為了進一步推進金融科技發(fā)展應(yīng)用，深化西南部地區(qū)金融機構(gòu)間的協(xié)同，提升服務(wù)實體經(jīng)濟水平，助推西部地區(qū)金融業(yè)高質(zhì)量發(fā)展，四川省計算機學(xué)會金融分會聯(lián)合《金融電子化》雜志社、中國信息通信研究院共同主辦，由成都銀行承辦，于2019年7月18、19日召開了2019中國「成都」金融科技發(fā)展論壇。

金融行業(yè)在穩(wěn)步改進系統(tǒng)架構(gòu)和云計算應(yīng)用的過程中，中大型金融機構(gòu)從傳統(tǒng)IT基礎(chǔ)架構(gòu)逐漸向云基礎(chǔ)架構(gòu)演進時面臨了諸多的問題與挑戰(zhàn)。云杉網(wǎng)絡(luò)CTO張?zhí)禊i在會上與來自西南地區(qū)國有銀行分支機構(gòu)、股份制銀行、城商行農(nóng)信社等信息科技部門的專家及領(lǐng)導(dǎo)共同探討了企業(yè)IT如何構(gòu)建混合云SDN網(wǎng)絡(luò)，分享了云杉網(wǎng)絡(luò)在金融、運營商、交通等行業(yè)的一體化云網(wǎng)解決方案。以下為演講實錄。

SDDC的現(xiàn)狀

不同行業(yè)根據(jù)自身的業(yè)務(wù)特點對于云計算基礎(chǔ)架構(gòu)的要求有所差異。金融企業(yè)對網(wǎng)絡(luò)的高可用、合規(guī)性等方面有很高的要求。SDDC即軟件定義的數(shù)據(jù)中心所涵蓋的范疇相對較大，包括計算虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化。在建設(shè)SDDC的時候不僅要考慮資源，更要以業(yè)務(wù)為核心去考慮如何構(gòu)建IT基礎(chǔ)架構(gòu)，實現(xiàn)計算、存儲、網(wǎng)絡(luò)的按需軟件化定義。SDDC構(gòu)建之后整個數(shù)據(jù)中心的IT技術(shù)架構(gòu)以服務(wù)的方式交付給業(yè)務(wù)系統(tǒng)，資源的管理編排實現(xiàn)高度的自動化控制，未來軟件定義的數(shù)據(jù)中心趨勢是智能化的運維與閉環(huán)控制，滿足業(yè)務(wù)彈性擴展和平滑遷移。

在云計算核心技術(shù)中，網(wǎng)絡(luò)是重要且復(fù)雜的部分，需要考慮的因素包括物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)、安全、合規(guī)、運維等諸多因素。SDN是實現(xiàn)SDDC網(wǎng)絡(luò)規(guī)劃的核心技術(shù)，主要體現(xiàn)在：

解決網(wǎng)絡(luò)自動化配置，讓網(wǎng)絡(luò)具有可編程性，從而獲得很大的靈活性； 網(wǎng)絡(luò)可視化，云網(wǎng)絡(luò)本身很復(fù)雜，需要有強大可視化能力； 云網(wǎng)一體化，通過與云平臺對接提供網(wǎng)絡(luò)編排能力。

目前絕大多數(shù)的公有云、私有云都采用了SDN技術(shù)。這是一個逐步演進的過程。從傳統(tǒng)的數(shù)據(jù)中心物理資源來看，計算資源、網(wǎng)絡(luò)設(shè)備、存儲資源這三者雖然相關(guān)但融合度并不高。許多云平臺把計算、存儲、網(wǎng)絡(luò)虛擬化以后，以相互之間隔離的邏輯將資源交付給租戶，在網(wǎng)絡(luò)層面對應(yīng)的就是VPC「Virtual Private Cloud」。VPC是交付給租戶的邏輯隔離網(wǎng)絡(luò)空間，與數(shù)據(jù)中心運行的傳統(tǒng)網(wǎng)絡(luò)相似，托管在VPC內(nèi)的是在私有云上的服務(wù)資源，如云主機、負(fù)載均衡、云數(shù)據(jù)庫等�？梢宰远�義網(wǎng)段、IP地址和路由策略等，并通過安全組和網(wǎng)絡(luò)ACL等實現(xiàn)多層安全防護。同時也可以通過VPN或?qū)＞�連通VPC與原有的數(shù)據(jù)中心，靈活部署混合云。

