云网络技术与SDN架构设计
云网络技术与SDN架构设计
目录
1网络虚拟化的概念 (2)
2集团云网络建设挑战与目标 (6)
3基于SDN+VXLAN的网络虚拟化方案 (8)
1网络虚拟化的概念
计算虚拟化的思路是将物理服务器在逻辑层面上划分为多台虚拟的服务器,实现物理资源与逻辑资源的解耦。与这一思路一致,网络虚拟化通过将物理网络与逻辑网络解耦,实现网络资源的灵活调配。这里的网络资源,主要指逻辑网络的相关资源及路径,脱离物理网络设备的限制,能够随时被创建、删除、扩展、收缩,实现高度灵活性。在保持高度灵活性的同时,还能保证逻辑网络间的相互独立、隔离和安全。
传统的VLAN就是一种实现数据中心内部实现二层网络虚拟化的技术,它可以在物理网络的基础上划分出多个虚拟的二层网络,并为业务提供网络层的隔离。VLAN工作在OSI参考模型的第2层和第3层。是对一个物理二层网络LAN的虚拟化成多个virtual LAN,因此一个VLAN就是一个独立的广播域。
当前集团的网络架构中,按照VLAN来划分不同的业务,为不同业务之间提供了网络上的二层隔离。在当前的数据中心规模,VLAN是一种适宜的虚拟化网络分割选项,但在服务器的规模发展到一定程度时,该技术会出现以下三点问题: 虚拟机迁移范围受到网络架构限制:虚拟机迁移的网络属性要求,当其从一个物理机上迁移到另一个物理机上,虚拟机需要不间断业务,因
而需要其IP 地址、MAC 地址等参数维持不变,如此则要求业务网络是
一个二层网络,当前集团使用的VLAN+IRF2的网络虚拟化技术,虽然
可以简化拓扑、具备高可靠性,提供二层虚拟网络,但在网络的规模
和灵活性上有所欠缺,只适合小规模网络构建,且一般只适用于数据
中心内部,无法将虚拟机的迁移范围扩大多个数据中心。
?VM二层联通性受限于物理网络架构:VLAN技术只能将一个物理的二层
网络LAN分割为更多的虚拟LAN,即VLAN对于网络的虚拟化能力仍无
法跨越物理网络的三层边缘。对于两个处于不同物理二层网络中的VM
来说,VLAN无法为其提供虚拟网络的二层连通性。
?VLAN的静态配置问题:VLAN 技术当前为静态配置型技术,这样使得整
个数据中心的网络几乎为所有VLAN被允许通过(核心设备更是如
此),导致任何一个VLAN 的未知目的广播数据会在整网泛滥,无节制
消耗网络交换能力与带宽。
上述的三大挑战,完全依赖于物理网络设备本身的技术改良,目前看来并不能完全解决大规模云计算环境下的问题,一定程度上还需要更大范围的技术来消除这些限制,以满足云计算环境下的的网络要求。
图1VxLAN技术原理示意图
Overlay技术是专门针对云环境下数据中心逻辑网络建设而引入的技术,在业界知名的互联网数据中心中,以及公有云的建设中成为当前基础网络的首选技术,Ovelay是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。
图2Overlay网络概念图
?Overlay网络是指建立在已有网络上的虚拟网,逻辑节点和逻辑链路构成
了Overlay网络。
?Overlay网络是具有独立的控制和转发平面,对于连接在overlay边缘设
备之外的终端系统来说,物理网络是透明的。
?Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化能力可
以摆脱物理网络的重重限制,是实现云网融合的关键。
Overlay本身是网络虚拟化的一种理念,在这种理念之下有多种技术方案。IETF在Overlay技术领域提出三大技术方案:
?VXLAN:VXLAN是将以太网报文封装成UDP报文进行隧道传输,UDP
目的端口为已知端口,源端口可按流分配,标准5元组方式有利于在IP
网络转发过程中进行负载分担;隔离标识采用24比特来表示;未知目的、广播、组播等网络流量均被封装为组播转发。
?NVGRE:NVGRE采用的是RFC2784和RFC2890所定义的GRE隧道协
议。将以太网报文封装在GRE内进行隧道传输。隔离标识采用24比特
来表示;与VXLAN的主要区别在对流量的负载分担上,因为使用了GRE
隧道封装,NVGRE使用了GRE扩展字段flowID进行流量负载分担,这
就要求物理网络能够识别GRE隧道的扩展信息。
?STT:STT是无状态传输协议,通过将以太网报文封装成TCP报文进行
隧道传输,隔离标识采用64比特来表示。与VXLAN和NVGRE的主要
区别是在隧道封装格式使用了无状态TCP,需要对传统TCP协议进行修
改以适应NVGRE的传输。
总体比较,VXLAN技术具有最佳优势:
?L2-4层链路HASH能力强,不需要对现有网络改造(GRE有不足,需要
网络设备支持)
?对传输层无修改,使用标准的UDP传输流量(STT需要修改TCP)
?业界支持度最好,商用网络芯片大部分支持
