当前云计算技术已经成为数据中心基本部署要求,针对云计算中对网络虚拟化的需求,业界厂家提出了各种解决思路,sdn网络技术得到了大力发展,具有资源虚拟化、自动化等特点。早期纯软件的sdn技术虽然可以随云而动实现业务网络自动部署,但在性能、功能、稳定性、可扩展性等方面存在较大的限制。ad-dc 2.0凯发在线的解决方案结合新一代evpn技术和sdn控制模型,完成了数据中心的技术演进和实践,并为分布式数据中心建设提供了新的基础方案。ad-dc 2.0凯发在线的解决方案网络除了具有随云而动的特性,还具有可扩展、高可靠、大带宽等各项优点。
一、 基于ad-dc 2.0凯发在线的解决方案的云网融合基础架构
一个完整的云网融合方案,主要由三部分构成:云平台、vcf fabric网络、运维平台(如图1所示)。
图1. 云网融合整体架构
1. 云平台
直接面向用户的业务平台,联合fabric网络中的控制器,提供拖曳式构建业务网络、管理云主机的功能,简单易用,无需面对庞大设备群的复杂命令行配置,所见即所得;
2. vcf fabric网络
由网络设备构成的交换网络,直接承担云主机之间、云主机与外部网络之间的报文交互。网络设备上的业务网络构建可以通过sdn控制器来实现整网的业务网络部署,避免传统网络部署过程中登录各个设备通过命令行部署带来的复杂、易错、繁琐等问题。
sdn控制器可以直接为用户提供业务网络部署的图形化配置界面,也可以和云平台联动,接收云上网络部署的指令,转换为物理设备上的网络部署命令,实现云网联动业务网络自动快速部署。
基于mp-bgp的分布式fabric网络,通过evpn标准协议的报文交互可以实现vxlan隧道的自动构建和主机路由的自动同步,实现快速的overlay网络构建,很好地解决了传统层次化网络的资源浪费、部署慢等问题。
spine加leaf的两层分布式网络架构,让网络具有更好的可扩展性和可靠性:
l 通过leaf和多个spine之间的underlay等价链路实现对overlay流量的负载分担和高可靠性,可以据需增加spine进一步提高负载分担能力,增加leaf之间overlay网络的带宽;
l 可直接在各个分布式网关上进行三层转发,无需像集中式组网那样必须在网关上多做一次报文拆封装,降低了对集中式组网网关的性能要求。
l 分布式组网中,多个网关中的某个网关故障不影响其他网关的转发,避免了集中式组网单一网关的单点瓶颈,提高了可靠性。
l 分布式组网中,多个border出口可以支持对南北向流量的负载分担,某个border故障流量可以分担到其他border,避免了集中式组网单一网关同时作为border的单点瓶颈,提高了可靠性。
3. 运维管理平台director
主要有两个功能:
l 物理网络的初始自动化部署,实现设备零配置接入,自动构建underlay网络;
l 监管整网运行状态,提供告警管理、underlay和overlay拓扑展示、性能监控等相关运维功能。
通过云平台、vcf fabric网络、运维平台三部分的相互配合,可以实现一个云网络从无到有的自动化快速搭建,涵盖underlay网络的快速构建和overlay网络的按需下发和自动构建,无需人工干涉减少人为失误,快捷且高效。
下面介绍云网融合最佳实践中用到的几个关键技术。
二、 云网融合最佳实践关键技术介绍
要实现一个云网络从无到有的快速搭建,主要的关键技术含如下几个方面:
1. underlay自动化及地址借用
在部署overlay业务网络之前,必须构建承载overlay网络的underlay网络。
通过director运维平台,可以依据step-by-step部署过程实现underlay自动化基础环境搭建,协助设备完成零配置接入,自动构建underlay网络。
在这个fabric网络里,设备可以分为两个类:spine和leaf,所以,整个underlay网络的设备零配置接入只需要设计两个模板文件即可。设备接入网络后,自动根据自己的角色去获取对应的模板文件,实现underlay网络的自动构建。
一个完整的设备零配置自动接入构建underlay网络的过程如下:
l director构建underlay自动化环境的部署;
l 设备零配置上电接入,获取管理地址、loopback口地址等设置;
l 所有的网络设备互相识别,将互联口配置为借用loopback口的地址,并依据指定的underlay路由协议建立underlay网络连接;
l 各设备建立和控制器的连接,并将连接服务器的接口上报控制器,准备接收overlay业务网络的配置部署;
在这里,使用了地址借用这个特性。所谓地址借用,就是该接口不配置地址,而是借用其他接口的地址。所以,可以让整个设备除了管理地址之外,只配置一个loopback口的地址。所有的underlay互联接口以及overlay业务的vxlan隧道建立都可以使用这个地址。这样,可以减少对underlay互联网段的占用,降低网络规划设计的复杂度。
