當前位置：云計算 → 企業動態 → 正文

技術特刊 | 為什么說建設大規模云網絡需要SDN？

責任編輯：yliang |來源：企業網D1Net 2017-08-01 11:01:02 本文摘自：懂企業的品高云

今天與大家分享知識與觀點的大咖是品高云云架構產品部的工程師——林冬藝。

大咖介紹

林冬藝

從SDN概念誕生來一直在關注和研究，目前在BingoCloud SDN云網絡團隊任職，主要負責云網絡、云網絡安全、NFV、高性能云網絡等的架構與設計。目前，BingoCloudOS產品的SDN相關功能主要來自林冬藝所在團隊。

傳統云網絡在大規模下的挑戰

網絡單點問題

傳統云網絡是通過網絡節點（Network Node）實現虛擬化網絡的路由、NAT、網關、DHCP、VPC、安全組等網絡。在大規模的網絡場景下，傳統云網絡的網絡節點會成為整個虛擬化網絡的單點瓶頸。同樣意識到傳統云網絡這一問題，OpenStack也發布了DVR（Distributed Virtual Router）的網絡功能，實現了虛擬主機之間跨子網通訊時可以無需經過網絡節點。但是DVR無法解決虛擬主機上行的流量經過網絡節點單點的問題，而且DVR無法實現高可用。大規模網絡下如何解決網絡節點單點，是業界的一大難題。

租戶間的網絡隔離

傳統云網絡實現租戶間的網絡隔離是通過VLAN隔離的。受VLAN的4096的協議標準限制，使得VLAN原生就不適合用于大規模云網絡下的租戶間隔離。目前業界的主流解決方案是通過VXLAN代替VLAN。我們先來看一下VXLAN的協議，如下圖：

VXLAN在原始數據幀的基礎上，封裝一層Overlay協議，長度為50個字節。一個ARP的數據包長度為64字節。假設一臺虛擬主機發送10G的ARP包，經過VXLAN疊加之后就相當于17.8G的流量。因此VXLAN的虛擬化網絡會加大承載網絡的網絡壓力，并且VXLAN使用大量的組播報文，嚴重影響網絡質量，大量地創建VTEP虛擬網卡會加增加虛擬網絡的IO路徑與網絡邏輯的復雜度。

廣播風暴抑制

數據中心經過云虛擬化后，使得IP地址出現10-30倍的增長。在大規模云網絡下，虛擬主機大量廣播報文會嚴重影響數據中心承載網絡的網絡質量，甚至癱瘓整個數據中心網絡。

低損耗的網絡功能

云網絡需要提供路由、NAT、網關、DHCP、VPC、安全組等網絡功能。現階段業界是通過虛擬主機或網絡解決實現這些虛擬化網絡功能，在大規模云網絡場景下，這樣的方式會嚴重損耗計算資源，并且容易產生單點故障。

跨數據中心支撐能力

受數據中心地理因素限制，大規模的數據中心建設大多數都是同城異地多數據中心，數據中心之間的距離不超過15km。通過裸光纖或者波分線路搭建大二層網絡。如圖所示：

光纖或波分線路出現故障，如何保證數據中心的虛擬化網絡的正常穩定？這是傳統云網絡（網絡節點單點）以及SDN云網絡（集中統一管理）都會遇到的問題。

品高SDN云網絡如何應對大規模網絡的挑戰

基于SDN實現分布式業務邏輯架構

品高SDN云網絡基于OpenFlow協議，在Open vSwitch二層網絡上實現云網絡的業務功能（VPC、Subnet、Gateway、Security Group、ACL、Route等）。如下圖：

品高SDN云網絡網絡功能分布到計算節點，不存在網絡單點問題。容災性強，計算節點出現故障，虛擬主機可以漂移到其他計算節點，SDN控制器集中式下發流表規則，保證業務正常。

基于MAC-Port實現多租戶隔離

品高SDN控制器通過MAC-Port的方式，標記記錄了所有虛擬主機網絡。通過VPC的配置信息，仿真模擬出整個虛擬化網絡的拓撲模型。通過響應下發OpenFlow流表的方式，給同VPC虛擬主機下發互聯互通策略，并隔離不同VPC虛擬主機的網絡，基于MAC-Port的方式實現多租戶隔離。品高SDN云網絡屬于Underlay平行化網絡，網絡過程無Overlay疊加損耗。在大型數據中心網絡中，承載網絡無多余的損耗。此外網絡安全設備接入也無需考慮VXLAN的解封裝問題。

