张利
计算虚拟化提高了服务器资源的利用率,其快速部署、动态迁移等特性满足了业务快速扩展需求,成为当前企业IT建设的常规形态。但是传统网络对计算虚拟化的适配一直存在问题,网络无法快速地适配虚拟机的扩展及业务的快速变更。利用Overlay网络技术,可以实现传统网络向网络虚拟化的深度延伸,实现真正的云网融合,从而构建新架构下的数据中心网络。
一、传统数据中心网络面临的问题
1.虚拟机迁移范围受限
传统网络架构以三层网络为主,主要是以控制南北数据流量为目标。由于数据中心虚拟机的大规模使用,虚拟机迁移的特点以东西流量为主。虚拟机迁移前后需要其IP地址、MAC地址等参数要求保持不变,因此要求业务网络是一个二层网络,但现有二层网络技术,无论是生成树技术还是近几年出现的大规模二层网络技术TRILL/SPB/FabricPath等都存在不同程度的局限。
2.业务规模受网络设备规格限制
云计算数据中心部署了大量的虚拟机,每个虚拟机都会占用一个二层地址表项。而二层地址表是有规格上限的,尤其对接入设备而言,设备本身二层地址表现规格较小,因此极大地限制了云计算数据中心的业务规模。
3.不能适应大规模租户部署
云计算数据中心内承载了大量不同租户的业务,租户与租户之间有安全隔离的需求。当前主流的租户隔离技术就是传统的VLAN技术,而在大型的云数据中心,大量租户部署会遇到两大限制:
限制一:VLAN可用的数量为4K(4X1024),远远不能满足云业务部署的需求。
限制二:如果在大规模数据中心部署VLAN,会使得所有VLAN在数据中心内都被允许通过,导致任何一个VLAN的广播风暴会在整个数据中心内泛滥,大量消耗网络带宽,同时运维管理困难。
二、Overlay——解决问题的新思路
针对前文提出的三大技术挑战,业界提出新的思路,在不改变原先网络架构的基础之上,新建一个面向应用的逻辑网络——Overlay网络,为云业务提供支撑。
Overlay网络是指建立在物理网络上的逻辑网络。该网络中的结点可以看做通过虚拟或逻辑链路而连接起来的。
Overlay网络具有独立的控制和转发平面,对于连接在Overlay边缘设备之外的终端系统来说,物理网络是透明的。
Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化能力可以摆脱物理网络的限制,是实现云网融合的关键。
1.Overlay技术如何应对挑战
(1)虚拟机迁移范围受限的解决方式
Overlay技术是把二层报文封装在IP报文之上的隧道技术。因此,只要网络支持IP可达就可以部署Overlay网络,且在网络结构上没有特殊要求。路由网络本身具备良好的扩展能力、很强的故障自愈能力和负载均衡能力。采用Overlay技术后,企业不用改变现有网络架构就可用于支撑云计算业务,部署极其方便。
(2)业务规模受网络规格限制的解决方式
部署Overlay网络后,虚拟机数据封装在IP数据包中,对于承载网络(特别是接入交换机)只需要学习隧道端点的MAC,MAC地址规格需求极大降低。而对于核心网关处的设备表项(MAC/ARP)要求依然极高,采用分布式网关解决方案,通过多个核心网关设备提高表项的总体规格,有效解决核心设备规格表项受限问题。
(3)租户数量限制的解决方式
Overlay技术扩展了隔离标识的位数,可以支持数量高达16M(16X1024X1024)的用户,极大地扩展了隔离数量,足以满足超大规模公有云数据中心需求。针对广播风暴问题,Overlay对广播流量转化为组播流量,可以避免网络本身的无效流量的带宽浪费。
2.Overlay网络模型
根据客户不同组网需求,Overlay分为三种组网模型(如图1所示)。
(1)网络Overlay。隧道封装在物理交换机完成。这种Overlay的优势在于物理网络设备性能转发性能比较高,可以支持非虚拟化的物理服务器之间的组网互通。
(2)主机Overlay。隧道封装在vSwitch完成,不用增加新的网络设备即可完成Overlay部署,支持虚拟化的服务器之间的组网互通。
(3)混合Overlay。是网络Overlay和主机Overlay的混合组网,可以支持物理服务器和虚拟服务器之间的组网互通。
当前业界主流厂商对Overlay都是积极支持,但每个厂商的支持程度有所不同。目前思科主要支持网络Overlay,Vmware仅支持主机Overlay,H3C支持以上三种类型的Overlay网络架构,并提供支持Overlay技术的全套软硬件产品,以满足不同客户的各种组网需求。
3.实现Overlay网络的三大技术方案