在上面的自动化过程中,director作为运维平台,可以监控各个设备的自动化过程是否成功,并自动纳管设备,为后期监控设备状态、提供underlay和overlay网络拓扑等运维工作做好基础部署。
2. overlay网络的云网联动自动部署
当前云平台的openstack架构的网络业务模型发展还不完善,如果直接通过各厂家的neutron插件控制网络设备实现业务网络,不够灵活。所以,一般云平台并不直接和设备关联,而是通过中间的sdn控制器实现云网联动部署。
常规的云网联动流程如下:
l 云平台将需要创建的网络信息通过标准restful接口通知控制器
l 控制器的业务网络部署支持预部署和按需部署两种模式
预部署:控制器将收到的网络部署请求直接通过netconf接口下发给各个设备,让设备自动构建overlay网络。
按需下发模式:当设备上有主机上线时,通知控制器,根据前面规划的或从云得到的网络信息,给设备下发对应的网络部署。
3. evpn标准实现overlay网络的自动构建
当前overlay网络主要由vxlan隧道实现,而evpn是实现vxlan网络的控制层面的标准协议。
evpn基于mp-bgp标准,如果各厂家都按标准实现,可以实现各厂家设备的对接。
evpn的基本功能:
l 自动隧道建立:自动在部署有相同vxlan网络的vtep间创建vxlan隧道。实现隧道按需建立,无需人工维护,也不占用多余的隧道资源。
l 自动地址同步:自动完成overlay网络层面业务主机的mac地址、主机路由、网段路由的同步,可以减少二层未知单播、arp请求等广播报文在全网的泛洪。
4. arp代答
evpn网络支持arp代答功能。由于evpn具有主机路由自动同步机制,主机上线时,每个网关都可以通过路由同步自动学习到远端各个主机的ip和mac信息,各个网关可以使用此信息在本地建立arp代答表,如果本地有主机需要访问远端,当网关收到arp请求时,可以代替远端leaf上的主机做arp应答。
启用arp代答后,对远端主机的arp请求无需通过隧道广播到所有的leaf,可以减少广播报文在全网的泛洪。
对于arp missing也即某主机没有主动发送过arp或因某种原因arp丢失或老化的情况,leaf本地没有arp代答表项,会泛洪此arp请求到同一个vxlan网络中的所有leaf,再由各个leaf走本地的arp广播给下挂的主机,实现一个完整的arp请求过程。
5. 对第三方防火墙的支持
每一个数据中心网络都会考虑安全的需求,都会部署防火墙,且有可能网络设备控制器和安全设备不是同一个厂家的设备。但是当前openstack架构还在不断的发展中,对防火墙的支持还没有成熟、灵活、适应各厂家设备的接口,故防火墙如果和控制器不是同一厂家的,则很难对该fw做云网联动的全面控制。
云网联动的安全控制,包括两个方面的内容:一个是分布式sdn网络中各网关设备上对流量到fw的自动化引流控制;一个是fw上对流量的安全策略和路由的下发。
对于防火墙和控制器不是同一厂家的情况,可以实现第一部分的自动化功能,也即:通过云网联动按需实现对网络中流量到fw的自动化引流。
具体的设计和实现过程可以如下:
l 通过控制器预部署fw:为fw连接对应的serviceleaf创建对应的网络;
l 控制器和云联动让云平台获知该fw的存在;
l 云平台将该fw绑定到需要保护的业务vrouterb;
l 云平台建立需要访问vrouterb的vroutera和vrouterb之间的联系。
上述过程完成后,各个leaf的vrouterb和vroutera就可以有路由指向fw,此时,只要再登录fw设置对应的路由和策略,就可以实现通过此第三方fw的安全控制策略对vrouterb和vroutera之间的流量的访问控制。
三、 运维管理平台的功能介绍
作为一个运维管理平台,director除了可以支持设备零配置接入、自动纳管、实现整网underlay网络的自动建立之外,还可以实现对整网运行状态的监控,提供告警管理、underlay和overlay拓扑展示、性能监控、雷达探测……等相关运维功能。
如图2所示,对链路上的流量转发速率或丢包率等监控项设置阈值,超过阈值的则改变该路径的颜色,为用户提供更清晰的流量路径监控信息。
图2. 运维平台对设备间流量的监控
如图3所示,在underlay网络拓扑的基础上叠加overlay网络的拓扑展示,通过高亮展示某租户的某个vxlan网络的逻辑连接关系。对于leaf比较多的情况下,可以清晰地了解到有哪些leaf是部署有该vxlan网络的。
图3. 运维平台对overlay拓扑的展示
四、 结束语
当前,支撑上层云平台的sdn网络实现方式有很多种,但ad-dc 2.0凯发在线的解决方案的分布式网络是最具有可扩展性、更灵活的、更可靠的。
通过云平台、vcffabric网络、运维管理平台这三者的紧密配合,可以真正实现从无到有的快速underlay到overlay的全自动化按需部署,实现对云业务的快速支持。为用户提供更加高效、完整的云网融合凯发在线的解决方案。