SDN 在 云 计 算 中 的 应 用 QQ : 67278439 新 浪 微 博 :@ 盛 科 张 卫 峰
Topic SDN 对 云 计 算 网 络 很 重 要 当 前 OpenStack Neutron 的 问 题 SDN 网 络 虚 拟 化 方 案 一 览 盛 科 DVNP 架 构 和 应 用 场 景
SDN 是 一 种 思 想 SDN 不 是 一 种 具 体 的 技 术, 而 是 一 种 思 想, 一 种 理 念 SDN 的 核 心 诉 求 : 让 软 件 应 用 参 与 到 网 络 控 制 中 并 起 到 主 导 作 用, 而 不 是 让 而 各 种 固 定 模 式 的 协 议 来 控 制 网 络 为 了 满 足 这 种 核 心 诉 求,SDN 思 想 指 导 下 的 网 络 必 须 设 计 一 种 新 的 架 构 2013 Centec Networks (Suzhou) Co., Ltd. All rights reserved. 3
SDN 架 构
SDN 的 本 质 属 性 控 制 与 转 发 分 离 开 放 的 编 程 接 口 集 中 化 的 网 络 控 制
SDN 的 核 心 价 值 不 在 于 能 够 解 决 传 统 网 络 解 决 不 了 的 问 题 而 在 于 能 够 比 传 统 网 络 做 得 更 快 捷, 更 可 靠, 更 省 力 不 是 让 控 制 器 控 制 一 切 而 是 让 控 制 器 去 控 制 用 户 想 控 制 的 部 分 盛 科 网 络 -- 全 球 领 先 的 SDN 芯 片 和 定 制 化 白 牌 设 备 提 供 商
IaaS 云 计 算 网 络 将 SDN 的 优 势 发 挥 到 极 致 IaaS 云 计 算 平 台 是 标 准 的 SDN 架 构 控 制 ( 云 计 算 控 制 平 台 ) 与 转 发 ( 虚 拟 或 者 物 理 交 换 机 ) 开 放 的 编 程 接 口 ( 南 向 和 北 向 都 是 开 放 的 接 口 ) 集 中 化 控 制 ( 云 平 台 集 中 控 制 所 有 的 设 备 ) 可 编 程 API 提 供 租 户 的 self-service 集 中 化 控 制 云 计 算 平 台 获 取 全 局 信 息
OpenStack 网 络 架 构 OpenStack Horizon Nova Scripts Neutron API 北 向 接 口 OVS Plugin Linux Bridge Plugin Centec Plugin Others 南 向 接 口 OVS Linux Bridge Switch Centec SDN Switch Others
Topic SDN 对 云 计 算 网 络 很 重 要 当 前 OpenStack Neutron 的 问 题 SDN 网 络 虚 拟 化 方 案 一 览 盛 科 DVNP 架 构 和 应 用 场 景
两 种 组 网 方 式 的 比 较 Vlan 组 网 优 点 简 单 稳 定 高 性 能 缺 点 4K Vlan 数 量 限 制 需 要 在 所 有 物 理 交 换 机 的 所 有 端 口 上 预 配 置 所 有 Vlan 物 理 网 络 拓 扑 必 须 是 大 二 层 架 构, 难 以 处 理 更 复 杂 拓 扑 Tunnel 组 网 优 点 灵 活 性 高, 底 层 拓 扑 无 关 租 户 数 量 可 以 高 达 16M 缺 点 Encap/Decap 带 来 的 性 能 损 耗 不 方 便 将 bare-metal server 接 入 虚 拟 网 络
Neutron 当 前 的 问 题 J 版 本 之 前 不 支 持 DVR J 版 本 支 持 DVR, 但 是 不 成 熟 DVR 用 了 大 量 name space, 比 较 重 量 级, 规 模 大 了 有 压 力 Neutron 自 身 对 FwaaS VPNaaS Security Group 等 支 持 力 度 较 弱 数 据 校 验 和 错 误 处 理 不 严 谨, 容 易 发 生 数 据 不 一 致 要 基 于 ware ESX/ESXi 支 持 VPC, 要 么 购 买 昂 贵 的 NSX, 要 么 用 效 率 很 低 的 方 式 来 做
Topic SDN 对 云 计 算 网 络 很 重 要 当 前 OpenStack Neutron 的 问 题 SDN 网 络 虚 拟 化 方 案 一 览 盛 科 DVNP 架 构 和 应 用 场 景
商 业 化 SDN VPC 解 决 方 案 纯 软 件 Juniper Contrail Vyatta(Brocade) Nuage(ALU) Midokura PlumGrid Centec 硬 件 + 软 件 Cisco ACI Centec
虚 拟 三 层 路 由 转 发 集 中 式 虚 拟 网 关 OpenStack Juno 之 前 版 本 分 布 式 虚 拟 网 关 OpenStack Juno 版 本 NSX,Contrail,Centec 等 商 业 软 件 半 分 布 式 虚 拟 网 关 绝 大 多 数 宣 称 有 VR 的 平 台, 如 CloudStack, 某 些 商 业 软 件 分 布 式 路 由 只 管 东 西 向 三 层, 南 北 向 还 是 要 走 集 中 网 关
