关业务节点处理。vSwitch作为Overlay Access部件,基于租户识别虚机流量所属服务链,并将其通过vxlan网络转发至租户正确的服务链上。服务链业务节点放在一个资源池内统一部署,实现资源池内安全业务的负载分担。服务链支持防火墙、负载均衡等功能在单一服务节点一次完成,或各个安全业务在各自独立的服务节点实现。SDN控制器将其串起来完成整个服务链功能,并可以基于租户提供独立完全隔离的东西向服务链功能。服务节点可以通过vxlan网关代理进入服务链中,如图1所示。
SDN的控制平面和转发平面虽然是分离,也是统一协调工作的。vSwitch间通信需要发ARP请求目的端的MAC地址,vxlan规模较大,大量的ARP广播会消耗网络带宽。为了使vSwitch专注于转发,对于转发表的学习和计算都交由SDN控制器。SDN控制器存有全局转发信息,vSwitch的ARP请求以单播形式发给控制器,由控制做ARP代答回送给vSwitch。
多个vSwitch通过控制器的集中控制可逻辑成一个分布式三层网关,可实现东西向流量的跨vxlan转发,实现跨网段最短路径转发。
图1 东西向服务链
以上所述的几项重要技术是对于保证SDN网络在多种复杂场景下的稳定、高效运营的保证。
据国际权威咨询机构Infonetics Research调查和预测:从2013~2014年已经有大量的SDN POC试验,并且运营商已经开始在某些领域试商用;2015年SDN部署步伐会大大加快,在众多的领域开始商用和试商用;2016年可能在全球范围内得到广泛部署;2017年后SDN将成为网络基础架构,并经历一个长期的演进和转型过程。
在国内市场也可看到SDN发展的加速,特别是中国电信、中国移动、中国联通等运营商已经在2014年进行了集团级的SDN VPC(SDN虚拟专享云)测试,2015年上半年陆续会有新建的大型SDN云数据中心项目,预计还会在下半年出台相关建设指导意见和规划。很多省市公司在云数据中心中开始广泛的研究和试点。也有将SDN在城域网、WLAN等领域的应用结合。
SDN在运营商云数据中心领域的应用对其有着重要的意义。能大大加快业务部署的速度,实现业务与资源更灵活的适配。通过SDN VPC引进将企业的计算、网络、存储等基础设施资源拉通建设、管理、运维,在保持CT能力优势的同时,加快IT能力的提升。变对IT基础设施的需求为对IT服务的需求,这是建设和运营理念上的一种革新。同时,对原有组织、规范、流程,对新IT的使用者和运营者也带来新的挑战。
早在2013年,华三的Openflow SDN就已成功应用于中国联通沃云网络的建设上,通过集中的SDN控制器实现虚机迁移的网络策略自动跟随。并在2014年底参加国内三大运营商SDN VPC测试。2015年3月在巴塞罗那举办的世界移动通信大会(MWC)上,中国移动展示了SDN VPC方案,该方案正是Openflow SDN在江西移动业支中心商用方案展示。