e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

基于应用驱动数据中心方案的云网融合实现

2017/12/16    来源:H3C    作者:韩艳辉      
关键字:数据中心  云网融合  
当前云计算技术已经成为数据中心基本部署要求,针对云计算中对网络虚拟化的需求,业界厂家提出了各种解决思路,SDN网络技术得到了大力发展,具有资源虚拟化、自动化等特点。
    当前云计算技术已经成为数据中心基本部署要求,针对云计算中对网络虚拟化的需求,业界厂家提出了各种解决思路,SDN网络技术得到了大力发展,具有资源虚拟化、自动化等特点。早期纯软件的SDN技术虽然可以随云而动实现业务网络自动部署,但在性能、功能、稳定性、可扩展性等方面存在较大的限制。AD-DC 2.0解决方案结合新一代EVPN技术和SDN控制模型,完成了数据中心的技术演进和实践,并为分布式数据中心建设提供了新的基础方案。AD-DC 2.0解决方案网络除了具有随云而动的特性,还具有可扩展、高可靠、大带宽等各项优点。
 
    一、基于AD-DC 2.0解决方案的云网融合基础架构
 
    一个完整的云网融合方案,主要由三部分构成:云平台、VCF Fabric网络、运维平台(如图1所示)。
 
云网融合整体架构
图1 云网融合整体架构
 
    1.云平台
 
    直接面向用户的业务平台,联合Fabric网络中的控制器,提供拖曳式构建业务网络、管理云主机的功能,简单易用,无需面对庞大设备群的复杂命令行配置,所见即所得;
 
    2.VCF Fabric 网络
 
    由网络设备构成的交换网络,直接承担云主机之间、云主机与外部网络之间的报文交互。 网络设备上的业务网络构建可以通过SDN控制器来实现整网的业务网络部署,避免传统网络部署过程中登录各个设备通过命令行部署带来的复杂、易错、繁琐等问题。
 
    SDN控制器可以直接为用户提供业务网络部署的图形化配置界面,也可以和云平台联动,接收云上网络部署的指令,转换为物理设备上的网络部署命令,实现云网联动业务网络自动快速部署。
 
    基于MP-BGP的分布式Fabric网络,通过EVPN标准协议的报文交互可以实现VxLAN隧道的自动构建和主机路由的自动同步,实现快速的OverLay网络构建,很好地解决了传统层次化网络的资源浪费、部署慢等问题。
 
    Spine加Leaf的两层分布式网络架构,让网络具有更好的可扩展性和可靠性:
 
    ● 通过Leaf和多个Spine之间的UnderLay等价链路实现对OverLay流量的负载分担和高可靠性,可以据需增加Spine进一步提高负载分担能力,增加Leaf之间OverLay网络的带宽;
 
    ● 可直接在各个分布式网关上进行三层转发,无需像集中式组网那样必须在网关上多做一次报文拆封装,降低了对集中式组网网关的性能要求。
 
    ● 分布式组网中,多个网关中的某个网关故障不影响其他网关的转发,避免了集中式组网单一网关的单点瓶颈,提高了可靠性。
 
    ● 分布式组网中,多个border出口可以支持对南北向流量的负载分担,某个border故障流量可以分担到其他border,避免了集中式组网单一网关同时作为border的单点瓶颈,提高了可靠性。
 
    3.运维管理平台Director
 
    主要有两个功能:
 
    ● 物理网络的初始自动化部署,实现设备零配置接入,自动构建Underlay网络;
 
    ● 监管整网运行状态,提供告警管理、Underlay和Overlay拓扑展示、性能监控等相关运维功能。
 
    通过云平台 、VCF Fabric网络、运维平台三部分的相互配合,可以实现一个云网络从无到有的自动化快速搭建,涵盖Underlay网络的快速构建和Overlay网络的按需下发和自动构建,无需人工干涉减少人为失误,快捷且高效。
 
    下面介绍云网融合最佳实践中用到的几个关键技术。
 
    二、云网融合最佳实践关键技术介绍
 
    要实现一个云网络从无到有的快速搭建,主要的关键技术含如下几个方面:
 
    1.Underlay 自动化及地址借用
 
    在部署Overlay业务网络之前,必须构建承载Overlay网络的Underlay网络。
 
    通过Director运维平台,可以依据Step-By-Step部署过程实现Underlay自动化基础环境搭建,协助设备完成零配置接入,自动构建Underlay网络。
 
    在这个Fabric网络里,设备可以分为两个类:Spine和Leaf,所以,整个Underlay网络的设备零配置接入只需要设计两个模板文件即可。设备接入网络后,自动根据自己的角色去获取对应的模板文件,实现Underlay网络的自动构建。
 
    一个完整的设备零配置自动接入构建Underlay网络的过程如下:
 
    ● Director构建Underlay自动化环境的部署;
 
    ● 设备零配置上电接入,获取管理地址、loopback口地址等设置;
 
    ● 所有的网络设备互相识别,将互联口配置为借用loopback口的地址,并依据指定的Underlay路由协议建立Underlay网络连接;
 
    ● 各设备建立和控制器的连接,并将连接服务器的接口上报控制器,准备接收Overlay业务网络的配置部署;
 
    在这里,使用了地址借用这个特性。所谓地址借用,就是该接口不配置地址,而是借用其他接口的地址。所以,可以让整个设备除了管理地址之外,只配置一个loopback口的地址。所有的Underlay互联接口以及Overlay业务的VxLAN隧道建立都可以使用这个地址。这样,可以减少对Underlay互联网段的占用,降低网络规划设计的复杂度。
 
