为您推荐:
精华内容
最热下载
问答
  • 聊聊Underlay、Overlay网络 Underlay 网络 vs. Overlay网络 最近因为工作原因学习了overlay与underlay网络的知识,参考了什么是Overlay网络做出一些自己的总结。 什么是Underlay网络,Overlay网络? Underlay网络是...

    聊聊Underlay、Overlay网络

    Underlay 网络 vs. Overlay网络

    最近因为工作原因学习了overlay与underlay网络的知识,参考了什么是Overlay网络做出一些自己的总结。

    什么是Underlay网络,Overlay网络?

    Underlay网络是由各类物理设备构成,通过使用路由协议保证其设备之间的IP连通性的承载网络。
    Overlay网络是通过网络虚拟化技术,在同一张Underlay网络上构建出的一张或者多张虚拟的逻辑网络。不同的Overlay网络虽然共享Underlay网络中的设备和线路,但是Overlay网络中的业务与Underlay网络中的物理组网和互联技术相互解耦。Overlay网络的多实例化,既可以服务于同一租户的不同业务(如多个部门),也可以服务于不同租户,是SD-WAN以及数据中心等解决方案使用的核心组网技术。

    为什么需要Overlay网络?

    Overlay网络和Underlay网络是一组相对概念,Overlay网络是建立在Underlay网络上的逻辑网络。而为什么需要建立Overlay网络,就要从底层的Underlay网络的概念以及局限讲起。

    Underlay网络

    Underlay网络正如其名,是Overlay网络的底层物理基础。

    如下图所示,Underlay网络可以是由多个类型设备互联而成的物理网络,负责网络之间的数据包传输。
    典型的Underlay网络
    在Underlay网络中,互联的设备可以是各类型交换机、路由器、负载均衡设备、防火墙等,但网络的各个设备之间必须通过路由协议来确保之间IP的连通性。

    Underlay网络可以是二层也可以是三层网络。其中二层网络通常应用于以太网,通过VLAN进行划分。三层网络的典型应用就是互联网,其在同一个自治域使用OSPF、IS-IS等协议进行路由控制,在各个自治域之间则采用BGP等协议进行路由传递与互联。随着技术的进步,也出现了使用MPLS这种介于二三层的WAN技术搭建的Underlay网络。

    然而传统的网络设备对数据包的转发都基于硬件,其构建而成的Underlay网络也产生了如下的问题:

    • 由于硬件根据目的IP地址进行数据包的转发,所以传输的路径依赖十分严重。
    • 新增或变更业务需要对现有底层网络连接进行修改,重新配置耗时严重。
    • 互联网不能保证私密通信的安全要求。
    • 网络切片和网络分段实现复杂,无法做到网络资源的按需分配。
    • 多路径转发繁琐,无法融合多个底层网络来实现负载均衡。

    Overlay网络

    为了摆脱Underlay网络的种种限制,现在多采用网络虚拟化技术在Underlay网络之上创建虚拟的Overlay网络。
    Overlay网络拓扑
    在Overlay网络中,设备之间可以通过逻辑链路,按照需求完成互联形成Overlay拓扑。

    相互连接的Overlay设备之间建立隧道,数据包准备传输出去时,设备为数据包添加新的IP头部和隧道头部,并且被屏蔽掉内层的IP头部,数据包根据新的IP头部进行转发。当数据包传递到另一个设备后,外部的IP报头和隧道头将被丢弃,得到原始的数据包,在这个过程中Overlay网络并不感知Underlay网络。

    Overlay网络有着各种网络协议和标准,包括VXLAN、NVGRE、SST、GRE、NVO3、EVPN等。

    随着SDN技术的引入,加入了控制器的Overlay网络,有着如下的优点:

    • 流量传输不依赖特定线路。Overlay网络使用隧道技术,可以灵活选择不同的底层链路,使用多种方式保证流量的稳定传输。
    • Overlay网络可以按照需求建立不同的虚拟拓扑组网,无需对底层网络作出修改。
    • 通过加密手段可以解决保护私密流量在互联网上的通信。
    • 支持网络切片与网络分段。将不同的业务分割开来,可以实现网络资源的最优分配。
    • 支持多路径转发。在Overlay网络中,流量从源传输到目的可通过多条路径,从而实现负载分担,最大化利用线路的带宽。

    Overlay网络有哪些例子?

    Overlay网络在SD-WAN、数据中心两大解决方案中被广泛应用,由于其底层Underlay网络的架构也不尽相同,使得Overlay网络的拓扑存在不同的形式。

    数据中心的Overlay网络

    随着数据中心架构演进,现在数据中心多采用Spine-Leaf架构构建Underlay网络,通过VXLAN技术构建互联的Overlay网络,业务报文运行在VXLAN Overlay网络上,与物理承载网络解耦。
    数据中心的Overlay网络
    Leaf与Spine全连接,等价多路径提高了网络的可用性。
    Leaf节点作为网络功能接入节点,提供Underlay网络中各种网络设备接入VXLAN网络功能,同时也作为Overlay网络的边缘设备承担VTEP(VXLAN Tunnel EndPoint)的角色。
    Spine节点即骨干节点,是数据中心网络的核心节点,提供高速IP转发功能,通过高速接口连接各个功能Leaf节点。

    SD-WAN中的Overlay网络

    SD-WAN的Underlay网络基于广域网,通过混合链路的方式达成总部站点、分支站点、云网站点之间的互联。通过搭建Overlay网络的逻辑拓扑,完成不同场景下的互联需求。

