基于云资源池的SDN解决方案
Download
Report
Transcript 基于云资源池的SDN解决方案
基于云资源池的 SDN解决方案
User Case-四川电信云资源池项目
四川通信设计有限责任公司
2014年10月28日
1
目录
资源池网络现状及问题分析
SDN-- Nuage 解决方案在资源池的部署应用
结论及下一步工作建议与思考
四川电信云资源池某节点概述:
163
CN2
M6000
FW
LB
53525352
53525352
8908-1
53525352
53525352
M6000
8908-2
53525352
FW
LB
53525352
四川电信该云资源池节点建于2012年。目前,资源池部署服务器上千台,存储数套,
虚拟化软件(Vmware vSphere)上千套,可提供上万个虚机。该节点为四川电信自有业务提
供服务并面向公众提供云产品及服务。
云资源池网络问题分析
• 难以通过VLAN实现租户隔离
--VLAN仅4K个,数量太少,无法做到Per User Per Vlan;
--若一个VLAN内有多个用户,二层网络攻击泛滥;
• 若通过Double VLAN进行租户隔离,必须牺牲自动化部署
--通过Double VLAN实现租户隔离, 目前资源池部分现网交换机是无法支持Double VLAN;
--未实现集中网管的情况下,部署Double VLAN时必须实现内外层VLAN的对接,目前情况下只能手
动配置;
--网络固化,进行网络调整费时费力;
• 网络性能不佳,影响业务部署
--部分租户应用平台内进程交互频繁,且对时延/抖动/丢包敏感,容易导致session中断;
• 现有厂家无法提供有力的本地支持;
云资源池网络改造期望
• 实现租户业务的快速自动化开通
• 实现虚拟机之间的良好隔离
• 实现IDC内部虚拟机的灵活迁移
• 对时延、抖动的极低容忍度
• 不对现网组网模式、现有设备进行大的调整
• 成本控制
• 持续的本地支持能力,保证后期功能开发;
5
目录
资源池网络现状及问题分析
SDN-- Nuage 解决方案在资源池的部署应用
结论及下一步工作建议与思考
SDN在云资源池的应用
SDN技术可解决当前云资源池网络面临的上述如可靠性、
可用性、安全性等诸多问题,和服务器虚拟化一样,通过
网络虚拟化来实现SDN,将物理网络和虚拟网络完全松耦
合,以摆脱硬件网络在弹性、敏捷性、互操作性上的不足。
它将传统网络设备的数据平面和控制平面分离,以标准化
的接口对各种网络设备进行管理和配置。它有以下特点:
以分布式处理能力, 构建规模化的Controller集群,实现
整个网络虚拟化大脑
以分布式的处理能力, 执行扁平化的网络转发路径
一切以VM(应用)为中心
SDN方案选择
为了支持资源池中以业务为单位的, 跨越一定地理位置的灵活组网
• 物理二层直接直连: 但是大规模下如何解决STP出现问题后快速收
敛?
• OpenFlow: 通过Controller下发二层流表的方式控制交换,没有
广播的问题,二层的隔离由Controller灵活隔离,需要更换硬件
• Overlay技术,在计算边缘侧构建隧道+隧道标签的方式通过三层
的方式控制广播实现二层隔离,通信由contoller控制
仅仅实现的二层的扩展和隔离就足够了吗?
