基于SDN服务链的云技术数据中心建设研究

娄峰

（中国民航信息网络股份有限公司，北京 101310）

0 引言

在现代以太网、交换技术的支撑下，云计算与移动互联的网络框架应运而出，且迅速发展成现代主流的网络形态，对应的云技术数据中心也得到了发展契机，但这也让网络用户的需求发生了变化，传统云技术数据中心很难满足这样的需求。在这一基础上，人们意识到云技术数据中心需要更新换代，故相关领域展开了研究，提出了一种以SDN服务链为基础的新云技术数据中心，理论上新的云技术数据中心能更好地满足用户当下需求，且不存在传统云技术数据中心中的问题，说明新云技术中心更具优势，因此接下来的问题就是如何在SDN服务链基础上实现该云技术数据中心。

1 SDN服务链云技术数据中心主要优势

首先，传统的云技术数据中心存在一些问题，具体为：第一，传统云技术数据中心的虚拟机迁移受限，即云技术数据中心实现了服务器虚拟化，而虚拟化服务器的最主要特征就是虚拟机迁移，这能保障数据中心更好地对动态资源进行分配，有利于数据中心的连续可用性，但实际情况是，传统云技术数据中心虽然具备一定的虚拟机迁移能力，但因为虚拟机迁移一般不能更换IP地址、MAC地址，所以传统数据中心受自身网络结构以及性能影响，不能随意地迁移虚拟机；第二，传统云技术数据中心存在设备MAC地址不足的问题，即因为数据中心的数据传输活动是在大二层网络结构基础上展开的，所以数据流必须在明确的网络地址指引下才能进行准确传输，这一基础上传统云技术数据中心的VM虚拟机规模过大，使得交换机的MAC地址解析难度大幅增长，严重影响了MAC地址的产出率，故常常出现MAC地址不足的问题；第三，传统云技术数据中心的VLAN承受比较容易过载，原因在于VLAN作为当下主流的网络隔离技术，只能给网络提供4096（212）个隔离网络，但这个量级对于不断扩展的云技术数据中心而言完全不够，因此VLAN过载是常态。同时，VLAN是一种静态配置技术，在数据中心网络中所有VLAN都会获得通过许可，这就严重消耗了网络带宽和交换能力，加重了网络负担，过载情况变得更加严重；第四，传统云技术数据中心在异地网络整合方面也存在问题，主要问题表现就是整合难度过大，即现代用户的数据中心基本都是分布式布置的，彼此之间存在异地性，而在这种异地架构基础上，传统云技术数据中心不能很好地将异地网络整合，难以满足统一跨数据中心网络拓扑结构、大二层迁移建设、流量优化、应急预案、灾备管理等需要[1]。

其次，相比于传统云技术数据中心，SDN服务链云技术数据中心具有明显优势：第一，SDN服务链云技术数据中心在虚拟机迁移方面，有二层网络结构作为支撑，使得数据中心网络具备多路冗余，因此虚拟机迁移基本不受限制，整体可靠性更高；第二，SDN服务链云技术数据中心优化了VM虚拟机的规模，解决了虚拟机规模过大的问题，对应MAC地址解析难度降低，产出速度提升，根本问题自然得以解决；第三，SDN服务链云技术数据中心借助SDN服务链能够大幅度扩充隔离网络的数量，且数量会随着云技术数据中心的扩展而提高，同时因为SDN服务链取代了传统的静态VLAN技术，因此全面避免了VLAN承受过载问题的发生；第四，SDN服务链云技术数据中心对于异地网络的整合能力更强，原因就在于SDN服务链可以兼容异地架构，保障整体统一。除此以外，SDN服务链云技术数据中心的优势主要体现在灵敏度、调度性能、准确性等多个方面，这使得SDN服务链云技术数据中心可以更好地满足用户的需求。

