VDC Fabric云网络部署方案

发布时间:2016-10-26 作者:黎英(中兴通讯)

  随着云计算的兴起,数据中心的建设日趋集中,规模越来越大,上万台甚至超十万台的数据中心越来越普遍;出于资源整合统一调度的需求,虚拟机也被大规模部署;当大数据逐渐成为商业智能的焦点,面向服务架构的水平方向数据业务成为数据中心中最典型的流量。以上种种,对数据中心网络都提出了更高的要求。云化数据中心应运而生,云化数据中心以云为中心,以数据中心为载体,提供VDC云业务,包括公有云、私有云和混合云业务。

 

公有云VDC Fabric部署方案


  公有云指以对外提供云服务为目的而建设的云化数据中心,包括提供底层计算能力的IaaS服务、提供平台接口的PaaS以及提供完备软件系统的SaaS服务。


  公有云具备以下网络特点:


  ●   多租户方式,每个租户可以创建自己独占的网络、虚拟路由器,打通租户内部子网内部、不同子网之间以及租户对外的流量,租户之间需要网络隔离;


  ●   大规模组网,支持数以万计的万兆服务器组网能力,支持大二层组网;


  ●   专属vFW/vLB,支持根据租户签约情况按需为每个租户提供专属的vFW(虚拟防火墙)、vLB(虚拟负载均衡)等服务。


  公有云根据业务特征大致可以分为以下几类业务:


  ●   云主机业务——用户根据业务部署情况和需求租用不同配置的虚拟机实例。用户对所租用的云主机资源拥有完全的控制权,包括基础云主机使用、维护一些增值特性。通过vFW配置和安全组配置可以控制云主机之间的网络访问。


  ●   VPC业务——VPC(Virtual Private Cloud)是在公有云中构建的具有私有网络的云服务,能够与用户的网络互通。企业可以在公有云平台上申请虚拟私有云,在虚拟私有云中,企业具有完全独立的IP地址空间设置,与其他不在该私有云中的虚拟机完全网络隔离。


  ●   IT托管业务——为企业、政府提供整体新建、搬迁、管控的IT服务和机架托管。提供一站式的IT建设和迁移、统一的IT管控,以及分权分域的安全保障。


  数据中心的传统组网是接入-汇聚-核心的三层架构,随着数据中心网络日趋扁平化发展,中兴通讯在VDC Fabric网络方案中基于“Spine-Leaf”二级架构,采用VxLAN的Overlay技术,最大程度满足云数据中心互联互通、按需分配的业务要求(见图1)。公有云数据中心网络部署方式如下:


  ●   网络架构——Fabric网络选用高密度10G/40G DC交换机机型和线卡;DC内部全部采用EBGP(外部边界网关协议)互联来确保三层IP可达,避免部署复杂且不易维护管理的二层协议;在vSwitch和出口路由器上部署VxLAN,实现“MAC-in-IP”大二层网络,最大支持1600万租户;裸金属服务器的VxLAN VTEP((VxLAN Tunneling End Point)接入点配置在“Leaf”上,实现和VM虚机的混合组网。


  ●   业务区划分——虚拟化服务器群用于提供云主机和VPC业务,支持用户根据自身需求灵活、快速订购不同配置的VM虚拟机资源并构建虚拟私有云网络;裸金属服务器群用于提供IT机架托管业务,为用户提供一站式的IT建设和迁移、统一的IT管控,以及分权分域的安全保障。


  ●   安全防护——支持在vSwitch和“Leaf”上创建ACL白名单访问列表,精确控制可访问目标VM虚机和裸金属服务器的源IP地址;设置软件vFW/vLB资源池,实现安全的资源扩容和服务发放,租户可根据签约情况灵活定制、开通专属的安全服务。


  ●   业务部署——通过OpenStack进行统一分配调度,OpenStack与SDN Controller对接,支持快速划分租户、网络、子网等虚拟资源;EMS承担传统网络设备的运维管理。

 

