房秉毅，楊紹光（中國聯(lián)通研究院，北京100032）

0 前言

2015 年的“兩會(huì)”后，以“互聯(lián)網(wǎng)+”為核心的時(shí)代正在開啟，“互聯(lián)網(wǎng)+”的核心是推動(dòng)傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)的深度融合，通過借助互聯(lián)網(wǎng)技術(shù)和互聯(lián)網(wǎng)平臺(tái)，創(chuàng)造新的價(jià)值和新的發(fā)展生態(tài)。云計(jì)算作為互聯(lián)網(wǎng)技術(shù)與應(yīng)用的重要承載，企業(yè)業(yè)務(wù)部署由傳統(tǒng)IT基礎(chǔ)設(shè)施逐步轉(zhuǎn)型云計(jì)算基礎(chǔ)設(shè)施，在“互聯(lián)網(wǎng)+”時(shí)代，將會(huì)深層次促進(jìn)各行業(yè)企業(yè)擁抱互聯(lián)網(wǎng)。

根據(jù)Wikipedia 對(duì)云計(jì)算的定義（見圖1），企業(yè)擁有本地的IT基礎(chǔ)設(shè)施，而企業(yè)外部的IT基礎(chǔ)設(shè)施由公有云等第三方服務(wù)提供商提供。由企業(yè)本地IT 和云計(jì)算所構(gòu)成的混合IT基礎(chǔ)設(shè)施，形成混合云。

根據(jù)研究分析機(jī)構(gòu)Gartner 的預(yù)測(cè)，在2017年，將有50%的企業(yè)部署混合云?；旌显朴?jì)算技術(shù)還處于新興技術(shù)發(fā)展的緩慢期。在未來2～5 年，混合云將發(fā)展成熟并達(dá)到穩(wěn)定期。在企業(yè)IT轉(zhuǎn)型需求的驅(qū)動(dòng)下，混合云為企業(yè)邁入云端構(gòu)建了橋梁，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)在云端的互聯(lián)和延伸。

對(duì)運(yùn)營商來講，為企業(yè)提供混合云服務(wù)，需要實(shí)現(xiàn)兩方面的網(wǎng)絡(luò)互聯(lián)。首先，需要在云端滿足多租戶業(yè)務(wù)需求的云端虛擬網(wǎng)絡(luò)，并建立企業(yè)網(wǎng)絡(luò)與云端虛擬網(wǎng)絡(luò)的安全接入；其次，還需要建立云端虛擬網(wǎng)絡(luò)間的彈性互聯(lián)，甚至包括多種云服務(wù)中的虛擬網(wǎng)絡(luò)間的互聯(lián)。如此復(fù)雜多變的網(wǎng)絡(luò)結(jié)構(gòu)，難以通過物理連線的調(diào)整或傳統(tǒng)的網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)。軟件定義網(wǎng)絡(luò)（SDN）提出將網(wǎng)絡(luò)數(shù)據(jù)平面與控制平面分離，所實(shí)現(xiàn)的網(wǎng)絡(luò)虛擬化，對(duì)混合云中實(shí)現(xiàn)靈活、可靠的網(wǎng)絡(luò)管理至關(guān)重要。

圖1 云計(jì)算定義及混合云中的網(wǎng)絡(luò)互聯(lián)

1 混合云網(wǎng)絡(luò)功能分析

對(duì)于混合云服務(wù)環(huán)境下的用戶業(yè)務(wù)部署，從邏輯上看，承載用戶業(yè)務(wù)的網(wǎng)絡(luò)環(huán)境可以分為虛擬網(wǎng)絡(luò)內(nèi)部和虛擬網(wǎng)絡(luò)間。如圖2 所示，對(duì)一個(gè)用戶會(huì)構(gòu)建多個(gè)虛擬網(wǎng)絡(luò)，虛擬網(wǎng)絡(luò)之間通過虛擬網(wǎng)關(guān)實(shí)現(xiàn)三層互聯(lián)。對(duì)于分處兩地或多地的虛擬網(wǎng)絡(luò)來說，比如企業(yè)內(nèi)部網(wǎng)絡(luò)和云端的虛擬網(wǎng)絡(luò)，將通過VPN隧道實(shí)現(xiàn)三層互聯(lián)。因此混合云的最主要功能是實(shí)現(xiàn)虛擬私有云（VPC）網(wǎng)絡(luò)。

