SDN建設(shè)大規(guī)模云網(wǎng)絡(luò)面臨的挑戰(zhàn)

作者：佚名 2017-09-14 11:36:51

服務(wù)器

數(shù)據(jù)中心

云計(jì)算 傳統(tǒng)云網(wǎng)絡(luò)是通過網(wǎng)絡(luò)節(jié)點(diǎn)(Network Node)實(shí)現(xiàn)虛擬化網(wǎng)絡(luò)的路由、NAT、網(wǎng)關(guān)、DHCP、VPC、安全組等網(wǎng)絡(luò)。在大規(guī)模的網(wǎng)絡(luò)場景下，傳統(tǒng)云網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)會(huì)成為整個(gè)虛擬化網(wǎng)絡(luò)的單點(diǎn)瓶頸。

廣饒網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián)公司,廣饒網(wǎng)站設(shè)計(jì)制作，有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為廣饒1000多家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站建設(shè)要多少錢，請(qǐng)找那個(gè)售后服務(wù)好的廣饒做網(wǎng)站的公司定做！

一、傳統(tǒng)云網(wǎng)絡(luò)在大規(guī)模下的挑戰(zhàn)

1.1 網(wǎng)絡(luò)單點(diǎn)問題

傳統(tǒng)云網(wǎng)絡(luò)是通過網(wǎng)絡(luò)節(jié)點(diǎn)(Network Node)實(shí)現(xiàn)虛擬化網(wǎng)絡(luò)的路由、NAT、網(wǎng)關(guān)、DHCP、VPC、安全組等網(wǎng)絡(luò)。在大規(guī)模的網(wǎng)絡(luò)場景下，傳統(tǒng)云網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)會(huì)成為整個(gè)虛擬化網(wǎng)絡(luò)的單點(diǎn)瓶頸。同樣意識(shí)到傳統(tǒng)云網(wǎng)絡(luò)這一問題，OpenStack也發(fā)布了DVR(Distributed Virtual Router)的網(wǎng)絡(luò)功能，實(shí)現(xiàn)了虛擬主機(jī)之間跨子網(wǎng)通訊時(shí)可以無需經(jīng)過網(wǎng)絡(luò)節(jié)點(diǎn)。但是DVR無法解決虛擬主機(jī)上行的流量經(jīng)過網(wǎng)絡(luò)節(jié)點(diǎn)單點(diǎn)的問題，而且DVR無法實(shí)現(xiàn)高可用。大規(guī)模網(wǎng)絡(luò)下如何解決網(wǎng)絡(luò)節(jié)點(diǎn)單點(diǎn)，是業(yè)界的一大難題。

1.2 租戶間的網(wǎng)絡(luò)隔離

傳統(tǒng)云網(wǎng)絡(luò)實(shí)現(xiàn)租戶間的網(wǎng)絡(luò)隔離是通過VLAN隔離的。受VLAN的4096的協(xié)議標(biāo)準(zhǔn)限制，使得VLAN原生就不適合用于大規(guī)模云網(wǎng)絡(luò)下的租戶間隔離。目前業(yè)界的主流解決方案是通過VXLAN代替VLAN。我們先來看一下VXLAN的協(xié)議，如下圖：

VXLAN在原始數(shù)據(jù)幀的基礎(chǔ)上，封裝一層Overlay協(xié)議，長度為50個(gè)字節(jié)。一個(gè)ARP的數(shù)據(jù)包長度為64字節(jié)。假設(shè)一臺(tái)虛擬主機(jī)發(fā)送10G的ARP包，經(jīng)過VXLAN疊加之后就相當(dāng)于17.8G的流量。因此VXLAN的虛擬化網(wǎng)絡(luò)會(huì)加大承載網(wǎng)絡(luò)的網(wǎng)絡(luò)壓力，并且VXLAN使用大量的組播報(bào)文，嚴(yán)重影響網(wǎng)絡(luò)質(zhì)量，大量地創(chuàng)建VTEP虛擬網(wǎng)卡會(huì)加增加虛擬網(wǎng)絡(luò)的IO路徑與網(wǎng)絡(luò)邏輯的復(fù)雜度。