ARP完全代理

虛擬主機通過ARP廣播尋址的方式，發現物理網絡的IP地址的MAC地址。在大規模云環境下，虛擬主機的ARP廣播尋址會嚴重影響網絡質量。品高SDN控制器區分出物理數據中心的IP地址，并配置ARP代理流表，統一代理數據中心物理網絡。虛擬主機的ARP廣播尋址隔離在SDN云網絡內部，不會直接發送到物理數據中心。品高SDN控制器通過Neighbour子系統模塊代理完成虛擬主機的ARP尋址，通過配置策略可以大大減少虛擬主機ARP廣播數量。

ARP廣播抑制

品高SDN控制器基于MAC-Port的記錄，可以快速查詢出指定IP虛擬主機的MAC地址。虛擬主機之間發起的ARP廣播尋址，通過流表策略將廣播報文修準確改成的目標MAC的單播報文，極大地抑制云虛擬網絡東西向的ARP廣播。

隱藏式虛擬化網關

每個租戶的自定義網絡都需要一個虛擬化網關，在大規模云網絡下，虛擬化網關需要消耗大量的資源。品高SDN云網絡基于OpenFlow協議，通過DHCP分配、ARP欺騙、SDN流表下發的方式實現隱藏式虛擬化網關，品高SDN云網絡的虛擬網關沒有真實網絡載體，網關上承載的路由、NAT、轉發等的功能都是通過SDN控制器動態響應下發的OpenFlow流表模擬出來的，資源損耗極低適用于大規模云網絡的需求。值得一提的是，品高SDN云網絡實現的隱藏式虛擬化網關因為沒有真實的網絡載體，因此針對網關的攻擊行為，對于該網關都是無效的。

分布式SDN控制器模型

如圖所示，品高的SDN控制器分布式下沉到每個計算節點上，通過Message Queue同步控制器之間的配置信息實現邏輯上集中化管理。配置信息屬于慢速配置信息，在Message Queue本身不會成為性能瓶頸。假設光纖或波分線路出現故障，每個計算節點上的vSwitch都有獨立的SDN控制器接管，虛擬化網絡不會因為跨數據中心的物理線路故障導致業務中斷。

云網絡安全面臨的挑戰

流量牽引

在云計算的發展趨勢下數據中心的網絡邊界下沉到虛擬化網絡中，傳統的安全產品無法探測云內部的網絡流量。云平臺需要把流量牽引當第三方的安全設備進行流量的清洗與分析，但是不同的安全產品流量牽引的方案存在很大的差異化。云網絡需要提供通用的流量牽引方式，平滑對接第三方安全的接入。

網絡安全多租戶流量識別

流量牽引到安全設備，網絡安全設備需要根本不同租戶的安全策略處理流量。而云網絡存在IP地址重疊，不同的VPC可以使用同樣的IP地址。網絡安全設備要識別多租戶的流量，就需要云網絡為不同租戶的流量打上特定的標簽，并提供開放的接口讓網絡安全設備同步租戶與標簽的對應關系。

網絡安全多租戶管理

傳統的網絡設備用戶一般是網管人員，而云網絡安全的管理是多租戶化的。租戶間是信息透明、策略管理獨立。這需要云平臺提供開發的接口與云網絡安全產品進行用戶對接，或將云網絡安全產品深度整合到云平臺成為云平臺功能組件。

品高云網絡如何網絡安全的挑戰

提供開放豐富的流量牽引方式

品高云網絡提供Mirror、VXLAN、GRE、SFOW、NetFlow、l3 Route等流量牽引方式，并提供開發的API接口。此外，品高云網絡采用MAC-Port的網絡隔離方式，網絡報文無Overlay疊加，第三方的云網絡安全產品能平滑地獲取流量鏡像分析清洗。

MAC或標簽化的網絡識別方式

品高云平臺提供開放的獲取租戶+MAC+IP的對應關系信息的API接口，不同VPC間的IP地址是重疊的，但是在云網絡，虛擬主機網卡的MAC是絕對唯一的。因此，安全廠家可以通過MAC識別租戶信息；此外，如果基于VXLAN流量牽引的方式，還可以通過VNI獲取租戶信息。