基于SDN服務(wù)鏈的云技術(shù)數(shù)據(jù)中心建設(shè)研究

婁峰

（中國(guó)民航信息網(wǎng)絡(luò)股份有限公司，北京 101310）

0 引言

在現(xiàn)代以太網(wǎng)、交換技術(shù)的支撐下，云計(jì)算與移動(dòng)互聯(lián)的網(wǎng)絡(luò)框架應(yīng)運(yùn)而出，且迅速發(fā)展成現(xiàn)代主流的網(wǎng)絡(luò)形態(tài)，對(duì)應(yīng)的云技術(shù)數(shù)據(jù)中心也得到了發(fā)展契機(jī)，但這也讓網(wǎng)絡(luò)用戶的需求發(fā)生了變化，傳統(tǒng)云技術(shù)數(shù)據(jù)中心很難滿足這樣的需求。在這一基礎(chǔ)上，人們意識(shí)到云技術(shù)數(shù)據(jù)中心需要更新?lián)Q代，故相關(guān)領(lǐng)域展開(kāi)了研究，提出了一種以SDN服務(wù)鏈為基礎(chǔ)的新云技術(shù)數(shù)據(jù)中心，理論上新的云技術(shù)數(shù)據(jù)中心能更好地滿足用戶當(dāng)下需求，且不存在傳統(tǒng)云技術(shù)數(shù)據(jù)中心中的問(wèn)題，說(shuō)明新云技術(shù)中心更具優(yōu)勢(shì)，因此接下來(lái)的問(wèn)題就是如何在SDN服務(wù)鏈基礎(chǔ)上實(shí)現(xiàn)該云技術(shù)數(shù)據(jù)中心。

1 SDN服務(wù)鏈云技術(shù)數(shù)據(jù)中心主要優(yōu)勢(shì)

首先，傳統(tǒng)的云技術(shù)數(shù)據(jù)中心存在一些問(wèn)題，具體為：第一，傳統(tǒng)云技術(shù)數(shù)據(jù)中心的虛擬機(jī)遷移受限，即云技術(shù)數(shù)據(jù)中心實(shí)現(xiàn)了服務(wù)器虛擬化，而虛擬化服務(wù)器的最主要特征就是虛擬機(jī)遷移，這能保障數(shù)據(jù)中心更好地對(duì)動(dòng)態(tài)資源進(jìn)行分配，有利于數(shù)據(jù)中心的連續(xù)可用性，但實(shí)際情況是，傳統(tǒng)云技術(shù)數(shù)據(jù)中心雖然具備一定的虛擬機(jī)遷移能力，但因?yàn)樘摂M機(jī)遷移一般不能更換IP地址、MAC地址，所以傳統(tǒng)數(shù)據(jù)中心受自身網(wǎng)絡(luò)結(jié)構(gòu)以及性能影響，不能隨意地遷移虛擬機(jī)；第二，傳統(tǒng)云技術(shù)數(shù)據(jù)中心存在設(shè)備MAC地址不足的問(wèn)題，即因?yàn)閿?shù)據(jù)中心的數(shù)據(jù)傳輸活動(dòng)是在大二層網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上展開(kāi)的，所以數(shù)據(jù)流必須在明確的網(wǎng)絡(luò)地址指引下才能進(jìn)行準(zhǔn)確傳輸，這一基礎(chǔ)上傳統(tǒng)云技術(shù)數(shù)據(jù)中心的VM虛擬機(jī)規(guī)模過(guò)大，使得交換機(jī)的MAC地址解析難度大幅增長(zhǎng)，嚴(yán)重影響了MAC地址的產(chǎn)出率，故常常出現(xiàn)MAC地址不足的問(wèn)題；第三，傳統(tǒng)云技術(shù)數(shù)據(jù)中心的VLAN承受比較容易過(guò)載，原因在于VLAN作為當(dāng)下主流的網(wǎng)絡(luò)隔離技術(shù)，只能給網(wǎng)絡(luò)提供4096（212）個(gè)隔離網(wǎng)絡(luò)，但這個(gè)量級(jí)對(duì)于不斷擴(kuò)展的云技術(shù)數(shù)據(jù)中心而言完全不夠，因此VLAN過(guò)載是常態(tài)。同時(shí)，VLAN是一種靜態(tài)配置技術(shù)，在數(shù)據(jù)中心網(wǎng)絡(luò)中所有VLAN都會(huì)獲得通過(guò)許可，這就嚴(yán)重消耗了網(wǎng)絡(luò)帶寬和交換能力，加重了網(wǎng)絡(luò)負(fù)擔(dān)，過(guò)載情況變得更加嚴(yán)重；第四，傳統(tǒng)云技術(shù)數(shù)據(jù)中心在異地網(wǎng)絡(luò)整合方面也存在問(wèn)題，主要問(wèn)題表現(xiàn)就是整合難度過(guò)大，即現(xiàn)代用戶的數(shù)據(jù)中心基本都是分布式布置的，彼此之間存在異地性，而在這種異地架構(gòu)基礎(chǔ)上，傳統(tǒng)云技術(shù)數(shù)據(jù)中心不能很好地將異地網(wǎng)絡(luò)整合，難以滿足統(tǒng)一跨數(shù)據(jù)中心網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、大二層遷移建設(shè)、流量?jī)?yōu)化、應(yīng)急預(yù)案、災(zāi)備管理等需要[1]。

