《大型数据中心网络升级改造解决方案.docx》由会员分享,可在线阅读,更多相关《大型数据中心网络升级改造解决方案.docx(42页珍藏版)》请在课桌文档上搜索。
1、大型数据中心网络升级改造解决方案目录1项目背景31.1 1项目背景31.2 项目目标31.3 项目需求41.3.1 1业务需求41.3.2 网络需求41.3.3 安全需求51.3.4 运维需求52传统网络面临的问题61.2 1业务规划与网络架构紧耦合61.3 东西流量受到传统网络架构限制71.4 业务规模受网络设备规格限制81.5 传统安全部署模式的限制81.6 不能适应大规模租户部署83 .数据中心解决方案的概述93.1 1数据中心演进节奏93.2 数据中心解决方案架构组成103.3 数据中心解决方案特点104 .某大型企业项目数据中心SDN网络解决方案124.1 方案设计原则124.2 整
2、体组网设计154.3 数据中心SDN网络基础架构174.4 详细设计内容194. 4.1Overlay195. 4.2主机部署与物理位置解耦和236. 4.3Overlay网络流表路由247. 4.4强控方案模式主机迁移策略跟随248. 4.5安全服务链部署251.5 单Fabric组网设计271.6 方案主要功能285 .下一代SDN数据中心的优势295.1 整网设计架构开放、标准、兼容305.2 可靠性保证315.3 安全融合,符合等保建设要求335.4 架构弹性设计335.5 端到端全流程自动化356 .SDN架构的关键特性366. 1Underlay自动化367. 2Overlay自动
3、化-独立Fabric场景408. 3云网安关键特性421项目背景1 .1项目背景某股份有限公司是一家拥有IoOOo多人的大型企业,拥有多个数据中心核心机房,由于建设的数据中心周期时间较久,核心机房的设备已经运作时间较长,而且设备硬件偏旧。已经无法支持未来的生产系统、业务系统部署需求。无法支撑核心业务快速上线时间,整个数据中心机房需要进行转型化升级改造来适应未来数字化业务的发展。2 .2项目目标基于以上项目背景和需求,本次数据中心网络建设设计需要满足未来较长一段时期的基础设施部署需求,并借助数据中心网络部署的独立性,运用VXLAN、SDN主流技术对当前数据中心网络结构进行优化,以适应未来网络架构
4、的发展需求。本项目的具体目标如下:1、数据中心机房网络基础设施。2、数据中心网络至少需要支持未来的生产系统、业务系统部署需求。业务上线时间由原先的平均30天,缩短到分钟级别。3、结合XX大型IT总体的规划,对数据中心的网络结构进行必要的优化,以适应新时期的业务部署、安全运行、提高IT管理水平的需求,网络方案要保持一定的先进性。4、采用先进的数据中心设计理念,能够支持新一代应用架构,适用于未来5-7年的IT技术发展,可以最大程度的保护数据和业务连续性。1.3项目需求1.3.1 业务需求如何更加快速地部署业务应用,为企业业务系统提供更及时、更便利的网络服务,提升企业的运行效率与竞争实力,也是当前企
5、业数据中心使用中面临的挑战之一。因此,当前数据中心的建设必须考虑如何实现快速上线业务、快速响应需求、提高部署效率。1.3.2 网络需求服务器虚拟化使高效利用IT资源,降低企业运营成本成为可能。服务器内多虚拟机之间的交互流量,传统网络设备无法感知,也不能进行流量监控和必要的策略控制。虚拟机的灵活部署和动态迁移需要网络接入侧做相应的调整,在迁移时保持业务不中断。虚拟机迁移的物理范围不应过小,否则无法充分利用空闲的服务器资源。迁移后虚拟机的IP地址不改变,以保持业务不中断,因此对数据中心网络提出了大二层的需求。1.3.3 安全需求数据中心对网络安全性的需求是最基本的需求。安全性设计包括物理空间的安全
6、控制及网络的安全控制。系统设计从整体方案上需要考虑端对端的安全,保证安全、绿色的使用资源。1.3.4 运维需求高效的运维是数据中心运营成功的基础。数据中心网络设备和IT资源呈现数量大、厂商多、运行配置复杂的特点,如何简化企业数据中心的运维管理、降低人工运维成本,是当前企业数据中心发展面临的重要挑战。在采用虚拟化技术后,数据中心网络延伸到服务器内部,如何对包括虚拟设备在内的多类设备进行统一管理、实现网络流量的精细化管理和网络故障的快速定位,都是对云计算时代数据中心运维的基本需求。在数据中心业务场景中,面向应用的运维管理目前正变得越来越迫切,如应用间/内的交互数据统计,带宽占用情况,数据转发路径链
