陳 銀，陳 柯，任 森

（四川通信科研規(guī)劃設(shè)計有限責(zé)任公司，四川 成都 610041）

0 引 言

隨著互聯(lián)網(wǎng)+的快速發(fā)展，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)已不能滿足日新月異的互聯(lián)網(wǎng)應(yīng)用需求?；赟DN架構(gòu)的云化數(shù)據(jù)中心具有轉(zhuǎn)發(fā)與控制分離、網(wǎng)絡(luò)虛擬化、網(wǎng)絡(luò)集中控制等特點，能解決互聯(lián)網(wǎng)應(yīng)用對業(yè)務(wù)自動化響應(yīng)、網(wǎng)絡(luò)彈性擴(kuò)張等的要求。SDN技術(shù)有效地驅(qū)動了云化數(shù)據(jù)中心的產(chǎn)生。

1 云化數(shù)據(jù)中心面臨的挑戰(zhàn)

云化業(yè)務(wù)需要網(wǎng)絡(luò)自動感知，按需快速部署資源，需要網(wǎng)絡(luò)彈性擴(kuò)展和高標(biāo)準(zhǔn)的安全性。云化數(shù)據(jù)中心面臨的挑戰(zhàn)主要體現(xiàn)在以下幾個方面。

1.1 如何自動化響應(yīng)業(yè)務(wù)

隨著互聯(lián)網(wǎng)+的快速發(fā)展，每天上線的APP數(shù)量高達(dá)數(shù)百，越來越多的BAT企業(yè)的應(yīng)用更新周期提速，而傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)和IT無協(xié)同，網(wǎng)絡(luò)部署未流程化、自動化，服務(wù)器上線周期高達(dá)500多天，導(dǎo)致傳統(tǒng)數(shù)據(jù)中心的模式跟不上云化業(yè)務(wù)的需求。因此，網(wǎng)絡(luò)如何自動化響應(yīng)業(yè)務(wù)變化成為關(guān)鍵問題。

1.2 如何彈性擴(kuò)展網(wǎng)絡(luò)

傳統(tǒng)數(shù)據(jù)中心資源池、預(yù)分配網(wǎng)段只供數(shù)據(jù)中心內(nèi)部使用，且虛擬機(jī)的遷移局限于大二層區(qū)域內(nèi)。虛擬機(jī)跨二層區(qū)域遷移，需要更改其IP地址且必須中斷業(yè)務(wù)。云化業(yè)務(wù)部署不受物理位置的限制，虛擬機(jī)需要更大的遷移范圍。因此，電信運(yùn)營商緊迫需要資源池化，需要彈性擴(kuò)展的網(wǎng)絡(luò)。

1.3 如何降低安全風(fēng)險點

與傳統(tǒng)數(shù)據(jù)中心建設(shè)方式不同，云化數(shù)據(jù)中心采用網(wǎng)絡(luò)虛擬化、網(wǎng)絡(luò)功能虛擬化等技術(shù)，將數(shù)據(jù)中心的存儲資源、計算資源進(jìn)行整合與池化，使多個或者數(shù)十個不同的應(yīng)用系統(tǒng)運(yùn)行于單臺高性能物理機(jī)變成可能[1]。雖然這樣極大地提高了資源利用率，實現(xiàn)了單系統(tǒng)的多業(yè)務(wù)服務(wù)能力，但虛擬化技術(shù)帶來了虛擬機(jī)逃逸、網(wǎng)絡(luò)被竊聽等新的安全風(fēng)險。同時，云平臺的穩(wěn)定性直接關(guān)系到數(shù)據(jù)的安全準(zhǔn)確性，如果遭受攻擊，影響面較大。

2 基于SDN架構(gòu)的云化數(shù)據(jù)中心的定義及關(guān)鍵技術(shù)

