溫曙光 賀 鵬 姜海洋 關(guān)洪濤 謝高崗

網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization,NFV)[1]是歐洲電信標(biāo)準(zhǔn)組織ETSI在2012年提出的一項(xiàng)愿景，借助云計(jì)算、虛擬化和SDN技術(shù)把電信設(shè)備從目前的專用平臺(tái)遷移到通用的X86平臺(tái)上來，幫助運(yùn)營商和數(shù)據(jù)中心更加敏捷地為客戶創(chuàng)建和部署網(wǎng)絡(luò)特性，降低設(shè)備投資和運(yùn)營費(fèi)用。

NFV是從電信領(lǐng)域提出來的概念，“網(wǎng)絡(luò)功能”在NFV白皮書中主要是指電信網(wǎng)絡(luò)的功能模塊(Network Function，NF)，比如IP Multimedia Subsystem(IMS)、Evolved Packet Core(EPC)。隨著技術(shù)的發(fā)展與相互融合，NFV的概念已經(jīng)突破了原始的定義從電信網(wǎng)絡(luò)進(jìn)入數(shù)通網(wǎng)絡(luò)領(lǐng)域[2]，研究機(jī)構(gòu)和相關(guān)的公司開始探索利用NFV的方法和工具將數(shù)據(jù)網(wǎng)絡(luò)中的面向連接的網(wǎng)絡(luò)功能服務(wù)化，常見的網(wǎng)絡(luò)功能有：防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、因特網(wǎng)入侵防護(hù)監(jiān)測和保護(hù)IDS/IPS、緩存Cache、深度數(shù)據(jù)包檢測DPI、廣域網(wǎng)加速、Web防火墻WAF、漏洞掃描等。

OpenContrail[3]正是Juniper瞄準(zhǔn)這一市場機(jī)會(huì)推出的開源解決方案，為云計(jì)算平臺(tái)提供網(wǎng)絡(luò)虛擬化(Network Virtualization, NV)和網(wǎng)絡(luò)功能虛擬化的能力。它采用Openstack[4]作為云資源管理平臺(tái)，具有良好的可擴(kuò)展性。本文介紹的NFCloud是我們基于OpenContrail構(gòu)建的用于數(shù)據(jù)通訊領(lǐng)域的NFV系統(tǒng)，具有敏捷靈活、融合、高性能和高可用的特點(diǎn)。

1 業(yè)務(wù)模型

OpenContrail的NFV業(yè)務(wù)模型如圖1所示。租戶的業(yè)務(wù)運(yùn)行在虛擬機(jī)A1～A6中，這些虛擬機(jī)連接到租戶網(wǎng)絡(luò)A/A1/A2上，租戶網(wǎng)絡(luò)是在基礎(chǔ)網(wǎng)絡(luò)(物理網(wǎng)絡(luò))上利用overlay技術(shù)構(gòu)建的虛擬網(wǎng)絡(luò)(Virtual Net, VNet)。OpenContrail的NFV功能允許在租戶的兩個(gè)VNet間(如圖1上部所示)或者VNet和Internet間(如圖1下部所示)增加以下兩種形式的功能：1)一組服務(wù)實(shí)例串接形成一條服務(wù)鏈(如圖1下部的FW和LB業(yè)務(wù))，這兩個(gè)網(wǎng)絡(luò)間的流量會(huì)依次經(jīng)過整條服務(wù)鏈上的每一個(gè)虛擬的網(wǎng)絡(luò)功能(Virtual Network Function, vNF)服務(wù)實(shí)例，每個(gè)vNF都在兩個(gè)網(wǎng)絡(luò)間轉(zhuǎn)發(fā)流量；2)一個(gè)并聯(lián)的vNF服務(wù)實(shí)例(如圖1下部的IPS業(yè)務(wù))，這兩個(gè)網(wǎng)絡(luò)間的流量會(huì)被鏡像到vNF，vNF可以對流量進(jìn)行離線的深度數(shù)據(jù)包分析而無需轉(zhuǎn)發(fā)。整條服務(wù)鏈既可以做二層轉(zhuǎn)發(fā)也可以做三層轉(zhuǎn)發(fā)，依據(jù)實(shí)際部署和應(yīng)用場景而定。