7、路质量,会话连接故障分析等精细化运维管理正成为用户广泛的诉求,上述运维手段的实现将对减轻人工运维压力,快速故障响应,提升用户业务体验等方面都将获得显著效果。2传统网络面临的问题随着企业业务的快速扩展需求,IT做为基础设施,快速部署和减少投入成为主要需求,云计算可以提供可用的、便捷的、按需的资源提供,成为当前企业IT建设的常规形态,而在云计算中大量采用和部署的虚拟化几乎成为一个基本的技术模式。部署虚拟机需要在网络中无限制地迁移到目的物理位置,虚机增长的快速性以及虚机迁移成为一个常态性业务。服务器虚拟化在经过多年的发展后已经越来越成熟,被应用的领域也越来越广泛。它有效降低了成本,提高了资源利用率和
8、可用性,同时使运维效率也得到了较大提升,进而缓解了信息化建设所面对的诸多压力。虽然服务器虚拟化的普及彻底改变了应用的调配和管理,但是,这些动态工作负载所连接的网络却未能跟上它的发展步伐。网络调配仍然极其缓慢,甚至一个简单的拓扑结构的创建也需要数天或数周时间。传统的网络已经不能很好满足企业迈向云时代的这种需求,面临着如下挑战:1.1 业务规划与网络架构紧耦合传统数据中心业务规划分区分域,IP地址网段划分则一般以POD为单位,一个POD内为一个网段,规划部署同一种业务。此种网络架构规划清晰,维护简单,但是不足之处就是业务扩容受限,假设业务1部署在PODl内,如果PODl内无法扩容,需要把业务部署在
9、其他的机架上时则要求PODl与其他机架二层Trunk互通,要对网络做大量的配置更改。1.2 东西流量受到传统网络架构限制传统网络架构以三层为主,主要是以控制南北数据流量为主,由于数据中心虚拟机的大规模使用,虚拟机迁移的特点以东西流量为主,在迁移后需要其IP地址、MAC地址等参数保持不变,如此则要求业务网络是一个二层网络。但已有二层技术存在下面问题:生成树(STPSpaningTreeProtocol)技术,部署和维护繁琐,网络规模不宜过大,限制了网络的扩展。各厂家私有的IRFvPC等网络虚拟化技术,虽然可以简化部署、同时具备高可靠性,但是对于网络的拓扑架构有严格要求,同时各厂家不支持互通,在网
10、络的可扩展性上有所欠缺,只适合小规模网络部署,一般只适合数据中心内部网络。大二层网络技术TRILL/SPB/FabricPath等,虽然能支持二层网络的良好扩展,但对网络设备有特殊要求,网络中的设备需要软硬件升级才能支持此类技术,带来部署成本的上升。1.3 业务规模受网络设备规格限制云业务中虚拟机的大规模部署,使二层地址(MAC)表项的大小限制了云计算环境下虚拟机的规模,特别是对于接入设备而言,二层地址表项规格较小,限制了整个云计算数据中心的业务规模。1.4 传统安全部署模式的限制传统模式下的安全部署都是基于路径基于拓扑的安全策略部署,安全业务必须根据业务的要求配置好VLAN、IP、引流策略,
11、而且这些策略都是手工配置的,如果业务变更,那么安全策略的配置也必须跟着重新配置。另外传统安全都是基于物理硬件设备部署的,导致在业初期由于业务量小使设备利用率很低造成资源浪费,而且业务后期随着业务量的增量可能又会出现性能不够用的情况,安全设备的性能无法根据业务的要求而动态的扩展性能或者释放资源。1.5 不能适应大规模租户部署云业务需要大量租户之间的隔离,当前的主流二层网络隔离技术为VLAN,但是在大量租户部署时会有两大限制:一是VLAN可用的数量为4K左右,远远不能满足公有云或大型私有云的部署需求;二是如果在大规模数据中心部署VLAN,会使得所有VLAN在数据中心都被允许通过,会导致任何一个VL
12、AN的广播数据会在整个数据中心内泛滥,大量消耗网络带宽,同时带来维护的困难。3 .数据中心解决方案的概述3.1 数据中心演进节奏DCl.O是传统数据中心所采用模块化、层次化的建设模式,针对不同类型及批次的业务进行分区分期建设。这种“烟囱式”的建设方式存在着重复投资、资源利用率低、建设及交付周期长、网络规划复杂僵化、业务扩容困难等问题。随着计算虚拟化技术的普及应用,数据中心实现了计算资源池化,不同业务可以按需申请计算资源;同时,为了满足计算虚拟化对网络技术提出的大二层互通等新需求,开始应用VxLAN等网络虚拟化技术,数据中心建设进入了DC2.0。在这个阶段,IT各部门负责前期统一规划建设和定期扩
