SDN炙手可熱,三年前是SDN引發的資本熱,例如VMware收購Nicira,Juniper收購Contrail,Cisco收購Insieme,Brocade收購Vyatta等等,如今到了開花結果的時候,SDN應用與落地變得炙手可熱!
在大大小小的云或網絡的大會及論壇上,我們經常看到運營商、互聯網廠商及云服務商的影子,他們身邊圍了很多人,交流的正是SDN的部署與應用。因為不管是運營商、互聯網廠商還是云服務商,他們都是嘗鮮SDN的人,也可以稱作是第一個吃螃蟹的人。
所以,有了可參考的范本,國內企業開始紛紛效仿加快IT網絡創新。當然,SDN應用與落地炙手可熱的背后是技術的成熟,SDN產品方案經得起驗證。
在SDN陣營,傳統網絡設備廠商仍然占據半壁江山,一方面是傳統網絡設備廠商也在隨SDN技術革新而變,不想被后來者顛覆,所以不論是加入ONF還是OpenDaylight,談的較多的是新的網絡協議或標準。另一方面,路由交換設備仍然是數據中心網絡里的主角,網絡的變化也不容易隔斷和硬件的關系。
但有例外,例如Open vSwitch(OVS)在SDN領域光芒四射,這一由Nicira(被VMware以12.6億美元收購)支持的項目,不依賴于硬件,用軟件的方式實現SDN,獨樹一幟。
在國內,同樣有一家做軟件SDN方案的公司,它就是云杉網絡,利用Overlay技術實現軟件定義網絡正是云杉研究的主要方向。
在國內做軟件SDN的提供商寥寥無幾,隨著數據中心SDN網絡需求的不斷攀升和軟件SDN方案的應用增多,云杉網絡開始走向臺前。
我們不妨看一看一家向Nicira看齊的中國本土的軟件SDN解決方案提供商到底做了哪些事。
云杉網絡CTO張天鵬
云杉網絡CTO張天鵬在接受ZD至頂網采訪時表示,“云杉成立并在SDN領域的定位是以業務和云的運營為目標為IT增值。”近日,云杉網絡全新發布基于SDN的網絡服務平臺(Network Service Platform)——2Cloud NSP,正是體現了云杉起初的承諾。
為云而生解決虛擬網絡大規模部署問題
作為一個SDN解決方案,網絡虛擬化(NV)可謂標配,并且這項技術在業內也已逐漸成熟,但是它同樣伴隨著兩個問題,網絡規模和網絡服務的細粒度問題。
不過,2Cloud NSP解決了這兩大難題,答案是L3 VxLAN Fabric、分布式邏輯交換機和微分段(Micro Segmentation)。
張天鵬指出,“對Overlay來講在Linux內核中做VxLAN性能會比較差,在無需綁定硬件網絡設備的情況下,云杉把VxLAN卸載到ToR交換機上,以通用和開放的網絡硬件支撐超大規模邏輯網絡。所以意味著在用戶內網東西向需要40G或80G的性能的時候,能輕而易舉達到。”2Cloud NSP利用通用盒式Spine交換機構建大規模L3 Fabric,可接入10K萬兆端口物理設備,連接異構及跨地域的計算、存儲、安全資源。利用成熟的VxLAN Bridging ToR交換機卸載vSwitch網絡負載,實現高性能二層邏輯網絡。
利用通用網絡硬件支撐大規模邏輯網絡
所以,解決了軟件性能損耗和網絡規模擴展問題,云杉對用戶在vSwitch端簡化,同時又提供了一個高效的高性能網絡。
當然,這還不夠,實現Scale Out,還需要有分布式架構和技術。2Cloud NSP帶來的是分布式的虛擬交換機(DVS)、分布式的路由器(DVR)和分布式的控制器。
DVS想必不用多說,這是由VMware提出的概念,還有思科開發的Nexus 1000V也是和ESX的vSwitch同類的產品。云杉DSR同樣如同OpenStack和NSX的實現原理一樣。自此,一個分布式的二層、三層網絡就打通了,張天鵬說。