    SD-WAN的Overlay网络(以Hub-Spoke为例)
    SD-WAN的网络主要由CPE设备构成,其中CPE又分为Edge和GW两种类型。

    • Edge:是SD-WAN站点的出口设备。
    • GW:是联接SD-WAN站点和其他网络(如传统VPN)的网关设备。

    根据企业网络规模、中心站点数量、站点间互访需求可以搭建出多个不同类型的Overlay网络。

    • Hub-spoke:适用于企业拥有1~2个数据中心,业务主要在总部和数据中心,分支通过WAN集中访问部署在总部或者数据中心的业务。分支之间无或者有少量的互访需求,分支之间通过总部或者数据中心绕行。
    • Full-mesh:适用于站点规模不多的小企业,或者在分支之间需要进行协同工作的大企业中部署。大企业的协同业务,如VoIP和视频会议等高价值的应用,对于网络丢包、时延和抖动等网络性能具有很高的要求,因此这类业务更适用于分支站点之间直接进行互访。
    • 分层组网:适应于网络站点规模庞大或者站点分散分布在多个国家或地区的大型跨国企业和大企业,网络结构清晰,网络可扩展性好。
    • 多Hub组网:适用于有多个数据中心,每个数据中心均部署业务服务器为分支提供业务服务的企业。
    • POP组网:当运营商/MSP面向企业提供SD-WAN网络接入服务时,企业一时间不能将全部站点改造为SD-WAN站点,网络中同时存在传统分支站点和SD-WAN站点这两类站点,且这些站点间有流量互通的诉求。一套IWG(Interworking Gateway,互通网关)组网能同时为多个企业租户提供SD-WAN站点和已有的传统MPLS VPN网络的站点连通服务。

    Overlay网络 vs. Underlay网络

    Overlay网络 vs. Underlay网络

    展开全文
    dpdpdppp 2021-11-23 11:35:09
  • 网络隔离/分离能力限制 当前的主流网络隔离技术为VLAN(或VPN),在大规模虚拟化环境部署会有问题,VLAN数量在标准定义中只有12个比特单位,即可用的数量为4000个左右,这样的数量级对于公有云或大型虚拟化云计算...

    overlay技术需求

    1. 虚拟机迁移范围受到网络架构限制
      由于虚拟机迁移的网络属性要求,其从一个物理机上迁移到另一个物理机上,要求虚拟机不间断业务,则需要其IP地址、MAC地址等参数维保持不变,如此则要求业务网络是一个二层网络,且要求网络本身具备多路径多链路的冗余和可靠性。
    2. 虚拟机规模受网络规格限制
      在大二层网络环境下,数据流均需要通过明确的网络寻址以保证准确到达目的地,因此网络设备的二层地址表项大小((即MAC地址表)),成为决定了云计算环境下虚拟机的规模的上限。
    3. 网络隔离/分离能力限制
      当前的主流网络隔离技术为VLAN(或VPN),在大规模虚拟化环境部署会有问题,VLAN数量在标准定义中只有12个比特单位,即可用的数量为4000个左右,这样的数量级对于公有云或大型虚拟化云计算应用而言微不足道。在此驱动力基础上,逐步演化出Overlay的虚拟化网络技术趋势。
      这里写图片描述

    overlay技术简介

    Overlay在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。其实这种模式是以对传统技术的优化而形成的。
    针对前文提出的三大技术挑战,Overlay在很大程度上提供了全新的解决方式。

    1. 针对虚机迁移范围受到网络架构限制的解决方式
      Overlay是一种封装在IP报文之上的新的数据格式,因此,这种数据可以通过路由的方式在网络中分发,而路由网络本身并无特殊网络结构限制,具备良性大规模扩展能力,并且对设备本身无特殊要求,以高性能路由转发为佳,且路由网络本身具备很强的的故障自愈能力、负载均衡能力。
    2. 针对虚机规模受网络规格限制的解决方式
      虚拟机数据封装在IP数据包中后,对网络只表现为封装后的的网络参数,即隧道端点的地址,因此,对于承载网络(特别是接入交换机),MAC地址规格需求极大降低,最低规格也就是几十个(每个端口一台物理服务器的隧道端点MAC)。
    3. 针对网络隔离/分离能力限制的解决方式
      针对VLAN数量4000以内的限制,在Overlay技术中引入了类似12比特VLAN ID的用户标识,支持千万级以上的用户标识,并且在Overlay中沿袭了云计算“租户”的概念,称之为Tenant ID(租户标识),用24或64比特表示。针对VLAN技术下网络的TRUANK ALL(VLAN穿透所有设备)的问题,Overlay对网络的VLAN配置无要求,可以避免网络本身的无效流量带宽浪费,同时Overlay的二层连通基于虚机业务需求创建,在云的环境中全局可控。

    Overlay主要技术标准及比较

    目前,IETF在Overlay技术领域有如下三大技术路线正在讨论,为简单起见,本文只讨论基于IPv4的Overlay相关内容。
    VXLAN。VXLAN是将以太网报文封装在UDP传输层上的一种隧道转发模式,目的UDP端口号为4798;为了使VXLAN充分利用承载网络路由的均衡性,VXLAN通过将原始以太网数据头(MAC、IP、四层端口号等)的HASH值作为UDP的号;采用24比特标识二层网络分段,称为VNI(VXLAN Network Identifier),类似于VLAN ID作用;未知目的、广播、组播等网络流量均被封装为组播转发,物理网络要求支持任意源组播(ASM)。