13、容,业务部门按需申请池化资源配额,项目建设及扩容不再和业务部门具体项目强相关。计算和网络虚拟化技术的融合,有效提高了资源利用率,缩短了资源交付周期。随着云计算技术的发展,数据中心跨入DC3.0时代。云平台作为面向业务部门的用户界面,统一整合了对数据中心的计算、存储、网络池化资源,同时提供实时自助申请界面,帮助业务部门将业务开通时间缩短到分钟级别,真正实现了面向应用的自动化。3.2 数据中心解决方案架构组成Cioud(OpenStack)Neutron PtuginfFabnc DirectorVCFAP! (,Restful)VCF Fabric3.3 数据中心解决方案特点IT业务平面和运维平
14、面无缝融合,支撑面向应用的自动化FabricDirector作为面向监控运维的基础架构管理平面,负责数据中心物理资源的部署、纳管,物理及虚拟资源的运维和监控;云平台作为面向交付的云&租户管理平面,负责数据中心虚拟资源部署,同时为PaaS及SaaS层面的应用自动化部署提供支持。两者以数据中心资源生命周期管理为轴,实现了无缝融合。开放、自动化、可编程的下一代网络架构,适用多种典型场景1、SDN场景:SDN控制器承上启下,北向提供完整的RestfulAPI,通过Neutron插件与OPenStaCk对接,同时支持各类第三方云平台对接;南向纳管Openflow及EVPN两种组网形式;是当前数据中心解决
15、方案的主打场景2、OpenStackPlugin场景:无SDN控制器,由网元上运行的Comware平台直接对接OPenStaCkNeutron组件3、第三方自动化软件场景:针对特定用户需求,支持Ansible、Puppet等第三方自动化软件,为用户业务提供更多灵活性完整的软件定义网络模型SDN+,助力用户自描述网络用户通过云平台申请计算资源、存储资源、租户虚拟网络,其中的计算和存储资源是业务部署需要,而虚拟网络负责将计算和存储资源连接起来。为了满足不同业务的网络互通及隔离需求,必须支持完整的软件定义网络模型,包括:1、提供完整的网络抽象模型具备完整网络描述能力,抽象端口、L2、L3网络、L4L
16、7层网络服务。2、基于网络抽象模型,用户自描述/自定义网络租户虚拟网络根据自身需求可灵活自定义,而物理网络可保持不变。3、分配、管控、呈现以及运维自定义网络网络资源可基于租户、租户不同业务进行细分;支持查看租户虚拟网络拓扑和物理网络拓扑的映射关系,并基于该统一拓扑进行运维和排障。VCFFabric网络架构在实现完整的软件定义网络模型的同时,还提供了多样化的网络转发控制平面模型和OVerlay组网方式,充分满足用户各类网络场景需求。4 .某大型企业项目数据中心SDN网络解决方案4.1 方案设计原则某大型企业数据中心项目从业务实际需求出发,充分利用信息技术优势,从大处着眼,小处着手,与用户共同建设
17、一个目标明确、管理清晰、执行顺利、平稳运行的项目,在系统的建设和管理过程中,我们将遵循以下原则:1、注重顶层设计、统筹规划,分步实施原则在项目的整体规划和总体设计阶段做好统一设计、统一标准、统一规范,然后分层、分阶段、逐步建设,关注每个阶段的产出和成果,在统一的目标下逐步完成整个项目的策略、需求、分析、设计、研发、测试、部署、试运行、培训、运维等工作。同时充分发挥各类项目相关人的知识能动性,提供信息化建设的咨询指导。2、强化应用建设,突出应用,关注实用原则数据中心建设项目的建设效果和建设思路直接体现了建设项目最直接的产出。因此,我们在建设项目过程中,将重点突出项目的应用目的,关注实用价值,以应
18、用和需求为主导,并在建设的过程中基于业务服务的要求、IT技术的发展,边建设、边开发、边应用、边完善,让应用的实际效果作为项目直接驱动要素。3、追求架构先进、技术成熟,扩展性强原则项目建设中所采用的技术架构,在一定程度上影响着项目的稳定性,也影响到项目未来的发展。因此在实施过程中我们将放眼长远,在保证可靠的基础上,尽量采用先进的网络技术、应用平台和开发工具,使数据中心系统建设项目具有较长的生命周期。4、经济实用、节约成本原则无论在产品的选型、技术的选择中,我们都要考虑成本的约束,其中不仅考虑当前采购的经济性,还要考虑系统长期运维的经济性,即系统的总拥有成本,尽力选择既经济可行又长期保障的产品和技