• 还必须实现灵活的组网和自服务,降低整体网络的复杂性
• Openflow可以在流表中加入3-7层的Ruler+Action
• Overlay技术则是在隧道的边界构建2-7层的网关服务
结论:由于OpenFlow部署涉及对网络硬件的改造,不宜在现有的大型数据中
心/云资源池中部署;而Overlay技术可以高效的利用现有平台的网络设备,并可
叠加2-7层的网关服务,鉴于其成本低/易于维护的特点,本次工程采用Oerlay叠
加网络的方式在云资源池中进行部署。
SDN方案-Nuage VSP解决方案
Nuage 虚拟化服务平台
Virtualized Services Platform (VSP)
VSD
云管理平面
MP-BGP
数据中心控制平面
业务策略及管理引擎Virtualized Services
Directory (VSD)
•基于策略的网络抽象
•自动化配置的策略提供者
MP-BGP
VSC
7750 SR
•SDN控制器, 网络可编程
•与传统网络无缝互联
IP Fabric
HV
HV
HV
HV
HV
HV
数据中心数据平面
管理控制器Virtualized Services Controller
(VSC)
VRS
网关设备7850
(与非虚拟化
设备互联)
虚拟路由交换Virtual Routing & Switching
(VRS)
•分布式虚拟路由交换
•与底层网络无关
•自动配置
• 针对云资源池的现状和迫切希望改善的问题,本次四川电信采用阿朗的Nuage VSP解决方
案进行资源池网络虚拟化。
• Nuage VSP是一个基于OVERLAY的软件解决方案,支持多平台兼容,支持新建虚机自动识
别、自动完成配置实现网络连接,在虚拟机迁移时自动实现网络的适配
• Nuage VSP采用VXLAN实现租户隔离,基于策略完成部署,并对用户网络进行抽象和分析,
不仅支持在一个数据中心内的部署,也支持多数据中心互联,完全无缝的、自动化的实现
Nuage VSP网络组件
•VSD是业务策略和管理引擎,提供各种云平台的API和管理界面,
使用IT的语言根据用户需求统一创建和管理网络业务和IT策略。同
时VSD支持大数据分析,方便客户跟踪其网络使用状况。
•VSC是SDN网络控制器,它接受来自VSD的各种网络业务和IT策略,
将其翻译成网络虚拟业务边缘(VRS/VSG)能够理解的OPEN
FLOW指令,实现网络虚拟业务边缘集中控制和自动化部署。
•VRS是虚拟化业务边缘,提供事件驱动式的自动部署。它监听等待
虚拟机被激活。当VM被激活时,根据SDN控制器(VSC)下发的
该客户的业务与IT策略的OPEN FLOW指令进行数据包转发,端对
端实现实时网络创建,整个过程仅需要几秒钟。
Nuage VSP云服务网络示例
提前定义网络策略 (UI or API)
云管理者与虚拟化界面(虚机)之间的交互
云服务管理平面
VSD
VSC
控制平面
Internet
策略Policies
子网Subnets
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
数据平面
VRS
VPN
路由域Domain
安全域Zones
Nuage VSP云服务网络示例
向云管理平台请求资源
1
云管理者与虚拟化界面(虚机)之间的交互
VSD
云服务管理平面
VSC
控制平面
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
数据平面
VRS
1④管理平面收到需要申请资源
的请求
Nuage VSP云服务网络示例
云管理平台进行虚拟机分配
云管理者与虚拟化界面(虚机)之间的交互
1
云服务管理平面
VSD
控制平面
VSC
2 HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
2 HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
数据平面
VRS
④管理平面收到需要申请资源的请
求
2④建立和分配虚机
Nuage VSP云服务网络示例
策略制订和网络部署
云管理者与虚拟化界面(虚机)之间的交互
1
④ 管理平面收到需要申请资源的
请求;
云服务管理平面
VSD
3a
2
④ 建立和分配虚机;
3
① 策略建立与发布:
3b
控制平面
VSC
3
a、
a. VSC 向VSD 请求策略;
b、
b. VSD 向 VSC发布网络服
务模板;
3c HYPERVIS
HYPERVIS
OR
HYPERVIS
OR
3c HYPERVIS
HYPERVIS
OR
HYPERVIS
OR
OR
数据平面
c、
c. VSC 向 VRS部署策略;
OR
VRS
Nuage VSP云服务网络示例
网络连接完成
1
④ 管理平面收到需要申请资源的
请求;
云管理者与虚拟化界面(虚机)之间的交互
2
④ 建立和分配虚机;
3
VSD
云服务管理平面
① 策略建立与发布:
a、
a. VSC 向VSD 请求策略;
VSC
控制平面
4 Network
务模板;
c、
c. VSC 向 VRS部署策略;
Services
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