在公有云和私有云實現(xiàn)了VPC是不是就滿足了用戶的所有需求呢？在實踐中可以看到，對于全新的業(yè)務(wù)系統(tǒng)VPC很好解決了問題，但對于需要兼容既有復(fù)雜IT環(huán)境的企業(yè)，VPC并不能完美解決問題。公有云的VPC，目的是提供多租戶和資源隔離，強調(diào)的是業(yè)務(wù)的垂直性。比如很多企業(yè)可以在公有云上部署自身業(yè)務(wù)，這些業(yè)務(wù)之間一般沒有特別的關(guān)聯(lián)關(guān)系。特殊情況下，某些公有云實現(xiàn)了VPC和VPC之間的網(wǎng)絡(luò)通道，但這對于直接承載企業(yè)業(yè)務(wù)來講是遠(yuǎn)遠(yuǎn)不夠的。

資源的規(guī)劃要以業(yè)務(wù)為核心，業(yè)務(wù)的穩(wěn)定性和技術(shù)風(fēng)險可控是技術(shù)選型的重要因素。很多情況下內(nèi)部業(yè)務(wù)之間的相互訪問非常頻繁。某金融客戶的借貸業(yè)務(wù)，南北向的流量只有不到10M，但在內(nèi)部產(chǎn)生了超過1G的流量，業(yè)務(wù)區(qū)域之間東西向的流量有很多交互，某些場景中東西向流量可能是幾十甚至上百倍的大于南北向的流量。

另外，安全策略管控也是技術(shù)選型參考的重要因素，所有的業(yè)務(wù)之間都應(yīng)該具備安全隔離的機制，很多金融企業(yè)的IT環(huán)境中劃分了不同的安全域，跨區(qū)域的訪問一般而言是需要經(jīng)過安全策略的。所以很多企業(yè)在實施云之后，因為業(yè)務(wù)太復(fù)雜，按照傳統(tǒng)VPC的邏輯很難梳理清楚，采用的是業(yè)務(wù)域VPC的實施方案。即VPC對應(yīng)的業(yè)務(wù)上的功能區(qū)，這樣可以很容易和原有IT資源區(qū)域?qū)��?yīng)起來，降低業(yè)務(wù)遷移的復(fù)雜度。

SDDC建設(shè)目標(biāo)

當(dāng)用戶建設(shè)SDDC時，會面臨多種困難。首先是很多企業(yè)客戶不止一個數(shù)據(jù)中心或一套資源池，而數(shù)據(jù)中心整體IT架構(gòu)不是一天建成的，歷史上有不同廠商的設(shè)備、有不同類型資源池，混合資源池是常態(tài)。另一個是服務(wù)化的交付，原來純靠手工配置網(wǎng)絡(luò)、安全策略的時代過去了，必須實現(xiàn)高度自動化的方式給業(yè)務(wù)部分實現(xiàn)自服務(wù)能力，不需要每天開端口、配策略，需要把人力解放出來。再次是合規(guī)性，包括業(yè)務(wù)合規(guī)性、監(jiān)管要求、等保合規(guī)是必須滿足的。最后是可用性，從業(yè)務(wù)高可用方面必須達到高可用和容災(zāi)的要求，達到服務(wù)SLA的要求。

在云杉網(wǎng)絡(luò)和企業(yè)客戶的諸多實踐中，混合云架構(gòu)是相對靈活并能讓企業(yè)業(yè)務(wù)逐步從傳統(tǒng)IT演進至云計算架構(gòu)的方式。這里介紹的方案包含了云杉NSP混合云網(wǎng)絡(luò)服務(wù)和DeepFlow®云網(wǎng)分析的方案，這個混合云方案包括幾個層面的含義：

企業(yè)的業(yè)務(wù)可能部署在多個數(shù)據(jù)中心，每個數(shù)據(jù)中心因為構(gòu)建的時期不同，可能有裸機、虛擬化、容器等類型的資源池，還有些業(yè)務(wù)部署在了不同的公有云上。在這些基礎(chǔ)資源之上可以構(gòu)建混合云的云管平臺，SDN能把上述的資源網(wǎng)絡(luò)打通，以服務(wù)化、按需定義的方式交付給業(yè)務(wù)。