2.1 基于SDN架構(gòu)的云化數(shù)據(jù)中心的定義

SDN提出了采用軟件定義網(wǎng)絡(luò)的思路，具有轉(zhuǎn)發(fā)和控制分離、控制邏輯集中、網(wǎng)絡(luò)虛擬化和網(wǎng)絡(luò)能力開放化等特點。數(shù)據(jù)中心網(wǎng)絡(luò)的網(wǎng)絡(luò)集中管理、靈活組網(wǎng)多路徑轉(zhuǎn)發(fā)、虛擬機(jī)部署和智能遷移、虛擬多租戶等方面的需求，使得SDN技術(shù)非常適合在數(shù)據(jù)中心網(wǎng)絡(luò)中應(yīng)用[2]。因此，基于SDN的云化數(shù)據(jù)中心網(wǎng)絡(luò)方案是未來數(shù)據(jù)中心網(wǎng)絡(luò)的趨勢。相對于傳統(tǒng)的數(shù)據(jù)中心，基于SDN架構(gòu)的云化數(shù)據(jù)中心自動化程度更高，可視性更好。

2.2 基于SDN架構(gòu)的云化數(shù)據(jù)中心的關(guān)鍵技術(shù)

基于SDN架構(gòu)下的數(shù)據(jù)中心主要涉及網(wǎng)絡(luò)虛擬化、網(wǎng)絡(luò)功能虛擬化、軟件定義等關(guān)鍵技術(shù)，而網(wǎng)絡(luò)虛擬化主要實現(xiàn)多種虛擬功能在同一物理設(shè)備上的疊加[3]。VxLAN（MAC over UDP）、STT（MAC over TCP）、NVGRE（MAC over GRE）以及OpenFlow均為典型的網(wǎng)絡(luò)虛擬化技術(shù)，目前行業(yè)采用較多、較為成熟的是VxLAN技術(shù)。

數(shù)據(jù)報通過查詢MAC地址進(jìn)行轉(zhuǎn)發(fā)。大二層網(wǎng)絡(luò)里MAC地址的數(shù)量限制了虛擬機(jī)的數(shù)量與規(guī)模。VxLAN是一種overlay的網(wǎng)絡(luò)技術(shù)，使用MAC over UDP封裝實現(xiàn)多租戶虛擬二層網(wǎng)絡(luò)且不改變用戶的私網(wǎng)地址、MAC地址、Vlan等。這種技術(shù)很好地契合了云化數(shù)據(jù)中心需要摒除網(wǎng)絡(luò)的隔離限制，實現(xiàn)了虛擬機(jī)跨大二層網(wǎng)絡(luò)的部署與遷移，實現(xiàn)了云化業(yè)務(wù)的自動化部署等多方面需求。因此，VxLAN技術(shù)大規(guī)模使用于基于SDN架構(gòu)的云化數(shù)據(jù)中心網(wǎng)絡(luò)。

3 基于SDN架構(gòu)的云化數(shù)據(jù)中心的主要特征

3.1 網(wǎng)絡(luò)虛擬化

網(wǎng)絡(luò)虛擬化可以將一個物理網(wǎng)絡(luò)分割為多個邏輯網(wǎng)絡(luò)，也可以將多個物理網(wǎng)絡(luò)抽象為一個虛擬網(wǎng)絡(luò)。網(wǎng)絡(luò)物理設(shè)備層和邏輯業(yè)務(wù)層之間的對應(yīng)關(guān)系可以被網(wǎng)絡(luò)虛擬化屏蔽，物理設(shè)備的功能被虛擬化網(wǎng)元取代，管理員統(tǒng)一管理和配置虛擬化網(wǎng)元滿足不同租戶的個性化需求[4]，實現(xiàn)不同租戶的流量、安全、性能的集中控制，為業(yè)務(wù)彈性部署和網(wǎng)絡(luò)彈性擴(kuò)張奠定基礎(chǔ)。

