1 引言

    隨著云計算的興起。利用虛擬化和面向服務(wù)技術(shù)，數(shù)據(jù)中心突破了原有的場地出租、線路帶寬共享、主機托管維護、應用托管等服務(wù)，更注重數(shù)據(jù)的存儲和計算能力的虛擬化、設(shè)備維護管理的綜合化。云計算技術(shù)能將網(wǎng)絡(luò)上分布的計算、存儲、服務(wù)構(gòu)建、網(wǎng)絡(luò)軟件等各種網(wǎng)絡(luò)資源和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施統(tǒng)籌起來，基于資源虛擬化的方式．為用戶提供通過互聯(lián)網(wǎng)訪問定制IT資源共享池能力(IT資源包括網(wǎng)絡(luò)、服務(wù)器、存儲、應用、服務(wù))，實現(xiàn)資源按需提供服務(wù)，并通過規(guī)模運營降低能耗。在這種計算模式下，計算開始向網(wǎng)絡(luò)的中心遷移，傳統(tǒng)的計算、存儲一體的個人計算機轉(zhuǎn)變成計算、存儲功能分離的集群系統(tǒng)。

    網(wǎng)絡(luò)的發(fā)展與計算系統(tǒng)的發(fā)展彼此影響并相互聯(lián)系，計算系統(tǒng)主要在網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)功能和網(wǎng)絡(luò)體系3個方面影響著網(wǎng)絡(luò)的發(fā)展。適應計算系統(tǒng)虛擬化進程的網(wǎng)絡(luò)體系結(jié)構(gòu)的新設(shè)計和新想法被不斷提出．網(wǎng)絡(luò)虛擬化是一個重要的方向，在方案選優(yōu)的過程中有很多因素都將影響其發(fā)展．這其中有2個關(guān)鍵問題必須回答：為什么網(wǎng)絡(luò)虛擬化是必須的：為什么傳統(tǒng)網(wǎng)絡(luò)方法不能很好地支持虛擬化。

2 網(wǎng)絡(luò)虛擬化的重要性

    通過把操作系統(tǒng)與底層硬件相耦合．為計算虛擬化提供了極其靈活的虛擬機運作模式，讓IT把一系列服務(wù)器看成是通用資源池，計算虛擬化已經(jīng)改變了IT業(yè)界關(guān)于成本、效率、新應用和服務(wù)的推出速度等方面的預期設(shè)想。與此同時，計算虛擬化為如何更寬泛地考慮IT基礎(chǔ)架構(gòu)提供了一個樣板。也就是說，所有的數(shù)據(jù)中心基礎(chǔ)架構(gòu)。包括基礎(chǔ)網(wǎng)絡(luò)在內(nèi)．應該提供一個與計算虛擬化類似的屬性。計算系統(tǒng)經(jīng)歷了從大型機封閉系統(tǒng)到客戶端——服務(wù)器水平擴展的演化過程．如果能夠達到數(shù)據(jù)中心基礎(chǔ)架構(gòu)完全虛擬化的目標，將開創(chuàng)一個與之媲美的新計算時代。一旦基礎(chǔ)架構(gòu)完全虛擬化，應用軟件不再受限于物理設(shè)備，任何應用軟件將可以運行在任何物理設(shè)備上，通過自動化部署統(tǒng)一管理和集中控制以節(jié)約運維成本，通過硬件獨立于軟件和系統(tǒng)集成以節(jié)約資本，通過基礎(chǔ)設(shè)施類似集中式托管的外包模式來提升市場效率。

    網(wǎng)絡(luò)虛擬化可以在邏輯上把一個物理的網(wǎng)絡(luò)劃分成多個邏輯網(wǎng)絡(luò)．同時提供了一種強有力的方式使得多個網(wǎng)絡(luò)體系結(jié)構(gòu)同時運行(可以是不同的網(wǎng)絡(luò)體系結(jié)構(gòu))在一共享的物理設(shè)施上。最常見的虛擬化技術(shù)有VLAN、VPN等。