混合云網(wǎng)絡(luò)分成兩個部分，第一部分是資源網(wǎng)絡(luò)管控，這里有公有云、私有云資源，可以在其上構(gòu)建一個統(tǒng)一的Overlay網(wǎng)絡(luò)，這個網(wǎng)絡(luò)是以VPC為基礎(chǔ)，可以將傳統(tǒng)網(wǎng)絡(luò)統(tǒng)一納管和連接。從資源屬性上看網(wǎng)絡(luò)管控包括兩個部分，一是資源池內(nèi)部，或者是云內(nèi)部的管控，這里重點是對資源池網(wǎng)絡(luò)怎么做網(wǎng)絡(luò)虛擬化，怎么提高性能、擴展性和高可用。二是云間互聯(lián)，即資源池與資源池之間的互訪管理，基于這個網(wǎng)絡(luò)我們提供了多種用于業(yè)務(wù)隔離的服務(wù)，如邊界網(wǎng)關(guān)、DC邊界的防火墻及負(fù)載均衡等多項滿足網(wǎng)絡(luò)隔離、安全可控、等保合規(guī)等類型的服務(wù)。

第二部分是混合云網(wǎng)絡(luò)的可視化監(jiān)控，目前比較流行的架構(gòu)是通過在云里部署各種各樣的數(shù)據(jù)探針，把數(shù)據(jù)采集出來發(fā)送到大數(shù)據(jù)分析平臺，基于這個平臺做網(wǎng)絡(luò)全景展示、業(yè)務(wù)故障分析、網(wǎng)絡(luò)診斷分析和回溯分析等功能。

從整體混合云管平臺來講，我們可以從網(wǎng)絡(luò)層面提供面向異構(gòu)資源的網(wǎng)絡(luò)虛擬化方案、跨數(shù)據(jù)中心網(wǎng)絡(luò)邊界服務(wù)和混合云網(wǎng)絡(luò)編排解決方案。從虛擬網(wǎng)絡(luò)運維的層面為多租戶業(yè)務(wù)提供虛擬網(wǎng)絡(luò)流量采集、虛擬網(wǎng)絡(luò)性能監(jiān)控、虛擬網(wǎng)絡(luò)策略管理和虛擬網(wǎng)絡(luò)路徑診斷解決方案。

▌NSP網(wǎng)絡(luò)服務(wù)平臺

從軟件架構(gòu)來看，混合云的SDN控制器邏輯不僅是設(shè)計一套最優(yōu)的架構(gòu)，還要考慮既有網(wǎng)絡(luò)架構(gòu)，比如既有當(dāng)前流行的Fabric架構(gòu)，也需要支持傳統(tǒng)的接入-匯聚-核心的網(wǎng)絡(luò)架構(gòu)；既要考慮物理網(wǎng)絡(luò)，也要考慮虛擬網(wǎng)絡(luò)的實現(xiàn)邏輯。從資源池來講，因為業(yè)務(wù)的要求需要支持例如裸機、容器、OpenStack、VMware等類型資源池，同時支持公有云的對接�？刂破鞯暮诵挠袃蓪樱�一個是編排層，一個是控制器層，編排層主要面向云管提供統(tǒng)一的網(wǎng)絡(luò)的編排和服務(wù)，控制器層主要是控制下層的云資源。

網(wǎng)絡(luò)虛擬化要解決的核心問題

網(wǎng)絡(luò)虛擬化解決方案場景在需要支持較大規(guī)模的基礎(chǔ)設(shè)施時，主要解決的問題包括以下四個方面：

如何支持彈性擴展，目前流行的網(wǎng)絡(luò)架構(gòu)是VxLAN進行組網(wǎng)，EVPN完善了控制平面，解決了大規(guī)模的問題。 如何支持高性能的東西向流量，在很多業(yè)務(wù)系統(tǒng)里面東西向的流量遠(yuǎn)大于南北向的流量，隨著網(wǎng)絡(luò)規(guī)模的擴大這個問題會更突出。 分層解耦，云平臺運維管理不僅有技術(shù)問題，團隊職責(zé)邊界的劃分也成了經(jīng)常遇到的問題。比如如何界定網(wǎng)絡(luò)團隊和系統(tǒng)團隊在云網(wǎng)絡(luò)中的管理邊界，網(wǎng)絡(luò)團隊原來是管設(shè)備居多，在云資源池上線以后，虛擬網(wǎng)絡(luò)到底歸誰管。為了厘清這個邏輯，我們需要把網(wǎng)絡(luò)和系統(tǒng)解耦，將網(wǎng)絡(luò)作為標(biāo)準(zhǔn)服務(wù)用于多資源池。 如何支持多廠商設(shè)備，因為沒有人愿意被廠商綁定，如果技術(shù)方案能支持多廠商，就意味著未來的業(yè)務(wù)擴展會有更大的靈活性，不會受制于人。