目前,基于VxLAN的Overlay网络虚拟化,已成为云计算中网络的主要发展方向。
2集团云网络建设挑战与目标
随着集团IT业务的快速增长以及云计算的部署,在网络的管理、业务的支撑、绿色节能等方面对数据中心网络提出了很高的要求:
1、集中高效的网络管理要求
对于众多物理网络设备和逻辑网络设备,纯手工的配置已无法满足云的自动化的运维需求,云网络需要集中统一管理,以提高维护效率;需要快速的故障定位和排除,以提高网络的可用性。
2、高效灵活的组网需求,虚拟多租户业务支撑要求
集团下属多个科研院所,各院所科研系统对于网络要求各有差异,同时要求各院所资源能够相互独立;集团云计算需要为各院所提供虚拟私有云服务,各院所可以配置自己的子网、虚拟机IP地址、ACL,管理自己的网络资源,同时实现租户的隔离和安全保障等。
3、虚拟机的部署和迁移需求
虚拟机的部署和迁移需求,云计算数据中心部署了大量的虚拟机,并且虚拟机需要根据业务的需要进行灵活的迁移。这就需要数据中心网络能够识别虚拟机,根据虚拟机的部署和迁移灵活配合部署相应的网络策略。
集团未来的业务规划在北京实现同城的灾备,需要云网络动态感知应用,随需而动。
4、全面的数据中心IaaS要求
随着集团云计算技术的引入,实现了计算资源和存储资源的虚拟化,为用户提供了计算资源和存储资源的IaaS服务,但目前网络资源还无法虚拟化按需提供,未来需要提供计算资源+存储资源+网络资源的全面IaaS服务。
3基于SDN+VxLAN的网络虚拟化方案
结合集团的现状与需求,通过SDN+VxLAN网络虚拟化技术构建集团适应云计算需求的新型智能网络,一种支持多租户隔离,自动化部署,位置解耦的云网络架构。
采用VxLAN技术可以在清河和昌平机房基于物理的三层网络构建跨中心的虚拟化大二层网络,为未来的同城灾备打好网络基础,虚拟机在同个机房内或者跨机房飘移时网络和安全策略能够自动跟随,同时消除了跨中心的二层广播域。
引入SDN控制器,为后续建设打好基础,SDN控制器接管网络,为云管理平台屏蔽异构、多类型设备的差异,实现对网络和安全设备的分租户、自动部署。通过建设混合Overlay,可将集团现有的虚拟化/非虚拟化服务器纳入VxLAN网
络,也为后续任意形态的服务器接入VxLAN网络创造条件。
当前集团的数据中心中既有物理服务器也有虚拟机,Overlay组网方案上存在网络Overlay、主机Overlay、混合Overlay三种:
?网络Overlay:有网络设备提供Overlay的报文处理、转发,性能较高,
对服务器及其上的Hypervisor软件无要求,同时也可以使物理服务器进
入Overlay网络中,管理界面也较清晰。
?主机Overlay:由服务器上的Hpervisor层或其中的vSwitch提供Overlay
的报文处理、转发,部署较方便成本也相对低,但性能存在一定不足。
?混合Overlay:有统一的控制器(Controller)控制,可同时提供主机Overlay
和网络Overlay。可满足多形态服务器场景的需求,兼顾灵活性和高性能。
根据现网的软硬件设备情况,以及传统网络和Overlay网络的长期并存和演进,建议集团采用混合Overlay式组网。
集团SDN+VxLAN组网示意如下:
架构说明:
1、Underlay(物理)网络采用三层架构,底层网络是一个稳定的三层网络,无ARP广播,无环路
2、由SDN控制器实现对整个Overlay网络的管理和控制,SDN控制器与云平台集成,在云服务门户实现网络的自助和自动化服务;
3、网关设备主要提供VxLAN网关功能,支持VxLAN报文的封装与解封装,支持VxLAN和传统网络之间的互通;
4、vSwitch主要提供虚拟化VxLAN的隧道封装功能,支持VM接入到VxLAN 网络,此时vSwitch连接的物理交换机无需支持VxLAN功能;
5、由VxLAN GW实现服务器到VxLAN网络的接入,同时实现vSwitch不支持VxLAN封装的虚拟化平台的VM接入
集团采用SDN+VxLAN虚拟化网络的收益有:
1、消除网络限制
可以跨中心构建大二层网络,同时消除了4K VLAN限制;
2、虚机任意迁移
虚拟化单中心迁移、跨中心迁移网络策略的安全策略自动跟随,业务不中断;
3、IP地址灵活分配
业务IP地址与物理网络解耦,业务变动,无需改动物理网络;同时支持地址可重叠;
4、多租户
实现业务、用户多租户,多租户间安全隔离;
5、自动化
实现网络资源自动化分配;安全资源自动化分配;
通常,企业云网络规划路线,分为三个阶段建设:
第一阶段:构建VxLAN大二层网络;SDN控制器单中心部署;实现网络虚拟化和自动化配置;
第二阶段:SDN控制器跨中心集群部署,实现虚拟网络双活;实现安全虚拟化和自动化配置;
第三阶段:完善SDN网络功能,实现更多网络和安全的虚拟化和自动化配置功能;