在OpenContrail的模型中，接入vNF的一端必須是租戶的虛擬網(wǎng)絡(luò)，這一要求將其提供NFV的能力限定于云平臺(tái)之上。NFCloud在調(diào)研之后提出來，NFV平臺(tái)應(yīng)該滿足下列的需求。

1)將NFV的業(yè)務(wù)能力擴(kuò)展到物理網(wǎng)絡(luò)中，也就是說，NFV平臺(tái)能為物理網(wǎng)絡(luò)加載vNF服務(wù)。

2)提供多租戶的環(huán)境，不同的用戶能運(yùn)行不同的vNF服務(wù)，他們之間是相互隔離的。

3)vNF能以服務(wù)鏈的形式串聯(lián)或者并聯(lián)在租戶物理網(wǎng)絡(luò)出口。

4)vNF能以云主機(jī)的形式部署在網(wǎng)絡(luò)邊緣。跟服務(wù)鏈上的服務(wù)不同，云主機(jī)有可達(dá)的IP地址，用戶可以通過地址直接連接到云主機(jī)上。云主機(jī)的地址可以跟用戶在同一個(gè)網(wǎng)段，也可以在網(wǎng)管單獨(dú)分配的網(wǎng)段。

根據(jù)這樣的需求，NFCloud所支持的業(yè)務(wù)模型如圖2所示。圖2左邊是一般的園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)，上面的路由器與Internet相連提供出口服務(wù)，下面的核心交換機(jī)提供大容量的交換網(wǎng)絡(luò)，往下通過接入層接入不同的用戶，用戶間的流量一般是通過IP地址或者VLAN標(biāo)簽區(qū)分。在出口路由器下，NFCloud部署透明網(wǎng)關(guān)(Transparent GateWay,TGW)，將用戶的物理網(wǎng)絡(luò)流量引入到各自訂購的虛擬服務(wù)鏈中來。如圖2所示，用戶1訂購了一組服務(wù)；而其他用戶尚未訂購服務(wù)。所有的用戶都可以隨時(shí)登陸NFCloud系統(tǒng)啟用或者停用訂閱的服務(wù)。服務(wù)分為兩種：服務(wù)鏈和云主機(jī)。服務(wù)鏈處理所有從該用戶與Internet之間的流量，云主機(jī)則是一臺(tái)用戶可以訪問的虛擬機(jī)。跟OpenContrail一樣，服務(wù)鏈里面又包括串聯(lián)服務(wù)和并聯(lián)服務(wù)。從用戶的視角出發(fā)，NFCloud在用戶的物理網(wǎng)絡(luò)出口提供了虛擬網(wǎng)關(guān)(Virtual Gateway, VG)的功能，在VG上，用戶可以根據(jù)自己的需求，加載不同的業(yè)務(wù)。在NFCloud平臺(tái)上，用戶可以租賃vNF服務(wù)，也可以稱為“租戶”，因此在本文的討論中，“用戶”和“租戶”的意義可以互換。

圖1 OpenContrail的NFV功能的業(yè)務(wù)模型

圖2 NFCloud的業(yè)務(wù)模型

NFCloud實(shí)現(xiàn)的4點(diǎn)需求，尤其是將NFV的業(yè)務(wù)能力擴(kuò)展到物理網(wǎng)絡(luò)這一點(diǎn)，使得我們可以將NFV這一強(qiáng)大的工具用于改造傳統(tǒng)的物理網(wǎng)絡(luò)上。它的架構(gòu)使得它適合于部署在網(wǎng)絡(luò)服務(wù)提供商出口，如園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)出口，或者運(yùn)營商側(cè)的匯聚鏈路上，提供面向多租戶的虛擬網(wǎng)絡(luò)服務(wù)和近用戶側(cè)的云計(jì)算能力。