19、术。5、确保安全、保护隐私原则在系统建设中要充分考虑到系统安全性以及敏感信息的隐私性,避免数据出现在共享信息里,从网络系统、硬件子系统、软件子系统的设计都要充分考虑安全保密,采用安全可靠的技术,保证建成的系统稳定运行。6、重视资源、强调成长原则在项目建设的过程中,注重信息资源和人力资源的管理,在数据资源方面,注重网络资源共享的效率性,实现网络互连、信息互通、资源共享,应用交互与协同的网络环境,同时注重各级人力资源配置的合理性,做好培训工作,与甲方的工作人员共同成长,充分发挥资源效能。7、保护投资、充分利旧原则在本项目建设过程中,充分利用现有资源,防止新铺摊子和重复建设,所有建设内容都依托现有条
20、件和队伍进行建设,充分利用现有的资源、成果、设备,不搞重复建设。8、先进性和成熟性遵守先进性、可行性、成熟性,以保证系统的互操作性、兼容性、可维护性、可扩展性,并对前期投资有较好的保护。9、一致性和复用性本项目建设应充分考虑业务需求,要最大限度利用已有的资源,以减少重复投资,提高投资收益率。10、实施有序性统筹协调,建立相关管理制度,加强管理和指导,确保协调推进,有序实施,保证项目能够顺利、按时完成。4.2 整体组网设计计算资源RaCIC管理控制网络豳为夷源活RackRackI典型的ADDC组网图如上图所述,在这个图中,转发层的设备包括vswitch虚拟交换机、vxlan二层网关、vxlan三
21、层网关、vFW、vLB、其他普通的路由交换设备。控制层设备为VCF控制器。管理层设备为VCFD(ADDCDirector)。控制层设备和管理层设备可以集中部署在网络管理区。物理设备由Director进行管理,可一键完成基础underlay网络、服务器和存储的自动化部署;在业务网络层面,通过VXLAN技术构建的OVerIay网络可以实现与物理网络的解耦,大大提高网络的灵活性。VXLAN网络通过SDN控制器采用下发流表的方式指导数据转发;对于一个用户的数据中心来说,服务器包含两种类型,即虚拟化服务器和非虚拟化服务器,虚拟化的服务器可以采用vswitch作为Vtep,物理服务器则采用支持Vxlan的
22、物理交换机作为vtepo控制平面借助高可靠的SDNControllerVCFC集群实现管理和配置,VCFC控制器集中控制Vtep和vxlan二层网关、vxlan三层网关。Fabric区域网络的所有设备由SDN控制器+VCFD通过标准协议集中管理,VCFC负责控制平面,VCFD负责管理平面,减少了传统设备管理的复杂性。同时当用户业务扩展时,通过集中管理用户可以方便快速的部署网络设备,完成OVerIay和Underlay网络的自动化交付,便于网络的扩展和管理。核心Spine设备核心系列交换机主要提供VXLAN三层网关功能,网关之间可以采用堆叠方式部署;支持VXLAN报文的封装与解封装,并根据内层报
23、文的IP头部进行三层转发,支持跨VXLAN之间的转发,支持VXLAN和传统VLAN之间的互通。如果采用网络OVerIay方式部署,即VXLAN协议由物理网络交换机处理,作为vSwith下的VM或物理服务器的接入设备;采用该方式可以最大利用硬件交换机的芯片高速转发,对于新建的数据中心推荐或增加新的业务单元模块时推荐使用。如果采用主机OVerIay方式部署,即VXLAN协议由虚拟网络交换机处理,虚拟交换机可以提供VXLAN协议封装、解封装功能,支撑VM接入到SDN的OVerlay网络。用该方式可以最大利用现有的网络交换机进行部署,无需更换,对于已建成的数据中心SDN改造场景可以采用。服务链功能主要
24、是用来提供租户内东西向流量的安全服务,此功能由硬件安全设备或基于NFV形态的软件安全设备来承担;控制器支持集中控制整个服务链的构建与部署,将NFV形态或硬件形态的的服务资源抽象为统一的服务资源池,数据需要按照业务逻辑所定义的顺序,依次经过这些服务节点,实现服务链的自定义和统一编排。4.3 数据中心SDN网络基础架构Overlay网络的基础架构如下图所示:Overlay网络的基础架构VM(VirtualMachine,虚拟机)在一台服务器上可以创建多台虚拟机,不同的虚拟机可以属于不同的VXLANo属于相同VXLAN的虚拟机处于同一个逻辑二层网络,彼此之间二层互通。两个VXLAN可以具有相同的MA