    在上面的自动化过程中,Director作为运维平台,可以监控各个设备的自动化过程是否成功,并自动纳管设备,为后期监控设备状态、提供Underlay和Overlay网络拓扑等运维工作做好基础部署。
 
    2.Overlay 网络的云网联动自动部署
 
    当前云平台的Openstack架构的网络业务模型发展还不完善,如果直接通过各厂家的neutron插件控制网络设备实现业务网络,不够灵活。所以,一般云平台并不直接和设备关联,而是通过中间的SDN控制器实现云网联动部署。
 
    常规的云网联动流程如下:
 
    ● 云平台将需要创建的网络信息通过标准Restful接口通知控制器
 
    ● 控制器的业务网络部署支持预部署和按需部署两种模式
 
    预部署:控制器将收到的网络部署请求直接通过Netconf接口下发给各个设备,让设备自动构建Overlay网络。
 
    按需下发模式:当设备上有主机上线时,通知控制器,根据前面规划的或从云得到的网络信息,给设备下发对应的网络部署。
 
    3.EVPN 标准实现Overlay 网络的自动构建
 
    当前Overlay网络主要由Vxlan隧道实现,而EVPN是实现Vxlan网络的控制层面的标准协议。
 
    EVPN基于MP-BGP标准(RFC 7348 +draft-sd-l2vnp-evpn-OverLay、RFC7209、RFC7432),如果各厂家都按标准实现,可以实现各厂家设备的对接。
 
    EVPN的基本功能:
 
    ● 自动隧道建立:自动在部署有相同VXLAN网络的VTEP间创建VXLAN隧道。实现隧道按需建立,无需人工维护,也不占用多余的隧道资源。
 
    ● 自动地址同步:自动完成Overlay网络层面业务主机的MAC地址、主机路由、网段路由的同步,可以减少二层未知单播、ARP请求等广播报文在全网的泛洪。
 
    4.ARP 代答
 
    EVPN网络支持ARP代答功能。由于EVPN具有主机路由自动同步机制,主机上线时,每个网关都可以通过路由同步自动学习到远端各个主机的IP和mac信息,各个网关可以使用此信息在本地建立ARP代答表,如果本地有主机需要访问远端,当网关收到ARP请求时,可以代替远端Leaf上的主机做ARP应答。
 
    启用ARP代答后,对远端主机的ARP请求无需通过隧道广播到所有的Leaf,可以减少广播报文在全网的泛洪。
 
    对于ARP Missing也即某主机没有主动发送过ARP或因某种原因ARP丢失或老化的情况,Leaf本地没有ARP代答表项,会泛洪此ARP请求到同一个VXLAN网络中的所有Leaf,再由各个Leaf走本地的ARP广播给下挂的主机,实现一个完整的ARP请求过程。
 
    5.对第三方防火墙的支持
 
    每一个数据中心网络都会考虑安全的需求,都会部署防火墙,且有可能网络设备控制器和安全设备不是同一个厂家的设备。但是当前Openstack架构还在不断的发展中,对防火墙的支持还没有成熟、灵活、适应各厂家设备的接口,故防火墙如果和控制器不是同一厂家的,则很难对该FW做云网联动的全面控制。
 
    云网联动的安全控制,包括两个方面的内容:一个是分布式SDN网络中各网关设备上对流量到FW的自动化引流控制;一个是FW上对流量的安全策略和路由的下发。
 
    对于防火墙和控制器不是同一厂家的情况,可以实现第一部分的自动化功能,也即:通过云网联动按需实现对网络中流量到FW的自动化引流。
 
    具体的设计和实现过程可以如下:
 
    ● 通过控制器预部署FW:为FW连接对应的service Leaf创建对应的网络;
 
    ● 控制器和云联动让云平台获知该FW的存在;
 
    ● 云平台将该FW绑定到需要保护的业务VRouterB;
 
    ● 云平台建立需要访问VRouterB的VRouterA和VRouterB之间的联系。
 
    上述过程完成后,各个Leaf的VRouterB和VRouterA就可以有路由指向FW,此时,只要再登录FW设置对应的路由和策略,就可以实现通过此第三方FW的安全控制策略对VRouterB和VrouterA之间的流量的访问控制。
 
    三、运维管理平台的功能介绍
 
    作为一个运维管理平台,Director除了可以支持设备零配置接入、自动纳管、实现整网Underlay网络的自动建立之外,还可以实现对整网运行状态的监控,提供告警管理、Underlay和Overlay拓扑展示、性能监控、雷达探测……等相关运维功能。
 
    如图2所示,对链路上的流量转发速率或丢包率等监控项设置阈值,超过阈值的则改变该路径的颜色,为用户提供更清晰的流量路径监控信息。
 
运维平台对设备间流量的监控
    图2 运维平台对设备间流量的监控
 
    如图3所示,在Underlay网络拓扑的基础上叠加Overlay网络的拓扑展示,通过高亮展示某租户的某个VxLAN网络的逻辑连接关系。对于Leaf比较多的情况下,可以清晰地了解到有哪些Leaf是部署有该VxLAN网络的。
 
运维平台对Overlay拓扑的展示
图3 运维平台对Overlay拓扑的展示
 
    四、结束语
 
    当前,支撑上层云平台的SDN网络实现方式有很多种,但AD-DC 2.0解决方案的分布式网络是最具有可扩展性、更灵活的、更可靠的。
 
    通过云平台、VCF Fabric网络、运维管理平台这三者的紧密配合,可以真正实现从无到有的快速Underlay到Overlay的全自动化按需部署,实现对云业务的快速支持。为用户提供更加高效、完整的云网融合解决方案。
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