关于机场数据中心部署NSX虚拟化网络的探讨

摘  要：软件定义网络（SDN）是解决传统网络技术对云计算平台支持不力问题的有效手段。结合浦东机场数据中心云平台的实际问题，分析软件定义网络的技术选型、方案设计及部署要点，以此构建与物理网络解耦的虚拟化网络资源池，配合vSphere、VSAN技术一道建成软件定义数据中心，从而提升IT基础设施的灵活性、可靠性，为机场航班运营提供有力的支撑。

关键词：数据中心;虚拟化网络;软件定义数据中心

中图分类号：TP393.03       文献标识码：A 文章编号：2096-4706（2020）06-0110-03

Abstract：Software Defined Network （SDN） is an effective way to solve the problem that traditional network technology can not support cloud computing platform effectively. Based on the actual problems of cloud platform of Pudong Airport data center，analyze the key points of technical selection，scheme design and deployment of software defined network，so as to build a virtual network resource pool decoupled from physical network，and build a software defined data center together with vSphere and VSAN technology，in order to improve the flexibility and reliability of IT infrastructure and provide powerful support for airport flight operation.

Keywords：data center;virtual network;software defined datacenter

0  引  言

隨着云计算技术的普及，各类机场信息系统逐步由物理服务器迁移至虚拟云平台。然而，类似虚拟机在物理机房之间迁移的网络需求、不同系统虚拟机互访的安全控制等问题在传统数据中心网络环境下却未能得到有效解决。上海机场集团建设指挥部在浦东机场卫星厅数据中心建设项目中尝试引入NSX软件定义网络技术，破解上述云平台的运行难题。本文对浦东机场数据中心软件定义网络技术选型、实施方案设计及部署要点进行了详细的介绍。

1  项目背景

浦东机场自2015年开始物理服务器向云平台迁移，建设了VMware vSphere云平台。经过几年的逐步发展，现已基本形成稳定、可靠的云计算平台资源池。目前云平台承载各类航班生产系统的上百个应用。随着云平台规模不断扩大、应用系统的增多以及业务需求不断叠加，数据中心网络稳定性、安全性逐渐成为云平台发展的制约因素，数据中心内部二层网络潜在的广播风暴风险、数据中心内部应用系统互访的安全控制问题日益突出。究其原因，主要存在以下两点：

（1）数据中心网络仍采用传统的二层网络技术，由IP网络设备组成，没有采用SDN或其他硬件大二层技术满足云计算资源在两个不同物理中心机房之间迁移的需求（出于灾备考虑）;

（2）数据中心内部应用系统互访的安全控制采用在数据中心核心网络设备上部署Vlan ACL实现，在原应用发生变化或新应用上线时，维护人员需要在核心网络设备上手工更改ACL。随着云计算平台承载应用的不断增多，网络配置日益复杂，运维工作量大且容易出错。

作为浦东机场卫星厅项目建设单位，上海机场集团建设指挥部尝试在卫星厅数据中心建设中引入NSX软件定义网络技术，组成软件定义数据中心，以解决上述问题。

2  软件定义网络（SDN）

2.1  SDN的定义

软件定义网络（Software-Defined-Network，SDN）技术是解决云化的计算资源池与传统数据中心网络之间需求不匹配问题的理想方案。SDN是一种设计理念或框架，主要包括以下特征：

（1）网络系统中的控制平面和转发平面分离;

（2）开放的可编程接口;

（3）集中化的网络控制。

2.2  实现方案

SDN的具体实现方案包括以下3种：

（1）基于硬件网络设备专用接口的方案：其思路是升级现有网络设备的操作系统，使之支持专用的可编程接口，供网络管理系统调用，实现统一的网络配置/策略下发，避免逐台设备的手工配置。例如思科的onePK（Open Network Environment Platform Kit）;

（2）基于叠加网络（Overlay Network）的方案：在底层物理网络之上建立逻辑的叠加网络，用以屏蔽底层硬件网络的差异，实现网络资源的虚拟化，在同一硬件网络之上构建多个异构虚拟网络。例如VMware的NSX等;

（3）基于开放协议的方案：使用开放网络协议实现控制平面与转发平面分离，支持南向网络设备的集中控制，并提供丰富的北向接口，支持网络资源的灵活调配。例如ONF提出的基于Openflow的SDN方案。

从机场的现状及需求出发，最终采用VMware NSX方案，相对其他两种方案，其优势包括：NSX技术成熟度及商业化程度较高;弱化数据中心网络设备品牌差异，有利于提高硬件设备采购灵活性;作为叠加网络，NSX部署对现有网络改动最小，有利于减少项目风险。

