多云時代:云網融合的多云網絡
如何構建云網絡?云網絡由兩部分構成。物理underlay網絡,傳統的路由器,交換機和安全設備提供底層聯通。虛擬化的Overlay VPC網絡,是在云(公有/私有)上為用戶建立一塊邏輯隔離的虛擬網絡空間。
▌什么是VPC
VPC不是傳統的MPLS VPN網絡,更類似Linux的Name Space。
在VPC內,有多個可用域(Aviable Zone)。用戶可以自由定義網段劃分、IP地址和路由策略,可提供網絡ACL及安全組的訪問控制。一般提供一個Internet GW,做NAT/LB和VXLAN routing。還會提供一個VPC GW,提供IPsec接入VPC互聯和企業遠程上云(Cloud Onboarding)業務。
下圖以AWS為例,其他云公司提供類似業務(實現細節有所不同)。
云計算需要在大規模服務器物理環境上支持成千上萬的客戶。最早很多公司采用VLAN進行客戶隔離。但是VLAN ID字段只有12 bit,限制網絡規模最多支持4K 租戶Tenants,這對于海量租戶而言肯定是不夠的。就不得不把多個客戶放到同一個VLAN下面,無法實現真正的客戶信息/流量的隔離。
現代的VPC一般都是基于VXLAN或類似技術實現的, VXLAN的VNI被擴展成24bit,能夠支持1600萬個VPC區域,足夠支持云計算海量客戶增長。
VXLAN是一種通用的Overlay封裝技術。將原始MAC/L3報文封裝成UDP包,可以很方便的跨越三層網絡傳輸二、三層內容。能夠讓用戶構建的分布在不同物理服務器Server/不同數據中心的VPC里面的客戶IP/MAC數據被封裝進Server可尋址的IP地址,進而提供Scale Out云計算解決方案。
軟件定義Overlay網絡很容易快速迭代新的算法,給云計算帶來了越來越多的網絡創新。
▌VPC SDN控制器
對于云計算來說,網絡中有成百上萬級別的主機VM,Containers,Serverless服務。每個終端都需要相應的IP地址,策略組,負載均衡,Anti-DDoS, VPN隔離等。
開源Contrail SDN控制器實現跟Google 仙女座(Andromeda) 同樣的功能。
Contrail基本設計思想是:每個數據中心服務器虛擬化出來一個vRouter, 通過vRouter來實現類似EVPN/L3VPN功能。多個VM/Container會連接到這個vRouter的不同的Tenent VRF。同時vRouter之間采用GRE/UDP/VXLAN做外層隧道, 采用內層標簽來標識不同的VRF。 vRouter相當于傳統L3VPN和EVPN的一個vPE功能。vPE用戶側不再接入CE設備,而是為VM/Container提供連接性。
通過Orchestrator在Server上部署一個VM或者容器:
1、首先給VM/Container POD分配IP地址,DNS等等信息。在vRouter上創建VRF/EVI,RT/RD等信息,上送回傳到Contrail控制器。vRouter之間不需要協議通訊,vRouter僅僅跟Contrail控制器進行控制平面的通信。
2、生成L3VPN/EVPN轉發表, 控制器知道現存的多個vRouter可能要跟新創建的vRouter共享相同的VRF/EVI,并且需要互相通訊,就通過XMPP來下發轉發表信息(BGP NLRI內嵌到XMPP消息里)到另一臺服務器上的vRouter。vRouter之間僅僅建立轉發平面的動態隧道。這樣Server之間的VM/Containers就可以通訊了。
3、控制器通過BGP/Netconf來通知GW Router來自動發布VM/Container的 IP prefix.這樣Openstack/vCenter創建的VM/Container就可以被外界來使用了。
簡單的來講,如果客戶有一萬臺服務器,部署了Contrail之后:
1、Contrail控制器相當于傳統的路由器控制平面,承擔計算Overlay拓撲,數據通道Tunnel建立等工作。相當于傳統VPN的RR。
2、數據中心的Leaf/Spine交換機提供IP Clos無阻塞交換,相當于一個虛擬的交換矩陣,為控制器和vRouter之間提供背板交換。
3、vRouter/vSwitch跟Controller建立控制關系,vRouter之間建立數據tunnel。每個vRouter相當于傳統路由器的一個板卡。