3.2 計算虛擬化

傳統(tǒng)數(shù)據(jù)中心內(nèi)孤立的環(huán)境，需要執(zhí)行大量手動操作來管理數(shù)據(jù)中心的增長或進(jìn)行重新配置，使得數(shù)據(jù)中心的擴(kuò)展緩慢又成本昂貴。與之相對，基于SDN架構(gòu)的云化數(shù)據(jù)中心可以利用池化、抽象化等虛擬化技術(shù)，將傳統(tǒng)孤立的數(shù)據(jù)中心進(jìn)行細(xì)分，也可以借助計算虛擬化執(zhí)行服務(wù)器和數(shù)據(jù)的整合。同時，持續(xù)監(jiān)測網(wǎng)絡(luò)運(yùn)行狀態(tài)、設(shè)備性能與容量，為網(wǎng)絡(luò)自動化和彈性擴(kuò)展提供有力支撐。

3.3 存儲虛擬化

傳統(tǒng)的數(shù)據(jù)中心高度以硬件為中心，網(wǎng)絡(luò)服務(wù)通常與數(shù)據(jù)中心內(nèi)部物理設(shè)備綁定。數(shù)據(jù)中心設(shè)備供應(yīng)商數(shù)量眾多，每個供應(yīng)商都有自己專有的協(xié)議和工具集。這就要求運(yùn)營和管理網(wǎng)絡(luò)的人員具備較高的專業(yè)度。存儲虛擬化技術(shù)屏蔽不同廠家設(shè)備間的異構(gòu)，實現(xiàn)所有存儲空間進(jìn)行統(tǒng)一的管理和分配，向用戶提供一個大容量的存儲資源，極大程度上減少存儲系統(tǒng)的管理難度，提高存儲利用率，節(jié)約建設(shè)及維護(hù)成本[5]。

4 基于SDN技術(shù)的云化數(shù)據(jù)中心的邏輯及網(wǎng)絡(luò)架構(gòu)

4.1 基于SDN技術(shù)的云化數(shù)據(jù)中心的邏輯架構(gòu)

基于SDN技術(shù)的云化數(shù)據(jù)中心的邏輯架構(gòu)自下而上分為網(wǎng)絡(luò)層、網(wǎng)絡(luò)控制層、協(xié)同層和、業(yè)務(wù)呈現(xiàn)層，如圖1所示。

圖1 基于SDN技術(shù)云化數(shù)據(jù)中心網(wǎng)絡(luò)邏輯架構(gòu)

網(wǎng)絡(luò)層。由交換機(jī)和服務(wù)器組成，設(shè)備形態(tài)可分為物理交換機(jī)和虛擬交換機(jī)、物理服務(wù)器和虛擬服務(wù)器。網(wǎng)絡(luò)層是數(shù)據(jù)中心的基礎(chǔ)設(shè)施，單純實現(xiàn)數(shù)據(jù)流的轉(zhuǎn)發(fā)。

網(wǎng)絡(luò)控制層。由單個或多個SDN控制器組成，完成網(wǎng)絡(luò)建模。原則上，單個數(shù)據(jù)中心可部署一個SDN控制器，一個SDN控制器也可控制多個數(shù)據(jù)中心。網(wǎng)絡(luò)控制層向下統(tǒng)一管理和控制網(wǎng)絡(luò)層虛擬網(wǎng)元，并以流表形式下發(fā)網(wǎng)絡(luò)需求。同時，網(wǎng)絡(luò)層向上匯報端口、容量、鏈路信息，以便統(tǒng)一管理和調(diào)度。網(wǎng)絡(luò)控制層北向支持API接口，通過插件對接多種主流云平臺。

協(xié)同層。主要由云管平臺組成，實現(xiàn)對云計算資源的管理。協(xié)同層主要屏蔽網(wǎng)絡(luò)控制層各廠家SDN控制器的實現(xiàn)差異，實現(xiàn)全網(wǎng)計算資源、存儲資源、網(wǎng)絡(luò)等資源的統(tǒng)一管理和分配[6]。

業(yè)務(wù)呈現(xiàn)層。由各類網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用界面和APP組成，是網(wǎng)絡(luò)與用戶的接口，主要將用戶的業(yè)務(wù)需求通過算法調(diào)度相應(yīng)的網(wǎng)絡(luò)資源。