SDN 网 络 虚 拟 化 方 案 1: --Neutron 作 为 集 中 式 控 制 器 Neutron 拥 有 一 切 拓 扑 信 息, 通 过 plugin 实 时 分 发 给 相 应 计 算 节 点 Agent Agent 根 据 packet 学 习 创 建 二 层 转 发 流 表 Agent 根 据 接 收 的 拓 扑 信 息 操 作 kernel 路 由 表, 使 用 name space 做 隔 离 典 型 代 表 是 OpenStack Neutron 原 生 态 网 络
SDN 网 络 虚 拟 化 方 案 2: -- 独 立 的 集 中 式 控 制 器 Neutron 拥 有 一 切 拓 扑 信 息, 全 部 发 送 给 独 立 控 制 器 控 制 器 将 转 换 后 的 信 息 发 送 给 计 算 节 点 Agent Agent 根 据 控 制 器 指 令,proactive 创 建 转 发 表 Mismatch 的 报 文 送 到 集 中 控 制 器 去 学 习 典 型 代 表 是 Juniper Contrail
SDN 网 络 虚 拟 化 方 案 3: -- 分 布 式 控 制 器 Neutron 拥 有 一 切 拓 扑 信 息, 通 过 plugin 写 到 独 立 数 据 库 每 个 计 算 节 点 中 的 控 制 器 向 数 据 库 服 务 器 订 阅 本 节 点 需 要 的 数 据 每 个 计 算 节 点 中 的 控 制 器 reactive or proactive 创 建 转 发 表 Mismatch 的 报 文 在 本 地 控 制 器 学 习 典 型 代 表 是 盛 科 的 DVNP(Distributed Virtualized Network Platform) 盛 科 的 方 案 中, 可 选 的 还 可 以 支 持 硬 件 Offload
SDN 网 络 虚 拟 化 方 案 4: -- 集 中 式 控 制 器 + 硬 件 转 发 Neutron 拥 有 一 切 拓 扑 信 息, 通 过 plugin 发 给 控 制 器 控 制 器 将 拓 扑 信 息 发 到 物 理 Fabric 网 络 ( 整 个 物 理 网 络 对 外 呈 现 为 一 个 黑 盒 ) 每 台 物 理 交 换 机 里 面 的 agent 根 据 控 制 器 发 过 来 的 信 息, 自 行 计 算 形 成 虚 拟 转 发 表, 二 层 和 三 层 非 虚 拟 化 相 关 的 物 理 转 发 表 项 由 传 统 二 三 层 协 议 形 成 典 型 代 表 是 思 科 的 ACI
Topic SDN 对 云 计 算 网 络 很 重 要 当 前 OpenStack Neutron 的 问 题 SDN 网 络 虚 拟 化 方 案 一 览 盛 科 DVNP 架 构 和 应 用 场 景
盛 科 DVNP 方 案 Overview DVNP: Distributed Virtual Network Platform 全 分 布 式 东 西 向 二 层 Bridge 和 三 层 Route 转 发 全 分 布 式 控 制 器 严 谨 的 数 据 一 致 性 校 验 高 效 的 而 轻 量 级 的 kernel 转 发 面 设 计 既 可 用 作 纯 软 件 方 案 部 署, 又 可 辅 助 硬 件 Offload, 从 而 达 到 接 近 裸 机 的 性 能 方 便 地 支 持 虚 拟 机 和 物 理 机 混 合 组 网 不 购 买 NSX 就 可 以 支 持 ware 下 的 VPC 方 便 地 支 持 多 种 hypervisor 混 合 下 的 VPC
盛 科 DVNP 架 构 : 无 硬 件 Offload 网 络 控 制 节 点 Neutron Centec Cloud Manager 网 络 拓 扑 信 息 Zookeeper Cluster DB Server NoSQL Cluster 订 阅 / 更 新 实 时 状 态 数 据 计 算 节 点 (Centec Agent) Centec Distributed Controller 计 算 节 点 (Centec Agent) Centec Distributed Controller 计 算 节 点 (Centec Agent) Centec Distributed Controller OVS kernel Forwarder OVS kernel Forwarder OVS kernel Forwarder Centec Edge GW Cluster (BGP/FW/LB/VPN inside) GW Server
Data Flow in Centec Agent (ingress) Centec Distributed Controller Arp Proxy/Dhcp Proxy/Flow learning Operate Flow Table Mac Flow Table Mac Entry 1 Mac Entry 2 Mac Entry M Mismatch to controller Route Flow Table Output to peer (vif or tunnel/vlan) GW Mac Entry 1 GW Mac Entry 2 GW Mac Entry N Default Entry RouterID Route Entry 1 Route Entry 2 Route Entry N Default Entry Output to Internet GW NIC Optimized OVS Bridge Compute Node