其次，相比于傳統(tǒng)云技術(shù)數(shù)據(jù)中心，SDN服務(wù)鏈云技術(shù)數(shù)據(jù)中心具有明顯優(yōu)勢(shì)：第一，SDN服務(wù)鏈云技術(shù)數(shù)據(jù)中心在虛擬機(jī)遷移方面，有二層網(wǎng)絡(luò)結(jié)構(gòu)作為支撐，使得數(shù)據(jù)中心網(wǎng)絡(luò)具備多路冗余，因此虛擬機(jī)遷移基本不受限制，整體可靠性更高；第二，SDN服務(wù)鏈云技術(shù)數(shù)據(jù)中心優(yōu)化了VM虛擬機(jī)的規(guī)模，解決了虛擬機(jī)規(guī)模過(guò)大的問(wèn)題，對(duì)應(yīng)MAC地址解析難度降低，產(chǎn)出速度提升，根本問(wèn)題自然得以解決；第三，SDN服務(wù)鏈云技術(shù)數(shù)據(jù)中心借助SDN服務(wù)鏈能夠大幅度擴(kuò)充隔離網(wǎng)絡(luò)的數(shù)量，且數(shù)量會(huì)隨著云技術(shù)數(shù)據(jù)中心的擴(kuò)展而提高，同時(shí)因?yàn)镾DN服務(wù)鏈取代了傳統(tǒng)的靜態(tài)VLAN技術(shù)，因此全面避免了VLAN承受過(guò)載問(wèn)題的發(fā)生；第四，SDN服務(wù)鏈云技術(shù)數(shù)據(jù)中心對(duì)于異地網(wǎng)絡(luò)的整合能力更強(qiáng)，原因就在于SDN服務(wù)鏈可以兼容異地架構(gòu)，保障整體統(tǒng)一。除此以外，SDN服務(wù)鏈云技術(shù)數(shù)據(jù)中心的優(yōu)勢(shì)主要體現(xiàn)在靈敏度、調(diào)度性能、準(zhǔn)確性等多個(gè)方面，這使得SDN服務(wù)鏈云技術(shù)數(shù)據(jù)中心可以更好地滿足用戶的需求。