    網(wǎng)絡(luò)虛擬化建議把Intemet服務(wù)提供商(Intemetservice pmvider，ISP)的角色解耦為：基礎(chǔ)設(shè)施提供商(infrastmcture pmvider，InP)管理基礎(chǔ)物理設(shè)施；服務(wù)提供商(service pmvider，SP)，在多個基礎(chǔ)設(shè)施之上創(chuàng)建虛擬網(wǎng)絡(luò)并提供端到端的服務(wù)。服務(wù)提供商可以動態(tài)地構(gòu)建多種異構(gòu)的虛擬網(wǎng)絡(luò)．多個虛擬網(wǎng)絡(luò)之間隔離并且共存。所以，網(wǎng)絡(luò)研究者可以在其中的虛擬網(wǎng)絡(luò)上進行任意的編程．并且不會影響其他的虛擬網(wǎng)絡(luò)。

    目前．實現(xiàn)多個網(wǎng)絡(luò)體系結(jié)構(gòu)的共存仍然需要考慮多方面的因素。如系統(tǒng)的穩(wěn)定性、安全性、資源管理(資源計算、資源隔離)等。同時，應注意以下幾個主要問題：支持多種體系結(jié)構(gòu)并存：支持非IP體系結(jié)構(gòu)；異質(zhì)體系結(jié)構(gòu)間的數(shù)據(jù)通信、交互；構(gòu)建全球范圍的虛擬網(wǎng)絡(luò)。

3 傳統(tǒng)網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)虛擬化領(lǐng)域的局限性

    由于數(shù)據(jù)中心在傳統(tǒng)物理網(wǎng)絡(luò)與操作系統(tǒng)之間的緊耦合關(guān)系，構(gòu)建多租戶云數(shù)據(jù)中心時，受限于多種網(wǎng)絡(luò)技術(shù)之間復雜的相互影響和作用。使用傳統(tǒng)網(wǎng)絡(luò)設(shè)計達到完全虛擬化的數(shù)據(jù)中心是非常困難的，經(jīng)常有一些網(wǎng)絡(luò)限制能采用局部方案處理．但同時會在架構(gòu)的其他地方產(chǎn)生不利影響。如在某些場景下，移動性管理可以通過在虛擬機VM上運行路由器來處理，但這會減少單個虛擬機的吞吐量，在很多場景下這是不切實際的。在使用傳統(tǒng)方法構(gòu)建虛擬化數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)時，公認的障礙及實施難點主要包括以下5個方面。

    (1)不支持地址空間虛擬化

    一般情況下，虛擬機使用與物理網(wǎng)絡(luò)相同的地址空間。如虛擬機VM的第一跳網(wǎng)關(guān)被配置為網(wǎng)絡(luò)上的一個物理路由器，這種配置有2個問題。

    第一，同一L2網(wǎng)絡(luò)中，負荷分擔的虛擬機VM被限制在該物理子網(wǎng)中，限制了移動性和VM部署點。在很多大型虛擬數(shù)據(jù)中心，由于無法在數(shù)據(jù)中心內(nèi)部或者數(shù)據(jù)中心之間任意部署虛擬機VM．因此很難接納日益增長的多租戶。無論是難以支持同一租戶所有的VM在相同IP子網(wǎng)中以及對同一租戶擴展性的限制．還是所有虛擬機VM必須在同一子網(wǎng)空間內(nèi)移動的限制．都會引起計算資源的中斷運行和碎片化。第二，由于共享同一路由轉(zhuǎn)發(fā)表(L2，L3)，支持重疊IP地址是困難的。在多租戶環(huán)境下，特別是協(xié)同集群中的主控方．理想上應支持客戶希望的任何IP地址。這允許虛擬化數(shù)據(jù)中心中更簡化的遷移路徑，虛擬機無需支持重編碼IP地址。而虛擬路由和轉(zhuǎn)發(fā)表VRF的限制、管理NAT配置的需要，使虛擬機支持重疊IP地址在一定場景下難以實現(xiàn)。

    (2)數(shù)據(jù)中心處理規(guī)模

    虛擬化對傳統(tǒng)網(wǎng)絡(luò)的處理規(guī)模提出了更高要求，這方面的權(quán)威例子是VLAN。傳統(tǒng)VLAN被限制在4 096個獨立段內(nèi)。很多大型云計算中心的客戶遠遠超過4 096個，要求采用多個、支持自有VLAN空間的非疊加網(wǎng)絡(luò)來隔離用戶。除VIAN限制以外，傳統(tǒng)網(wǎng)絡(luò)技術(shù)還有其他限制不能滿足現(xiàn)代數(shù)據(jù)中心的規(guī)模性需求。如典型多租戶虛擬數(shù)據(jù)中心每個hypervisor集群有20～80個虛擬機VM。高級別的集中托管要求物理網(wǎng)絡(luò)(非虛擬化的)管理眾多主機的地址和策略，被管理的主機數(shù)量超出傳統(tǒng)的數(shù)據(jù)中心。因此。大型數(shù)據(jù)中心中MAC和ACL表耗盡是現(xiàn)實問題。即使中等規(guī)模的虛擬數(shù)據(jù)中心也需要價格更貴的高端交換機以容納更大的L2表。