25、C地址,但一个段不能有一个重复的MAC地址。VTEP(VXLANTunnelEndPoint,VXLAN隧道端点)VXLAN的边缘设备,进行VXLAN业务处理:识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装/解封装VXLAN报文等。VXLAN通过在物理网络的边缘设置智能实体VTEP,实现了虚拟网络和物理网络的隔离。VTEP之间建立隧道,在物理网络上传输虚拟网络的数据帧,物理网络不感知虚拟网络。VTEP将从虚拟机发出/接受的帧封装/解封装,而虚拟机并不区分VNI和VXLAN隧道。VNI(VXLANNetworkIdentifier,VXLAN网络标识符)VXLAN采用
26、24比特标识二层网络分段,使用VNI来标识二层网络分段,每个VNl标识一个VXLAN,类似于VLANID作用。VNI占用24比特,这就提供了近16M可以使用的VXLANsoVNI将内部的帧封装(帧起源在虚拟机)。使用VNI封装有助于VXLAN建立隧道,该隧道在第3层网络之上覆盖率第二层网络。VXLAN隧道在两个VTEP之间完成VXLAN封装报文传输的逻辑隧道。业务入隧道进行VXLAN头、UDP头、IP头封装后,通过三层转发透明地将封装后的报文转发给远端VTEP,远端VTEP对其进行出隧道解封装处理。VSI(VirtualSwitchingInstance,虚拟交换实例)VTEP上为一个VXLA
27、N提供二层交换服务的虚拟交换实例。4.4 详细设计内容4.4.1OverlayOverlay基础概念Overlay在网络技术领域,是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。Overlay网络是指建立在已有网络上的虚拟网,逻辑节点和逻辑链路构成了OVerlay网络。Overlay网络是具有独立的控制和转发平面,对于连接在overlay边缘设备之外的终端系统来说,物理网络是透明的。Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化能力可以摆脱物理网络的重重限制
28、,是实现云网安融合的关键。Overlay技术标准IETF在OVerIay技术领域提出VXLAN、NVGRE、STT三大技术方案。大体思路均是将以太网报文承载到某种隧道层面,差异性在于选择和构造隧道的不同,而底层均是IP转发。VXLAN和STT对于现网设备而言对流量均衡要求较低,即负载链路负载分担适应性好,一般的网络设备都能对L2-L4的数据内容参数进行链路聚合或等价路由的流量均衡,而NVGRE则需要网络设备对GRE扩展头感知并对flowID进行HASH,需要硬件升级;STT对于TCP有较大修改,隧道模式接近UDP性质,隧道构造技术属于革新性,且复杂度较高,而VXLAN利用了现有通用的UDP传输
29、,成熟性极高。所以总体比较,VLXAN技术具有更大优势,而且当前VLXAN也得到了更多厂家和客户的支持,已经成为OVerlay技术的主流标准,所以本文的后续介绍均以VXLAN技术作为标准进行介绍,NVGRE、STT则不再赘述。VXLAN(VirtualextensibleLAN,可扩展虚拟局域网络)是基于IP网络、采用“MACinUDP”封装形式的二层VPN技术,具体封装的报文格式如图2所示。VXLAN可以基于已有的服务提供商或企业IP网络,为分散的物理站点提供二层互联功能,主要应用于数据中心网络。VXLAN具有如下特点:使用24位的标识符,最多可支持16M个VXLAN,解决了传统二层网络VL
30、AN资源不足的问题。基于IP网络组建大二层网络,使得网络部署和维护更加容易,并且可以好地利用现有的IP网络技术,例如利用等价路由负载分担。只有边缘设备需要进行VXLAN处理,VXLAN业务对网络中间设备透明,只需根据IP头转发报文,降低了网络部署的难度和费用。VXLAN工作原理VXLAN是一个网络封装机制,它从两个方面解决了移动性和扩展性:它是MACinUDP的封装,允许主机间通信通过一个Overlay网络,这个OVerlay网络可以横跨多个物理网络。这是一个独立于底层物理网络的逻辑网络,虚机迁移时不再需要改动物理设备的配置。VXLAN用24-bit的标识符,表示一个物理网络可以支持1600万