    这里写图片描述
    这里写图片描述

    NVGRE。NVGRE主要支持者是Microsoft。与VXLAN不同的是,NVGRE没有采用标准传输协议(TCP/UDP),而是借助通用路由封装协议(GRE)。NVGRE使用GRE头部的低24位作为租户网络标识符(TNI),与VXLAN一样可以支持1600个虚拟网络。为了提供描述带宽利用率粒度的流,传输网络需要使用GRE头,但是这导致NVGRE不能兼容传统负载均衡,这是NVGRE与VXLAN相比最大的区别也是最大的不足。为了提高负载均衡能力建议每个NVGRE主机使用多个IP地址,确保更多流量能够被负载均衡。NVGRE不需要依赖泛洪和IP组播进行学习,而是以一种更灵活的方式进行广播,但是这需要依赖硬件/供应商。最后一个区别关于分片,NVGRE支持减小数据包最大传输单元以减小内部虚拟网络数据包大小,不需要要求传输网络支持传输大型帧。
    在这里插入图片描述

    STT。STT利用了TCP的数据封装形式,但改造了TCP的传输机制,数据传输不遵循TCP状态机,而是全新定义的无状态机制,将TCP各字段意义重新定义,无需三次握手建立TCP连接,因此称为无状态TCP;以太网数据封装在无状态TCP;采用64比特Context ID标识二层网络分段;为了使STT充分利用承载网络路由的均衡性,通过将原始以太网数据头(MAC、IP、四层端口号等)的HASH值作为无状态TCP的源端口号;未知目的、广播、组播等网络流量均被封装为组播转发。

    技术名称支持者支持方式网络虚拟化方式数据新增报文长度链路HASH能力
    VXLANCisco/VMWARE/Citrix/Red Hat/BroadcomL2 over UDPVXLAN报头 24 bit VNI50Byte(+原数据)现有网络可进行L2 ~ L4 HASH
    NVGREHP/Microsoft/Broadcom/Dell/IntelL2 over GRENVGRE 报头 24 bit VSI42Byte(+原数据)GRE头的HASH 需要网络升级
    STTVMWare无状态TCP,即L2在类似TCP的传输层STT报头 64 bit Context ID58 ~ 76Byte(+原数据)现有网络可进行 L2 ~ L4 HASH

    这三种二层Overlay技术,大体思路均是将以太网报文承载到某种隧道层面,差异性在于选择和构造隧道的不同,而底层均是IP转发。上表所示为这三种技术关键特性的比较:
    VXLAN和STT对于现网设备对流量均衡要求较低,即负载链路负载分担适应性好,一般的网络设备都能对L2-L4的数据内容参数进行链路聚合或等价路由的流量均衡

    而NVGRE则需要网络设备对GRE扩展头感知并对flow ID进行HASH,需要硬件升级;

    STT对于TCP有较大修改,隧道模式接近UDP性质,隧道构造技术属于革新性,且复杂度较高,而VXLAN利用了现有通用的UDP传输,成熟性极高。总体比较,VLXAN技术相对具有优势。

    参考:
    vlan: http://www.bitscn.com/network/200605/26966.html
    VLAN和VXLAN: https://blog.csdn.net/octopusflying/article/details/77609199
    vpc: http://www.360doc.com/content/17/0405/08/35636606_642959801.shtml
    阿里云vpc: http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/pdf/vpc-product-introduction-intl-zh-2017-03-17.pdf
    http://www.h3c.com/cn/d_201309/796466_30008_0.htm

    展开全文
    gengzhikui1992 2018-03-24 18:01:23
  • Overlay 网络1.1 Overlay 技术概述2 Overlay网络与物理网络的关系3.基于多租户的云计算Overlay网络 1. Overlay 网络 1.1 Overlay 技术概述 Overlay 在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其...


    1. Overlay 网络

    1.1 Overlay 技术概述

    Overlay 在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。Overlay 技术是在现有的物理网络之上构建一个虚拟网络,上层应用只与虚拟网络相关。一个Overlay网络主要由三部分组成:
    边缘设备:是指与虚拟机直接相连的设备
    控制平面:主要负责虚拟隧道的建立维护以及主机可达性信息的通告
    转发平面:承载 Overlay 报文的物理网络
    在这里插入图片描述
    在这里插入图片描述

    2 Overlay网络与物理网络的关系

    Overlay网络与物理网络的关系

    在以往IT建设中,硬件服务器上运行的是虚拟层的计算,物理网络为了与虚拟服务器对接,需要网络自己进行调整,以便和新的计算层对接(如图1所示)。Overlay是在传统网络上虚拟出一个虚拟网络来,传统网络不需要在做任何适配,这样物理层网络只对应物理层的计算(物理机、虚拟化层管理网),虚拟的网络只对应虚拟计算(虚拟机的业务IP),如图2所示。

    图 1 物理网络引入数据中心技术来适配虚拟计算

    图 2 物理网络通过承接虚拟网络来适配虚拟计算

    Overlay的技术路线,其实是从架构上对数据中心的建设模式进行了颠覆,对物理设备的要求降至最低,业务完全定义在层叠网络上。那么,这是否意味着将来数据中心使用Overlay网络不需要硬件支持而只需要软件定义就足够了呢?答案无疑是否定的。

    以下讨论Overlay网络与物理网络的依存关系。由于VXLAN(Virtual eXtensible LAN)技术是当前最为主流的Overlay标准,以下VXLAN技术为代表进行具体描述。