3  NSX实施设计方案

3.1  整体设计思路

NSX是在物理网络之上建立一种抽象的虚拟网络，从而将下层物理网络的复杂结构与虚拟网络进行解耦。其基本功能组件如图1所示。

逻辑架构分为管理平面、控制平面、数据平面三层。NSX Manager位于管理平面，提供单一配置点和REST API入口点;控制平面在NSX Controller中运行，NSX Controller管理逻辑网络并提供控制平面和数据平面的分离;数据平面分为分布式服务（包括逻辑交换机、分布式逻辑路由器、分布式防火墙）以及NSX Edge服务。

通过这些组件完成网络抽象化并提供分布式服务，逻辑网络与物理网络实现了完全的解耦。分功能域：计算（Computering）、管理（Management）、边缘（Edge），如图2所示。

3.2  物理网络设计

为成功部署NSX，物理网络必须能够提供高可靠的IP传输，并具备下列特性。

（1）高带宽及高容错性;

（2）支持Jumbo MTU，最小为1600字节;

（3）支持Qos。

本次项目整体物理网络架构如图3所示。

物理网络架构设计的主要内容如下：

（1）卫星厅以及TOC两个数据中心节点的云平台NSX系统以及网络系统作为双中心，互作灾备设计。卫星厅以及TOC网络中，各部署一组Server Farm汇聚交换机;

（2）卫星厅/TOC Server Farm汇聚交换机分别上联卫星厅/TOC主网、离港、安防、无线网核心交换机;

（3）网络功能层面上，云平台在逻辑上划分为主网Server Farm、离港Server Farm、安防网Server Farm、无线网Server Farm、NSX管理网络以及VSAN网络;

（4）为保证每个Server Farm区域之间在逻辑上完全独立，卫星厅以及AOC Server Farm汇聚交换机上将通过为每一套网络配置独立VRF（虚拟路由转发）的方式来实现。

3.3  虚拟网络设计

此次项目为单个vCenter NSX环境，以下分三个物理功能域介绍虚拟网络的主要配置情况（物理网络架构参见图3）。

3.3.1  计算集群

计算物理资源池上划分逻辑区域：主网、离港、安防和无线，可以在多个区域内统一管理NSX网络;启用分布式虚拟防火墙（微分段）功能，以对东西向流量进行安全控制。

3.3.2  边缘集群

Edge都采用ECMP方式部署，先采用2～4台Edge做ECMP方式，以后根据逻辑区南北流量扩充Edge;路由上Edge与区域汇聚交换机之间采用动态OSPF路由，Edge和内部DLR也采用OSPF动态路由。

3.3.3  管理集群

卫星厅的多个逻辑区域对应单个vCenter Server，有统一的管理集群，上面部署vCenter和NSX-Manager。vCetner必须与其NSX Manager进行配对，NSX Manager用于部署控制器群集。

4  结  论

在卫星厅数据中心网络中部署NSX，有效实现了网络资源的云计算池化，消除了传统二层链路的广播风暴问题，体现在以下3个方面：

（1）通过NSX实现对云平台资源内部虚拟化网络更大程度的管理和控制，改变了传统物理网络架构下云平台内部网络管控力度较弱的现状;

（2）无需借助硬件大二层技术便可实现虚机在两个物理数据中心节点之间的无缝迁移，对机场来说是必不可少的灾备手段;

（3）对于数据中心内部的“东西向”以及物理网络与虚拟网络之间“南北向”流量安全控制，通过NSX的虚拟化防火墙（微分段）技术得到较好的解决，避免传统网络部署ACL带来的繁重工作负担以及随之而来的技术风险。

总之，NSX以对网络较小改动代价实现了网络资源的池化，对诸如浦东机场的国有企业数据中心网络建设是较好的选择。

参考文献：

[1] 范恂毅，张晓和.新一代SDN VMware NSX網络原理与实践 [M].北京：人民邮电出版社，2016：48-56.

[2] larryvmw.VMware NSX网络虚拟化设计指南 [EB/OL].（2013-12-26）.https：//wenku.baidu.com/view/0a8a2a1ccfc7 89eb172dc8c4.html.

[3] 顾炯炯.云计算架构技术与实践（第2版） [M].北京：清华大学出版社，2016：153-185.

作者简介：钟敦远（1977-），男，汉族，广东揭阳人，项目经理，工程师，本科，研究方向：网络技术、信息安全、云计算。