4、部署Contrail SDN控制器之后,數據中心服務器里的很多vRouter一起組成了巨大的虛擬路由器系統(Network as a Router)。為數以萬計的虛擬機/容器提供多租戶隔離的VPN網絡連通。
▌VPC Fabric控制器
對于MSDC(大規模數據中心),不僅僅需要SDN控制器去管理vRouter,也需要全套工具管理路由器交換機,構造DC Fabric和DCI(數據中心互聯)Fabric。
對于Cloud/DC/DCI fabric,針對不同拓撲(P2P/CLOS/HUB&Spoke)和不同設備(vRouter/Switch/Router)。需要采用不同技術來實現Fabric自動部署和監控。
關于DC fabric Day1自動化配置部署,大部分廠家采用非常流行的Ansible來部署EVPN/VXLAN. 如下圖所示,最后產生針對不同設備的配置Conf。
首先要定義角色(Role),組(group),主機(host),拓撲(topo),等Yaml文件,然后采用Playbook去自動產生配置,并下發到每個Leaf/Spine交換機。Contrail Fabric Management(CFM)對Ansible也提供統一的GUI來進行自動化配置。
解決了配置的基本問題,同時CFM還可以支持。完整的ZTP/ZTR(自動配置),軟件升級,拓撲發現,并且自動配置收集Telemetry遙測信息進行網絡故障診斷。
對于數據中心互聯DCI(Data Center Interconnect),CFM也采用類似的配置管理方式。配置對象變為GW router,配置技術以MPLS/VPN和IP/Optical為主。
隨著云計算的發展,越來越多的企業應用會上云,對于企業中不同的云業務開發者和云業務消費者。如何構建混合云,實現多云網絡,構建統一的連通性,統一安全策略,統一管控平臺,這是一個非常火熱的話題。
鑒于運營商網絡Telco Cloud極度分布的微小數據中心(Mini/Micro DC),而且主要應用是處理客戶流量(vLB/vDPI/vPEC/) 而不是類似OTT提供內容(Content),運營商Telco Cloud更需要深入考慮如何實現多云/混合云的策略。
首先很多企業業務都要上云,但是很多敏感數據企業可能需要保留在私有云(企業數據中心)里,或者是租用公有云服務器(IaaS)資源。
隨著機器學習和AI的發展,越來越多的企業開發者需要利用公有云資源提升算法/數據庫創新能力(PaaS)。對于普通的企業用戶,會越來越多的采用云化的服務比如微軟Office,WorkDay,SAP等企業應用(SaaS)。
可以看出,企業IT人員面臨要整合私有云,數據中心Fabric,數據中心互聯,混合云連接(阿里/AWS等)。急需要統一工具來提供連通性,保證安全策略部署在網絡的任意部分,統一的管理控制平臺。
▌為什么需要混合云?
我們以谷歌云為例,最早云計算提供最簡單的虛擬機和存儲服務。客戶需要維護自己的數據庫和創建自己的算法代碼。最新的云計算公司提供更完整服務,開放最新的數據庫技術,提供人工智能機器學習算法(AI/ML),并且提供的完整的數據處理架構。
舉一個簡單的例子,最近參加谷歌新加坡Google云研討會,他們介紹如果從頭開始一個類似滴滴的Beta項目, 對某個城市例如北京,實時檢測司機在地圖上的具體地點,乘客的路徑規劃要求需要匹配最優的司機。而且需要很多前臺/后臺工作,包括架設很多服務器處理海量請求等等。
大家可以想像,如果從頭開發,需要多少人來做一個類似的APP?正常情況下大概需要30-50工程師,至少需要6-12個月開發。
在谷歌云上已經提供包括地圖映射,路徑規劃算法和信息流處理,并且很容易scale out處理海量請求。利用這種成熟的Cloud開發環境,一個有經驗的工程師,二十分鐘左右可以做一個類似滴滴雛形的后臺系統。
可以看到越來越多的中小企業不光采用云服務來獲得便宜的計算和存儲資源,越來越多的企業采用混合云來利用云公司的先進技術,數據庫,人工智能算法,大規模消息處理等等來加速創新。
云服務成為創新的催化劑,并且極大提高和簡化技術易用性,使得中小企業不需要高端算法工程師,也能很快地推出很酷的主意,解決客戶痛點。
TCP/IP 網絡
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
相關文章