    1. 报文的封装与解封装

    VXLAN的核心在于承载于物理网络上的隧道技术,这就意味着要对报文进行封装和解封装,因此需要硬件来加速处理。

    在VXLAN网络中,用于建立VXLAN隧道的端点设备称为VTEP(VXLAN Tunneling End Point,VXLAN隧道终结点),封装和解封装在VTEP节点上进行。

    在云数据中心,部分业务是不适合进行虚拟化的(如小机服务器,高性能数据库服务器),这些服务器会直接与物理交换机互联,而他们又必须与对应租户/业务的VXLAN网络互通,此时就必须要求与其互联的硬件交换机也能支持VXLAN协议,以接入VXLAN网络。

    图 3 Overlay网络的三种构建模式

    考虑到服务器接入的可以是虚拟交换机,也可以是物理交换机,因此存在三种不同的构建模式(如图3所示):其中网络Overlay方案中,所有终端均采用物理交换机作为VTEP节点;主机Overlay方案中,所有终端均采用虚拟交换机作为VTEP节点;混合Overlay方案中,既有物理交换机接入,又有虚拟交换机接入,且软件VTEP和硬件VTEP之间可以基于标准协议互通。

    在网络Overlay方案和混合Overlay方案中,都需要有物理交换机设备支持VXLAN协议栈,并能与虚拟交换机构建的VTEP互通。由于在实际组网环境中,服务器种类很多,高吞吐高性能要求的业务一般都采用单独物理服务器甚至小机的硬件环境,而非虚拟化的x86服务器,这就没法使用vSwitch来接入VXLAN网络,只能让支持VXLAN的物理交换机来接入了。

    1. 组播协议传播

    VXLAN网络的MAC表与隧道终端的绑定关系要用组播协议传播,而大规格组播协议离不开物理网络设备的支持。

    按照VXLAN的标准,每一个VTEP都需要了解其接入的终端MAC地址,同时还需要知道整网(该VXLAN实例中)其他VTEP下所有的终端MAC地址。只有这样,在本地的VTEP收到报文后需要转发时,才能根据目的MAC查询到需要送到远端的目的VTEP那里。

    按照IETF中对VXLAN网络的定义,负责在网络中传播MAC地址和VTEP对应关系的机制,正是依托于物理网络中的组播协议。VTEP将本地的MAC地址表利用组播协议在整个组播中传播,从而使得整网中所有组播成员,也就是其他VTEP都知道本地的MAC地址表。当VTEP下的终端接入情况有所更改,如新增了MAC地址或者减少了MAC地址,也需要利用组播协议通知同一个实例下的所有VTEP。另外,当本地VTEP找不到目的MAC处于哪一个远端VTEP时,也需要发送组播报文来查找目的MAC主机所属的远端VTEP。

    图 4 多个VTEP通过物理网络组播传递MAC表信息

    如图4所示,多个VTEP需要在整网中传递VTEP下MAC地址信息,逻辑传递路线如绿色虚线所示。由于需要进行逻辑上的Full-Mesh连接,连接逻辑线路会达到N平方量级,因此实际组网中,VXLAN利用了物理网络的组播组,在建立好的组播组中加入VXLAN中所有VTEP成员,传递VTEP变更信息。在多用户多业务情况下,组播组要求与VXLAN数量息息相关。由于VXLAN网络规模的不断拓展(最大可达到16M个VXLAN网络),所需要的组播条目数会不断增加,这实际上对于物理网络承载组播处理能力和规格提出了要求。

    由于标准VXLAN架构下使用组播协议,对物理网络组播数规格要求较大,因此H3C VXLAN解决方案基于SDN架构,通过引入全网的SDN Controller来实现VXLAN的管理和维护,使得VTEP之间的信息可以通过Controller来进行反射(如图5所示)。这样,VTEP的MAC地址表映射关系不再通过组播向全网其他VTEP传达,而是统一上报给控制器,由控制器统一下发给需要接受此消息的其他VTEP,由具体的VTEP执行转发机制。

    图 5 多个VTEP通过SDN Controller传递MAC表信息

    可见,在SDN架构下,硬件形态的VTEP需要能够支持集中控制器下发的业务控制信息,同时基于Openflow进行流表转发。而传统硬件交换机不能支持上述特性,必须由新硬件设备来执行和完成的。

    1. VXLAN网络互通

    在传统L2网络中,报文跨VLAN转发,需要借助三层设备来完成不同VLAN之间的互通问题。VXLAN网络与传统网络、以及VXLAN网络的互通,必须有网络设备的支持。

    VXLAN网络框架中定义了两种网关单元。

    ¡ VXLAN三层网关。用于终结VXLAN网络,将VXLAN报文转换成传统三层报文送至IP网络,适用于VXLAN网络内服务器与远端终端之间的三层互访;同时也用作不同VXLAN网络互通。如图6所示,当服务器访问外部网络时,VXLAN三层网关剥离对应VXLAN报文封装,送入IP网络;当外部终端访问VXLAN内的服务器时,VXLAN根据目的IP地址确定所属VXLAN及所属的VTEP,加上对应的VXLAN报文头封装进入VXLAN网络。VXLAN之间的互访流量与此类似,VXLAN网关剥离VXLAN报文头,并基于目的IP地址确定所属VXLAN及所属的VTEP,重新封装后送入另外的VXLAN网络。