2 SDN服務(wù)鏈云技術(shù)數(shù)據(jù)中心關(guān)鍵技術(shù)分析

2.1 SDN架構(gòu)

SDN架構(gòu)是SDN服務(wù)鏈的基本框架，其屬于典型的三層架構(gòu)，各層分別是應(yīng)用層、控制層、基礎(chǔ)設(shè)施層。其中應(yīng)用層是頂層，包含了SDN服務(wù)鏈的各種具體業(yè)務(wù)，因此也包括了各種業(yè)務(wù)相關(guān)的應(yīng)用邏輯，這些邏輯會(huì)進(jìn)入控制層，被其開(kāi)放式的API管理設(shè)備接收，然后借助設(shè)備進(jìn)行報(bào)文轉(zhuǎn)發(fā)?？刂茖訛橹虚g層，主要由各種SDN控制軟件組成，能夠與下層的Open Flow進(jìn)行協(xié)議通信，過(guò)程中控制層的主要功能就是編排數(shù)據(jù)平面資源、實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)?、維護(hù)轉(zhuǎn)改信息等。基礎(chǔ)設(shè)施層是最底層，由各種轉(zhuǎn)發(fā)設(shè)備組成，主要功能是依托于流標(biāo)進(jìn)行數(shù)據(jù)處理、轉(zhuǎn)發(fā)與狀態(tài)采集。在SDN架構(gòu)基礎(chǔ)上，可以將SDN服務(wù)鏈定義為一個(gè)具備“控制與轉(zhuǎn)發(fā)分離”“設(shè)備資源虛擬化”“通用軟硬件可編程”的服務(wù)流程，這使得SDN服務(wù)鏈能夠給云技術(shù)數(shù)據(jù)中心提供三大幫助，其一，SDN服務(wù)鏈可以實(shí)現(xiàn)設(shè)備硬件整合與統(tǒng)一化管理，使得硬件設(shè)備只需要負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)與儲(chǔ)存；其二，促使網(wǎng)絡(luò)軟件能夠?qū)ｉT(mén)服務(wù)于數(shù)據(jù)中心網(wǎng)絡(luò)的智能邏輯，同時(shí)可以通過(guò)軟件配置來(lái)決定網(wǎng)絡(luò)設(shè)備的類(lèi)型與功能，以便人們對(duì)網(wǎng)絡(luò)進(jìn)行操作管理、整體控制；其三，提高了云技術(shù)數(shù)據(jù)中心的業(yè)務(wù)響應(yīng)速度，也使得網(wǎng)絡(luò)參數(shù)能夠個(gè)性化定制，以便縮短具體業(yè)務(wù)的開(kāi)通時(shí)間。

2.2 Overlay技術(shù)

在SDN架構(gòu)的基礎(chǔ)上，結(jié)合云技術(shù)數(shù)據(jù)中心結(jié)構(gòu)特征，相關(guān)領(lǐng)域通過(guò)研究提出了Overlay方案，該方案的核心技術(shù)就是Overlay。Overlay技術(shù)是一種在網(wǎng)絡(luò)架構(gòu)上進(jìn)行疊加操作的虛擬技術(shù)，能夠在不大幅修改基礎(chǔ)網(wǎng)絡(luò)的基礎(chǔ)上讓網(wǎng)絡(luò)承載各種應(yīng)用功能，也能分離相關(guān)網(wǎng)絡(luò)業(yè)務(wù)，因此Overlay技術(shù)的網(wǎng)絡(luò)是建立在既有網(wǎng)絡(luò)基礎(chǔ)上的，由各種邏輯節(jié)點(diǎn)、邏輯鏈路組成。Overlay的網(wǎng)絡(luò)還具有獨(dú)立的控制、轉(zhuǎn)發(fā)平面，使得在Overlay邊緣設(shè)備以外的終端系統(tǒng)的物理網(wǎng)絡(luò)更加透明，故物理網(wǎng)絡(luò)能夠向云與虛擬化方向延伸，讓云資源池化脫離物理網(wǎng)絡(luò)的限制，在真正意義上實(shí)現(xiàn)了云網(wǎng)結(jié)合。另外，SDN服務(wù)鏈云技術(shù)數(shù)據(jù)中心的各種優(yōu)勢(shì)基本是通過(guò)Overlay技術(shù)來(lái)體現(xiàn)的，即針對(duì)傳統(tǒng)云技術(shù)數(shù)據(jù)中心的各種問(wèn)題，人們圍繞Overlay技術(shù)提出了專門(mén)的解決方案：首先，利用Overlay技術(shù)將數(shù)據(jù)中的二層報(bào)文封裝至IP報(bào)文上，這樣只要網(wǎng)絡(luò)支持IP地址向路由，就能著手部署Overlay網(wǎng)絡(luò)，能更好地發(fā)揮路由網(wǎng)絡(luò)本身的良好業(yè)務(wù)擴(kuò)展能力、故障自愈能力、負(fù)載均衡能力等，實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)二層化，使得虛擬機(jī)遷移不再受限。且通過(guò)Overlay技術(shù)，能夠在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上支持新的云計(jì)算業(yè)務(wù)，說(shuō)明其部署更加便捷；其次，通過(guò)Overlay技術(shù)，將虛擬機(jī)數(shù)據(jù)封裝至IP數(shù)據(jù)包當(dāng)中，這時(shí)數(shù)據(jù)對(duì)網(wǎng)絡(luò)而言只具備參數(shù)表現(xiàn)，如隧道端點(diǎn)地址，這種情況下MAC地址的規(guī)格需求大幅降低，若遭遇特殊情況，也能通過(guò)分散方式讓多核心網(wǎng)關(guān)設(shè)備來(lái)分?jǐn)倝毫?，避免相關(guān)問(wèn)題發(fā)生；最后，Overlay技術(shù)拓寬了云技術(shù)數(shù)據(jù)中心網(wǎng)絡(luò)的隔離標(biāo)識(shí)位數(shù)，最高可達(dá)16M網(wǎng)格，因此隔離網(wǎng)絡(luò)的數(shù)量級(jí)別提升，區(qū)別于傳統(tǒng)VLAN只支持4K網(wǎng)絡(luò)的性能水平[2]。