4.2 基于SDN技術(shù)的云化數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)

單個云化數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)主要有分層解耦架構(gòu)和全融合架構(gòu)。分層解耦架構(gòu)主要適用于規(guī)模較大、高擴(kuò)展場景，全融合架構(gòu)主要適用于中小型數(shù)據(jù)中心、低擴(kuò)展場景。

4.2.1 分層解耦架構(gòu)

數(shù)據(jù)中心內(nèi)部采用Spine-leaf架構(gòu)，主干（Spine）由一對大容量數(shù)據(jù)中心交換機(jī)構(gòu)成。不同的枝葉（Leaf）實現(xiàn)不同的業(yè)務(wù)功能，使得業(yè)務(wù)功能模塊化。它主要劃分為服務(wù)器模塊、增值業(yè)務(wù)模塊和網(wǎng)關(guān)模塊等。服務(wù)器模塊對外提供裸機(jī)、虛機(jī)、計算、存儲等服務(wù)；增值業(yè)務(wù)模塊提供虛擬防火墻、虛擬負(fù)載均衡設(shè)備等服務(wù)；網(wǎng)關(guān)模塊實現(xiàn)網(wǎng)絡(luò)跨三層互通。分層解耦架構(gòu)各功能模塊可靈活解耦和合并，靈活擴(kuò)展能力強(qiáng)，適用于數(shù)據(jù)中心東西流量預(yù)期有顯著增長、規(guī)模大、高擴(kuò)展的場景。云化數(shù)據(jù)中心分層解耦架構(gòu)見圖2。

圖2 云化數(shù)據(jù)中心分層解耦架構(gòu)

4.2.2 全融合架構(gòu)

數(shù)據(jù)中心內(nèi)部采用“核心+接入”二層架構(gòu)，其業(yè)務(wù)功能通過核心層實現(xiàn)，一般形態(tài)為大容量數(shù)據(jù)中心交換機(jī)。與分層解耦架構(gòu)不同之處在于，全融合架構(gòu)的增值業(yè)務(wù)模塊、網(wǎng)關(guān)模塊等均由核心層實現(xiàn)，不同的服務(wù)器模塊均提供裸機(jī)、虛機(jī)、計算、存儲等相同的服務(wù)。該架構(gòu)網(wǎng)絡(luò)設(shè)備少，流量模型簡單，但擴(kuò)展性較差，適用于中小型數(shù)據(jù)中心、擴(kuò)展性低的場景。云化數(shù)據(jù)中心全融合架構(gòu)見圖3。

圖3 云化數(shù)據(jù)中心全融合架構(gòu)

5 基于SDN技術(shù)的云化數(shù)據(jù)中心的部署方案

傳統(tǒng)數(shù)據(jù)中心數(shù)量和規(guī)模龐大，網(wǎng)絡(luò)的改造不能簡單通過新建替換實現(xiàn)。在現(xiàn)網(wǎng)部署基于SDN技術(shù)的云化數(shù)據(jù)中心網(wǎng)絡(luò)，既要考慮建設(shè)資金也要考慮工程的實施難度等。新建網(wǎng)絡(luò)可完全采用基于SDN技術(shù)的產(chǎn)品，傳統(tǒng)網(wǎng)絡(luò)經(jīng)過改造通過SDN控制器與網(wǎng)管系統(tǒng)協(xié)同控制。下面以中國電信西南某省部署基于SDN技術(shù)的云化數(shù)據(jù)中心的案例進(jìn)行探討。該省有多個傳統(tǒng)的數(shù)據(jù)中心，目前省會城市準(zhǔn)備新建一個大型數(shù)據(jù)中心，主要承載大數(shù)據(jù)、云計算等新型業(yè)務(wù)。傳統(tǒng)數(shù)據(jù)中心內(nèi)部原有用戶也有虛擬防火墻、虛擬流量清洗等業(yè)務(wù)需求?？偨Y(jié)此省云化數(shù)據(jù)中心部署方案及過程，主要涉及以下幾個步驟。

