肖永钦,卓柳迎
(福建师范大学 信息化建设与管理办公室 网络与数据中心,福建 福州350117)
传统数据中心建设思路大部分都是从硬件建设的角度出发,以高性能、高可靠性作为建设需求,从而造成很多服务器、网络、存储等硬件资源利用不充分,造成资源浪费。这种建设思路大多是由业务或建设者的经验来驱动,具有一定局限性和被动性。将从SDN和OVERLAY在云数据中心中应用这个点切入研究,从而为高校云数据中心建设打开一个新思路,为用户提供虚拟化资源共享池包括网络、服务器、存储、应用、服务,实现资源按需提供服务,同时通过统一管理、统一运营,提高云计算等业务发放及部署效率。
高校校园网数据中心发展经历了服务器虚拟化部署、数据中心自动化部署、多云化部署三个阶段。多数高校校园数据中心正处于第一阶段向第二阶段的演进中。当前,高校数据中心大部分只运行校内公共业务,各部门的专有业务由各自负责,或者仅仅是将硬件托管于校园云数据中心内。通过服务器虚拟化技术及云平台技术,将整个学校计算、存储资源进行整合,再以虚拟机的方式进行发放。但目前还都是承载在传统网络上,发放计算资源的同时,需要对网络配置加以手工调整,以满足访问、隔离等需求。而想要实现“云网联动”的网络自动化部署,必须要承载于软件定义网络[1](SDN),可分为软件SDN及硬件SDN两种方式实现。
两种SDN技术各有所长,软件SDN技术会将虚拟交换机[2](vSwich)部署在服务器上,并开启VXLAN[3]技术,形成一个虚拟的大二层网络,配合虚拟防火墙(vFireWall)实现各租户的访问与控制。此种技术对于交换机设备无特殊要求,性能能够承载业务即可,对于现网改造冲击较小,但对于服务器性能消耗较高,vSwitch的转发性能也受限于服务器,因此硬件SDN技术应运而生。硬件SDN首先要求交换机支持VXLAN技术[4],同时要求支持openflow[5]等软件定义对接技术,通过SDN控制器实现对于硬件交换机的统一配置下发、管理,此种方式业界称之为OVERLAY。SDN控制器再与云平台进行对接,实现计算、网络资源的统一、自动发放,摆脱现有的配置命令行操作。高校校园网数据中心建设仍然存在云业务发放效率低、网络设备难以统一管控和按需扩展、网络资源无法灵活调度网络资源浪费的问题。
1.1.1 传统网络架构对东西流量限制
在传统网络技术架构下部署大规模虚拟机的应用场景,要求虚机迁移时其IP地址、MAC地址保持不变,需要一个二层局域网,但已有二层技术存在两点不足:一是STP(Spanning Tree Protocol)技术存在维护和部署繁琐,部署网络规模不宜过大,限制网络的扩展能力;二是各厂家私有网络虚拟化技术CSS/IRF/vPC[6]等,对于网络的拓扑架构有较为严格的要求,只适合中小规模网络部署。
1.1.2 业务规模受限于网络设备规格
云数据中心虚拟机的大规模部署,虚拟机的规模受二层地址表项的大小限制,尤其是接入交换机的规格限制,较小的二层地址表规格,限制了整个校园云数据中心的业务规模。
1.1.3 不宜部署大规模租户
VLAN技术常用来部署云业务场景需要对大量租户进行安全隔离,但在大量租户场景下会有两大限制:一是针对公有云或大型私有云部署需求,VLAN仅有4096个可用量,不能满足需求;二是如果将VLAN部署在大型私有云上,会使得在数据中心内所有VLAN都被允许通过,会产生任何一个VLAN的广播数据会在整个数据中心内泛洪,消耗网络带宽的同时带来维护的困难。
OVERLAY是一种在物理网络架构基础上叠加的虚拟化技术,其结点可以看作是通过虚拟或逻辑链路连接起来的,具有独立的控制和转发平面,实现应用在网络上的承载,并能与其它网络业务分离。针对传统网络在云数据中心大规模部署中存在的三大技术缺陷,提出了三种解决方案。
1.2.1 传统网络架构对东西流量限制的解决方案
OVERLAY方案是只要IP路由可达就可以部署OVERLAY网络,原理是把报文的二层头封装在IP报文之内的新数据格式。路由网络对网络结构没有特殊要求,因为它已经非常成熟了。同时OVERLAY网络具备可扩展性、可负载均衡性、可自愈性[7]等特点。
1.2.2 业务规模受限于网络设备规格的解决方案
OVERLAY网络部署后,数据封装在IP数据包中,对于接入交换机来说,仅需要学习隧道端点的MAC地址,这样很大程度上降低交换机对于MAC地址容量的要求。为了提高表项总规格,通常也采用分布式网关部署。
1.2.3 不宜部署大规模租户的解决方案
在OVERLAY技术中采用扩展隔离标识的比特位数,能够突破VLAN 4K限制,最高支持16M用户。针对部署VLAN场景下的广播风暴问题,OVERLAY对广播流量转化成组播流量,避免无效流量浪费带宽[8]。
