陳紫兒 王洋 李雨泰 柳瑞春 張寧

關鍵詞：數(shù)據(jù)中心；拓展分布DNS;建設意義；功能分區(qū)；設計方案；技術實現(xiàn)

1引言

隨著信息化的飛速發(fā)展，許多云服務提供商會贈送一些初始的云存儲資源，從2GB～16GB的云存儲空間不等。對于微型和小型企業(yè)而言，這些贈送的云存儲空間已經(jīng)足夠滿足企業(yè)日常的數(shù)據(jù)存儲所需。但是，對于大中型企業(yè)或組織來說，云服務的實際成本必須落在某個地方。換言之，必須以某種方式為云服務付費[1]。從端到端云基礎設施的角度來看，大部分成本（資本支出和運營支出）都在數(shù)據(jù)中心設施內(nèi)。數(shù)據(jù)中心允許數(shù)據(jù)中心管理員為大量租戶提供數(shù)據(jù)中心資源的細粒度分配，同時優(yōu)化數(shù)據(jù)中心資源利用率。在此背景下，如何在現(xiàn)有數(shù)據(jù)中心基礎上，提供更加安全的數(shù)據(jù)存儲、實現(xiàn)數(shù)據(jù)的統(tǒng)一管理、降低數(shù)據(jù)中心的建設成本、減少數(shù)據(jù)中心運行能耗，成為從業(yè)人員需面對的難題。本文據(jù)此為出發(fā)點，探索基于擴展分布DNS的數(shù)據(jù)中心的建設方案，以期為從業(yè)人員的研究和實踐提供一定的參考與建議。

2擴展分布DNS的數(shù)據(jù)中心建設意義

隨著數(shù)據(jù)中心規(guī)模的擴大，對服務器、存儲和網(wǎng)絡的電力及冷卻要求也越來越高[2]。2001年，世界上超過10MW電力的計算機中心屈指可數(shù)：2011年，這樣的數(shù)據(jù)中心有幾十個，很多大廠商都在規(guī)劃60～70MW的數(shù)據(jù)中心（足夠運行一個小城市的電力）；2021年，中國超70MW的數(shù)據(jù)中心數(shù)量已經(jīng)過百[3]。雖然大部分電力和冷卻都被服務器和存儲消耗，但當數(shù)據(jù)中心達到這些水平時，所有設備（包括交換機和數(shù)據(jù)中心網(wǎng)絡）的電源效率都變得至關重要。在此背景下，開發(fā)更加高效、能耗更低、服務更全的數(shù)據(jù)中心迫在眉睫。在這方面，巧妙應用域名系統(tǒng)（DNS）及其安全擴展DNSSec，提供了應對數(shù)據(jù)中心建設挑戰(zhàn)的關鍵機會。長期以來，DNS在連接Internet上的服務和用戶方面起著至關重要的作用。在其最基本的形式中，它將人類可讀的域名轉換為互聯(lián)網(wǎng)協(xié)議（IP）地址。例如，域example. com被轉換為93. 184. 216. 34。通常，每次客戶端若要通過域名連接到服務器日寸，都需要將該名稱轉換為IP地址：如果DNS查詢失敗，盡管服務器在線，但客戶端無法訪問該服務器。在數(shù)據(jù)中心建設中，傳統(tǒng)的DNS面臨四個主要挑戰(zhàn)：（1）DNS查詢的機密性；（2） DNS中存儲和發(fā)送信息的完整性；（3）底層DNS基礎設施的可用性；（4）濫用DNS在Internet上攻擊和分發(fā)有害內(nèi)容。隨著時間的推移，針對DNS安全問題，業(yè)界提出了DNSSec（Domain Name System Security Extensions， DNS安全擴展）機制，使用密碼學方法解決DNS安全問題，讓客戶端對域名來源身份進行驗證，并且檢查來自DNS域名服務器應答記錄的完整性，以及驗證是否在傳輸過程中被篡改。

3擴展分布DNS的數(shù)據(jù)中心拓撲結構

在數(shù)據(jù)中心現(xiàn)有拓撲結構中，包括Fat-Tree拓撲、FiConn拓撲、DCell拓撲、BCube拓和撲SprintNet拓撲[4]。然而，這些拓撲結構都有一些局限性，它們要么擴展得太快（即雙指數(shù)增長），要么太慢，而且實施起來成本高昂。例如，對于端口數(shù)較少的交換機，BCube中的節(jié)點數(shù)僅增加n倍。因此，對于大型數(shù)據(jù)中心，遞歸層的數(shù)量可能會非常多。另外，當n=4時，需要6層來構建一個數(shù)據(jù)中心服務器。一個6層的BCube網(wǎng)絡需要每個服務器有6個接口卡，這使得它在實踐中變得昂貴且難以管理。因此，BCube在使用小端口數(shù)交換機時存在可擴展性問題。相比之下，DCell拓撲可以很容易地用一個4度節(jié)點來構建。然而，DCell的局限性在于其雙指數(shù)可擴展性、高布線復雜性和低效的本地重新路由算法。此外，由于每個網(wǎng)絡層之間的全連接使得一對距離較遠的節(jié)點直接連接。因此，雖然DCell減小了整個網(wǎng)絡的直徑，但增加了布線的復雜性，使其部署困難。