Data Flow in Centec Agent (egress) Centec Distributed Controller Arp Proxy/Dhcp Proxy/Flow learning Operate Flow Table Mismatch to controller Mac Flow Table NIC Tunnel Decapsulati on Table NetworkID Mac Entry 1 Mac Entry 2 Mac Entry N Output to local Default Entry Optimized OVS Bridge Compute Node
盛 科 DVNP 架 构 : 硬 件 Offload 网 络 控 制 节 点 Neutron Centec Cloud Manager 计 算 节 点 Centec Distributed Controller OVS kernel Forwarder Centec Cloud Agent Tunnel Offload 订 阅 / 更 新 网 络 拓 扑 信 息 Zookeeper Cluster DB Server NoSQL Cluster 订 阅 / 更 新 实 时 状 态 数 据 计 算 节 点 Centec Distributed Controller 计 算 节 点 Centec Distributed Controller OVS kernel Forwarder OVS kernel Forwarder Centec SDN TOR Centec Cloud Agent Centec Edge GW Cluster (BGP/FW/LB/VPN inside) GW Server Tunnel Offload Centec SDN TOR
硬 件 Offload 下 的 转 发 面 流 程 Core Router Agg Switch Traditional L2/L3 Topology TOR Switch Host 1 1 2 n vsw itc h Vlan Tag Tunnel Header Original Packet Host 1 1 2 n vsw itc h Host 2 Host 2 Host N Host N
物 理 机 和 虚 拟 机 混 合 组 网 Centec Cloud manager 提 供 Cloud Console 命 令 行 和 API 管 理 员 通 过 Cloud Console 命 令 行 或 者 API 动 态 增 加 删 除 bare-metal server, 分 配 local vlan, 指 定 租 户 和 network, 并 配 置 到 SDN TOR Switch SDN TOR Switch 将 Vlan 转 换 为 相 应 的 Tunnel VNI, 反 之 亦 然 SDN TOR 需 要 同 时 做 bridge/route to tunnel 一 些 别 的 实 现 方 式 :1 虚 1 安 装 OVS 使 用 docker 都 不 如 使 用 SDN GW 来 得 高 效 简 单 方 便
使 用 ware 产 品 的 用 户 面 临 的 问 题 市 场 有 大 量 的 存 量 ware 产 品, 这 些 产 品 不 支 持 VPC ware 提 供 driver 到 OpenStack, 但 是 仅 限 于 legacy vds 支 持 ( 无 法 支 持 完 整 VPC 功 能 ) 要 支 持 VPC, 需 要 购 买 ware 的 NSX, 价 格 昂 贵 很 多 用 户 不 想 购 买 NSX, 但 是 却 想 支 持 灵 活 的 VPC 甚 至 更 多 用 户 希 望 把 ware 和 XEN K 混 合 组 网
当 前 的 一 些 解 决 方 案 要 基 于 legacy ware 产 品 支 持 VPC, 必 须 能 够 控 制 它 的 vswitch 但 显 然 做 不 到 一 些 商 业 折 衷 方 案 : 专 门 拿 出 一 个 做 vswitch, 性 能 低 下 vds/ovs NiC vswitch (VPC function) Server
基 于 SDN TOR 来 实 现 ware 的 VPC 整 体 架 构 参 考 DVNP: 硬 件 Offload 架 构 云 平 台 获 取 的 主 机 信 息 IP Mac Local Vlan 所 属 租 户 云 平 台 控 制 SDN TOR, 将 Local Vlan 映 射 成 tunnel 可 以 使 用 OpenStack, 也 可 以 在 vcenter 之 上 再 包 装 一 个 管 理 平 面
30