如果把SDN網絡從下到上分為三個層面,那么DVS就是第一層,DVR是第二層,第三層就是云杉在一些運營商項目中碰到的服務鏈(Service Chain)需求,這是業務驅動的必須要解決的一個問題。但是,這一層實現的廠商并不多,張天鵬說。
這個難點在于,現有業務通常都有網絡服務,比如異構防火墻,以及所謂Service Chain的功能,但在Virtual Network中,這些功能的添加都變得非常困難。不過,2Cloud NSP把它們串了起來,從而保護了重點業務,這也是下面具體再展開的問題。
分布式服務保障網絡高性能,消除流量熱點。分布式邏輯交換機(DVS)以及VxLAN Bridging ToR交換機卸載vSwitch網絡負載,保障二層網絡的高性能和穩定性。分布式虛擬網關(DVG)實現跨二層東西向流量無需匯聚到一個瓶頸點,配合分布式虛擬路由器(DVR)實現多跳網絡間路由信息的動態發布。分布式虛擬防火墻(DFW)讓流量在最靠近源發端的未知即可實施防護。
繼續說到分布式,2Cloud NSP的SDN控制器是分布式的集群,張天鵬表示,“在一個云里我們有一個主備的控制器,這個控制器主要維護網絡最核心的配置。另外,云杉在所有的計算節點,包括ToR交換機里面都會放一個Agent,等于在每一個點分布了很多小的控制器。”
當然,如果把一個云的集群做得很大,這里面最難的不是上面的Fabric如何構建,而是怎么樣維護整個網絡狀態的一致性。張天鵬舉例說,如果一個虛擬機重啟,那么那個OVS的Port可能會變成另外一個,它的Vlan、QoS設置也就消失了。但是如果讓控制器去輪循,假設有2000臺或2萬臺服務器,那么控制器肯定難以應對。所以,云杉SDN設計的理念是把更多的智能往邊緣去放,讓邊緣的Agent去發現,當虛擬機無論發生遷移還是重啟等,都可以保證狀態的一致性。
具體實現的細節是以主動和被動結合的方式,除了Agent主動輪循外,同時OVS也會主動的把事件報上來,Agent再去查,相當于最短一兩秒鐘就可以把整個狀態達到一致性,云平臺只需要當一個“甩手掌柜”。
除了用ToR對Overlay進行Offloading提升性能和采用分布式網絡外,2Cloud NSP的微分段還能做到以流為粒度劃分安全域以對Service Chain的云端實現。這也是下面要談到的重點,正如上文所說,張天鵬把它定義為DVS和DVR上面的第三層,確是實現的一個難點,云杉到底是如何做到的?
云端構建服務鏈 安全引流
用張天鵬的話說,他原先覺得整個云平臺上線之后碰到最多的就是機器宕機、穩定性等問題,但其實這方面很少發生,經常遇到的是用戶中了木馬,卻找不出安全源頭。所以,從業務層面來說,用戶希望把安全做到內網去。比如兩個虛擬機同處一個二層網絡,當某一虛擬機去訪問另一虛擬機時,有必要把這個流截獲到一個防火墻,處理完之后再扔到相應的數據庫去。
這其中,微分段發揮很大作用,“這時,一套業務系統其實無論在二層還是三層已經不重要了,在管理這個資源時完全按照它的邏輯屬性劃分。”張天鵬說。
利用微分段的細粒度流量控制能力,負載均衡、企業級虛擬防火墻、UTM以及Web應用防火墻等網絡和安全服務均能夠按業務進行負載分攤,徹底消除流量熱點。2Cloud NSP可在同一子網內構建服務鏈透明接入,實現安全防護。
無需修改網絡,在南北向和東西向流量中輕松加入網絡服務鏈:各類服務節點可動態組合成三層或二層服務鏈,快速便捷地部署于任意兩個微分段之間,透明插入業務網絡,提供專業的網絡和安全防護能力。透明接入實現了無需改動現有業務的網絡配置,輕松集成網絡服務。
當然,云杉本身不做安全,在其眼里,專業的公司做專業的事。云杉做的是“引流模型”,也就是它把安全廠商提供的NFV產品串起來,通過引流的方式給它做動態的調度。