31、个逻辑网段。数量级大大超过数据中心VLAN的限制(4094)在ADDC体系结构中,封装工作在VTEP上执行,VTEP可以是Vswitch,或者是物理设备。这样,VXLAN对主机和底层三层网络来说都是透明的。VXLAN和非VXLAN主机(例如,物理服务器或Internet路由器)之间的网关服务由VXLAN三层网关设备执行。VXIan三层网关将VXLAN网段ID转换为VLANID,因此非VXLAN主机可以与VXLAN虚拟服务器通信。Overlay网络分为2个平面,数据平面和控制平面。Overlay数据平面提供提供数据封装,基于承载网络传输,VXLAN使用MACoverUDP封装Overlay控制平
32、面提供1、服务发现(ServiceDiscovery)Overlay边缘设备如何发现彼此,以便建立OVerlay隧道关系2、地址通告和映射(AddressAdvertisingandMapping)Overlay边缘设备如何交换其学习到的主机可达性信息(包括但不限于MAC地址、或IP地址、或其他地址信息)Overlay边缘设备到主机的可达性问题,物理网络和Overlay网络地址映射3、隧道管理(TunnelManagement)ADDC1.0强控解决方案VXLAN的控制平面是通过SDN控制器学习,由于控制器了解整网的拓扑结构,VM管理器知道虚拟机的位置和状态,这样,通过控制器与VM管理器的联动
33、,就可以很容易实现基于控制器完成控制平面的地址学习,然后通过标准OPenFloW协议下发到网络设备。控制器支持多个节点集群,提供了高可靠性和极强的扩展性。4.4.2主机部署与物理位置解耦和通过使用MAC-in-UDP封装技术,VXLAN为虚拟机提供了位置无关的二层抽象,Underlay网络和OVerlay网络解耦合。终端能看到的只是虚拟的二层连接关系,完全意识不到物理网络限制。更重要的是,这种技术支持跨传统网络边界的虚拟化,由此支持虚拟机可以自由迁移,甚至可以跨越不同地理位置数据中心进行迁移。如此以来,可以支持虚拟机随时随地接入,不受实际所在物理位置的限制。所以VXLAN的位置无关性,不仅使得
34、业务可在任意位置灵活部署,缓解了服务器虚拟化后相关的网络扩展问题;而且使得虚拟机可以随时随地接入、迁移,是网络资源池化的最佳解决方式,可以有力地支持云业务、大数据、虚拟化的迅猛发展。4.4.3Overlay网络流表路由ARP代答对于虚拟化环境来说,当一个虚拟机需要和另一个虚拟机进行通信时,首先需要通过ARP的广播请求获得对方的MAC地址。由于VXLAN网络复杂,广播流量浪费带宽,所以需要在控制器上实现ARP代答功能。即由控制器对ARP请求报文统一进行应答,而不创建广播流表。ARP代答的大致流程:控制器收到OVS上送的ARP请求报文,做IP-MAC防欺骗处理确认报文合法后,从ARP请求报文中获取
35、目的IP,以目的IP为索引查找全局表获取对应MAC,以查到的MAC作为源MAC构建ARP应答报文,通过Packetout下发给OVS。4.4.4强控方案模式主机迁移策略跟随在虚拟化环境中,虚拟机故障、动态资源调度功能、服务器主机故障或计划内停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移,需要保证迁移虚拟机和其他虚拟机直接的业务不能中断,而且虚拟机对应的网络策略也必须同步迁移。网络管理员通过虚拟机管理平台下发虚拟机迁移指令,虚拟机管理平台通知控制器预迁移,控制器标记迁移端口,并向源主机和目的主机对应的主备控制器分布发送同步消息,通知迁移的VPort,增加迁移标记。同步完成后,控制器通知虚拟机管
36、理平台可以进行迁移了。虚拟机管理平台收到控制器的通知后,开始迁移,创建VM分配IP等资源并启动VMo启动后目的主机上报端口添加事件,通知给控制器,控制器判断迁移标记,迁移端口,保存新上报端口和旧端口信息。然后控制器向目的主机下发网络策略。源VM和目的执行内存拷贝,内存拷贝结束后,源VM关机,目的VM上线。源VM关机后,迁移源主机上报端口删除事件,通知给控制器,控制器判断迁移标记,控制器根据信息删除旧端口信息并同时删除迁移前旧端口对应的流表信息。主控制器完成上述操作后在控制器集群内进行删除端口消息的通知。其他控制器收到删除端口信息后,也删除本控制器的端口信息,同时删除对应端的流表信息。源控制器需