相比之下，基于擴展分布DNS的數(shù)據(jù)中心網(wǎng)絡基礎設施，即LaCoDa（分層連接數(shù)據(jù)中心），它結合了現(xiàn)有拓撲的優(yōu)勢，同時避免了它們的局限性。LaCoDa使用小型商用交換機以靈活的方式進行擴展，它在較低層完全連接，在較高層部分連接。在數(shù)據(jù)中心建設中，LaCoDa使用小度數(shù)的節(jié)點和小端口數(shù)的交換機，將整個網(wǎng)絡擴展到數(shù)百萬臺服務器。該算法減少了非連接簇的數(shù)量，避免了冗余簇連接的重復。在LaCoDa中，每個服務器都保持其附近服務器的連接狀態(tài)，并且可以導出可行的路由路徑。就鏈路和交換機數(shù)量而言，LaCoDa的成本大約是BCube成本的一半。例如，僅使用4端口或6端口交換機和4～6個遞歸層，LaCoDa中的節(jié)點數(shù)量可以達到數(shù)百萬臺服務器[5]。此外，LaCoDa的直徑呈線性增加，而DCell的直徑呈指數(shù)增加。

4擴展分布DNS的數(shù)據(jù)中心設計方案

數(shù)據(jù)中心的規(guī)模不斷擴大，并作為云計算、網(wǎng)絡搜索、社交網(wǎng)絡等計算平臺的重要組成部分。人們越來越需要數(shù)據(jù)中心包含越來越多的服務器，使整體計算效率不會因過多的流量而受到影響。實現(xiàn)數(shù)據(jù)中心最終性能的一個關鍵因素是數(shù)據(jù)中心網(wǎng)絡，即數(shù)據(jù)中心內(nèi)服務器和交換機的互聯(lián)結構。所構建的數(shù)據(jù)中心由5個基本部分組成，可以將其制定為“3+2"模型。其中，“3”表示空間、動力、制冷三個關鍵功能部件，“2”表示滅火和物理安全兩個輔助部件。因此，所構建的數(shù)據(jù)中心是由數(shù)據(jù)中心設施、數(shù)據(jù)中心電源、配電單元和布線、數(shù)據(jù)中心冷卻、數(shù)據(jù)中心的有效空氣分布、冷卻策略、滅火和人身安全構成。

從成本建模的角度來看，這些組件（或資產(chǎn)）的折舊率相同，但它們與IaaS資產(chǎn)（服務器、存儲和網(wǎng)絡）不同。通常，這些資產(chǎn)的使用壽命在7～ 10年。相比之下，安裝在機架中的設備，如服務器、存儲設備、交換機、路由器、負載均衡器等只有3～5年的使用壽命[6]o從戰(zhàn)略上講，在整個數(shù)據(jù)中心的架構中，需要搭建兩個網(wǎng)絡：其一作為生產(chǎn)網(wǎng)絡（根據(jù)實際應用可以劃分多個VLAN）；其二作為虛擬中心管理網(wǎng)絡和虛擬機動態(tài)遷移VMotion網(wǎng)絡。另外，需要結合實際環(huán)境中的要求，將網(wǎng)卡分別設置在不同的網(wǎng)段上。在實際中，由于數(shù)據(jù)中心的主要目標是滿足網(wǎng)絡信息數(shù)據(jù)的業(yè)務需求，因此，不同的企業(yè)需要不同規(guī)模的數(shù)據(jù)中心設施。

由于DCN的傳統(tǒng)設計以交換機為中心，因此路由只能位于交換機之間，而服務器僅充當計算節(jié)點。在以交換機為中心的DCN中，沒有直接的服務器到服務器鏈路，只有服務器到交換機和交換機到交換機的鏈接。以交換機為中心的DCN傳統(tǒng)上呈樹狀，服務器位于樹狀結構的“葉子”。這種設計隨著國內(nèi)最大的Internet接人提供商Chinanet被拆分為北方China Netcom和南方China Telecom之后，南北網(wǎng)絡的互通互聯(lián)接點擁塞，造成用戶丟包、延遲較大，從而導致訪問緩慢，甚至對于一些應用根本無法訪問。因此，擴展分布DNS的數(shù)據(jù)中心設計方案，建議采用一對F5 Link controller設備接在兩個出口鏈路處，實現(xiàn)由向外和由外向的出入站流量負載均衡。由外向的inbound訪問的智能性，通過Link controller提供的智能DNS解析功能，實現(xiàn)對兩條鏈路的負載均衡。