圖2 虛擬網(wǎng)絡(luò)及其互聯(lián)

虛擬私有云VPC 的網(wǎng)絡(luò)架構(gòu)圖如圖3 所示，通過overlay 技術(shù)，把混合云資源池的網(wǎng)絡(luò)分為底層的物理承載網(wǎng)絡(luò)和上層的虛擬overlay 網(wǎng)絡(luò)。底層的物理網(wǎng)絡(luò)即原有的由虛擬交換機(jī)、物理交換機(jī)、路由器等組成的云數(shù)據(jù)中心網(wǎng)絡(luò)，用于提供基本的網(wǎng)絡(luò)連通性。上層的overlay網(wǎng)絡(luò)用于用戶的業(yè)務(wù)承載網(wǎng)絡(luò)。

圖3 VPC架構(gòu)圖

通過這種overlay 的網(wǎng)絡(luò)架構(gòu)，在物理承載網(wǎng)絡(luò)之上虛擬出多個(gè)邏輯上隔離的VPC，用戶的私有數(shù)據(jù)被限制在VPC內(nèi)部，保證了VPC之間的隔離性。同時(shí)用戶的VPC 無論怎么規(guī)劃，都不會(huì)影響到物理網(wǎng)絡(luò)，也不會(huì)影響其他用戶的網(wǎng)絡(luò)規(guī)劃，這樣就可以做到用戶對(duì)自己網(wǎng)絡(luò)的獨(dú)立規(guī)劃，解除了物理網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)的耦合性。

VPC的功能需求主要有以下幾點(diǎn)。

a）用戶網(wǎng)絡(luò)隔離：不同用戶的VPC網(wǎng)絡(luò)之間相互隔離，保證用戶的安全性。

b）用戶的主機(jī)資源在同一個(gè)VPC內(nèi)：用戶的主機(jī)包括虛擬機(jī)和物理機(jī)資源，這些主機(jī)資源在一個(gè)VPC內(nèi)，保證了用戶資源的互通性。

c）同一個(gè)VPC 內(nèi)可劃分子網(wǎng)：VPC 內(nèi)部，用戶可以根據(jù)自己的使用需要，劃分不同的子網(wǎng)，并可以對(duì)IP地址進(jìn)行自由規(guī)劃。

d）為用戶提供Internet 訪問功能：用戶可以通過地址綁定或者NAT方式訪問Internet。

e）為用戶提供DHCP 服務(wù)：支持DHCP server 功能，用戶主機(jī)自動(dòng)獲取IP地址。

f）防火墻服務(wù)：提供虛擬或者物理防火墻，用戶可以選擇是否使用防火墻。

g）QoS 服務(wù)：根據(jù)用戶業(yè)務(wù)流量?jī)?yōu)先級(jí)進(jìn)行流量調(diào)度處理，對(duì)用戶主機(jī)進(jìn)行限速。

h）提供統(tǒng)計(jì)服務(wù)：對(duì)用戶主機(jī)的網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，提供統(tǒng)計(jì)數(shù)據(jù)以及相關(guān)的數(shù)據(jù)分析功能。

i）提供網(wǎng)絡(luò)冗余功能：提供端口冗余、網(wǎng)關(guān)冗余、路由冗余、VPN冗余等高可用性功能。

j）允許虛擬機(jī)遷移：用戶虛擬機(jī)可以自由遷移，并且遷移后網(wǎng)絡(luò)策略自動(dòng)跟隨。

k）提供遠(yuǎn)程VPN接入功能：允許用戶的私有網(wǎng)絡(luò)和VPC網(wǎng)絡(luò)互通，形成統(tǒng)一的網(wǎng)絡(luò)資源池。