2 系統(tǒng)架構(gòu)

圖3所示的是NFCloud的系統(tǒng)架構(gòu)。整個(gè)架構(gòu)采用微服務(wù)架構(gòu)耦合，這是當(dāng)前分布式系統(tǒng)開發(fā)的一種較為流行的架構(gòu)。它將系統(tǒng)里面的各個(gè)組件劃分為多個(gè)獨(dú)立運(yùn)行的服務(wù)，相互之間采用RESTful API請求、遠(yuǎn)過程調(diào)用或者消息隊(duì)列的方式進(jìn)行服務(wù)。每個(gè)服務(wù)完成的工作相對比較簡單，清晰。按照各個(gè)服務(wù)所部署的位置，在NFCloud系統(tǒng)中有三類節(jié)點(diǎn)：控制節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)和透明網(wǎng)關(guān)轉(zhuǎn)發(fā)設(shè)備。

圖3 NFCloud的系統(tǒng)架構(gòu)

控制節(jié)點(diǎn)運(yùn)行各個(gè)子系統(tǒng)的控制平面。NFCloud-web是用戶的入口，提供交互操作界面，它將用戶的網(wǎng)絡(luò)配置下發(fā)到透明網(wǎng)關(guān)控制平面TGW-control，從Openstack生成虛擬機(jī)組成服務(wù)鏈，服務(wù)鏈的配置下發(fā)到Opencontrail；Openstack和Opencontrail再通過其內(nèi)部的機(jī)制管理計(jì)算節(jié)點(diǎn)。vNF-webproxy是vNF的管理平面提供的一個(gè)操作界面代理，允許用戶從NFCloud-web直接管理vNF應(yīng)用。TGW-control通過BGP協(xié)議跟Opencontrail協(xié)商服務(wù)鏈的隧道信息，并將它們存放在ZooKeeper里通知到透明網(wǎng)關(guān)轉(zhuǎn)發(fā)設(shè)備TGW-forwarder。

計(jì)算節(jié)點(diǎn)是運(yùn)行服務(wù)鏈和云主機(jī)虛擬機(jī)的服務(wù)器。計(jì)算節(jié)點(diǎn)由Openstack和Opencontrail管理，NFCloud在Openstack和Opencontrail上層開發(fā)的組件并不直接和計(jì)算節(jié)點(diǎn)交互。計(jì)算節(jié)點(diǎn)運(yùn)行虛擬交換機(jī)(Virtual Switch，vSwitch)，負(fù)責(zé)為虛擬機(jī)構(gòu)建VNet和服務(wù)鏈。計(jì)算節(jié)點(diǎn)之間的網(wǎng)絡(luò)互連由高速的光纖(10G/40G)互連，這個(gè)高速互連網(wǎng)絡(luò)稱為Fabric網(wǎng)絡(luò)。

透明網(wǎng)關(guān)轉(zhuǎn)發(fā)設(shè)備T G W-forwarder則是將用戶的物理網(wǎng)絡(luò)與vNF聯(lián)通的關(guān)鍵設(shè)備。它通過上下行鏈路串入到物理網(wǎng)絡(luò)中，通過Fabric網(wǎng)絡(luò)與計(jì)算節(jié)點(diǎn)相連。TGW-forwarder從Zookeeper中獲取TGW-control寫入的用戶配置和路由信息。TGW-forwarder將用戶的流量加上2層隧道頭送給服務(wù)鏈或者云主機(jī)中的vNF，把處理完的流量再送回到物理網(wǎng)絡(luò)中。