    图 6 VXLAN网络通过三层网关与传统网络互连

    ¡ VXLAN二层网关。用于终结VXLAN网络,将VXLAN报文转换成对应的传统二层网络送到传统以太网络,适用于VXLAN网络内服务器与远端终端或远端服务器的二层互联。如在不同网络中做虚拟机迁移时,当业务需要传统网络中服务器与VXLAN网络中服务器在同一个二层中,此时需要使用VXLAN二层网关打通VXLAN网络和二层网络。如图7所示,VXLAN 10网络中的服务器要和IP网络中VLAN100的业务二层互通,此时就需要通过VXLAN的二层网关进行互联。VXLAN10的报文进入IP网络的流量,剥掉VXLAN的报文头,根据VXLAN的标签查询对应的VLAN网络(此处对应的是VLAN100),并据此在二层报文中加入VLAN的802.1Q报文送入IP网络;相反VLAN100的业务流量进入VXLAN也需要根据VLAN获知对应的VXLAN网络编号,根据目的MAC获知远端VTEP的IP地址,基于以上信息进行VXLAN封装后送入对应的VXLAN网络。

    图 7 VXLAN网络通过二层网关与传统二层网络互通

    可见,无论是二层还是三层网关,均涉及到查表转发、VXLAN报文的解封装和封装操作。从转发效率和执行性能来看,都只能在物理网络设备上实现,并且传统设备无法支持,必须通过新的硬件形式来实现。

    结束语

    Overlay由于其简单、一致的解决问题方法,加上重新定义的网络可以进行软件定义,已经成为数据中心网络最炙手可热的技术方案。然而,它并不是一张完全由软件定义的网络,Overlay网络解决方案必定是一种软硬结合的方案,无论是从接入层VTEP混合组网的组网要求、组播或SDN控制层协议的支持,还是VXLAN网络与传统网络的互通来看,都需要硬件积极的配合和参与,必须构建在坚实和先进的物理网络架构基础上。。

    3.基于多租户的云计算Overlay网络

    参考:
    基于多租户的云计算Overlay网络
    基于多租户的云计算Overlay网络

    1 云计算虚拟化网络的挑战与革新
    在云中,虚拟计算负载的高密度增长及灵活性迁移在一定程度上对网络产生了压力,然而当前虚拟机的规模与可迁移性受物理网络能力约束,云中的业务负载不能与物理网络脱离。

    ž 虚拟机迁移范围受到网络架构限制

    由于虚拟机迁移的网络属性要求,其从一个物理机上迁移到另一个物理机上,要求虚拟机不间断业务,则需要其IP地址、MAC地址等参数维保持不变,如此则要求业务网络是一个二层网络,且要求网络本身具备多路径多链路的冗余和可靠性。传统的网络生成树(STPSpaning Tree Protocol)技术不仅部署繁琐,且协议复杂,网络规模不宜过大,限制了虚拟化的网络扩展性。基于各厂家私有的的IRF/vPC等设备级的(网络N:1)虚拟化技术,虽然可以简化拓扑简化、具备高可靠性的能力,但是对于网络有强制的拓扑形状限制,在网络的规模和灵活性上有所欠缺,只适合小规模网络构建,且一般适用于数据中心内部网络。而为了大规模网络扩展的TRILL/SPB/FabricPath/VPLS等技术,虽然解决了上述技术的不足,但对网络有特殊要求,即网络中的设备均要软硬件升级而支持此类新技术,带来部署成本的上升。

    ž 虚拟机规模受网络规格限制

    在大二层网络环境下,数据流均需要通过明确的网络寻址以保证准确到达目的地,因此网络设备的二层地址表项大小((即MAC地址表)),成为决定了云计算环境下虚拟机的规模的上限,并且因为表项并非百分之百的有效性,使得可用的虚机数量进一步降低,特别是对于低成本的接入设备而言,因其表项一般规格较小,限制了整个云计算数据中心的虚拟机数量,但如果其地址表项设计为与核心或网关设备在同一档次,则会提升网络建设成本。虽然核心或网关设备的MAC与ARP规格会随着虚拟机增长也面临挑战,但对于此层次设备能力而言,大规格是不可避免的业务支撑要求。减小接入设备规格压力的做法可以是分离网关能力,如采用多个网关来分担虚机的终结和承载,但如此也会带来成本的上升。

    ž 网络隔离/分离能力限制

    当前的主流网络隔离技术为VLAN(或VPN),在大规模虚拟化环境部署会有两大限制:一是VLAN数量在标准定义中只有12个比特单位,即可用的数量为4000个左右,这样的数量级对于公有云或大型虚拟化云计算应用而言微不足道,其网络隔离与分离要求轻而易举会突破4000;二是VLAN技术当前为静态配置型技术(只有EVB/VEPA的802.1Qbg技术可以在接入层动态部署VLAN,但也主要是在交换机接主机的端口为常规部署,上行口依然为所有VLAN配置通过),这样使得整个数据中心的网络几乎为所有VLAN被允许通过(核心设备更是如此),导致任何一个VLAN的未知目的广播数据会在整网泛滥,无节制消耗网络交换能力与带宽。

    对于小规模的云计算虚拟化环境,现有的网络技术如虚拟机接入感知(VEPA/802.1Qbg)、数据中心二层网络扩展(IRF/vPC/TRILL/FabricPath)、数据中心间二层技术(OTV/EVI/TRILL)等可以很好的满足业务需求,上述限制不成为瓶颈。然而,完全依赖于物理网络设备本身的技术改良,目前看来并不能完全解决大规模云计算环境下的问题,一定程度上还需要更大范围的技术革新来消除这些限制,以满足云计算虚拟化的网络能力需求。在此驱动力基础上,逐步演化出Overlay的虚拟化网络技术趋势。