37、要把迁移后新端口通知控制器集群的其他控制器。其他控制器收到迁移后的端口信息,更新端口信息。当控制器重新收到Packet-in报文后,重新触发新的流表生成。4 .4.5安全服务链部署传统的安全防护流量走向依赖于拓扑结构,各种的手工配置方式,静态、分散的配置方式,设备处理能力不可复用,单设备纵向扩展。这种防护模式不适应云计算时代对于安全防护的要求。云计算时代,计算资源池化,计算资源可以自由调度、动态扩展,网络资源通过VXLAN技术池化,那么安全作为一种重要的网络服务是不是也能够弹性资源化,能够实现与拓扑无关的自动化部署与管理?.安全做务快.实现次金猊划网蜡,源化与拓扑无关可实现构建筑一的安全油服务
38、链的定义由VCF控制器来统一定义规划,实现安全资源与拓扑无关。带来的好处有:1、安全服务基于OVerlay逻辑网络,无须手工配置及引流,服务自动化部署。给用户带来业务快速上线,业务迁移服务自动跟随的好处。2、服务资源池化按需使用、线性扩展形态多样、位置无关。使得业务成本降低,业务可扩展性强。3、服务节点与转发节点分离,一次流分类。可实现按业务需求对服务进行编排。4.5 单Fabric组网设计Cloud (OpenStackiFabric DirectorNeutron PhigxnVCFAPl (ReSUUD1 )整网架构采用Spine+Leaf两层结构设计,Leaf分为BorderLeaf(
39、出口),ServerLeaf(TOR服务器接入)、ServiceLeaf(安全资源池接入),将支持MP-BGPEVPN功能的交换机作为数据中心架构中的Spine交换设备;2 )TOR接入区分为计算资源接入和安全资源池接入。3 )控制平面采用MP-BGPEVPN协议,数据平面采用VXLANo4 )Underlay采用OSPF路由协议,Spine为iBGPRR角色;5 )OverlayVXLANL3/L2网关部署在LEAF节点,LEAF采用40G上行接入SPINE节点。同时LEAF可以为服务器提供1G/10G/25G服务器接入能力。6 )东西向安全,利用安全资源池为逻辑区域间访问提供安全控制和LB
40、服务。7 )运维管理区部署VCFDirector(VCFD)、SDN控制器(VCFC)、云平台等。VCFD实现对数据中心基础设施自动化部署及OVerIay网络运行维护监控,VCFC控制器实现对Overlay网络的调度管理,通过带外管理方式管理业务区,其中SDN控制器可以与原生标准OpenStack云平台对接,对于其他非Openstack云平台或非原生Openstack云平台(经过二次开发),可以通过控制器RestfulApi方式进行对接,需要评估开发工作量。4.6 方案主要功能SDN、EVPN、VXLAN:通过SDN、EVPN和VXLAN技术,支持业务应用系统运行自虚拟网络环境中,使得业务网络
41、不再受限于物理网络设备位置限制,实现业务网络按需自动化部署。服务链:当通过服务链,用户可以依据自身业务需求,自定义业务的安全访问路径。这样使得用户可以对业务应用系统灵活的实施安全防护策略。VPC租户:在云平台为租户提供私有云环境,这样使得租户间从逻辑上完全隔离。从而保证租户间业务应用系统相互没有任何影响。例如,租户间业务应用IP地址重叠了,也不会互相影响。第三方安全设备东西向引流,可纳管第三方安全设备,目前实施项目中已经对接过的厂商有F5、山石、迪普等,对于在Openstack社区中提供安全设备插件接口的其他厂家,同样可以纳管。支持多层级端口绑定特性,突破4KVXLAN限制特性,可对接OPen
42、StaCkVLAN组网和OPenStaCkVXLAN组网。Underlay自动化支持路由协议包含OSPF、ISIS。Overlay自动化支持配置按需下发。5 .下一代SDN数据中心的优势方案采用云网安融合的建设思路,OVerlay技术为支撑,为客户带来以下价值:(1)兼容第三方设备的全网络虚拟化能力,构建“一网一设备”的交换矩阵。基于IP网络构建Fabrico无特殊拓扑限制,IP可达即可;承载网络和业务网络分离;对现有网络改动较小,保护用户现有投资。(2)丰富的云特性,业界最佳的将“计算、存储、网络和安全资源”统一灵活部署的多租户方案。(3)基于SDN架构的高度自动化运维能力。(4)支持VMw