3 SDN服務(wù)鏈云技術(shù)數(shù)據(jù)服務(wù)中心建設(shè)方案

3.1 框架方案

3.1.1 SDN-Overlay 組網(wǎng)建模

因?yàn)镾DN-Overlay可以同時(shí)支持Overlay網(wǎng)絡(luò)、Overlay主機(jī)、混合式Overlay三大組網(wǎng)模型，所以整體上，SDN-Overlay組網(wǎng)模型就由三者組成。建模的方式比較簡(jiǎn)單，首先按照三大組網(wǎng)模型建立基本的框架，其次采用VCF控制器對(duì)三者進(jìn)行集中控制，由此實(shí)現(xiàn)業(yè)務(wù)流程的下發(fā)與處理。值得注意的是，雖然SDN-Overlay組網(wǎng)模型建立方式簡(jiǎn)單，但在建模完成后需要根據(jù)三大模型的使用條件設(shè)計(jì)模型調(diào)用邏輯，即三大模型各自有各自的應(yīng)用場(chǎng)景，存在適用條件上的差異，故為了更好地發(fā)揮SDNOverlay組網(wǎng)模型作用，需要設(shè)計(jì)模型調(diào)用邏輯。首先，在Overlay網(wǎng)絡(luò)模型中，所有設(shè)備都屬于物理設(shè)備，不需要服務(wù)器的支持，因此該模型能夠更好地支撐虛擬化服務(wù)器、物理服務(wù)器介入，能夠給數(shù)據(jù)中心用戶提供更多的服務(wù)器選擇，且采用該模型能夠有效提高數(shù)據(jù)中心的網(wǎng)絡(luò)性能，比較適合用于對(duì)虛擬化沒(méi)有特別需要的應(yīng)用場(chǎng)景當(dāng)中。其次，Overlay主機(jī)模型與其網(wǎng)絡(luò)模型相反，內(nèi)部所有設(shè)備都是虛擬設(shè)備，必須在虛擬化服務(wù)器基礎(chǔ)上才能運(yùn)作，但這也使得該模型下的設(shè)備調(diào)度不涉及物理網(wǎng)絡(luò)，即可以在不改動(dòng)物理網(wǎng)絡(luò)的基礎(chǔ)上調(diào)度設(shè)備，或者是傳輸數(shù)據(jù)。Overlay主機(jī)模型的特征使得其無(wú)法接入任何非虛擬化的服務(wù)器，一般建議與VMware、KVM等主流Hypervisor平臺(tái)配合使用。最后，Overlay混合模型則兼容了以上兩大模型的特點(diǎn)，同時(shí)支持物理服務(wù)器、虛擬服務(wù)器，而這些服務(wù)器在該模型中均作為邊緣設(shè)備來(lái)使用，可以靈活組網(wǎng)、配置服務(wù)器，這樣有利于硬件網(wǎng)關(guān)的性能與虛擬網(wǎng)關(guān)靈活性，也讓組網(wǎng)彈性良好，可全面滿足用戶多方面需求。需要注意的是，Overlay混合模型雖然兼容了前兩者的特征，但專項(xiàng)性能上低于前兩者，因此Overlay混合模型并不能取代前兩者[3]。