1.3 廣播風(fēng)暴抑制

數(shù)據(jù)中心經(jīng)過云虛擬化后，使得IP地址出現(xiàn)10-30倍的增長。在大規(guī)模云網(wǎng)絡(luò)下，虛擬主機(jī)大量廣播報(bào)文會(huì)嚴(yán)重影響數(shù)據(jù)中心承載網(wǎng)絡(luò)的網(wǎng)絡(luò)質(zhì)量，甚至癱瘓整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)。

1.4 低損耗的網(wǎng)絡(luò)功能

云網(wǎng)絡(luò)需要提供路由、NAT、網(wǎng)關(guān)、DHCP、VPC、安全組等網(wǎng)絡(luò)功能?，F(xiàn)階段業(yè)界是通過虛擬主機(jī)或網(wǎng)絡(luò)解決實(shí)現(xiàn)這些虛擬化網(wǎng)絡(luò)功能，在大規(guī)模云網(wǎng)絡(luò)場景下，這樣的方式會(huì)嚴(yán)重?fù)p耗計(jì)算資源，并且容易產(chǎn)生單點(diǎn)故障。

1.5 跨數(shù)據(jù)中心支撐能力

受數(shù)據(jù)中心地理因素限制，大規(guī)模的數(shù)據(jù)中心建設(shè)大多數(shù)都是同城異地多數(shù)據(jù)中心，數(shù)據(jù)中心之間的距離不超過15km。通過裸光纖或者波分線路搭建大二層網(wǎng)絡(luò)。如圖所示：

光纖或波分線路出現(xiàn)故障，如何保證數(shù)據(jù)中心的虛擬化網(wǎng)絡(luò)的正常穩(wěn)定?這是傳統(tǒng)云網(wǎng)絡(luò)(網(wǎng)絡(luò)節(jié)點(diǎn)單點(diǎn))以及SDN云網(wǎng)絡(luò)(集中統(tǒng)一管理)都會(huì)遇到的問題。

二、SDN云網(wǎng)絡(luò)如何應(yīng)對(duì)大規(guī)模網(wǎng)絡(luò)的挑戰(zhàn)

2.1 基于SDN實(shí)現(xiàn)分布式業(yè)務(wù)邏輯架構(gòu)

SDN云網(wǎng)絡(luò)基于OpenFlow協(xié)議，在Open vSwitch二層網(wǎng)絡(luò)上實(shí)現(xiàn)云網(wǎng)絡(luò)的業(yè)務(wù)功能(VPC、Subnet、Gateway、Security Group、ACL、Route等)。網(wǎng)絡(luò)功能分布到計(jì)算節(jié)點(diǎn)，不存在網(wǎng)絡(luò)單點(diǎn)問題。容災(zāi)性強(qiáng)，計(jì)算節(jié)點(diǎn)出現(xiàn)故障，虛擬主機(jī)可以漂移到其他計(jì)算節(jié)點(diǎn)，SDN控制器集中式下發(fā)流表規(guī)則，保證業(yè)務(wù)正常。

2.2 基于MAC-Port實(shí)現(xiàn)多租戶隔離

SDN控制器通過MAC-Port的方式，標(biāo)記記錄了所有虛擬主機(jī)網(wǎng)絡(luò)。通過VPC的配置信息，仿真模擬出整個(gè)虛擬化網(wǎng)絡(luò)的拓?fù)淠Ｐ?。通過響應(yīng)下發(fā)OpenFlow流表的方式，給同VPC虛擬主機(jī)下發(fā)互聯(lián)互通策略，并隔離不同VPC虛擬主機(jī)的網(wǎng)絡(luò)，基于MAC-Port的方式實(shí)現(xiàn)多租戶隔離。SDN云網(wǎng)絡(luò)可能會(huì)屬于Underlay平行化網(wǎng)絡(luò)，網(wǎng)絡(luò)過程無Overlay疊加損耗。在大型數(shù)據(jù)中心網(wǎng)絡(luò)中，承載網(wǎng)絡(luò)無多余的損耗。此外網(wǎng)絡(luò)安全設(shè)備接入也無需考慮VXLAN的解封裝問題。