    2 Overlay虚拟化网络的技术标准及比较
    2.1 Overlay技术形态
    Overlay在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主(如图2所示)。其实这种模式是以对传统技术的优化而形成的。早期的就有标准支持了二层Overlay技术,如RFC3378(Ethernet in IP),就是早期的在IP上的二层Overlay技术。并且基于Ethernet over GRE的技术,H3C与Cisco都在物理网络基础上发展了各自的私有二层Overlay技术——EVI(Ethernet Virtual Interconnection)与OTV(Overlay Transport Virtualization)。EVI与OTV都主要用于解决数据中心之间的二层互联与业务扩展问题,并且对于承载网络的基本要求是IP可达,部署上简单且扩展方便。

    图2 Overlay网络模型

    随着云计算虚拟化的驱动,基于主机虚拟化的Overlay技术出现,在服务器的Hypervisor内vSwitch上支持了基于IP的二层Overlay技术,从更靠近应用的边缘来提供网络虚拟化服务,其目的是使虚拟机的部署与业务活动脱离物理网络及其限制,使得云计算的网络形态不断完善。(如图3所示)主机的vSwitch支持基于IP的Overlay之后,虚机的二层访问直接构建在Overlay之上,物理网不再感知虚机的诸多特性,由此,Overlay可以构建在数据中心内,也可以跨越数据中心之间。

    图3 hypervisor支持的二层Overlay

    2.2 Overlay如何解决当前的主要问题
    针对前文提出的三大技术挑战,Overlay在很大程度上提供了全新的解决方式。

    ž 针对虚机迁移范围受到网络架构限制的解决方式

    Overlay是一种封装在IP报文之上的新的数据格式,因此,这种数据可以通过路由的方式在网络中分发,而路由网络本身并无特殊网络结构限制,具备良性大规模扩展能力,并且对设备本身无特殊要求,以高性能路由转发为佳,且路由网络本身具备很强的的故障自愈能力、负载均衡能力。采用Overlay技术后,企业部署的现有网络便可用于支撑新的云计算业务,改造难度极低(除性能可能是考量因素外,技术上对于承载网络并无新的要求)。

    ž 针对虚机规模受网络规格限制的解决方式

    虚拟机数据封装在IP数据包中后,对网络只表现为封装后的的网络参数,即隧道端点的地址,因此,对于承载网络(特别是接入交换机),MAC地址规格需求极大降低,最低规格也就是几十个(每个端口一台物理服务器的隧道端点MAC)。当然,对于核心/网关处的设备表项(MAC/ARP)要求依然极高,当前的解决方案仍然是采用分散方式,通过多个核心/网关设备来分散表项的处理压力。(另一种更分散的方式便是虚拟网络路由服务方式,详见后文描述)。

    ž 针对网络隔离/分离能力限制的解决方式

    针对VLAN数量4000以内的限制,在Overlay技术中引入了类似12比特VLAN ID的用户标识,支持千万级以上的用户标识,并且在Overlay中沿袭了云计算“租户”的概念,称之为Tenant ID(租户标识),用24或64比特表示。针对VLAN技术下网络的TRUANK ALL(VLAN穿透所有设备)的问题,Overlay对网络的VLAN配置无要求,可以避免网络本身的无效流量带宽浪费,同时Overlay的二层连通基于虚机业务需求创建,在云的环境中全局可控。

    2.3 Overlay主要技术标准及比较
    目前,IETF在Overlay技术领域有如下三大技术路线正在讨论,为简单起见,本文只讨论基于IPv4的Overlay相关内容(如图4所示)。

    ž VXLAN。VXLAN是将以太网报文封装在UDP传输层上的一种隧道转发模式,目的UDP端口号为4798;为了使VXLAN充分利用承载网络路由的均衡性,VXLAN通过将原始以太网数据头(MAC、IP、四层端口号等)的HASH值作为UDP的号;采用24比特标识二层网络分段,称为VNI(VXLAN Network Identifier),类似于VLAN ID作用;未知目的、广播、组播等网络流量均被封装为组播转发,物理网络要求支持任意源组播(ASM)。

    ž NVGRE。NVGRE是将以太网报文封装在GRE内的一种隧道转发模式;采用24比特标识二层网络分段,称为VSI(Virtual Subnet Identifier),类似于VLAN ID作用;为了使NVGRE利用承载网络路由的均衡性,NVGRE在GRE扩展字段flow ID,这就要求物理网络能够识别到GRE隧道的扩展信息,并以flow ID进行流量分担;未知目的、广播、组播等网络流量均被封装为组播转发。

    ž STT。STT利用了TCP的数据封装形式,但改造了TCP的传输机制,数据传输不遵循TCP状态机,而是全新定义的无状态机制,将TCP各字段意义重新定义,无需三次握手建立TCP连接,因此称为无状态TCP;以太网数据封装在无状态TCP;采用64比特Context ID标识二层网络分段;为了使STT充分利用承载网络路由的均衡性,通过将原始以太网数据头(MAC、IP、四层端口号等)的HASH值作为无状态TCP的源端口号;未知目的、广播、组播等网络流量均被封装为组播转发。