上圖是一個比較流行的數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)，從業(yè)務(wù)層面來講，采用這個架構(gòu)可以分為三種不同的網(wǎng)絡(luò)區(qū)（Border Leaf、Service Leaf、Server Leaf）。另外資源池的規(guī)模很大，有幾十或上百個Rack，而且可能會包括不同類型的資源池。對于網(wǎng)絡(luò)虛擬化而言，有一個核心的機制是Super Plugin，通過這個機制，可以支持多種資源池、支持多廠商的設(shè)備。設(shè)備API類型豐富、功能強大，如果每個功能都支持，基本上很難實現(xiàn)，并且這不是SDN的目標(biāo)。Super Plugin機制是從云管邏輯出發(fā)，梳理了業(yè)界標(biāo)準(zhǔn)的架構(gòu)，通過這種開放性標(biāo)準(zhǔn)實現(xiàn)跟廠商或者是云平臺的對接。

混合云網(wǎng)絡(luò)編排

作為核心功能的網(wǎng)絡(luò)編排面臨幾個挑戰(zhàn)，首先對于現(xiàn)有的業(yè)務(wù)遷到云的時候如何滿足既定業(yè)務(wù)上線要求？云網(wǎng)絡(luò)部署架構(gòu)很多場景是按照VPC設(shè)計的，規(guī)劃VPC是首要考慮因素。其次是既有投資保護，不可能上了云以后將原來的設(shè)備全都廢棄，需要考慮利舊問題。第三就是彈性擴展，如何在多數(shù)據(jù)中心之間實現(xiàn)資源彈性擴展，實現(xiàn)業(yè)務(wù)高可用。最后是業(yè)務(wù)的隔離，如何保證不同的業(yè)務(wù)之間有足夠的安全防控手段。

這是一個邏輯圖，它是基于VPC概念的擴展，即在一個VPC中可以包括多個Region「數(shù)據(jù)中心」、多類型資源池，包括網(wǎng)絡(luò)、安全服務(wù)，且通過SDN技術(shù)，實現(xiàn)了網(wǎng)絡(luò)的扁平化，將上述資源、服務(wù)融合到了一個網(wǎng)絡(luò)之中。最下面是云的資源區(qū)，比如說OpenStack或VMware資源池，提供資源訪問的方式。倒數(shù)第二層是資源訪問的網(wǎng)絡(luò)接入層，包括二層、三層網(wǎng)絡(luò)連接能力。倒數(shù)第三層我們稱之為虛擬路由交換，vRouter是核心，它南向連接資源池，中間可以連接DCI，可以基于DCI構(gòu)建Overlay網(wǎng)絡(luò)。這個VPC不再局限于某一個地域的某一個資源池，而是可以跨數(shù)據(jù)中心，可以把南北的防火墻和網(wǎng)絡(luò)的功能加進來。

這種擴展VPC給客戶帶來了很大的彈性，舉個秒殺的業(yè)務(wù)場景。很多企業(yè)數(shù)據(jù)中心的資源是有限的，在趕上促銷活動時一個Region的資源滿足不了要求就要彈性擴展到其他Region，業(yè)務(wù)是要求有跨數(shù)據(jù)中心的。為了實現(xiàn)這個需求我們提供了跨數(shù)據(jù)中心混合云網(wǎng)絡(luò)編排方案，實現(xiàn)的效果是將兩個不同地域的數(shù)據(jù)中心里面，不同廠商的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)防火墻、負(fù)載均衡等用NSP網(wǎng)絡(luò)編排方案將資源打通，滿足秒殺業(yè)務(wù)彈性擴容的要求。

網(wǎng)絡(luò)服務(wù)交付

站在混合云數(shù)據(jù)中心管理和運營的角度來看，如何在保護原有設(shè)備資產(chǎn)投入的前提下兼容硬件設(shè)備和NFV、統(tǒng)一納管多廠商多品類的網(wǎng)絡(luò)和安全服務(wù)、化解硬件設(shè)備廠商綁定的問題的同時，給租戶提供差異化的網(wǎng)絡(luò)服務(wù)，即滿足性能需求和服務(wù)交付的效率又能給用戶帶來更多的靈活性。

上圖左側(cè)是一個云管，右側(cè)建立一個邏輯上的資源池，一般是放在Service Leaf中。這個資源池里面能夠把數(shù)據(jù)中心南北向的安全服務(wù)放到一個池子里面，包括為DCI和ISP的接入提供網(wǎng)絡(luò)和安全服務(wù)。