2 SDN服务链云技术数据中心关键技术分析

2.1 SDN架构

SDN架构是SDN服务链的基本框架，其属于典型的三层架构，各层分别是应用层、控制层、基础设施层。其中应用层是顶层，包含了SDN服务链的各种具体业务，因此也包括了各种业务相关的应用逻辑，这些逻辑会进入控制层，被其开放式的API管理设备接收，然后借助设备进行报文转发。控制层为中间层，主要由各种SDN控制软件组成，能够与下层的Open Flow进行协议通信，过程中控制层的主要功能就是编排数据平面资源、实现网络拓扑、维护转改信息等。基础设施层是最底层，由各种转发设备组成，主要功能是依托于流标进行数据处理、转发与状态采集。在SDN架构基础上，可以将SDN服务链定义为一个具备“控制与转发分离”“设备资源虚拟化”“通用软硬件可编程”的服务流程，这使得SDN服务链能够给云技术数据中心提供三大帮助，其一，SDN服务链可以实现设备硬件整合与统一化管理，使得硬件设备只需要负责数据转发与储存；其二，促使网络软件能够专门服务于数据中心网络的智能逻辑，同时可以通过软件配置来决定网络设备的类型与功能，以便人们对网络进行操作管理、整体控制；其三，提高了云技术数据中心的业务响应速度，也使得网络参数能够个性化定制，以便缩短具体业务的开通时间。

2.2 Overlay技术

在SDN架构的基础上，结合云技术数据中心结构特征，相关领域通过研究提出了Overlay方案，该方案的核心技术就是Overlay。Overlay技术是一种在网络架构上进行叠加操作的虚拟技术，能够在不大幅修改基础网络的基础上让网络承载各种应用功能，也能分离相关网络业务，因此Overlay技术的网络是建立在既有网络基础上的，由各种逻辑节点、逻辑链路组成。Overlay的网络还具有独立的控制、转发平面，使得在Overlay边缘设备以外的终端系统的物理网络更加透明，故物理网络能够向云与虚拟化方向延伸，让云资源池化脱离物理网络的限制，在真正意义上实现了云网结合。另外，SDN服务链云技术数据中心的各种优势基本是通过Overlay技术来体现的，即针对传统云技术数据中心的各种问题，人们围绕Overlay技术提出了专门的解决方案：首先，利用Overlay技术将数据中的二层报文封装至IP报文上，这样只要网络支持IP地址向路由，就能着手部署Overlay网络，能更好地发挥路由网络本身的良好业务扩展能力、故障自愈能力、负载均衡能力等，实现数据中心网络结构二层化，使得虚拟机迁移不再受限。且通过Overlay技术，能够在不改变现有网络结构的基础上支持新的云计算业务，说明其部署更加便捷；其次，通过Overlay技术，将虚拟机数据封装至IP数据包当中，这时数据对网络而言只具备参数表现，如隧道端点地址，这种情况下MAC地址的规格需求大幅降低，若遭遇特殊情况，也能通过分散方式让多核心网关设备来分摊压力，避免相关问题发生；最后，Overlay技术拓宽了云技术数据中心网络的隔离标识位数，最高可达16M网格，因此隔离网络的数量级别提升，区别于传统VLAN只支持4K网络的性能水平[2]。

3 SDN服务链云技术数据服务中心建设方案

3.1 框架方案

3.1.1 SDN-Overlay 组网建模

因为SDN-Overlay可以同时支持Overlay网络、Overlay主机、混合式Overlay三大组网模型，所以整体上，SDN-Overlay组网模型就由三者组成。建模的方式比较简单，首先按照三大组网模型建立基本的框架，其次采用VCF控制器对三者进行集中控制，由此实现业务流程的下发与处理。值得注意的是，虽然SDN-Overlay组网模型建立方式简单，但在建模完成后需要根据三大模型的使用条件设计模型调用逻辑，即三大模型各自有各自的应用场景，存在适用条件上的差异，故为了更好地发挥SDNOverlay组网模型作用，需要设计模型调用逻辑。首先，在Overlay网络模型中，所有设备都属于物理设备，不需要服务器的支持，因此该模型能够更好地支撑虚拟化服务器、物理服务器介入，能够给数据中心用户提供更多的服务器选择，且采用该模型能够有效提高数据中心的网络性能，比较适合用于对虚拟化没有特别需要的应用场景当中。其次，Overlay主机模型与其网络模型相反，内部所有设备都是虚拟设备，必须在虚拟化服务器基础上才能运作，但这也使得该模型下的设备调度不涉及物理网络，即可以在不改动物理网络的基础上调度设备，或者是传输数据。Overlay主机模型的特征使得其无法接入任何非虚拟化的服务器，一般建议与VMware、KVM等主流Hypervisor平台配合使用。最后，Overlay混合模型则兼容了以上两大模型的特点，同时支持物理服务器、虚拟服务器，而这些服务器在该模型中均作为边缘设备来使用，可以灵活组网、配置服务器，这样有利于硬件网关的性能与虚拟网关灵活性，也让组网弹性良好，可全面满足用户多方面需求。需要注意的是，Overlay混合模型虽然兼容了前两者的特征，但专项性能上低于前两者，因此Overlay混合模型并不能取代前两者[3]。

