基于OpenStack的私有云混合资源池方案

刘正浩

（中移（苏州）软件技术有限公司，江苏 苏州 215163）

0 引 言

在传统私有云环境中，裸金属与云主机通常被不同的云计算平台管理，两者相对独立并在网络的互联互通上具有非常复杂的策略配置。随着云计算的发展，云计算数据中心开始对网络提出了虚拟化、自动化等要求。SDN作为具备控制与转发分离、集中化控制等特征的技术，很好地匹配了云计算数据中心的需求，目前已被广泛应用[1]。在云计算中，裸金属由于其固有的硬件物理属性，相较于虚拟云主机在资源部署与配置方面缺乏灵活性[2]。通过引入SDN技术，提升了裸金属的配置灵活性，使云主机与裸金属的统一纳管变得更易实现[3-5]。

1 私有云混合资源池

随着私有云的深入建设，根据资源池的建设与使用经验，逐步形成了云主机和裸金属一体管理的混合资源池解决方案。所谓混合资源池，是指实现了虚拟化云主机与资源独占裸金属一体能力的资源池。本文旨在介绍SDN组网下的OpenStack云平台混合资源池方案，探讨一种实现虚拟化和物理机混合部署的私有云建设方法[6-8]。

本文建设的混合资源池对比普通资源池具有多种优势，一是具备提供云主机和裸金属的一体化业务能力，二是满足租户灵活的资源需求和业务组网需求，三是云主机与裸金属实现了网络的简易无缝互联。下面从物理组网、逻辑架构以及流量模型等方面阐述混合资源池解决方案在私有云中的应用实践。

2 混合资源池物理组网

云计算数据中心通常规划为公共管理POD、独立业务POD以及公共存储POD。公共管理POD部署公用管理服务和业务POD控制服务，可以通过虚拟路由转发（Virtual Routing Forwarding，VRF）技术隔离公共管理POD中的管理网络，主要包括PUB网络域和各业务POD网络域。PUB网络域与所有管理网络互联互通，而业务POD网络域仅与关联POD管理网互联互通。此外，业务POD主要部署OpenStack云平台的镜像、计算以及存储等服务。

在混合资源池内，裸金属会上联至实体SDN接入交换机，而云主机则上联至宿主机上的虚拟VSW交换机。SDN接入交换机和VSW交换机都由SDN控制器管理，可以降低网络操作的复杂性。混合资源池拥有独立的池内防火墙、负载均衡以及SDN网关等硬件设备，也可存在非共享的块存储等。

3 混合资源池逻辑架构

从网络平面考虑，混合资源池方案将仅使用管理网络的云服务组件规划在管理域，将涉及多网络平面的云服务组件规划在业务域。同时考虑到云服务的高可用性，总结了对应物理组网的云服务组件分布。管理域服务器规划如表1所示，业务域服务器规划如表2所示。

表1 管理域服务器规划

表2 业务域服务器规划

由图1混合资源池云组件逻辑关系可知，混合资源池共用鉴权服务，以Region为界限划分不同的资源。每个Region都有完整的OpenStack环境，Regions之间除共用组件外完全隔离。

图1 混合资源池云组件逻辑关系

混合资源池与单资源池逻辑架构的不同之处在于混合资源池采用双Region部署，而普通资源池采用单Region部署。此外，混合资源池共享Keystone和Horizon组件来实现资源池的访问控制与界面操作。混合资源池Neutron组件共享数据库，对接一套SDN控制器，可以实现云主机和裸金属的互联互通。

4 私有云混合资源池流量模型

通过Region划分虚拟化和裸金属资源，保留对网络可用域的规划，即采用Nova aggregate逻辑单元来分隔核心业务域和DMZ域[9,10]。核心业务域和DMZ域拥有不同的网络访问控制策略，核心业务域可以实现企业内部网络的联通，DMZ域则可以实现外部网络的访问，这有效地保护了资源池的内部网络，降低了安全风险。下面以两种典型的业务场景为例，说明双域流量模型。

4.1 POD内南北向流量模型

外部网络访问DMZ区业务主机，流量需通过外层防火墙后到达SDN网关，不经过内层防火墙处理，直接访问业务主机。当有负载均衡需求时，流量通过外层防火墙后，先通过负载均衡器，再到达DMZ区业务主机，如图2所示。

图2 业务POD南北向流量模型

4.2 POD内东西向流量模型

POD内业务系统相同安全域内虚拟机与裸金属业务主机互访流量不经过内层防火墙，通过业务核心交换机进行转发，流量会路经虚拟化VSW、虚拟化接入交换机以及SDN接入交换机。当配置负载均衡器时，先通过负载均衡设备，然后再到达业务主机。

5 结 论

目前基于混合资源池解决方案，已经完成了40多个私有云资源池的交付。后续将会不断优化方案，逐步提高云计算IaaS层的建设质量，带给客户更优质的使用体验。结合不同行业的应用需求，将混合资源池建设方案作为资源池交付的一种典型解决方案，为各领域提供云计算资源。