3.1.2 SDN-Overlay 轉(zhuǎn)發(fā)流程設(shè)計(jì)

在SDN-Overlay組網(wǎng)模型基礎(chǔ)上對(duì)其轉(zhuǎn)發(fā)流程進(jìn)行設(shè)計(jì)：第一，因?yàn)閂REP需要識(shí)別報(bào)文的VXLAN才能對(duì)報(bào)文進(jìn)行處理，所以在轉(zhuǎn)發(fā)流程當(dāng)中需要建立VXLAN隧道，確保報(bào)文帶上VXLAN標(biāo)簽，由此VTEP可以根據(jù)報(bào)文的VNI來(lái)進(jìn)行識(shí)別，且完成后，針對(duì)本地站點(diǎn)的二層數(shù)據(jù)幀，采用VTEP-以太網(wǎng)服務(wù)實(shí)現(xiàn)數(shù)據(jù)幀與相關(guān)VSI的映射；第二，針對(duì)本地MAC地址，采用動(dòng)態(tài)學(xué)習(xí)數(shù)據(jù)幀的源MAC地址來(lái)判斷數(shù)據(jù)幀中的VSI，同時(shí)也將數(shù)據(jù)幀的源MAC地址添加到VSI的MAC地址列表中，這樣做是為了讓源MAC地址的對(duì)應(yīng)接口轉(zhuǎn)化為數(shù)據(jù)接收結(jié)構(gòu)，實(shí)現(xiàn)VTEP通過(guò)VXLAN隧道接收遠(yuǎn)端VXLAN的流程；第三，為了讓Overlay網(wǎng)絡(luò)能夠與非Overlay網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)流程，實(shí)現(xiàn)相關(guān)轉(zhuǎn)發(fā)，首先，讓虛擬機(jī)作為報(bào)文發(fā)送端，將報(bào)文發(fā)送給物理機(jī)，而后物理機(jī)OVS的MAC地址與IP地址將成為報(bào)文轉(zhuǎn)發(fā)目標(biāo)，這樣當(dāng)報(bào)文從虛擬機(jī)端發(fā)出后，OVS優(yōu)先接收?qǐng)?bào)文，然后匹配流標(biāo)表項(xiàng)，修改報(bào)文目標(biāo)MAC地址，再將報(bào)文從指定隧道接口處向外發(fā)送，并在報(bào)文當(dāng)中添加VXLAN頭信息，以便封裝隧道外層報(bào)文；其次，VXLAN-GW將作為報(bào)文轉(zhuǎn)發(fā)終端的接收端，能夠從隧道出口獲取報(bào)文，獲取后隧道將自動(dòng)關(guān)閉，并且通過(guò)FIB進(jìn)行三層轉(zhuǎn)發(fā)。

3.2 安全防護(hù)體系建設(shè)

