早在2015年，品高云正式上線了BingoSDN v3.0版本，并成為品高云操作系統(tǒng)(BingoCloudOS)V6.0的云網(wǎng)絡(luò)核心組件。至今三年多的時間里，BingoSDN v3.0服務(wù)了各行各業(yè)不同的應(yīng)用系統(tǒng)，在包括政府、公安、軌道交通、金融、軍工以及教育等行業(yè)發(fā)揮了其重要作用。聯(lián)系客服小表妹(VX：pingaoyunzzm)了解更多。

不夸張地說，BingoSDN v3.0擁有著非常出色的性能，它的虛擬網(wǎng)絡(luò)性能損耗比只占物理服務(wù)器的2%，同時可支持創(chuàng)建13億個VPC，并且經(jīng)過了權(quán)威的第三方測試……(之前我們已經(jīng)分享了很多關(guān)于BingoSDN v3.0的內(nèi)容，感興趣的讀者可以到通過文末的相關(guān)閱讀深入了解)。BingoSDN v3.0的成功讓我們對SDN云網(wǎng)絡(luò)的發(fā)展之路充滿信心，但同時也給BingoSDN v4.0帶來更高的要求和更大的挑戰(zhàn)。在BingoSDN v4.0的設(shè)計之初，我們就在反復(fù)地思考：云網(wǎng)絡(luò)的未來將會怎樣發(fā)展?未來的挑戰(zhàn)是什么?

經(jīng)過了2年多的打磨，BingoSDN v4.0終于伴隨著BingoCloudOS V8.0的迭代正式上線投入使用，并且已經(jīng)在多個行業(yè)用戶中穩(wěn)定運行。設(shè)計一個滿意的作品真的來之不易，BingoSDN v4.0的每一條血管、每一個毛孔、每一個細(xì)胞都是我們親手打造的，希望通過下文，可以分享我們對新一代SDN的一些思考。

本期大咖 >>

林冬藝

從SDN概念誕生以來一直在關(guān)注和研究，任職于BingoCloud SDN云網(wǎng)絡(luò)團(tuán)隊，主要負(fù)責(zé)云網(wǎng)絡(luò)、云網(wǎng)絡(luò)安全、NFV、高性能云網(wǎng)絡(luò)等的架構(gòu)與設(shè)計。目前，BingoCloudOS產(chǎn)品的SDN相關(guān)功能主要來自林冬藝所在團(tuán)隊 。

一、跨地域多中心SDN控制器容災(zāi)問題

隨著云計算的不斷普及，受物理數(shù)據(jù)中心的地理條件限制，一云多中心成為云計算發(fā)展的必經(jīng)過程，此時，云網(wǎng)絡(luò)跨地域容災(zāi)則是我們首先要面對的問題。基于此深入思考，我們能否在BingoSDN v4.0中做到整個云的計算節(jié)點在只剩下一臺服務(wù)器的情況下也能正常工作?如果實現(xiàn)這一點，云網(wǎng)絡(luò)的容災(zāi)能力將可以不止提升一個級別。

二、新型應(yīng)用架構(gòu)帶來的沖擊

Docker、K8S、FaaS(Function as a Service)概念的興起，使得網(wǎng)絡(luò)的地址空間快速擴(kuò)張。在過去虛擬機(jī)的時代，一臺物理服務(wù)器能虛擬出30臺虛擬機(jī)就已經(jīng)很了不起了，但是現(xiàn)在僅憑一臺物理服務(wù)器就虛擬出上千個Docker也絲毫都不夸張。同時，F(xiàn)aaS的到來對網(wǎng)絡(luò)的響應(yīng)速度提出了更高的要求：在高并發(fā)情況下，要想一秒內(nèi)啟動上百臺Docker，在函數(shù)執(zhí)行完成后瞬間釋放，對云網(wǎng)絡(luò)的彈性響應(yīng)速度要求極嚴(yán)格，這需要SDN控制器以最快的速度、最短的傳輸距離和最高效的處理方式完成首包的處理下發(fā)流表。

三、黑盒網(wǎng)絡(luò)問題

我們從BingoSDN v3.0開始就一直堅持使用標(biāo)準(zhǔn)的Openflow協(xié)議，并且沒有對協(xié)議本身做太多的修改，這令我們的運維同事倍感壓力。因為以前傳統(tǒng)云網(wǎng)絡(luò)Bridge、VLAN、Route、IPtables四件套走天下的模式，在SDN云網(wǎng)絡(luò)面前徹底沒用了——在SDN云網(wǎng)絡(luò)中這些都只是一條一條看不懂的流表規(guī)則，而且流表規(guī)則與VPC組網(wǎng)邏輯沒有任何聯(lián)系。就是這樣的黑盒網(wǎng)絡(luò)，讓許多運維同事需要不少時間來適應(yīng)。當(dāng)然，我們做了很多運維的培訓(xùn)工作以及運維工具來幫助他們，不過我們還是希望BingoSDN v4.0能徹底解決這樣的問題，讓流表一眼就能看明白。

四、網(wǎng)絡(luò)隔離不再只是Subnet

Subnet的隔離方式是我們普遍熟悉的，但不知道大家有沒有發(fā)現(xiàn)它有一個弊端：同一個Subnet地址是連續(xù)的。我們在想，能不能實現(xiàn)192.168.1.1-3-5-7-是一個Subnet，而192.168.1.2-4-6-8是一個Subnet，并且它們的VLAN或者VXLAN是相同ID，還能通過策略授權(quán)指定地址呢?