控制節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)都是標(biāo)準(zhǔn)的X86服務(wù)器；而TGW-forwarder作為網(wǎng)絡(luò)接入設(shè)備，既可以采用X86服務(wù)器，也可以采用眾核處理卡或者NP。在標(biāo)準(zhǔn)部署中，一套完整的NFCloud系統(tǒng)，包括一個(gè)主控制節(jié)點(diǎn)和一個(gè)備份控制節(jié)點(diǎn)，多個(gè)計(jì)算節(jié)點(diǎn)和一個(gè)透明網(wǎng)關(guān)轉(zhuǎn)發(fā)設(shè)備。

3 挑戰(zhàn)與解決方案

在通信通訊領(lǐng)域，服務(wù)提供商一直強(qiáng)調(diào)連接服務(wù)的高性能和高可靠性。而作為通信能力服務(wù)化的一種技術(shù)手段，NFV正是因?yàn)槠湓谛阅芎涂煽啃苑矫孢_(dá)不到電信運(yùn)營商的標(biāo)準(zhǔn)而成為其商業(yè)化的障礙[5-6]。在我們與客戶的接觸中發(fā)現(xiàn)，NFCloud提出的業(yè)務(wù)模型的接受度是非常高的，他們對OpenContrail底層能提供的性能和可靠性同樣表現(xiàn)了不滿意的態(tài)度。下面討論NFCloud在性能和可靠性方面所做的工作。

3.1 透明網(wǎng)關(guān)

從功能的角度來看，透明網(wǎng)關(guān)屬于傳統(tǒng)的數(shù)據(jù)平面設(shè)備，其處理邏輯如圖4所示：對流量按照上層定義的屬性進(jìn)行分類，如果它屬于本設(shè)備的報(bào)文則進(jìn)行協(xié)議棧處理；如果是送入vNF的數(shù)據(jù)包，按照用戶進(jìn)行數(shù)據(jù)包分類，即屬于某個(gè)用戶服務(wù)鏈或者云主機(jī)則加上隧道頭從Fabric網(wǎng)絡(luò)送入NFCloud后端的云虛擬機(jī)里，其余的報(bào)文直接轉(zhuǎn)發(fā)；如果是vNF發(fā)送到物理網(wǎng)絡(luò)的數(shù)據(jù)包，則解封裝，提取出接口，恢復(fù)二層頭發(fā)送到上下行網(wǎng)絡(luò)中。

從部署的角度來看，透明網(wǎng)關(guān)串接到園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)出口或者運(yùn)營商側(cè)匯聚鏈路上。前者的鏈路多以1G速率為主，在這種場景下，基于X86平臺(tái)DPDK[7]的純軟件的透明網(wǎng)關(guān)也可以滿足性能要求。而對于后兩種場景，目前的鏈路以10G/40G的光纖接入為主，即使只將少部分流量導(dǎo)入到NFCloud云中，由于所有的流量都需要經(jīng)過透明網(wǎng)關(guān)進(jìn)行用戶查找，因此，對透明網(wǎng)關(guān)的性能壓力是巨大的。為應(yīng)付高速率鏈路對透明網(wǎng)關(guān)的性能需求，NFCloud在集成了眾核處理器+交換芯片的硬件平臺(tái)上開發(fā)了高性能透明網(wǎng)關(guān)，其結(jié)構(gòu)如圖5所示。

在圖5中，TGW-forwarder的中心是交換芯片，對外提供上下行鏈路和Fabric接口，對內(nèi)連接兩邊的眾核處理芯片，兩塊芯片分別處理上下行的流量。從網(wǎng)絡(luò)進(jìn)來的流量經(jīng)過交換芯片進(jìn)行類型判斷和用戶查找：如果不需要額外處理的報(bào)文直接就轉(zhuǎn)發(fā)；如果需要進(jìn)行上層協(xié)議處理和隧道處理的報(bào)文，交換芯片會(huì)插入相應(yīng)的用戶信息送給CPU處理。這個(gè)結(jié)構(gòu)把圖4中性能關(guān)鍵的部分放到了交換芯片，包類型判斷用交換芯片的ACL規(guī)則實(shí)現(xiàn)，用戶查找用TCAM實(shí)現(xiàn)。由于使用了交換芯片，提高了透明網(wǎng)關(guān)轉(zhuǎn)發(fā)平面的性能和可靠性。