2.3 ARP完全代理

虛擬主機(jī)通過ARP廣播尋址的方式，發(fā)現(xiàn)物理網(wǎng)絡(luò)的IP地址的MAC地址。在大規(guī)模云環(huán)境下，虛擬主機(jī)的ARP廣播尋址會(huì)嚴(yán)重影響網(wǎng)絡(luò)質(zhì)量。控制器區(qū)分出物理數(shù)據(jù)中心的IP地址，并配置ARP代理流表，統(tǒng)一代理數(shù)據(jù)中心物理網(wǎng)絡(luò)。虛擬主機(jī)的ARP廣播尋址隔離在SDN云網(wǎng)絡(luò)內(nèi)部，不會(huì)直接發(fā)送到物理數(shù)據(jù)中心?？刂破魍ㄟ^Neighbour子系統(tǒng)模塊代理完成虛擬主機(jī)的ARP尋址，通過配置策略可以大大減少虛擬主機(jī)ARP廣播數(shù)量。

2.4 ARP廣播抑制

SDN控制器基于MAC-Port的記錄，可以快速查詢出指定IP虛擬主機(jī)的MAC地址。虛擬主機(jī)之間發(fā)起的ARP廣播尋址，通過流表策略將廣播報(bào)文修準(zhǔn)確改成的目標(biāo)MAC的單播報(bào)文，極大地抑制云虛擬網(wǎng)絡(luò)東西向的ARP廣播。

2.5 隱藏式虛擬化網(wǎng)關(guān)

每個(gè)租戶的自定義網(wǎng)絡(luò)都需要一個(gè)虛擬化網(wǎng)關(guān)，在大規(guī)模云網(wǎng)絡(luò)下，虛擬化網(wǎng)關(guān)需要消耗大量的資源。SDN云網(wǎng)絡(luò)基于OpenFlow協(xié)議，通過DHCP分配、ARP欺騙、SDN流表下發(fā)的方式實(shí)現(xiàn)隱藏式虛擬化網(wǎng)關(guān)，云網(wǎng)絡(luò)的虛擬網(wǎng)關(guān)沒有真實(shí)網(wǎng)絡(luò)載體，網(wǎng)關(guān)上承載的路由、NAT、轉(zhuǎn)發(fā)等的功能都是通過SDN控制器動(dòng)態(tài)響應(yīng)下發(fā)的OpenFlow流表模擬出來，資源損耗極低適用于大規(guī)模云網(wǎng)絡(luò)的需求。值得一提的是，SDN云網(wǎng)絡(luò)實(shí)現(xiàn)的隱藏式虛擬化網(wǎng)關(guān)因?yàn)闆]有真實(shí)的網(wǎng)絡(luò)載體，因此針對(duì)網(wǎng)關(guān)的攻擊行為，對(duì)于該網(wǎng)關(guān)都是無效的。

2.6 分布式SDN控制器模型

如圖所示，SDN控制器分布式下沉到每個(gè)計(jì)算節(jié)點(diǎn)上，通過Message Queue同步控制器之間的配置信息實(shí)現(xiàn)邏輯上集中化管理。配置信息屬于慢速配置信息，在Message Queue本身不會(huì)成為性能瓶頸。假設(shè)光纖或波分線路出現(xiàn)故障，每個(gè)計(jì)算節(jié)點(diǎn)上的vSwitch都有獨(dú)立的SDN控制器接管，虛擬化網(wǎng)絡(luò)不會(huì)因?yàn)榭鐢?shù)據(jù)中心的物理線路故障導(dǎo)致業(yè)務(wù)中斷。