    (3)整合網(wǎng)絡(luò)層業(yè)務(wù)

    負載均衡、防火墻、WAN側(cè)優(yōu)化是網(wǎng)絡(luò)層的主要業(yè)務(wù)，虛擬數(shù)據(jù)中心中，此類業(yè)務(wù)也是主要的網(wǎng)絡(luò)負載。在虛擬數(shù)據(jù)中心集成這些虛擬業(yè)務(wù)時，有2個問題需要處理。

    第一，確保流量路由到合適的業(yè)務(wù)。虛擬化數(shù)據(jù)中心運營商通過虛擬機遷移來有效地使用服務(wù)器。由于虛擬機移動。負載均衡器需要追蹤它們的位置并將請求發(fā)送到它們新的正確位置。通常用VLAN來處理，但會引起上述討論的弊端出現(xiàn)，要求虛擬機VM和中間節(jié)點之間的鄰接L2提供這種業(yè)務(wù)。

    第二。虛擬網(wǎng)絡(luò)需要匹配網(wǎng)絡(luò)帶寬與業(yè)務(wù)容量。由虛擬應用負責負載均衡時，如果虛擬網(wǎng)絡(luò)流量路由到某個瓶頸點。可能出現(xiàn)帶寬需求超過了該處容量的情況，在這種情況下就要求網(wǎng)絡(luò)層業(yè)務(wù)本身必須虛擬化。實現(xiàn)網(wǎng)絡(luò)與虛擬機間的快速協(xié)同。但現(xiàn)有網(wǎng)絡(luò)無法支持虛擬私有云的客戶訂制化網(wǎng)絡(luò)配置實時生效，不能實現(xiàn)多層網(wǎng)絡(luò)間的協(xié)同，難以按需調(diào)整帶寬。

    (4)服務(wù)開通依賴硬件

    隨著計算虛擬化的發(fā)展。任何虛擬機VM可以運行在標準服務(wù)器上．也可以完全自動地實現(xiàn)服務(wù)開通和虛擬機管理。然而。為虛擬機VM創(chuàng)造一個獨立網(wǎng)絡(luò)(及它們關(guān)聯(lián)的網(wǎng)絡(luò)策略)需要通過設(shè)備商定義API配置硬件來手動實現(xiàn)閉。這種方式面臨幾個問題：數(shù)據(jù)中心運營主體與特定硬件供應商綁定，如果是手動配置，容易出錯；另外，如果部署某種網(wǎng)絡(luò)策略，不引起混亂而實現(xiàn)升級或者替換網(wǎng)絡(luò)設(shè)備是很困難的。

    (5)網(wǎng)絡(luò)業(yè)務(wù)的提供能力與硬件設(shè)計周期相關(guān)聯(lián)

    增加新業(yè)務(wù)的能力受限于新硬件的提供時間和IT業(yè)界部署周期。硬件特性部署周期一般又受限于ASIC的設(shè)計時間，從18個月到4年不等。由于部署周期過長。大型虛擬數(shù)據(jù)中心運營實體不依賴物理硬件來開通虛擬網(wǎng)絡(luò)業(yè)務(wù)或者提供虛擬網(wǎng)絡(luò)服務(wù)。為了能夠快速地通過軟件開發(fā)來提供新業(yè)務(wù)，多數(shù)大型數(shù)據(jù)中心會在網(wǎng)絡(luò)邊緣提供基于軟件的服務(wù)。

4 SDN技術(shù)構(gòu)建數(shù)據(jù)中心虛擬網(wǎng)絡(luò)

    如圖1晰示，軟件定義網(wǎng)絡(luò)(SDN)，采用OpenFlow協(xié)議構(gòu)成一個控制／轉(zhuǎn)發(fā)分離的網(wǎng)絡(luò)，開發(fā)者，用戶可以很容易地在控制器上編程控制網(wǎng)絡(luò)的轉(zhuǎn)發(fā)行為，而轉(zhuǎn)發(fā)面是一個完全按照nowtable流表規(guī)則進行轉(zhuǎn)發(fā)的簡單硬件設(shè)備，SDN控制轉(zhuǎn)發(fā)分離的可編程網(wǎng)絡(luò)架構(gòu)如圖1所示。SDN具有如下特點：