圖4 透明網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)包處理流程

圖5 基于眾核處理器平臺(tái)的透明網(wǎng)關(guān)轉(zhuǎn)發(fā)平面

3.2 虛擬交換機(jī)

透明網(wǎng)關(guān)將服務(wù)鏈的流量通過Fabric網(wǎng)絡(luò)送到服務(wù)鏈或者云主機(jī)中的vNF進(jìn)行處理。vNF是虛擬機(jī)中的應(yīng)用程序，而計(jì)算節(jié)點(diǎn)上面運(yùn)行虛擬交換機(jī)(Virtual Switch, VS)軟件處理Fabric接口和虛擬機(jī)的虛擬接口之間的報(bào)文交換。虛擬交換機(jī)由于其連接著物理接口和虛擬接口，其采用的技術(shù)直接決定了IO接口數(shù)據(jù)轉(zhuǎn)發(fā)的性能，因此，VS的性能優(yōu)化尤其重要。

主流的VS架構(gòu)，多采用基于內(nèi)核的數(shù)據(jù)通路+vhost-net+virtio的方式進(jìn)行虛擬交換[8]，其結(jié)構(gòu)如圖6(a)所示。由于Linux內(nèi)核中網(wǎng)絡(luò)協(xié)議棧的通用性，基于內(nèi)核的數(shù)據(jù)通路的額外開銷較多，在1次IO中需要2次內(nèi)存分配和釋放+1次數(shù)據(jù)包拷貝；另外，由于涉及到驅(qū)動(dòng)、協(xié)議棧、iptables/ebtables等多層功能，處理也較復(fù)雜。基于內(nèi)核的數(shù)據(jù)通路很難提供超過1Gb/s線速的性能。為追求更高的性能，VS都開始朝著用戶態(tài)交換的架構(gòu)演進(jìn)，以消除內(nèi)核協(xié)議棧過重的額外開銷。用戶態(tài)交換把圖6(a)都遷移到了用戶態(tài)來如圖6(b)所示，變成了DPDK+vhost-user+virtio。相較原來的基于內(nèi)核數(shù)據(jù)通路的方式而言，減少了1次內(nèi)存分配和釋放，由于不需要考慮過多通用的功能，處理可以專注在虛擬交換上。在這種模式下，VS的性能可以提高到3Gb/s線速。

除了VS的架構(gòu)外，降低VS處理的復(fù)雜性對性能也有較好的提升。原生的VS為全功能的處理設(shè)計(jì)了通用而復(fù)雜的流表規(guī)則和動(dòng)作集。已有研究表明，通過算法的優(yōu)化，比如Hypersplit[9]，流表cache可以對通用的流表匹配有較好的加速作用。而NFCloud將服務(wù)鏈IO的處理進(jìn)行了大幅簡化，避免了復(fù)雜的流表規(guī)則和動(dòng)作集，比一些通用的優(yōu)化算法效果更好，能將性能再次提升10%左右。

圖6 基于內(nèi)核態(tài)和用戶態(tài)通路的VS架構(gòu)

3.3 服務(wù)實(shí)例

服務(wù)實(shí)例是運(yùn)行在虛擬機(jī)里面的vNF，一般是基于DPDK開發(fā)的用戶態(tài)程序，對租戶的流量進(jìn)行業(yè)務(wù)處理。從虛擬化的角度來提升虛擬機(jī)的性能，Openstack和KVM社區(qū)有很多共性的優(yōu)化的方法，比如大頁面的使用，NUMA親和性的綁定，VCPU和物理CPU的綁定等，這些方法同樣適合于在NFV場景，因此我們都已經(jīng)把這些優(yōu)化技術(shù)引入到NFCloud系統(tǒng)中。從NFV的特性下手去提高服務(wù)實(shí)例的性能，NFCloud主要是從網(wǎng)絡(luò)流量的IO著手，對vNIC的virtio-net前后端驅(qū)動(dòng)進(jìn)行改造，使其能夠支持vNF對網(wǎng)絡(luò)流量進(jìn)行并行化處理和批處理。