43、are、MicrosoftHyper-V、CAS、KVM和XEN等主流虚拟化平台。(5)原生的灾备建设能力。(6)网络配置一次成型,业务扩容与变更无需改动网络,大幅度减少网络运维工作量。网络简化、安全。虚拟网络支持L2、L3等,无需运行LAN协议,骨干网络无需大量VLANTrunko(7)简化网络IP地址的规划,用于设备互连的IP网段和用于业务通信的IP网段互相不重叠。(8)加快应用部署速度,应用可以在任意位置部署,配置好自己的IP地址即可实现通信,无需变更网络,应用部署速度从以周计缩短为以天计。(9)转发优化和表项容量增大。消除了MAC表项学习泛滥,ARP等泛洪流量可达范围可控,且东西向流量
44、无需经过网关。5.1整网设计架构开放、标准、兼容1、L4-L7层开放兼容,可以纳管第三方安全品牌的设备、F5的设备,对于第三方安全设备纳管采用OPenStaCk标准的FWaas/LBaas等安全云插件形式,提升异构厂商组网的开放能力和标准化程度;2、北向接口开放,不同于传统SDN控制器只提供RestAPI,VCFController可以同时提供RestAPI和JAVAAPI,给用户更多灵活的选择。理论上可以对接任何品牌的云平台、客户自身的应用APP,但实际部署中主要考虑基于Openstack平台的商用产品,有标准的插件进行对接;3、南向接口开放,有利于基础设施层设备纳管,不会被绑定,即使需要管
45、理第三方品牌的交换机,也可以考虑定制化;4、Overlay网络的控制层面采用标准RFC定义的EVPN协议,不掺杂私有协议;5、可视化采集使用SNMP、NETCONF等标准协议,不掺杂厂商私有协议,可以有效的监控数据中心除网络设备、SDN控制器之外的,服务器、存储等运行状态。5.2可靠性保证新型数据中心承载者用户80%以上的核心业务,对于企业的重要程度不言而喻。其可靠性需要全方位保证方案提供从设备级到方案级的各层次可靠性保证机制。leaf采用虚拟化技术,保证设备和链路的冗余可靠;Spine设备部互联,underlay进行动态路由部署,采用ECMP提升业务转发的可靠性;Border设备采用对称式和
46、非对称结合部署,保证出口区设备的冗余可靠性;SDN控制器提供集群机制,集群内通过region机制,既保证SDN网络规模的可持续增加,也保证了SDN控制器侧的稳定可靠,同时为了保证SDN控制器的安全性,可提供基于本地认证或者AAA认证的方式,同时基于角色来控制权限,区分前端权限和后端权限,保证用户灵活使用的同时,把安全做到最极致。采用三平面分离架构设计,采用MP-BGPEVPN作为VXLAN控制面的弱控组网模型,管理面由SDN控制器承担,进行业务驱动的流量调度;数据转发面依赖underlay强壮的IP网络完成。安全设备类型丰富,可以包含防火墙、WAF、LB、IPS等设备;安全设备形态多样,可以用
47、硬件的设备,也可以用NFV(软件,基于SDN理念设计)的设备;可以做细颗粒度的安全引流和防护,可以进行第三方安全资源纳管,实现东西向防护的引流和策略端到端自动化配置和打通;整网安全设计考虑数据中心以及业务等保建设要求,同时结合后续云环境下的安全建设要求设计,满足未来上云计算的安全需求。5.3安全融合,符合等保建设要求1、安全设备类型丰富,可以包含防火墙、WAF、LB、IPS等设备;2、安全设备形态多样,可以用硬件的设备,也可以用NFV(软件,基于SDN理念设计)的设备;3、可以做细颗粒度的安全引流和防护,可以进行第三方安全资源纳管,实现东西向防护的引流和策略端到端自动化配置和打通;4、整网安全设计考虑数据中心以及业务等保建设要求,同时结合后续云环境下的安全建设要求设计,满足未来上云计算的安全需求。5. 4架构弹性设计Fabric弹性设计 、单一位置单Fabric部署:控制器集群1:1纳管fabric 、单一位置多Fabric部署: 控制器集群1:N纳管fabric fabric多出口 同一地理位置DC内邻近楼层或房间分区部署网络的场景,控制器单机房部署避免少数派问题3、多物理位置多Fabric部署: 控制器集群N:M纳管fabric DC内fabric多出口,DC间二层互通 不同地理位置部署网络的场景,控制器多地集群部署