5擴展分布DNS的數(shù)據(jù)中心部署實現(xiàn)

如上文所述，擴展分布DNS的數(shù)據(jù)中心是由多個通信虛擬機（VM）組成，每個虛擬機都有單獨的服務器資源要求（如CPU或RAM），以及VM之間對帶寬要求的虛擬網(wǎng)絡。因此，需要進行有效的分配，以滿足整個數(shù)據(jù)中心基礎設施（包括服務器、架頂式交換機和匯聚交換機）中每個VM的計算、內(nèi)存和網(wǎng)絡帶寬要求。在這方面，建議遵循以下原則：首先，擴展分布DNS的數(shù)據(jù)中心在部署建設過程中，需要準備兩套DNS系統(tǒng)，其中一套部署在生產(chǎn)數(shù)據(jù)中心，而另一套部署在備份中心，在數(shù)據(jù)中心運行過程中，兩套系統(tǒng)互為備份，要充分考慮數(shù)據(jù)中心的數(shù)據(jù)安全性；其次，擴展分布DNS的數(shù)據(jù)中心在部署建設過程中，DNS系統(tǒng)應遵循內(nèi)外網(wǎng)單獨部署原則，即外部DNS系統(tǒng)與Internet鏈接，而內(nèi)部DNS系統(tǒng)與Internet隔離；最后，擴展分布DNS的數(shù)據(jù)中心的拓撲結構應包含三個物理服務器、兩個架頂式（ToR）交換機和兩個匯聚交換機（AggSw）。其中，從屬虛擬機sl和主虛擬機映射到同一臺物理服務器，而虛擬鏈路分配應用多路徑路由。

眾所周知，兩階段負載平衡方案可以顯著減少數(shù)據(jù)中心的擁塞。在這些方案中，數(shù)據(jù)包通過網(wǎng)絡節(jié)點按比例路由到與這些節(jié)點相關聯(lián)的系數(shù)，優(yōu)化平衡系數(shù)，使網(wǎng)絡擁塞最小化。ECMP和兩相平衡協(xié)議都包括最短路徑的計算。ECMP計算節(jié)點之間有多條最短路徑，而兩階段平衡協(xié)議使用最短路徑將數(shù)據(jù)包傳輸?shù)街虚g節(jié)點和從中間節(jié)點傳輸數(shù)據(jù)包。由于擴展分布DNS的數(shù)據(jù)中心采取了二層網(wǎng)絡部署措施，因此，在建設過程中也需要面對兩種情況。其一，在基于擴展分布DNS的數(shù)據(jù)中心中，存儲網(wǎng)絡和二層拓展之間互聯(lián)質(zhì)量不高。此時，建議業(yè)務訪問由所在數(shù)據(jù)中心自行處理，同時切換生產(chǎn)數(shù)據(jù)中心和數(shù)據(jù)備份中DNS系統(tǒng)。其二，在基于擴展分布DNS的數(shù)據(jù)中心中，存儲網(wǎng)絡和二層拓展之間互聯(lián)質(zhì)量較高。此時，業(yè)務訪問由數(shù)據(jù)中心系統(tǒng)部署成集群，客戶端訪問請求從某數(shù)據(jù)中心人口進來后，通過負載均衡設備實現(xiàn)跨中心的負載均衡，所有的服務器都處于負載狀態(tài)。

6結束語

基于拓展分布的DNS更適合數(shù)據(jù)中心網(wǎng)絡，因為它們具有可擴展性和對故障的快速反應，與之相反，集中式DNS限制了網(wǎng)絡的規(guī)模和可靠性。換言之，集中式DNS無法計算查找表并將其發(fā)送到龐大數(shù)據(jù)中心網(wǎng)絡中的所有交換機，同時無法快速響應拓撲變化。相比之下，由交換節(jié)點執(zhí)行的拓展分布的DNS能夠自然地并行執(zhí)行這些任務，并支持更大的網(wǎng)絡。通過使用多個通信虛擬機，可以輕松地將集中式DNS導人拓展分布的DNS．在實踐中，這是通過中間盒的備份路徑、負載平衡和流量重定向假節(jié)點來實現(xiàn)。對于數(shù)據(jù)中心的建設來說，基于拓展分布的DNS比集中式更快，同時提供相同級別的可編程性，值得行業(yè)采用。