1)vNF應(yīng)用對流量進(jìn)行并行化處理。雖然多核處理器已經(jīng)發(fā)布超過10年，但由于并行編程的難度，許多NF應(yīng)用在利用多核處理器的能力上仍然表現(xiàn)不佳。根據(jù)我們之前已有的研究成果總結(jié)[10]，網(wǎng)絡(luò)流量并行編程模型主要有三種，即Run-To-Complete(RTC)模型、Software-Pipeline(SPL)模型以及由上面兩種模型共同衍生出來的混合模型，包括Supra-linear模型、Multi-Snort、Para-Snort等?；旌夏Ｐ偷某霭l(fā)點(diǎn)是SPL模型中的每一個(gè)Pipeline的復(fù)雜度是不均等的，對于較復(fù)雜的Pipeline應(yīng)該采用RTC再進(jìn)行并行化。Para-Snort模型在NF應(yīng)用中適合網(wǎng)絡(luò)流量處理特性因而性能較好，而且Para-Snort模型的編程復(fù)雜度較低開發(fā)容易。因此Para-Snort模型在新一代NF應(yīng)用的開發(fā)中占據(jù)了主流的地位。

對于Para-Snort模型，在作者其它研究表明[11]，數(shù)據(jù)包捕獲+負(fù)載均衡越靠近底層，從用戶態(tài)→內(nèi)核態(tài)→硬件越往下走，整個(gè)系統(tǒng)的可擴(kuò)展性和性能就越好。在NFCloud中，數(shù)據(jù)包捕獲+負(fù)載均衡是實(shí)現(xiàn)在虛擬交換層+vNIC上，將virtio-net的前后端都改造為支持多隊(duì)列收發(fā)的并行結(jié)構(gòu)，使得數(shù)據(jù)包從網(wǎng)卡進(jìn)入系統(tǒng)就能夠被并行處理，減少后續(xù)處理的拷貝和同步開銷，極大地提高了vNF應(yīng)用的性能。

2)vNF應(yīng)用對流量進(jìn)行批處理。我們建議vNF應(yīng)用一次從網(wǎng)卡上收多個(gè)數(shù)據(jù)包進(jìn)行處理；發(fā)送時(shí)則緩存多個(gè)數(shù)據(jù)包一次發(fā)送。從IO上來說，批處理可以減少系統(tǒng)開銷；從應(yīng)用來說，批處理可以提高代碼和數(shù)據(jù)的熱度，提高Cache命中率。

3.4 可用性

由于數(shù)據(jù)通訊處于互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)地位，高可用性是天然的業(yè)務(wù)要求。而云管理平臺(tái)在單個(gè)業(yè)務(wù)的可用性方面，主要是上層業(yè)務(wù)做負(fù)載均衡+冗余備份，在NFCloud控制平面也采用相同的方法(如圖3所示部署的備份控制節(jié)點(diǎn))。而對于NFV工作的數(shù)據(jù)通訊層上的可用性，包括Openstack在內(nèi)的云管理平臺(tái)都缺乏足夠的保護(hù)措施。NFCloud在這方面做了增強(qiáng)，從手段來說是冗余+監(jiān)控+保護(hù)，從保護(hù)范圍來說是系統(tǒng)→服務(wù)鏈→單個(gè)vNF應(yīng)用三級。