• 轉(zhuǎn)發(fā)面和控制面分開承載。數(shù)據(jù)轉(zhuǎn)發(fā)和控制信息可共用物理網(wǎng)。但邏輯上可以使用不用的路由協(xié)議分開承載；
• 集中控制，集中控制是簡化網(wǎng)絡(luò)管理的關(guān)鍵，是實現(xiàn)網(wǎng)絡(luò)操作系統(tǒng)(NOS)、網(wǎng)絡(luò)可編程的基礎(chǔ)：
• 控制和轉(zhuǎn)發(fā)的開放接口Opennowr是網(wǎng)絡(luò)邁向開放的“橋頭堡”：
• 網(wǎng)絡(luò)虛擬化，網(wǎng)絡(luò)資源可邏輯分割，使物理網(wǎng)絡(luò)可切分成多個邏輯網(wǎng)絡(luò)。

    像云計算一樣，網(wǎng)絡(luò)將向虛擬化方向演進，使工作負荷與物理網(wǎng)絡(luò)解耦合。這樣才能使計算虛擬化的潛力得以完全發(fā)揮。但傳統(tǒng)的網(wǎng)絡(luò)方法不能很好地勝任該項任務(wù)。采用云計算的思想設(shè)計數(shù)據(jù)中心虛擬化系統(tǒng)的整體架構(gòu)，整合計算、網(wǎng)絡(luò)、存儲，通過SDN技術(shù)將數(shù)據(jù)中心的網(wǎng)絡(luò)資源池化．形成統(tǒng)一的資源調(diào)度組，如圖2所示。

圖1 SDN：控制轉(zhuǎn)發(fā)分離的可編程網(wǎng)絡(luò)架構(gòu)

圖2 SDN技術(shù)構(gòu)建虛擬化數(shù)據(jù)中心

    軟件定義網(wǎng)絡(luò)提供了網(wǎng)絡(luò)虛擬化架構(gòu)。克服了傳統(tǒng)網(wǎng)絡(luò)的缺點，提供虛擬主機的優(yōu)勢，如可隔離、移動性、擴展性、無限制的動態(tài)業(yè)務(wù)開通能力，與硬件設(shè)備解耦合等。將SDN技術(shù)應用到數(shù)據(jù)中心網(wǎng)絡(luò)中，使網(wǎng)絡(luò)資源能夠與計算資源和存儲資源一起進行統(tǒng)一調(diào)度，并提供開放接口給上層應用．進一步提供新業(yè)務(wù)開發(fā)能力．它為數(shù)據(jù)中心整體解決方案帶來了以下優(yōu)勢。

    (1)業(yè)務(wù)即軟件，實現(xiàn)完全虛擬化地址

    控制面、轉(zhuǎn)發(fā)面分別演進，轉(zhuǎn)發(fā)面不感知任何業(yè)務(wù)邏輯，只是機械地按照流表中的指令集進行轉(zhuǎn)發(fā)，從而實現(xiàn)數(shù)通設(shè)備轉(zhuǎn)發(fā)面與控制面的解耦，使數(shù)據(jù)中心網(wǎng)絡(luò)擺脫網(wǎng)絡(luò)硬件的束縛．只關(guān)注對網(wǎng)絡(luò)的功能需求，徹底解放了軟件的創(chuàng)造力，使業(yè)務(wù)開展借助快速創(chuàng)新按軟件發(fā)布周期迅速跟隨市場演進。無需手動配置或者重新布線基礎(chǔ)設(shè)施．業(yè)務(wù)實施可以動態(tài)添加、擴展和配置。

    允許虛擬網(wǎng)絡(luò)之間的重疊地址，無需重編IP地址即可橋接或者遷移物理網(wǎng)絡(luò)到虛擬網(wǎng)絡(luò)，允許多重IP地址機制(如IPv6)運行在IPv4網(wǎng)絡(luò)上。通過虛擬服務(wù)器、虛擬存儲、SDN間的聯(lián)動機制，將虛擬機關(guān)聯(lián)的網(wǎng)絡(luò)特性同時遷移，保證虛擬機遷移完成時，網(wǎng)絡(luò)同步可用，整個過程也是自動化執(zhí)行的。