DeepFlow®網(wǎng)絡(luò)可視化分析平臺

從整個軟件定義的數(shù)據(jù)中心的部署來看，根據(jù)業(yè)務(wù)需求把網(wǎng)絡(luò)以軟件的方式配置好后，接下來所要面臨的就是虛擬網(wǎng)絡(luò)運維監(jiān)控的問題。DeepFlow®從虛擬網(wǎng)絡(luò)流量的采集、分發(fā)、分析三個層面出發(fā)，將遙測類數(shù)據(jù)、日志數(shù)據(jù)和網(wǎng)包數(shù)據(jù)采集并發(fā)送到大數(shù)據(jù)引擎中，在與云平臺信息關(guān)聯(lián)后進行多維度分析和可視化的展示。

可視化平臺流量采集有兩個技術(shù)難點：

精準(zhǔn)采集，傳統(tǒng)網(wǎng)絡(luò)流量采集方案是從交換機做分光、鏡像，東西向的流量非常大，成本非常高，如何通過SDN做更細(xì)粒度訪問的控制，實現(xiàn)精準(zhǔn)數(shù)據(jù)采集是關(guān)鍵因素。 虛擬網(wǎng)絡(luò)流量分發(fā)，如果想分析南北向的流量相對簡單，但對于虛擬網(wǎng)絡(luò)目前的技術(shù)還不是特別的成熟，業(yè)界缺乏統(tǒng)一的規(guī)范。DeepFlow®提供整體虛擬網(wǎng)絡(luò)流量采集和分發(fā)能力，包括OpenStack、VMware和正在支持的容器，能把各種網(wǎng)絡(luò)不同資源池的流量采集出來，送到后端的安全分析、審計等工具，滿足合規(guī)性的要求。

前面說到的流量數(shù)據(jù)采集，分發(fā)后的目標(biāo)還是為了解決業(yè)務(wù)的問題。從業(yè)務(wù)來講DeepFlow®和云管做了對接，以云租戶、云資源和云網(wǎng)絡(luò)三個視角分析云端業(yè)務(wù)的流量特性從而可以將網(wǎng)絡(luò)的拓?fù)�、網(wǎng)絡(luò)的流量與其承載的業(yè)務(wù)進行有機的關(guān)聯(lián)分析。通過DeepFlow®的全景圖功能，可以看到是哪個VPC、子網(wǎng)、虛擬機產(chǎn)生的流量，性能分析是面向業(yè)務(wù)的流量分析，包括南北向和東西向流量，分析的KPI指標(biāo)包括RTT、重傳、延遲等，給用戶提供了快速故障定位和診斷的能力，并以可視化的方式將問題根因呈現(xiàn)出來，作為團隊之間責(zé)任定位的依據(jù)。端到端的診斷是另外一個重要的功能，支持從邏輯網(wǎng)絡(luò)到虛擬網(wǎng)絡(luò)最后到物理網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)節(jié)點、物理網(wǎng)絡(luò)組件、VLAN/VxLAN的轉(zhuǎn)換、安全組規(guī)則、流表表項等配置的展示與分析，這里可以把網(wǎng)絡(luò)延遲、流量的變化還有丟包率和流速放到一個維度分析，基于這些分析結(jié)果，提供事件驅(qū)動的告警信息，并可以統(tǒng)一納管平臺各應(yīng)用創(chuàng)建的告警策略。

總結(jié)

最后總結(jié)一下SDDC規(guī)劃的思路，混合云的架構(gòu)是企業(yè)數(shù)據(jù)中心建設(shè)的未來趨勢，在這個基礎(chǔ)上構(gòu)建新的資源池形成IT基礎(chǔ)架構(gòu)的統(tǒng)一規(guī)范，通過SDN技術(shù)實現(xiàn)業(yè)務(wù)平滑遷移、利舊、控制風(fēng)險，再通過網(wǎng)絡(luò)自動化、服務(wù)化的能力來提高運營效率并滿足一體化的運維監(jiān)控體系。

相關(guān)閱讀：

數(shù)據(jù)中心的侵害網(wǎng)絡(luò)設(shè)備途徑 及防雷措施  

監(jiān)控存儲方式有哪些？IP-SAN、CVR、與NVR哪種好？  

標(biāo)簽： SDDC 數(shù)據(jù)中心 云網(wǎng)一體化

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。