VDC[8](Virtual Data Center)是由一定的计算资源、网络资源和存储资源组成的虚拟资源池,将物理资源池化后,按组织、业务需要灵活分配,构建的一个逻辑的数据中心,包括数据中心需要的计算、存储和网络资源,向最终用户提供一个虚拟的所见即所得的数据中心,不同VDC之间的资源是隔离的。VPC(Virtual Private Cloud)[9]是在VDC上申请的虚拟私有云。VPC用于构建隔离的、租户自主配置和管理的虚拟网络环境。
图1 VDC中心逻辑图Figure 1 Virtual data center logic diagram
如图1,将基础设施进行整合后进行虚拟化形成VDC中心,给校园内各类租户提供信息化基础服务。在校园云数据中心建设中,需要基于云平台的VDC来解决设备资源利用率低、各业务部门对资源需求多、各部门对资源安全隔离的要求、资源统一管理难等问题,实现校园云服务一站式基础设施服务,实现分权分域管理,降低管理成本。
如图2所示,SDN的VDC解决方案可以分为以下4个层面。
2.1.1 业务呈现/协同层(帽子)
提供面向运营商、高校、VPC、RSP 的 Portal;提供灵活定制化的业务界面;协同计算,存储,网络资源。
2.1.2 网络控制层(大脑)
通过标准的南向接口支持openflow/OvsDB/Net-Conf[10]等标准,屏蔽了底层物理转发设备的差异,实现了资源的虚拟化。
通过标准的北向接口支持开放API[11],对接多种云平台,能够提供独立编排运维界面,实现网络业务快速定制和自动发放。
2.1.3 Fabric网络层(骨干/四肢)
由物理/虚拟网络设备组成的基础网络,提供L2~L3 层(骨干),L4~L7 层(四肢)网络服务。
数据中心网络主流技术有:VLAN ,CSS/SVF[12],Trill,VXLAN。其中Trill/VXLAN属于OVERLAY技术。
2.1.4 服务器层(鞋子)
数据中心网络可对接一种或多种计算/存储资源池。计算与网络控制协同,完成虚拟机自动化发放,位置自动感知,网络自动化开通。
图2 基于SDN的VDC中心设计图Figure 2 Virtual data center design based on SDN
图4 基于OVERLAY的VDC物理架构Figure 4 Virtual data center physical architecture based on OVERLAY
2.2.1 物理网络架构设计
UNDERLAY网络采用Spine-Leaf架构,灵活扩展服务器组网规模,Leaf层接入计算(物理服务/虚拟服务器)、存储业务、AC管理网采用UnderLay。
2.2.2 VXLAN Overlay网络架构设计
Overlay网络使用VXLAN构建大二层,VTEP部署在Leaf交换机。VXLAN L3网关采用硬件集中式,一个Fabirc可部署2组网关,支持业务的扩展,VxLAN网关同时连接外部网络,旁挂L4-L7 VAS业务设备。计算业务由OVERLAY网络承载,OVERLAY层面网络业务由SDN控制器集中控制。
2.3.1 硬件集中式VxLAN流量分类
DCN流量从方向和范围看,可以分为东西向流量(数据中心内部互访)和南北向流量(数据中心内外访问)。DCN流量从租户角度分析,可以分为4类,1)租户内部同子网流量,2)租户内部跨子网流量 ,3)跨租户流量,4)DC外部用户访问流量。
2.3.2 硬件集中式VxLAN流量路径
同一租户同子网流量,属于同一个VXLAN L2广播域,直接二层转发。同一租户同跨子网流量,属于不同VXLAN L2广播域,需要上送到VXLAN网关进行转发,但是不经过防火墙。租户间互访流量,属于跨子网转发且存在安全隔离需求,因此流量需要到VXLAN L3网关并经过防火墙。数据中心外部用户访问数据中心内部某租户服务器,一般要经过IPS/FW、LB、VXLAN网关、ToR节点再到租户服务器。
流量模型如图5所示。
图5 基于OVERLAY的VDC流量模型Figure 5 Virtual data center trafficmodel based on Overlay
按照传统方案业务部署会通过命令行方式,批量配置一个个物理设备,需要进行VLAN划分、权限管理、路由设置、IP地址规划等手工配置工作。配置繁琐复杂,耗时且易出错。当新增或调整原有业务、网络配合新建或调整时,需要重新配置多个设备,效率比较低下,业务平均上线周期约1个月。以福建师范大学为例,应用基于OVERLAY的SDN技术后,通过的实测数据,可实现5分钟内完成业务自动化部署,通过对数据中心Overlay逻辑网络的自动化,实现了在不改变物理拓扑的情况下,实时、迅速地打通或调整网络,实现业务端到端地自动上线。
目前高校云数据中心建设是一个趋势,应用SDN和OVERLAY技术,通过VDC可以整合各部门的资源,实现资源集中化,可以提升高校云计算等业务发放及部署效率,增加设备使用率,避免重复建设,同时实现全校数据中心资源统一管控和按需扩展,网络灵活调度,避免资源浪费,为教育信息化2.0提供了极大的支撑,为加快智慧校园建设、提升教育信息化应用水平提供了重要保障。