通俗的理解云杉的做法,比如在OpenStack里面有很多計算節點,當兩個虛擬機之間需要給它們中間串入一個安全的策略時,這時候2Cloud NSP會在里面放一個Agent。虛擬機本來流量是自然通的,加了Agent以后它會通過Openflow流表來做控制,就是相當于流量一出門發現這個策略是需要做安全時,“出門左拐”就引到相應的安全節點,處理完之后再把這個流量扔到它要去的地方。
解放網絡運維細粒度監控云狀態
還有一件事情在SDN廠商中很少做,不過云杉做了,并且很有價值,它就是運維監控,解決的問題是提高云的生產效率,提供SLA保障。
“原來的IT系統業務里面的網絡劃分非常清晰,但是在云里面,云的網絡、數據中心的網絡和租戶的網絡混在一起,對于運維者來講想要了解這時的網絡里面到底發生了什么并不容易。”張天鵬說。
云杉網絡自主研發了深度流探測(DFI,Deep Flow Inspection)技術,它覆蓋虛擬和物理交換設備,運行于虛擬交換機內核層面,高效無損地統計公網和私有網絡流量。依據流量數據繪制流量拓撲,可按流量模型等條件過濾出特定流量,用于深入分析租戶業務。
云杉網絡提供了一套系統去分析這個復雜的網絡狀況,張天鵬補充道,“這里不光是網絡,云杉還把像KVM節點里面的虛擬化CPU負載、IO等信息全部融合在一起,并做到物理拓撲和邏輯的映射。”
這套系統剛開始面向運維人員,做的也是解放運維精力,但未來一定是面向直接客戶的。“按理說用戶其實對自己的業務是最了解的,但運行在別人的云里面就不見得了,主要問題其實對基礎網絡根本不了解。”張天鵬說,云杉要把基礎網絡和用戶本身業務做結合。
這套網絡運維系統將是一套大數據分析平臺,利用大數據流式計算技術,實時展現用戶業務的當前狀態。相比其它網絡探針,DFI直接在虛擬服務器出口進行統計,用戶的所有內網流量也能納入分析并可視化展現,分析獲得熱點鏈路和熱點業務等特征。該流量數據能夠通過專業安全廠商的安全分析引擎進行安全威脅攻擊的分析,從而為云平臺的管理者和用戶提供便捷的運維服務。
倡導開放,云杉2Cloud NSP網絡及安全主要合作伙伴
小結
所以,看得出不管是網絡虛擬化、NFV還是網絡運維,云杉針對用戶可能面對的每一個需求都做了細致入微的考慮。并且,2Cloud NSP的推出,技術亮點頗多,分布式二層、三層網絡,微分段,Service Chain透明接入,DFI深度流檢測等都讓用戶輕松上云。
當然,對于云用戶來說,一個生態體系建設必不可少,也就是在一個生態體系中把用戶需要的有價值的東西融合在一起。值得稱贊的是,經過四年多的發展,云杉已經構建了一個混合云的生態圈,在這個生態圈中涵蓋了軟硬件廠商、應用服務商、數據中心以及云服務商,大大小小的包括幾十家合作伙伴,從而實現開放共贏共建云生態。
從另一方面來說,云杉仍是SDN領域的初創公司,尤其將自己定位為從軟件著手研究SDN這個門檻不低的行當,我們如果將SDN視為整個IT基礎架構體系中的“小產品”,但面對的卻是大需求,所以云杉走的路實屬不易。選擇SDN,就意味著云杉選擇了一條艱苦的路,因為贏得訂單,不是靠嘴皮子,而是真本事。
欣喜的是,從技術上來講如今云杉的SDN拿出手并不跌份,在很多領域他還走出了領先與創新之路。你要問這個由來自清華、Juniper、華為等形成骨干的中國SDN軟件公司四年的時間里干了那些事?他還真著著實實做了不少事。正是因為實力不俗的產品,云杉將其SDN應用到了IDC、電信、金融等眾多行業用戶,并且能聚攏一批業界有影響力的合作伙伴。
開文講到云杉瞄向Nicira,但是要說云杉會成為中國的Nicira甚至超越Nicira,誰又說得準呢?畢竟在中國這個云、互聯網等蓬勃發展的市場中,有的是機會!
京公網安備 11010502049343號