這樣設(shè)計并不是在玩雜技，而是因為我們現(xiàn)實的用戶就有很多這樣的需求，尤其是政務(wù)云用戶。在私有云和混合云中經(jīng)常存在專線復(fù)用隔離或者特定安全事件的及時隔離等情況，這種需求往往非常麻煩：只能通過物理交換機(jī)的ACL策略完成，還有可能遺留很多隱患。如果在BingoSDN v4.0中可以像安全組一樣實現(xiàn)這些，將使得網(wǎng)絡(luò)隔離的粒度更細(xì)，并且更加友好。

▼

最終我們還是把BingoSDN v4.0做出來了，它完美解決了上述的問題和挑戰(zhàn)，并且現(xiàn)在已經(jīng)在包括公安行業(yè)、金融行業(yè)和傳媒行業(yè)等用戶中上線使用。我們甚至還在設(shè)計與開發(fā)的過程中做出了很多新鮮的功能，這也算是BingoSDN v4.0的一些小彩蛋了。

五、分布式SDN控制器模型

跨地域多中心容災(zāi)和新型應(yīng)用架構(gòu)對網(wǎng)絡(luò)響應(yīng)速度有著很高的要求，我們認(rèn)為迫切需要把BingoSDN v3.0的集群模型演進(jìn)成分布式模型，這是BingoSDN v4.0最大的變革：在每一臺計算節(jié)點上部署一個SDN控制器，本地SDN控制器僅負(fù)責(zé)控制本地的虛擬交換機(jī)，SDN控制器節(jié)點之間通過消息隊列同步網(wǎng)絡(luò)位置與VPC配置信息，這樣我們就踏上分布式的道路了。

在消息隊列的選型上，我們花費了大量的精力。我們希望實現(xiàn)的是一個完全分布式(每個計算節(jié)點都是消息隊列節(jié)點)的消息隊列，因此Kafka、Redis等集群模式的消息隊列不適合我們這種完全分布式的模型。如果消息隊列也成為故障單點，那就不是真正意義上的分布式了。而RabbitMQ的網(wǎng)絡(luò)分區(qū)以及在分布式的場景之下暴露出的非常多的問題，讓我深刻地明白為什么OpenStack會在最新版里面把RabbitMQ替換掉。

我們認(rèn)為，消息隊列應(yīng)該更輕、更穩(wěn)定、更高效。我們的目標(biāo)是即使宕機(jī)到只剩一臺計算節(jié)點時它的網(wǎng)絡(luò)依舊正常，我們不想作出妥協(xié)。兩個月之后，我們基于ZeroMQ的Socket機(jī)制成功重新定義了一套消息隊列模型，這套模型非常輕量級，而且很快。有趣的是消息持久化的機(jī)制結(jié)合了云平臺能力，讓它變得有點像迅雷P2P機(jī)制，所以經(jīng)常被同事們調(diào)侃這是SDN迅雷。那天以后全世界都優(yōu)雅了很多——SDN控制器和虛擬交換機(jī)更近了，它們通過Unix Socket進(jìn)行通訊，哪怕物理網(wǎng)絡(luò)中斷也不會造成影響，本地通訊和輕負(fù)載還令網(wǎng)絡(luò)響應(yīng)速度有了質(zhì)的飛躍。

六、SDN可視化運維

可視化運維的動態(tài)拓?fù)鋱D

其中一條流表的分析視圖

我們團(tuán)隊從來不按套路出牌，所以我們打造的可視化運維平臺可以看到每一條流表，包括歷史流表，也可以了解每條流表推送的原因是什么，比方說，外部網(wǎng)絡(luò)訪問虛擬機(jī)、虛擬機(jī)發(fā)起ARP尋址、安全組沒有授權(quán)攔截等等。后續(xù)我們還能做到：分析這條流表是SDN控制器的哪一個模塊、哪一行代碼計算出來的流表;還可以看到整個云網(wǎng)絡(luò)的邏輯拓?fù)渑c物理拓?fù)洹Ｎ覀兿嘈牛磥鞸DN可視化運維會成為BingoSDN產(chǎn)品的一個爆點。

七、微隔離

微隔離的功能實現(xiàn)其實并不難，因為我們沒有依賴VLAN或者VXLAN的隔離方式，純粹的標(biāo)準(zhǔn)Openflow流表使得我們控制網(wǎng)絡(luò)的粒度可以精細(xì)到傳輸層的端口。只不過沒想到的是，當(dāng)我們剛把測試版本做出來就有了用戶需求，所以我們在BingoSDN v3.0上也支持微隔離功能，目前也已經(jīng)有部分用戶在使用了。微隔離也算是BingoSDN v4.0的一個排頭兵吧。

八、寫在最后

BingoSDN v4.0目前已經(jīng)正式上線了。總的來說，相對于BingoSDN v3.0版本，新版本由集中式架構(gòu)轉(zhuǎn)換為控制器下沉至云節(jié)點的分布式架構(gòu)，網(wǎng)絡(luò)控制處理能力得到了橫向擴(kuò)展。另外，BingoSDN v4.0增加了對微隔離技術(shù)的支持，統(tǒng)一子網(wǎng)和安全組可以進(jìn)行二次隔離;還可通過SDN仲裁機(jī)制保證網(wǎng)絡(luò)可用性，支持跨IDC容災(zāi)以及超大規(guī)模組網(wǎng)。基于BingoSDN v4.0的可視化運維平臺，排障更輕松，有效幫助用戶提升運維質(zhì)量和效率。

問題和挑戰(zhàn)從來不會讓我們停下腳步，而是激勵我們不斷向前。未來，我們將繼續(xù)升級完善BingoSDN，為SDN云網(wǎng)絡(luò)的發(fā)展貢獻(xiàn)一份力量，為用戶帶來更優(yōu)質(zhì)的服務(wù)與產(chǎn)品使用體驗。