2 基于S D N的混合云網(wǎng)絡(luò)實(shí)現(xiàn)方案

Software-defined networking（SDN）是由美國斯坦福大學(xué)提出。將網(wǎng)絡(luò)設(shè)備的控制平面從數(shù)據(jù)平面中分離出來，并讓控制邏輯以軟件方式運(yùn)行于邏輯上獨(dú)立地控制環(huán)境。這個(gè)架構(gòu)可以讓網(wǎng)絡(luò)管理員，在不改動(dòng)硬件設(shè)備的前提下，以中央控制方式，用程序重新規(guī)劃網(wǎng)絡(luò)，為控制網(wǎng)絡(luò)流量提供了新的方法，也提供了核心網(wǎng)絡(luò)及應(yīng)用創(chuàng)新的良好平臺(tái)。

SDN 架構(gòu)圖如圖4 所示，數(shù)據(jù)層由只具有數(shù)據(jù)轉(zhuǎn)發(fā)功能的設(shè)備組成，負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)、設(shè)備信息的上報(bào)等；控制層又稱為網(wǎng)絡(luò)操作系統(tǒng)層，是SDN 架構(gòu)中的大腦，其抽取了原網(wǎng)絡(luò)設(shè)備中的控制功能，負(fù)責(zé)制定流轉(zhuǎn)發(fā)規(guī)則、狀態(tài)信息收集、網(wǎng)絡(luò)配置等控制功能；應(yīng)用層通過調(diào)用控制層開放的API 接口，編程實(shí)現(xiàn)各種網(wǎng)絡(luò)功能，如網(wǎng)絡(luò)監(jiān)控、防火墻、流量過濾等。

SDN 技術(shù)分離數(shù)據(jù)和控制平面，通過部署標(biāo)準(zhǔn)化網(wǎng)絡(luò)硬件平臺(tái)，使得許多網(wǎng)絡(luò)設(shè)備中的軟件可以按需安裝、修改、卸載，而變身為運(yùn)營商需要的設(shè)備，實(shí)現(xiàn)業(yè)務(wù)擴(kuò)展。SDN的本質(zhì)是邏輯集中控制層的可編程化。

圖4 SDN架構(gòu)圖

VPC 應(yīng)用于云計(jì)算數(shù)據(jù)中心，云計(jì)算資源池由云平臺(tái)統(tǒng)一管理，實(shí)現(xiàn)對(duì)底層計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等物理資源的云化處理，并把相關(guān)資源作為服務(wù)提供給用戶使用。目前Openstack是最炙手可熱的云管理平臺(tái)，其提供了開放的模塊架構(gòu)，以組件的方式對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)進(jìn)行統(tǒng)一調(diào)度管理。其核心組件的架構(gòu)如圖5 所示。

圖5 openstack架構(gòu)圖

本文以O(shè)penstack 作為云平臺(tái)為例來對(duì)VPC 的實(shí)現(xiàn)方式進(jìn)行分析。

云計(jì)算網(wǎng)絡(luò)相對(duì)于傳統(tǒng)網(wǎng)絡(luò)有較大改變。云計(jì)算資源池中不但有傳統(tǒng)的硬件網(wǎng)絡(luò)設(shè)備，還增加了虛擬的軟件網(wǎng)絡(luò)設(shè)備（如虛擬交換機(jī)、虛擬路由器），增加了網(wǎng)絡(luò)的復(fù)雜性。同時(shí)云計(jì)算的靈活性（如多租戶共享資源、業(yè)務(wù)頻繁啟停等）要求對(duì)網(wǎng)絡(luò)設(shè)備更加智能、快速地進(jìn)行管理，網(wǎng)絡(luò)必須適應(yīng)業(yè)務(wù)的復(fù)雜性。這些都是傳統(tǒng)網(wǎng)絡(luò)捉襟見肘的地方。

實(shí)現(xiàn)overlay 的虛擬私有云，其關(guān)鍵在于overlay 的網(wǎng)絡(luò)節(jié)點(diǎn)，負(fù)責(zé)網(wǎng)絡(luò)流量的封裝、解封裝，是overlay 網(wǎng)絡(luò)的核心部件。overlay網(wǎng)絡(luò)節(jié)點(diǎn)可以部署在物理網(wǎng)絡(luò)設(shè)備處，也可以部署在虛擬網(wǎng)絡(luò)設(shè)備處。部署位置的不同也就衍生出2 種不同的overlay 實(shí)現(xiàn)方案，一種是軟件方案，overlay節(jié)點(diǎn)部署在軟件交換機(jī)處；另一種是硬件方案，overlay節(jié)點(diǎn)部署在硬件交換機(jī)處。