    VXLAN NVGRE SST

    图4 三种数据详细封装

    这三种二层Overlay技术,大体思路均是将以太网报文承载到某种隧道层面,差异性在于选择和构造隧道的不同,而底层均是IP转发。如表1所示为这三种技术关键特性的比较:VXLAN和STT对于现网设备对流量均衡要求较低,即负载链路负载分担适应性好,一般的网络设备都能对L2-L4的数据内容参数进行链路聚合或等价路由的流量均衡,而NVGRE则需要网络设备对GRE扩展头感知并对flow ID进行HASH,需要硬件升级;STT对于TCP有较大修改,隧道模式接近UDP性质,隧道构造技术属于革新性,且复杂度较高,而VXLAN利用了现有通用的UDP传输,成熟性极高。总体比较,VLXAN技术相对具有优势。

    表1 IETF三种Overlay技术的总体比较

    IETF讨论的Overlay技术,主要聚焦在数据转发层面的实现上,控制层面并无涉及,因此在基本实现上依赖于不同厂家的控制层面设计,IETF讨论稿《draft-pfaff-ovsdb-proto-02.pdf》则针对Open vSwitch提供了一种控制管理模型的建议(如图5所示),但在细节实现上仍不是很明确。

    图5 IETF draft讨论的OVS管理方式

    3 多租户的Overlay网络架构
    3.1 数据中心虚拟化网络的发展阶段
    随着虚拟化技术在数据中心、云计算中的不断深入应用,伴随着网络技术的发展,数据中心的二层组网结构出现了阶段性的架构变化(如图6所示)。

    图6 阶段性网络与虚拟化的匹配

    ž 分层结构化网络

    早期的数据中心网络,虚拟化需求非常少,并没有强烈的大二层技术要求,多是面向一定的业务应用系统构建网络模块,并且规模一般不大,性能要求也不高。数据中心使用多层架构,网关层面比较低,业务的二层访问基本可以在网络模块内解决,只需要通过基础的生成树技术来支撑模块内的二层网路可靠性运行即可。

    ž 扁平化网络

    随着虚拟化在X86架构服务器上的流行及广泛部署,模块化的数据中心网络结构已经不能满足虚拟机大范围迁移要求,而生成树协议的复杂性也严重影响大规模网络的稳定运行。由此网络本身技术出现适应虚拟化的变革,包含TRILL/FabricPath/VSS/vPC/IRF等新的技术出现并大量部署,同时为了使得网络进一步感知虚让你因为机的业务生命周期,IEEE还制订了802.1Qbg(即VEPA技术)与802.1BR来配合二层网络技术增强对虚拟机的感知能力。为了保证网络的高性能业务要求,出现了应对高密虚拟化云计算环境的CLOS网络架构。

    ž Overlay网络虚拟化

    当进入云计算时代,云的业务需求与网络之间出现了前文提到的挑战,网络技术再次发生变革,以Overlay的虚拟化方式来支撑云与虚拟化的建设要求,并实现大规模的多租户能力,网络进入Overlay虚拟化架构阶段。

    3.2 Overlay网络的组成模式
    Overlay的本质是L2 Over IP的隧道技术,在服务器的vSwitch、物理网络上技术框架已经就绪,并且从当前的技术选择来看,虽然有多种隧道同时实现,但是以L2 over UDP模式实现的VXLAN技术具备较大优势,并且在ESXi和Open vSwitch、当前网络的主流芯片已经实现,预计会成为主流的Overlay技术选择,因此后文的Overlay网络均参考VXLAN相关的技术组成描述,其它NVGRE、STT等均类似。

    Overlay网络架构有多种实现,就纯大二层的实现,可分为主机实现方式和网络实现方式;而在最终实现Overlay与网络外部数据连通的连接方式上,则更有多种实现模式,并且对于关键网络部件将有不同的技术要求。

    3.2.1 基于主机的Overlay虚拟化网络

    (如图7所示)目前的虚拟化主机软件在vSwitch内支持VXLAN,使用VTEP(VXLAN Tunnel End Point)封装和终结VXLAN的隧道。

    图7 基于主机的Overlay虚拟化网络

    VXLAN运行在UDP上,物理网络只要支持IP转发,则所有IP可达的主机即可构建一个大范围二层网络。这种vSwitch的实现,屏蔽了物理网络的模型与拓扑差异,将物理网络的技术实现与计算虚拟化的关键要求分离开来,几乎可以支持以太网在任意网络上的透传,使得云的计算资源调度范围空前扩大。

    特别的,为了使得VXLAN Overlay网络更加简化运行管理,便于云的服务提供,各厂家使用集中控制的模型,将分散在多个物理服务器上的vSwitch构成一个大型的、虚拟化的分布式Overlay vSwitch(如图8所示),只要在分布式vSwitch范围内,虚拟机在不同物理服务器上的迁移,便被视为在一个虚拟的设备上迁移,如此大大降低了云中资源的调度难度和复杂度。

    图8 分布式Overlay vSwitch

    基于主机的Overlay网络数据流量出入物理网络,需要实现VXLAN的Overlay流量与传统的以太网数据流量之间的封装与解封装过程,而执行这个过程操作的功能点,被称为Overlay/VXLAN Gateway(如图9所示)。因为VXLAN网络的VTEP功能点本身就是VXLAN的封装与解封装隧道点,因此VXLAN Gateway首先需要具备VTEP功能,形态可以是vSwitch、物理交换机等,只是对于网络中的虚机或其它设备地址表项的处理有所差异。

    图9 Overlay Gateway(VXLAN)