    (2)集中控制面，易管理

    與數(shù)據(jù)中心分散地管理數(shù)十臺乃至數(shù)百臺交換機相比，一個集中的管理點無疑大大降低了管理的復雜度。

    Opennow的集中控制能力使得全局、動態(tài)轉(zhuǎn)發(fā)策略非常容易維護，實現(xiàn)一次配置、處處生效。如基于MAC的VLAN，只要在控制器中配置后，無論該主機接入哪個交換機，對應的VLAN均會生效。

    新的轉(zhuǎn)發(fā)規(guī)則、拓撲算法無需改動交換機硬件，只要在控制器中實現(xiàn)一個軟件模塊或編寫一段腳本即可。控制器本身基于商用服務(wù)器、操作系統(tǒng)，安裝、開發(fā)、部署網(wǎng)絡(luò)應用模塊非常容易。

    可以對數(shù)據(jù)中心計算調(diào)度系統(tǒng)提供接口。實現(xiàn)計算和網(wǎng)絡(luò)的聯(lián)動調(diào)度。如在虛擬機VM集中管理器創(chuàng)建VM時，可以通知0pennow控制器創(chuàng)建網(wǎng)絡(luò)VLAN資源以及負載均衡策略。

    (3)多租戶數(shù)據(jù)中心

    在公有云中．數(shù)據(jù)中心提供給租戶虛擬專有云服務(wù)。客戶可以在此虛擬專有云中按照自己的策略分配私有的IP地址，制定私有ACL規(guī)則和負載均衡策略。租戶在數(shù)據(jù)中心的安全隔離分為3類：邏輯隔離，發(fā)生在租戶內(nèi)部的不同密級部門，對不同業(yè)務(wù)劃分不同權(quán)限；強邏輯隔離，發(fā)生在租戶之間，沒有業(yè)務(wù)交集，完全隔離；物理隔離，發(fā)生在涉密租戶與其他租戶之間，物理上完全隔離。

    由于SDN具有可編程能力，SDN NOS可以加載應用模塊，識別不同租戶的網(wǎng)絡(luò)流量，通過流表的控制．使數(shù)據(jù)流只能在同一租戶的虛擬機間轉(zhuǎn)發(fā)。通過網(wǎng)絡(luò)設(shè)備虛擬化，實現(xiàn)獨立的安全策略管理；獨立的硬件資源享用；獨立的日志報表呈現(xiàn)；安全特性的獨享。突破VIAN 4096的限制，支持大量相互隔離的租戶網(wǎng)絡(luò)。租戶通過自服務(wù)門戶分配虛擬數(shù)據(jù)中心，資源按需分配。

5 結(jié)束語

    OpenFlow起初是應校園網(wǎng)的研究性需求誕生，其規(guī)范對于交換設(shè)備特性的支持相對比較完善。數(shù)據(jù)中心是相對封閉的小環(huán)境，SDN的集中控制模式可以完全控制整個數(shù)據(jù)中心，其帶來的新特性不必過多考慮與互通設(shè)備的兼容性，可以最大化地發(fā)揮軟件定義網(wǎng)絡(luò)的優(yōu)勢。從運營管理角度來說，SDN的集中管控架構(gòu)恰好與IaaS的需求是一致的。通過SDN控制器與虛擬機管理器的聯(lián)動，不僅可以降低管理的復雜度，也使得IaaS的運營、業(yè)務(wù)開通更高效、快捷。

    虛擬化時代的數(shù)據(jù)中心網(wǎng)絡(luò)，引入SDN技術(shù)賦予了數(shù)據(jù)中心網(wǎng)絡(luò)更靈活的能力，以降低網(wǎng)絡(luò)開發(fā)維護成本．有利于推動設(shè)備側(cè)／網(wǎng)絡(luò)層新協(xié)議、新功能、新業(yè)務(wù)在網(wǎng)絡(luò)上快速實現(xiàn)和部署，有利于加強互聯(lián)網(wǎng)靈活應變的能力和不斷革新的能力，從而推動互聯(lián)網(wǎng)為人類提供更好的服務(wù)并創(chuàng)造更大的輝煌。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標題：基于SDN技術(shù)構(gòu)建數(shù)據(jù)中心虛擬網(wǎng)絡(luò)

本文網(wǎng)址：http://www.lukmueng.com/html/support/1112158694.html