2.1 軟件實(shí)現(xiàn)方式

軟件實(shí)現(xiàn)方式下，overlay 網(wǎng)絡(luò)由部署在云計(jì)算節(jié)點(diǎn)hypervisor 處的軟件路由器（交換機(jī)）實(shí)現(xiàn)。SDN 方案中數(shù)據(jù)轉(zhuǎn)發(fā)平面基于Overlay 網(wǎng)絡(luò)，使用通用標(biāo)準(zhǔn)成熟協(xié)議實(shí)現(xiàn)，不依賴特定廠商硬件。

SDN軟件方案主要由分布式控制器和分布式虛擬路由器組成，其系統(tǒng)架構(gòu)如圖6所示。

圖6 軟件實(shí)現(xiàn)方式架構(gòu)圖

系統(tǒng)提供基于REST API 的北向接口給上層的應(yīng)用程序使用。這些API可以被用來和云管理平臺(tái)進(jìn)行集成，通過Neutron的插件方式和OpenStack的集成，也可以用來開發(fā)管理這個(gè)虛擬化系統(tǒng)的Web UI。

控制層使用XMPP、BGP、netconf 等協(xié)議作為南向的接口，通過BGP、netconf 和物理設(shè)備交互，通過XMPP 協(xié)議和虛擬路由器來進(jìn)行通信，例如同步路由信息。東西向的接口主要還是BGP協(xié)議，通過BGP協(xié)議，各個(gè)控制程序同步信息，形成一個(gè)邏輯上中心化的控制層，不同的控制程序之間相當(dāng)于熱互備。

在數(shù)據(jù)轉(zhuǎn)發(fā)層面，虛擬路由器之間支持多種Tun?nel 的方式，有VxLAN、MPLSoverGRE、MPLSoverUDP等。虛擬網(wǎng)絡(luò)的路由信息通過XMPP同步到各個(gè)虛擬路由器，不存在一個(gè)中心“路由器”。

相對(duì)于傳統(tǒng)的VLAN 來隔離網(wǎng)絡(luò)的方式，SDN 系統(tǒng)則是通過ARP代理的方式來避免二層的廣播影響，每一個(gè)Hpyervisor 上的虛擬路由器都可以響應(yīng)虛擬機(jī)的ARP請(qǐng)求，而不再將ARP請(qǐng)求發(fā)到交換機(jī)上去。

在DHCP 方面，SDN 也實(shí)現(xiàn)了DHCP 服務(wù)的代理，可以自動(dòng)響應(yīng)虛擬機(jī)的DHCP 請(qǐng)求，不需要第三方的DHCP服務(wù)。

網(wǎng)絡(luò)虛擬化軟件平臺(tái)系統(tǒng)使用特定的高層級(jí)服務(wù)數(shù)據(jù)模型，特定的低層級(jí)技術(shù)數(shù)據(jù)模型，通過轉(zhuǎn)換引擎實(shí)現(xiàn)前后者的映射，此外，網(wǎng)絡(luò)虛擬化軟件平臺(tái)系統(tǒng)還附帶了一組特定的南向協(xié)議。

網(wǎng)絡(luò)虛擬化軟件平臺(tái)系統(tǒng)中的模型化服務(wù)包括租戶、虛擬網(wǎng)絡(luò)、連接策略和安全策略。通過這些服務(wù)模型組件可以實(shí)現(xiàn)的基本業(yè)務(wù)主要有云計(jì)算網(wǎng)絡(luò)和NFV（適用環(huán)境：云計(jì)算網(wǎng)絡(luò)、多租戶網(wǎng)絡(luò)）。

低層級(jí)服務(wù)數(shù)據(jù)模型在網(wǎng)絡(luò)虛擬化軟件平臺(tái)系統(tǒng)中主要使用overlay networking（網(wǎng)絡(luò)構(gòu)建模型：overlay）實(shí)現(xiàn)服務(wù)模型。