3.2.1 組網(wǎng)模式優(yōu)化

框架設(shè)計(jì)中提出了三大組網(wǎng)模型，三者可以自由組網(wǎng)，但組網(wǎng)模式的不同會(huì)對(duì)數(shù)據(jù)中心的安全性造成不同的影響。從這一角度出發(fā)，本文提出了三種側(cè)重于數(shù)據(jù)中心安全的組網(wǎng)模式，實(shí)際建設(shè)中可以參考：第一，依托于VSR網(wǎng)關(guān)基礎(chǔ)上的VXLAN服務(wù)鏈，通過(guò)VSR網(wǎng)關(guān)向Overlay提供網(wǎng)關(guān)功能，而后采取VSwitch作為虛擬機(jī)與VXLAN網(wǎng)絡(luò)連接終端，這樣做能夠發(fā)揮VSwitch軟件的設(shè)備安全作用，即使用該軟件的多種設(shè)備設(shè)立對(duì)應(yīng)的安全服務(wù)節(jié)點(diǎn)，同時(shí)利用VCFC對(duì)各安全節(jié)點(diǎn)進(jìn)行控制即可；第二，將物理交換機(jī)作為VXLAN的網(wǎng)關(guān)，實(shí)現(xiàn)Overlay網(wǎng)關(guān)功能，由此物理交換機(jī)將作為虛擬機(jī)、物理服務(wù)器的介入接口，并與VXLAN 網(wǎng)絡(luò)連接，這種情況下能借助虛擬化平臺(tái)進(jìn)行安全部署，諸如使用SDN服務(wù)鏈的VSR、VFW、VLB與物理防火墻移動(dòng)保護(hù)數(shù)據(jù)中心安全；第三，將VXLAN的二層網(wǎng)關(guān)作為SDN服務(wù)鏈的代理服務(wù)節(jié)點(diǎn)，這樣能夠解析SDN服務(wù)鏈的報(bào)文特征，同時(shí)使得服務(wù)鏈能夠兼容第三方安全設(shè)備，這種組網(wǎng)方式能夠很好地保護(hù)數(shù)據(jù)傳輸安全[4]。

3.2.2 SDN 服務(wù)鏈部署

云技術(shù)數(shù)據(jù)中心需要處理大量數(shù)據(jù)，其中許多數(shù)據(jù)都屬于流量數(shù)據(jù)，針對(duì)這一類(lèi)數(shù)據(jù)需要通過(guò) SDN服務(wù)鏈部署的方式來(lái)保障安全。首先，可以使用集成NGFW，將其作為VXLAN網(wǎng)關(guān)，通過(guò)網(wǎng)關(guān)對(duì)用戶VXLAN流量進(jìn)行管理，同時(shí)開(kāi)發(fā)NGFW的安全設(shè)備、物理拓?fù)錁I(yè)務(wù)來(lái)實(shí)現(xiàn)安全保障，即NGFW的防護(hù)功能多種多樣，通過(guò)開(kāi)發(fā)可以根據(jù)現(xiàn)實(shí)需求來(lái)實(shí)現(xiàn)差異化、個(gè)性化安全服務(wù)，建構(gòu)人們所需要的安全防護(hù)體系。其次，可以在云技術(shù)數(shù)據(jù)中心中添加不同的安全虛擬設(shè)備，建構(gòu)多樣化的安全服務(wù)池，用戶能夠根據(jù)現(xiàn)實(shí)需求來(lái)進(jìn)行選擇。為實(shí)現(xiàn)這一目的，可以在SDN服務(wù)鏈部署當(dāng)中使用FW/LB、IPS功能來(lái)實(shí)現(xiàn)，且這兩大功能可以保障安全設(shè)備的獨(dú)立性，便于設(shè)備復(fù)用且互不干擾。

4 結(jié)語(yǔ)

綜上，因?yàn)閭鹘y(tǒng)云技術(shù)數(shù)據(jù)中心存在缺陷，不能滿足現(xiàn)代用戶的需求，所以數(shù)據(jù)中心需要升級(jí)換代，而SDN服務(wù)鏈的出現(xiàn)給了數(shù)據(jù)中心升級(jí)的契機(jī)，故應(yīng)當(dāng)積極圍繞SDN服務(wù)鏈開(kāi)發(fā)新的云技術(shù)數(shù)據(jù)中心。新的數(shù)據(jù)中心相比以往具有很多優(yōu)勢(shì)，無(wú)論是性能還是功能上都更加完善，使用起來(lái)也非常便捷，說(shuō)明其具有更高的應(yīng)用價(jià)值。另外，在新數(shù)據(jù)中心建設(shè)中，除了要注意數(shù)據(jù)中心的框架完整性以外，還要重視數(shù)據(jù)安全性，以保障數(shù)據(jù)中心可以投入使用。