三、云網(wǎng)絡(luò)安全面臨的挑戰(zhàn)

3.1 流量牽引

在云計(jì)算的發(fā)展趨勢(shì)下數(shù)據(jù)中心的網(wǎng)絡(luò)邊界下沉到虛擬化網(wǎng)絡(luò)中，傳統(tǒng)的安全產(chǎn)品無法探測(cè)云內(nèi)部的網(wǎng)絡(luò)流量。云平臺(tái)需要把流量牽引當(dāng)?shù)谌降陌踩O(shè)備進(jìn)行流量的清洗與分析，但是不同的安全產(chǎn)品流量牽引的方案存在很大的差異化。云網(wǎng)絡(luò)需要提供通用的流量牽引方式，平滑對(duì)接第三方安全的接入。

3.2 網(wǎng)絡(luò)安全多租戶流量識(shí)別

流量牽引到安全設(shè)備，網(wǎng)絡(luò)安全設(shè)備需要根據(jù)不同租戶的安全策略處理流量。而云網(wǎng)絡(luò)存在IP地址重疊，不同的VPC可以使用同樣的IP地址。網(wǎng)絡(luò)安全設(shè)備要識(shí)別多租戶的流量，就需要云網(wǎng)絡(luò)為不同租戶的流量打上特定的標(biāo)簽，并提供開放的接口讓網(wǎng)絡(luò)安全設(shè)備同步租戶與標(biāo)簽的對(duì)應(yīng)關(guān)系。

3.3 網(wǎng)絡(luò)安全多租戶管理

傳統(tǒng)的網(wǎng)絡(luò)設(shè)備用戶一般是網(wǎng)管人員，而云網(wǎng)絡(luò)安全的管理是多租戶化的。租戶間是信息透明、策略管理獨(dú)立。這需要云平臺(tái)提供開發(fā)的接口與云網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行用戶對(duì)接，或?qū)⒃凭W(wǎng)絡(luò)安全產(chǎn)品深度整合到云平臺(tái)成為云平臺(tái)功能組件。

四、云網(wǎng)絡(luò)如何應(yīng)對(duì)網(wǎng)絡(luò)安全的挑戰(zhàn)

4.1 提供開放豐富的流量牽引方式

云網(wǎng)絡(luò)提供Mirror、VXLAN、GRE、SFOW、NetFlow、l3 Route等流量牽引方式，并提供開發(fā)的API接口。此外，云網(wǎng)絡(luò)可采用MAC-Port的網(wǎng)絡(luò)隔離方式，網(wǎng)絡(luò)報(bào)文無Overlay疊加，第三方的云網(wǎng)絡(luò)安全產(chǎn)品能平滑地獲取流量鏡像分析清洗。

4.2 MAC或標(biāo)簽化的網(wǎng)絡(luò)識(shí)別方式

提供開放的獲取租戶+MAC+IP的對(duì)應(yīng)關(guān)系信息的API接口，不同VPC間的IP地址是重疊的，但是在云網(wǎng)絡(luò)，虛擬主機(jī)網(wǎng)卡的MAC是絕對(duì)唯一的。因此，安全廠家可以通過MAC識(shí)別租戶信息;此外，如果基于VXLAN流量牽引的方式，還可以通過VNI獲取租戶信息。

4.3 租戶信息同步

提供租戶信息獲取同步接口，第三方安全廠家可以通過API的方式自動(dòng)獲取租戶信息。這需要第三方的安全產(chǎn)品本身支持多租戶功能。

4.4 NFV對(duì)接

第三方安全產(chǎn)品可以通過管理平臺(tái)提供NFV功能，通過編排的方式，嵌入到平臺(tái)的NFV網(wǎng)元列表列表，與本身的多租戶管理結(jié)合。

本文題目：SDN建設(shè)大規(guī)模云網(wǎng)絡(luò)面臨的挑戰(zhàn)
本文地址：http://fisionsoft.com.cn/article/djihepe.html