配置節(jié)點(diǎn)的轉(zhuǎn)換引擎通過“編譯器”實(shí)現(xiàn)高層級(jí)服務(wù)數(shù)據(jù)模型到低層級(jí)數(shù)據(jù)模型的轉(zhuǎn)換映射。

控制節(jié)點(diǎn)使用的南向協(xié)議包括XMPP、BGP、Net?conf。

網(wǎng)絡(luò)虛擬化軟件平臺(tái)系統(tǒng)是一個(gè)擴(kuò)展平臺(tái)，意味著可以通過組件擴(kuò)展的方式去支持更多的用戶部署環(huán)境，增加新的網(wǎng)絡(luò)技術(shù)。

a）高層級(jí)服務(wù)數(shù)據(jù)模型可以擴(kuò)展新的組件去支持新的服務(wù)，例如運(yùn)營商核心網(wǎng)絡(luò)的流量工程和流量日歷（根據(jù)日期進(jìn)行流量管理）。

b）低層級(jí)服務(wù)數(shù)據(jù)模型也可以進(jìn)行擴(kuò)展。數(shù)據(jù)模型可以使用不同的技術(shù)來實(shí)現(xiàn)，例如多租戶可以使用VLAN實(shí)現(xiàn)，而不是overlay。

新的南向協(xié)議可以引入到控制節(jié)點(diǎn)中，這主要用于支持網(wǎng)絡(luò)中使用不同協(xié)議的新類型的物理或者虛擬設(shè)備。例如可以引入特定廠商的網(wǎng)絡(luò)設(shè)備中使用的CLI命令行接口，或者可能因?yàn)樾枰渴鹦碌膮f(xié)議，新的組件需要引入到低層級(jí)技術(shù)數(shù)據(jù)層面中。

SDN 系統(tǒng)由配置節(jié)點(diǎn)、控制節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)、分析節(jié)點(diǎn)、OpenStack Neutron 插件等多個(gè)節(jié)點(diǎn)組成（見圖7）。

圖7 SDN與OpenStack集成

配置節(jié)點(diǎn)主要負(fù)責(zé)通過Rest API 來接受配置，并通過IFMAP協(xié)議將信息同步給控制節(jié)點(diǎn)。

控制節(jié)點(diǎn)主要負(fù)責(zé)接收通過IFMAP 傳輸過來的信息，保存這些信息，并和計(jì)算節(jié)點(diǎn)通過XMPP協(xié)議同步信息，同時(shí)控制節(jié)點(diǎn)還監(jiān)聽179端口，和其他的控制節(jié)點(diǎn)形成BGP PEER，同步路由信息。

計(jì)算節(jié)點(diǎn)主要由一個(gè)Agent 和虛擬路由器內(nèi)核模塊組成，負(fù)責(zé)數(shù)據(jù)面的轉(zhuǎn)發(fā)。

OpenStack 插件主要有Neutron 插件和Libvrit 的VIF插件，前者主要負(fù)責(zé)和SDN系統(tǒng)同步網(wǎng)絡(luò)信息，利用SDN系統(tǒng)管理網(wǎng)絡(luò)，后者主要負(fù)責(zé)將虛擬機(jī)的網(wǎng)卡插入到虛擬路由器中，并將網(wǎng)卡信息同步給虛擬路由器的Agent。

分析節(jié)點(diǎn)主要負(fù)責(zé)收集各個(gè)節(jié)點(diǎn)的工作狀態(tài)、log和系統(tǒng)信息，并提供類似SQL 式的查詢。系統(tǒng)組成以數(shù)據(jù)為中心，數(shù)據(jù)的存儲(chǔ)有Cassandra、ZooKeeper、Re?dis 等，Cassandra 存儲(chǔ)具體的網(wǎng)絡(luò)配置信息，Zookeeper存儲(chǔ)服務(wù)信息，提供服務(wù)發(fā)現(xiàn)功能，這2個(gè)都支持集群模式，因此系統(tǒng)組成中的配置節(jié)點(diǎn)、控制節(jié)點(diǎn)、分析節(jié)點(diǎn)都可以支持多個(gè)同時(shí)部署，以達(dá)到HA的效果，如果一個(gè)單一的組件重啟，重啟后信息會(huì)從其他的節(jié)點(diǎn)同步，提高了系統(tǒng)的可靠性。