IETF在Overlay技术领域提出三大技术方案。分别是VXLAN、NVGRE和STT(有关三者的具体介绍详见《IP领航》第29期“基于多租户的云计算网络”一文)。三者的简单对比如表1所示。
总体比较,VXLAN利用了现有通用的UDP传输,成熟度极高,VXLAN技术具有更明显的优势。
(1)L2-L4层链路HASH能力强,不需要对现有网络改造(GRE有不足,需要网络设备支持)。
(2)对传输层无修改,使用标准的UDP传输流量(STT需要修改TCP)。
(3)业界支持度最好,商用网络芯片大部分支持。
三、数据中心间Overlay网络
为了满足灾备和扩容的需求,越来越多的云计算数据中心跨越了多个位于不同地理位置的物理站点,在多个站点部署相同业务,并以主备或双活模式对外提供服务。站点间资源动态调配管理的首要需求是虚拟机能够跨站点透明迁移,迁移前后IP地址不变,所以必须在各站点间实现二层网络互联。数据中心之间二层互联需要具备以下基本要求:
1.站点相互独立
数据中心间二层互联后,某个站点的故障不会传递到其他站点,如广播风暴。另外,站点内的拓扑互不影响和依赖。
2.传输无关性
对站点之间传输数据时使用的技术与站点位置、提供商的网络无特殊要求,尽量使用最通用的技术,例如只要求核心网络支持IP即可。
3.高可靠性
使用多归属来提供冗余接入,并具有在站点间避免流量环路的机制。
4.链路使用效率
站点之间的流量包括组播和广播必须得到充分的优化从而尽量节省带宽,在具有冗余链路时实现负载分担。
5.灵活性
数据中心互联不要依赖于站点的拓扑结构,不对站点拓扑结构有特定要求。
6.运营维护简单
站点互联使用的技术尽量简单,可以快速新增和减少站点。边缘设备上的配置要尽量简单,并且对站点现有的网络变动最小化,部署过程对流量转发不产生影响。
传统的二层互联技术可以达到二层打通的目的(如表2所示),但是无法同时满足数据中心二层互联的基本要求,比如与链路形态无关、站点之间完全独立等。传统的二层互联技术只是简单地把二层范围从一个数据中心扩展到两个数据中心,所以二层广播域随之扩展到两个数据中心,无法实现故障的隔离。
为了弥补上述的不足,数据中心互联解决方案EVI(以太网虚拟互联)应运而生。EVI是一种先进的“MACinIP”技术,基于IP核心网实现二层互联。通过EVI连接到IP核心网的数据中心站点,就像是直接连接到二层交换机上,同时实现数据中心之间的安全隔离。EVI是H3C的一项专有技术,与此类似的技术还有Cisco的OTV。
EVI技术在实现数据中心之间二层互联的基础上,也满足二层互联的基本要求。通过ARP代答功能、未知目的报文抑制功能、协议报文抑制功能及多归属机制实现数据中心之间的安全隔离、高可靠、灵活部署的目标。
EVI既支持以VLAN为单位,又支持以VXLAN为单位,在数据中心之间实现二层互联,是目前最灵活最可靠的云间二层互联解决方案。
四、Overlay网络服务链(ServiceChain)
传统数据中心的L4-L7层设备不仅部署复杂,而且有极强的拓扑依赖,无法实现快速的横向扩展及自动化部署。解决这个问题,可以借助Overlay网络服务链技术,轻松实现服务能力横向扩展,使业务上线快速安全。
数据报文在数据中心网络中传递时,需要经过各种各样的服务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。这些服务节点(ServiceNode),包括熟知的防火墙、入侵检测、负载均衡等。通常网络流量需要按照业务逻辑所要求的既定顺序,穿过这些业务点,这就是服务链(ServiceChain)。可见服务链并不是一个新的概念。而随着软件定义网络(SDN)及网络功能虚拟化(NFV)的不断推进,服务链逐渐变得更重要。
以H3C的Overlay网络服务链解决方案为例,它是部署与实际物理位置无关的服务链方案,支持服务链的灵活编排、设备内和设备间的混合业务编排、支持单向和双向服务链,同时支持服务链的负载分担及备份(如图2所示)。
H3C的Overlay网络服务链是基于控制器的解决方案。通过VCFController内置服务链功能模块,可以管理所有的服务节点,在各个节点上配置多个服务链。服务链功能模块提供北向API,供各种云管理系统使用;同时通过南向接口,管理服务节点,部署服务链。
五、结语
Overlay的网络架构是网络支持云业务发展的理想选择,提供了网络资源池化的最佳解决方式,克服了基于VLAN的传统限制,可为处于任何位置的用户带来最高的可扩展性和灵活性及优化的性能。云计算数据中心借助Overlay弥补网络资源虚拟化短板后,才能实现计算、存储及网络的一体化运维管理,实现真正的虚拟化和自动化的IaaS云。