私有云VDC Fabric部署方案


  私有云指单一主体建设维护,用于承载自营业务的云,比如各个政企建设的云化数据中心,承载自己的企业管理及业务系统,同时为不同部门提供VPC服务。


  私有云具备以下网络特点:


  ●   区域化——企业内部不同的业务部门有独立的网络区域,某些安全敏感业务区通过防火墙与其他业务区隔离;


  ●   层次化——网络总体分为两层,即核心层和接入层;所有业务区统一接入到核心层;某些规模较大的业务区有接入-汇聚层;


  ●   虚拟化——业务可以在虚拟机上部署,业务资源按需分配,同时通过网络虚拟技术实现资源池化。


  在私有云中,建设私有云的企业内部不同部门对应于不同租户,租户有独立的VPC资源,VPC之间的云服务器IP地址可以重叠。一个VPC可对应一个VRF(Virtual Routing Forwarding)域,VRF有多个VNet(虚拟网络)和子网,子网内有多个VM和服务器。而在不同的VPC之间有隔离和互通的要求,VPC内部VM有互通和隔离的要求。由于私有云内部一般为自有业务,租户常采用统一的网络出口,通过一套FW/LB/IPSec VPN完成云与公网对接。

私有云数据中心内部网络部署方式如下:


  ●   网络架构——DC内采用“Spine-Leaf”架构;DC设一对核心交换机作为VxLAN GW;裸金属服务器接入硬件交换机ToR,VM等虚拟机接入虚拟交换机,由vSwitch或者TOR做VTEP;


  ●   业务部署——通过OpenStack进行统一分配调度,OpenStack与SDN Controller对接,划分租户、网络、子网等虚拟资源;Overlay基于VxLAN,Underlay基于传统路由协议实现;EMS实现对Overlay/Underlay网络的统一管理;


  ●   安全防护——基于硬件防火墙、硬件LB提供安全防护、负载均衡等能力;防火墙旁挂或串联到网关(GW)出口上。


  私有云一般会建设多个云数据中心,采用同城双活、异地灾备的方式,实现业务负载分担和备份,主要有以下几种互访要求:


  ●   业务规模扩展——主数据中心业务饱和,建立更大的业务集群,通过大二层实现跨DC互访;


  ●   虚机灵活迁移——当主数据中心服务器故障,需要将主数据中心虚机动态迁移到备数据中心;迁移后的备数据中心虚机通过二层网络访问原主数据中心中的其他服务器或存储资源;


  ●   业务快速倒换——当主数据中心整体故障时,对于仍然访问主数据中心服务器的业务流量,可以通过大二层网络引流到备,实现业务快速倒换。


  对于需要跨数据中心互联的私有云,需要建立更大规模的VDC Fabric网络,如图2所示,可以根据实际情况选用以下几种部署方式:


  ●   端到端互联——同城DC间部署裸光纤,异地DC可以通过VPN专线互联,DC网络端到端打通,DCI不感知租户;


  ●   SDN+VxLAN——GW之间通过VxLAN实现大二层互联,由控制器统一进行业务控制;


  ●   多控制器方式——每个DC一套控制器,控制器之间通过或业务编排进行协同管理;


  ●   VTEP感知虚机——控制器能够感知VM,通告给VTEP设备,实现VTEP对VM的位置发现,从而感知虚机动态迁移。


VDC Fabric方案优势


  中兴通讯VDC Fabric云网络部署方案具有以下优势:


  ●   高速/易扩展:高密度40G/100G互联,采用可水平扩展的扁平化架构,满足DC网络规模的快速发展;


  ●   大规模组网:单DC可支持上千台万兆服务器的大规模组网能力;


  ●   高可靠性:节点采用VSC堆叠冗余保护,链路采用ECMP/LACP冗余保护,双重保证节点和链路的可靠性;


  ●   高性能分布式网关转发:全面支持分布式路由,流量就近转发,转发路径最优无迂回,跨子网转发路径最优,网络利用率高;


  ●   开放兼容:完全兼容OpenStack、OpenvSwitch开源系统架构;


  ●   流量可视化:核心节点共模型,与控制器多种接口互通,实现流量集中控制。