虛擬路由器是一個(gè)用戶空間進(jìn)程，在Linux 中運(yùn)行，是一個(gè)本地的，輕量級(jí)控制平面，主要提供如下功能。

a）使用XMPP 實(shí)現(xiàn)和控制節(jié)點(diǎn)，例如路由的控制狀態(tài)交換。

b）使用XMPP 從控制節(jié)點(diǎn)上接收低層級(jí)配置狀態(tài)，例如路由進(jìn)程和轉(zhuǎn)發(fā)策略。

c）向分析節(jié)點(diǎn)匯報(bào)信息，例如日志、匯總和事件的分析狀態(tài)。

d）向轉(zhuǎn)發(fā)平面?zhèn)鬟f轉(zhuǎn)發(fā)狀態(tài)（下發(fā)轉(zhuǎn)發(fā)表）。

e）查找VM 的狀態(tài)和屬性，和Nova 代理進(jìn)行交互。

f）為每個(gè)新流的首包應(yīng)用轉(zhuǎn)發(fā)策略，在轉(zhuǎn)發(fā)平面的流表中新增流表項(xiàng)。

g）為DHCP、ARP和MDNS提供代理，其他代理會(huì)在未來版本中添加。

每個(gè)虛擬路由器都會(huì)連接至少2 個(gè)控制節(jié)點(diǎn)，在active-active冗余模型中提供冗余。

虛擬路由器轉(zhuǎn)發(fā)平面運(yùn)行在Linux的kernel中，主要負(fù)責(zé)如下功能。

封裝數(shù)據(jù)包到overlay 網(wǎng)絡(luò)中，從overlay 網(wǎng)絡(luò)中解封裝數(shù)據(jù)包。

分配數(shù)據(jù)包到路由實(shí)例中，主要負(fù)責(zé)的功能有：

a）從overlay 網(wǎng)絡(luò)中接受數(shù)據(jù)包，并基于MPLS 標(biāo)簽或者虛擬網(wǎng)絡(luò)標(biāo)識(shí)（VNI）分配到路由實(shí)例中。

b）為虛擬機(jī)提供虛擬接口，并綁定在路由實(shí)例中。

c）在轉(zhuǎn)發(fā)信息表中查詢目的地址，并將數(shù)據(jù)包發(fā)送到正確的目的地址，路由可以基于三層IP前綴或者二層MAC地址。

d）根據(jù)情況，使用流表應(yīng)用轉(zhuǎn)發(fā)策略：

（a）匹配流表中的數(shù)據(jù)包，并應(yīng)用流表操作。

（b）根據(jù)情況，當(dāng)轉(zhuǎn)發(fā)規(guī)則在虛擬路由器中沒有找到流規(guī)則時(shí)則掛起數(shù)據(jù)包，然后在流表中應(yīng)用一條規(guī)則。

（c）掛起一些數(shù)據(jù)包，如DHCP、ARP、MDNS 等用于虛擬路由器中的代理。

2.2 硬件實(shí)現(xiàn)方式

硬件實(shí)現(xiàn)方式下，在overlay 網(wǎng)絡(luò)硬件交換機(jī)處實(shí)現(xiàn)用戶數(shù)據(jù)的封裝、解封裝，一般在TOR（Top of Rack）交換機(jī)處。

SDN硬件方案主要由分布式控制器和硬件交換機(jī)組成，其系統(tǒng)架構(gòu)圖如圖8所示。

圖8 硬件實(shí)現(xiàn)方式架構(gòu)圖

需要說明的一點(diǎn)是，硬件方案也需要虛擬交換機(jī)配合，對(duì)用戶數(shù)據(jù)進(jìn)行基本的VLAN 封裝和解封。在此結(jié)構(gòu)下，虛擬交換機(jī)把虛擬機(jī)發(fā)送的報(bào)文打上VLAN tag 后發(fā)送到接入交換機(jī)，接入交換機(jī)通過分層的方式，把租戶的虛擬網(wǎng)絡(luò)和底層用于隧道傳輸?shù)奈锢砭W(wǎng)絡(luò)進(jìn)行分離，同時(shí)通過給每個(gè)租戶分配一個(gè)虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)租戶隔離。