HYPERVIS
OR
数据平面
b、
b. VSD 向 VSC发布网络服
4④VM之间基于VSD下发模板的
网络服务要求进行通信;
VRS
部署Nuage对资源池的兼容性要求
• 现阶段Nuage VSP支持EXSI,XEN,KVM等Hypervisor
• 本次部署Nuage VSP ,云资源池的底层虚拟化平台为
EXSi 5.5和vCenter 5.5。
• Nuage VSP产品对云资源池交换网络无特殊要求,只需
要他们实现基本的路由交换功能即可。
Nuage在资源池中的部署规模
163
CN2
M6000
FW
LB
8908-1
5352
M6000
8908-2
FW
LB
5352
20台物理服务器
本次工程在资源池节点选择一个20台服务器的集群作SDN部署,20台服务器均
部署Vmware虚拟化软件,即底层虚拟化平台均为EXSi 5.5,管理工具为vCenter
5.5 ,1台服务器在EXSi 之上单独部署VSD,作为管理服务器,2台服务器部署VSC,
作为控制服务器,17台业务服务器部署VRS。
Nuage VSP在现网中的部署逻辑架构
部署Nuage VSP平台的各个组件:
•云业务平台vCenter上安装plugin与VSD对接;
•架设Server-1用作管理服务器,安装VSD;
•架设Server-2和Server-3用来安装VSC A和VSC B,同时这两台VSC
互为冗余备份。在Server-4到Server-20等业务服务器的Hypervisor
EXSi上安装对应的VRS。
•每对VSC可以支持1000台业务服务器,当有更多的服务器需要加入
SDN网络,需要另外安装VSC,中间通过MP-BGP进行建立BGP联盟,
实现路由同步。
Nuage应用实例—“爱城市”平台(一)
“爱城市”平台部署于该资源池节点,Nuage VSP针对“爱城市”将网络功能
划分为一个叫“Enterprise”的基本容器。这个“Enterprise”的容器统一
的管理和控制一个网络节点的集合。“Enterprise”可以认为就是“租户”,
用来代表“爱城市”客户。其具备四个基本要素:
“Domain”,“Zone”,“Subnet”,“Policy”,组成了一个特定
“Enterprise”的业务拓扑。创建流程将在下页具体说明.
Nuage应用实例—“爱城市”平台(二)
爱城市租户创建流程如下图所示:
第一步:
定义Enterprise容器名字叫”爱城市”
第二步:
创建基本网络要素如下:
Domain: “爱城市”路由域
Zone: 负载均衡应用;安全应用等;
Subnet: 公司站点;Web服务器;负载均
衡器;防火墙等
第三步:
Policy:定义策略,根据“爱城市”的
业务需要定义策略拓扑模板,如路径转
发策略、QOS、 ACCESS 权限等
第四步:
将定义的策略拓扑模板实例化,从而可
以真正的使能一个网络。
Nuage应用实例—“爱城市”平台(三)
Nuage VSP可成为云业务平台的一个网络配置组件,当“爱城市”租户需要使
能时,云业务平台首先自动配置和使能资源,同时通过API接口向Nuage VSD平台
发送网络使能请求,VSP实现具体各种网络功能的配置比如IP地址,2层/3层隔离,
业务链,网络互连,策略安全等等。
Nuage应用实例—“爱城市”平台(四)
通过对网络的抽象功能,云资源池的需要分配给爱城市租户的网络资源被封
装进一个独立Enterprise容器中,因此网络资源可以像独立的Service提供给爱城
市。并提供4级的角色管理系统,可以实现网络资源的4级控制:运营商级别(实现
整个云资源池网络资源的总控制和管理,“爱城市”租户无权限);企业级别(即
实现对爱城市租户Enterprise容器中所有资源的控制和管理,实现整个企业网络的
配置,修改和管理);组级别(适应于租户中单个部门网络资源的控制和管理);用
户级别(适应终端客户的网络控制和管理)。
目录
资源池网络现状及问题分析
SDN-- Nuage 解决方案在资源池的部署应用
结论及下一步工作建议与思考
现场测试效果
通过现场测试,云资源池部署SDN网络虚拟化之后,资源池的网
络设备利用率得到显著提高,建立、操作、维护、更改配置等工作
强度和难度大幅度降低:
网络使用率及效率提升高达30%。此外,通过解除网络限制,可实现计算工作量的自
由调配和移动,从而提升服务器的利用率。
无论在何处运行应用,甚至将应用迁移至位于其它机架或数据中心的服务器,都能为
其快速提供可用网络。
通过IT友好的语言提供一套标准API从而实现全面的可编程能力。
下一步工作建议与思考
通过Nuage在现网中的部署,已验证了SDN软件定义网络
在云资源池中的可用性,关于下一步工作安排与建议,可从
2方面进行思考:
功能特性
适用范围
可在单一解决方案中提供大量不同的服务,进一步扩展NFV(网
络功能虚拟化,主要为网络4-7层功能)与基础SDN功能的适配,包
括虚拟防火墙、VPN、负载均衡和 VXLAN 扩展网络等,提高产品功
能的丰富性;
SDN软件定义网络在数据中心的成功部署,将为其在城域网
中部署提供良好的经验,四川电信将在后期的工作中考虑SDN在
城域网中部署实施,以优化城域网的功能和操作、维护特性。
谢 谢 !
26