5.1 改造傳統(tǒng)數(shù)據(jù)中心

通過傳統(tǒng)數(shù)據(jù)中心機(jī)房承載的用戶、增值業(yè)務(wù)發(fā)展空間、機(jī)房空間電源容量等條件的篩選，最終選取3個傳統(tǒng)數(shù)據(jù)中心進(jìn)行改造。傳統(tǒng)數(shù)據(jù)中心一般采用“核心+匯聚+接入”或“核心+接入”架構(gòu)，即用戶服務(wù)器經(jīng)架頂交換機(jī)上行至匯聚交換機(jī)最后至機(jī)房核心出口設(shè)備，或用戶服務(wù)器經(jīng)架頂交換機(jī)直接上行至核心設(shè)備。由于現(xiàn)網(wǎng)網(wǎng)絡(luò)架構(gòu)各異，本方案采用在3個目標(biāo)機(jī)房的核心出口設(shè)備旁掛VxLAN網(wǎng)關(guān)的方式，實現(xiàn)多個傳統(tǒng)數(shù)據(jù)中心跨大二層互通。傳統(tǒng)數(shù)據(jù)中心組網(wǎng)見圖4。

圖4 傳統(tǒng)數(shù)據(jù)中心組網(wǎng)

5.2 構(gòu)建云化數(shù)據(jù)中心

云化數(shù)據(jù)中心主要承載對網(wǎng)絡(luò)自動化、彈性擴(kuò)展、安全性較高的大數(shù)據(jù)、云計算等新業(yè)務(wù)，且該數(shù)據(jù)中心建設(shè)規(guī)模較大，本方案數(shù)據(jù)中心內(nèi)部采用分層解耦架構(gòu)。主干（Spine）由一對大容量、具有VxLAN網(wǎng)關(guān)的大容量數(shù)據(jù)中心交換機(jī)組成；不同的枝葉（Leaf）實現(xiàn)不同的業(yè)務(wù)功能，由多對數(shù)據(jù)中心交換機(jī)組成；核心、匯聚、接入、架頂交換機(jī)均具有VxLAN封裝的功能。構(gòu)建各功能模塊、部署計算與存儲資源，實現(xiàn)云化數(shù)據(jù)中心內(nèi)部資源的靈活調(diào)度和分配，見圖5。

圖5 云化數(shù)據(jù)中心組網(wǎng)

5.3 部署SDN控制器及云管平臺

云化數(shù)據(jù)中心是未來數(shù)據(jù)中心的發(fā)展趨勢，后期全省將擴(kuò)大范圍部署且考慮資源統(tǒng)一調(diào)度原則。SDN控制器和云管平臺采用全省集中部署的方式。通過SDN+VxLAN的方式實現(xiàn)數(shù)據(jù)中心之間跨大二層資源共享和遠(yuǎn)程遷移，實現(xiàn)云化數(shù)據(jù)中心內(nèi)部資源的動態(tài)調(diào)整和部署，按需部署統(tǒng)一管理，提高了設(shè)備利用率，節(jié)約了建網(wǎng)、維護(hù)成本。多數(shù)據(jù)中心SDN組網(wǎng)見圖6。

圖6 多數(shù)據(jù)中心SDN組網(wǎng)

6 結(jié) 語

SDN技術(shù)擁有轉(zhuǎn)控分離、集中控制等特點，可解決現(xiàn)網(wǎng)數(shù)據(jù)中心軟硬件設(shè)備綁定、網(wǎng)絡(luò)資源利用率低、自動化程度不高、PUE值過高等問題，為云化數(shù)據(jù)中心的部署提供了一種新的解決方案。SDN、NFV技術(shù)將成為電信運(yùn)營商網(wǎng)絡(luò)重構(gòu)的重要技術(shù)途徑，主要應(yīng)用于核心網(wǎng)、骨干網(wǎng)、承載網(wǎng)和傳送網(wǎng)。未來，云化數(shù)據(jù)中心將成為云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等業(yè)務(wù)的核心載體。