以VxLAN封裝來實(shí)現(xiàn)overlay為例，用戶數(shù)據(jù)的轉(zhuǎn)發(fā)流程如圖9所示。

網(wǎng)絡(luò)報(bào)文從虛擬機(jī)發(fā)出后，虛擬交換機(jī)在原始報(bào)文上打上VLAN tag標(biāo)簽后發(fā)送到接入交換機(jī)，接入交換機(jī)根據(jù)VLAN tag在報(bào)文外層封裝VxLAN報(bào)文頭，并轉(zhuǎn)發(fā)成對(duì)端接入交換機(jī)所需的路由信息，然后把此報(bào)文發(fā)送到物理網(wǎng)絡(luò)。對(duì)端接入交換機(jī)收到此報(bào)文后把外層報(bào)文頭剝離后發(fā)送到虛擬交換機(jī)，虛擬交換機(jī)根據(jù)內(nèi)層報(bào)文信息把此報(bào)文轉(zhuǎn)發(fā)到相應(yīng)的虛擬機(jī)。整個(gè)報(bào)文轉(zhuǎn)發(fā)流程完成。

硬件實(shí)現(xiàn)方案原理與軟件方案類似，區(qū)別是把實(shí)現(xiàn)overlay 封裝和解封裝的工作放在了硬件交換機(jī)上來做。其好處是減輕軟件處理overlay 的壓力，釋放了此部分計(jì)算資源，保證了系統(tǒng)性能。其缺點(diǎn)也很明顯，需要專門的支持overlay 功能的硬件設(shè)備，導(dǎo)致系統(tǒng)靈活性降低。

3 結(jié)束語

混合云為企業(yè)提供跨越企業(yè)網(wǎng)絡(luò)和云端網(wǎng)絡(luò)的混合IT 基礎(chǔ)架構(gòu)?；旌显扑峁┑钠髽I(yè)網(wǎng)絡(luò)與云端網(wǎng)絡(luò)的安全接入，以及云端網(wǎng)絡(luò)互聯(lián)，需要解決多租戶、異構(gòu)網(wǎng)絡(luò)環(huán)境下的復(fù)雜管理問題?；赟DN 的虛擬網(wǎng)絡(luò)虛擬化架構(gòu)，通過構(gòu)建overlay 網(wǎng)絡(luò)的方式，解決了混合云平臺(tái)中多租戶網(wǎng)絡(luò)的隔離問題，屏蔽了租戶業(yè)務(wù)網(wǎng)絡(luò)對(duì)底層物理網(wǎng)絡(luò)的影響，使得用戶可以自由規(guī)劃自己的網(wǎng)絡(luò)，在大規(guī)?；旌显葡到y(tǒng)中得到越來越多的應(yīng)用。

圖9 硬件實(shí)現(xiàn)用戶數(shù)據(jù)處理流程

目前虛擬私有云的實(shí)現(xiàn)方式主要有軟件方式和硬件方式，各有其優(yōu)缺點(diǎn)，適用于不同的場(chǎng)景。軟件方案靈活性較高，對(duì)硬件網(wǎng)絡(luò)設(shè)備沒有依賴，適用于對(duì)原有系統(tǒng)的升級(jí)改造；硬件方案性能較好，不占用服務(wù)器的資源，但是需要專門的硬件網(wǎng)絡(luò)設(shè)備，硬件方案成本比軟件方案高。

［1］ Wikipedia：cloud computing type［EB/OL］.［2015-01-31］.http://en.wikipedia.org/wiki/Cloud_computing.

［2］ Gartner：hybrid cloud analysis and prediction［EB/OL］.［2015-01-31］. http://www.networkcomputing.com/cloud-infrastructure/gartner-50--of-enterprises-use-hybrid-cloud-by-2017/d/d-id/1111769?%20.

［3］ 李素粉，董暉，房秉毅，等.面向云化EPC資源的移動(dòng)CDN融合架構(gòu)研究［J］.電信科學(xué)，2014（11）.

［4］ 楊紹光，房秉毅，毋濤.基于SDN的虛擬私有云研究［J］.信息通信技術(shù)，2014（2）.