1)vNF應(yīng)用監(jiān)控和服務(wù)鏈狀態(tài)監(jiān)控。前者是對vNF是否正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)進(jìn)行監(jiān)控，后者對某個(gè)租戶的整條業(yè)務(wù)鏈轉(zhuǎn)發(fā)進(jìn)行監(jiān)控。這兩種方式都是通過主動(dòng)發(fā)送探測包并監(jiān)控返回來的探測包來推測被監(jiān)控對象的行為和狀態(tài)。這兩套機(jī)制都是借用802.1AG協(xié)議的Connectiv Fault Management(CFM)的狀態(tài)機(jī)。當(dāng)監(jiān)測應(yīng)用或者服務(wù)鏈的的行為異常時(shí)，NFCloud會(huì)通知控制平面嘗試做修復(fù)工作，比如重啟虛擬機(jī)，暫時(shí)將流量跳過某一級或全部應(yīng)用，或者跟ECMP聯(lián)動(dòng)。

2)Equal Cost Multi Path(ECMP)冗余備份，利用負(fù)載均衡對vNF進(jìn)行備份。ECMP是一種網(wǎng)絡(luò)層的負(fù)載均衡技術(shù)，如圖7所示，對于FW這個(gè)vNF運(yùn)行了3個(gè)相同的虛擬機(jī)對流量進(jìn)行處理。當(dāng)NFCloud采用vNF應(yīng)用監(jiān)控和服務(wù)鏈狀態(tài)監(jiān)控的方法監(jiān)測到某一個(gè)FW虛擬機(jī)失效時(shí)，F(xiàn)W前一級的VS將會(huì)知道并跳過失效的FW虛擬機(jī)。它既提供良好的可擴(kuò)展性，也提供冗余備份能力。

3)入口短路保護(hù)，采用光保護(hù)交換機(jī)對透明網(wǎng)關(guān)TGW和整套云平臺(tái)進(jìn)行監(jiān)控。其工作原理如圖8所示，光保護(hù)交換機(jī)放置在TGW-forwarder前，兩者之間有一條心跳線。在系統(tǒng)正常工作時(shí)，光保護(hù)交換機(jī)會(huì)將上下行間的流量送給TGW-forwarder；當(dāng)系統(tǒng)不能正常工作時(shí)，比如光保護(hù)交換機(jī)掉電、兩者時(shí)間的光纖無信號或者沒有心跳時(shí)，光保護(hù)交換機(jī)直接將上下行的流量透傳，從而保護(hù)上下行間的鏈路。

圖7 ECMP對業(yè)務(wù)進(jìn)行負(fù)載均衡

圖8 光保護(hù)交換機(jī)的工作原理

4 總結(jié)

NFV成為改造網(wǎng)絡(luò)的一個(gè)強(qiáng)大的工具，有許多網(wǎng)絡(luò)服務(wù)提供商正在計(jì)劃將它們的服務(wù)遷移到NFV平臺(tái)上去。本文總結(jié)了我們在Opencontrail上構(gòu)建面向數(shù)據(jù)通訊NFV平臺(tái)——NFCloud時(shí)遇到的問題和解決方法。NFCloud的核心價(jià)值在于解決以下兩個(gè)問題：NFV應(yīng)該怎樣提供業(yè)務(wù)能力和NFV平臺(tái)如何滿足服務(wù)提供商的技術(shù)要求。