3.1.2 SDN-Overlay 转发流程设计

在SDN-Overlay组网模型基础上对其转发流程进行设计：第一，因为VREP需要识别报文的VXLAN才能对报文进行处理，所以在转发流程当中需要建立VXLAN隧道，确保报文带上VXLAN标签，由此VTEP可以根据报文的VNI来进行识别，且完成后，针对本地站点的二层数据帧，采用VTEP-以太网服务实现数据帧与相关VSI的映射；第二，针对本地MAC地址，采用动态学习数据帧的源MAC地址来判断数据帧中的VSI，同时也将数据帧的源MAC地址添加到VSI的MAC地址列表中，这样做是为了让源MAC地址的对应接口转化为数据接收结构，实现VTEP通过VXLAN隧道接收远端VXLAN的流程；第三，为了让Overlay网络能够与非Overlay网络进行数据流程，实现相关转发，首先，让虚拟机作为报文发送端，将报文发送给物理机，而后物理机OVS的MAC地址与IP地址将成为报文转发目标，这样当报文从虚拟机端发出后，OVS优先接收报文，然后匹配流标表项，修改报文目标MAC地址，再将报文从指定隧道接口处向外发送，并在报文当中添加VXLAN头信息，以便封装隧道外层报文；其次，VXLAN-GW将作为报文转发终端的接收端，能够从隧道出口获取报文，获取后隧道将自动关闭，并且通过FIB进行三层转发。

3.2 安全防护体系建设

3.2.1 组网模式优化

框架设计中提出了三大组网模型，三者可以自由组网，但组网模式的不同会对数据中心的安全性造成不同的影响。从这一角度出发，本文提出了三种侧重于数据中心安全的组网模式，实际建设中可以参考：第一，依托于VSR网关基础上的VXLAN服务链，通过VSR网关向Overlay提供网关功能，而后采取VSwitch作为虚拟机与VXLAN网络连接终端，这样做能够发挥VSwitch软件的设备安全作用，即使用该软件的多种设备设立对应的安全服务节点，同时利用VCFC对各安全节点进行控制即可；第二，将物理交换机作为VXLAN的网关，实现Overlay网关功能，由此物理交换机将作为虚拟机、物理服务器的介入接口，并与VXLAN 网络连接，这种情况下能借助虚拟化平台进行安全部署，诸如使用SDN服务链的VSR、VFW、VLB与物理防火墙移动保护数据中心安全；第三，将VXLAN的二层网关作为SDN服务链的代理服务节点，这样能够解析SDN服务链的报文特征，同时使得服务链能够兼容第三方安全设备，这种组网方式能够很好地保护数据传输安全[4]。

3.2.2 SDN 服务链部署

云技术数据中心需要处理大量数据，其中许多数据都属于流量数据，针对这一类数据需要通过 SDN服务链部署的方式来保障安全。首先，可以使用集成NGFW，将其作为VXLAN网关，通过网关对用户VXLAN流量进行管理，同时开发NGFW的安全设备、物理拓扑业务来实现安全保障，即NGFW的防护功能多种多样，通过开发可以根据现实需求来实现差异化、个性化安全服务，建构人们所需要的安全防护体系。其次，可以在云技术数据中心中添加不同的安全虚拟设备，建构多样化的安全服务池，用户能够根据现实需求来进行选择。为实现这一目的，可以在SDN服务链部署当中使用FW/LB、IPS功能来实现，且这两大功能可以保障安全设备的独立性，便于设备复用且互不干扰。

4 结语

综上，因为传统云技术数据中心存在缺陷，不能满足现代用户的需求，所以数据中心需要升级换代，而SDN服务链的出现给了数据中心升级的契机，故应当积极围绕SDN服务链开发新的云技术数据中心。新的数据中心相比以往具有很多优势，无论是性能还是功能上都更加完善，使用起来也非常便捷，说明其具有更高的应用价值。另外，在新数据中心建设中，除了要注意数据中心的框架完整性以外，还要重视数据安全性，以保障数据中心可以投入使用。