NFV應(yīng)該怎樣提供業(yè)務(wù)能力？我們在調(diào)研了好幾種商用和開源的NFV平臺(tái)后發(fā)現(xiàn)，vNF的主要運(yùn)行模式包括Middlebox服務(wù)和主機(jī)服務(wù)[12]，我們將這兩種業(yè)務(wù)抽象為在出口的服務(wù)鏈和在邊緣的云主機(jī)。所有的NFV平臺(tái)都提供運(yùn)行云主機(jī)這種能力。而對于服務(wù)鏈業(yè)務(wù)，對于加載網(wǎng)絡(luò)的Middlebox業(yè)務(wù)，這是特別合適的業(yè)務(wù)模式，但是，服務(wù)鏈業(yè)務(wù)在各種NFV平臺(tái)中的功能要么缺失，要么有較大的局限性(只能用于VNet之間)，要么使用較復(fù)雜。NFCloud將NFV平臺(tái)業(yè)務(wù)能力總結(jié)為4點(diǎn)需求：擴(kuò)展到物理網(wǎng)絡(luò)、多租戶、提供服務(wù)鏈功能、提供云主機(jī)功能。這使得NFCloud適合部署在網(wǎng)絡(luò)出口，如園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)出口，或者運(yùn)營商側(cè)的匯聚鏈路上，提供面向多租戶的虛擬網(wǎng)絡(luò)服務(wù)和近用戶側(cè)的云計(jì)算能力。

NFV平臺(tái)如何滿足服務(wù)提供商的技術(shù)要求？NFV底層使用云計(jì)算技術(shù)來運(yùn)行vNF。這兩者在技術(shù)要求上并不一致：NFV在數(shù)據(jù)通路上提供虛擬服務(wù)，要求高性能和高可用性；而云計(jì)算正是允許犧牲部分性能來解決資源彈性使用的問題。在整個(gè)數(shù)據(jù)通路上我們采用了多種技術(shù)來提高性能：使用專用的眾核處理平臺(tái)來實(shí)現(xiàn)10G的透明網(wǎng)關(guān)轉(zhuǎn)發(fā)平面；采用用戶態(tài)交換并簡化規(guī)則處理來提高虛擬交換的性能；在virtio接口上提供并行化和批處理能力來提高vNF自身的性能。在可用性上，NFCloud采用監(jiān)控+冗余+保護(hù)手段對系統(tǒng)→服務(wù)鏈→單個(gè)vNF應(yīng)用三級的可用性進(jìn)行加強(qiáng)。

參考文獻(xiàn)

[1]ETSI: Network Function Virtualization[EB/OL].[2016-01-02].http://www.etsi.org/technologies-clusters/technologies/nfv

[2]華一強(qiáng),郭曉琳,楊艷松.NFV及其在IP網(wǎng)中應(yīng)用的探討[J].郵電設(shè)計(jì)技術(shù),2015(2):11-16

[3]Opencontrail: An open-source network virtualization platform for the cloud[EB/OL].[2016-01-02].http://www.opencontrail.org/

[4]Openstack: Open source software for creating private and public clouds[EB/OL].[2016-01-02].http://www.openstack.org/

[5] 李晨,段曉東,陳煒,等.SDN和NFV的思考和實(shí)踐[J].電信科學(xué),2014(8):23-27

[6]史凡,解云鵬,胡曉娟,等.SDN/NFV技術(shù)對電信網(wǎng)絡(luò)架構(gòu)的價(jià)值和引入要點(diǎn)分析[J].電信網(wǎng)技術(shù),2015(4):1-4

[7]DPDK: a set of libraries and drivers for fast packet processing[EB/OL].[2016-01-03].http://www.dpdk.org/

[8]Rusty Russell.Virtio: towards a de-facto standard for virtual I/O devices[J].ACM SIGOPS Operating Systems Review,2008(5): 95-103

[9]賀鵬.高效包分類方法研究[D].北京:中國科學(xué)院大學(xué),2015

[10]姜海洋.網(wǎng)絡(luò)入侵檢測系統(tǒng)并行化技術(shù)研究[D].北京:中國科學(xué)院大學(xué),2015

[11]溫曙光,謝高崗.libpcap-MT:一種多線程的通用數(shù)據(jù)包捕獲庫[J].計(jì)算機(jī)研究與發(fā)展,2011(5):756-764

[12]薛淼,符剛.基于SDN/NFV的Service Chaining關(guān)鍵技術(shù)研究[J].郵電設(shè)計(jì)技術(shù),2015(2):1-6