    VXLAN Ovelay网络与物理网络连通有以下三种组网方案(如图10所示)。

    ž 方案一:Overlay虚拟化网络+vSwitch GW+vRouter

    Overlay的vSwitch本身具备隧道的封装与解封装能力,因此,H3C提供一种虚拟路由器来配合这种基本方式。将在硬件路由器中运行的软件vSR(基于H3C Comware平台的路由软件包)作为虚拟机运行在主机中,提供Overlay网络的虚拟路由功能(即vRouter能力),vRouter的接口同时连接到VXLAN的网络和VLAN基本功能的物理网络。从vSwitch接收到的VXLAN数据包被解除封装后,进入vRouter路由接口,可以被路由到外部网络;反之,vRouter接收到外部网络的数据可以进入VXLAN网络。

    该方案的好处是:涉及Overlay的功能均在主机虚拟化环境vSwitch实现,并且虚拟路由功能使得Overlay网络部署更加灵活,极大降低外部物理网络要求。

    ž 方案二:Overlay虚拟化网络+vSwitch GW+pRouter

    本方案使用服务器中的vSwitch专门用作VXLAN的Gateway功能,而数据的路由功能,则由外部网络物理路由器承担。该方案除了不具备虚拟路由能力,Overlay的功能也都在主机虚拟化环境vSwitch实现,同时可以支持虚机与非虚拟化的物理服务器之间的二层数据通信要求。

    ž 方案三:Overlay虚拟化网络+pSwitch GW+pRouter

    当物理交换机支持VXLAN功能,则pSwitch与vSwicth可以实现Overlay的统一虚拟化组网,物理交换机执行VXLAN Gateway功能,不仅可以实现Overlay网络在物理网络上的终结,也可以支持虚机与非虚拟化服务器的混合组网业务,因为基于物理实现(物理交换机+物理路由器),整体网络可以达到极高性能。

    图10 VXLAN Overlay网络与物理网络的连通方案

    3.2.2 基于物理网络的Overlay虚拟化

    (如图11所示)该方案在网络架构上与TRILL/FabricPath等技术类似,但是因为对于非VTEP要求的网络只需要IP转发,它比TRILL/FabricPath构建的成本更低,技术要求也更加简单,同时也容易构建多个数据中心之间的网络连接。

    为了解决网络对虚拟机的感知与自动化控制,结合IEEE的802.1Qbg/VEPA技术,可以使得网络的Overlay与计算虚拟化之间产生关联,这样既可以保持服务器内部网络的简化,使用基本的VEPA,利用外部网络强化来保证高能力的控制要求,又在物理网络Overlay的虚拟化基础上增强了虚机在云中大范围调度的灵活性。

    图11 物理网络的Overlay+VEPA

    3.3 基于Overlay网络的多租户与网络服务——H3Cloud云网融合路线
    对于计算资源丰富的数据中心,Overlay网络使得虚拟机不再为物理网络所限制,但是对于网络的L4-L7深度服务,在云计算环境下需求更为强烈,资源动态调度的计算环境,需要动态可调度的网络服务支撑。因此将传统的L4-L7服务转换为可云化的、可动态调度的服务资源,成为Overlay网络环境下的必须集成框架(如图12所示)。H3C基于Comware V7软件平台的L4-L7产品系列,可在虚拟化网络环境下资源化,以虚拟服务单元运行,分别提供对应路由器、防火墙、负载均衡、深度防御的vSR/vRouter、vFW、vLB、vIPS,利用数据中心计算资源与Overlay网络集成,提供等同于传统的L4-L7网络服务能力。

    图12 Overlay网络集成服务虚拟化

    在Overlay环境下的虚拟化网络服务,必须具备灵活的可分配性、可扩展性及可调度性,因此,自动化的编排组织能力显得非常重要(如图13所示)。除了将虚拟服务资源化,还要具备业务逻辑的组合关联,这些与物理网络L4-L7服务的固定配置管理不同,所有的网络服务资源也是在计算池中,要实现相应的业务关联和逻辑,难以通过物理网络实现,在Overlay网络的连通与编排下则相对易于实现。这种集成思路也将是H3C服务虚拟化的主要模式。

    图13 基于Overlay虚拟化网络的服务编排

    H3C云计算解决方案核心的架构是云网融合。在当前的特色方案系列均充分利用了云计算与物理网络融合、结合的特点,如:

    ž VEPA——提供网络计算自动化的感知关联与自动化部署;

    ž FCoE——统一交换的计算、存储网络;

    ž DRX——基于H3C LB与虚拟机管理平台关联的虚机资源动态扩展;

    ž PoC(Point of Cloud)——借助云端网络连通云计算中心与路由器集成X86虚拟化计算部件的统一云分支扩展;

    ž 分级云——通过层级化网络构建纵向层次化云架构。

    针对云计算即将进入Overlay阶段,H3C的技术路线目标是在H3Cloud架构中进一步实现Overlay虚拟化网络的融合(如图14所示)。新一阶段的云网融合,不仅包含分布式的Overlay、多租户的虚拟化网络,还将不断集成逐步产品化的虚拟网络服务部件(目前已经可提供vSR/vFW的服务部件),而对于原有的VEPA/FCoE/DRX/PoC/分级云等方案,将在基于Overlay的虚拟化网络架构下重新构建和集成,实现技术演进和延续的完整性。

    图14 云网融合:H3Cloud从物理网络到Overlay虚拟网络的集成

    4 结束语
    Overlay的网络架构是物理网络向云和虚拟化的深度延伸,云的资源化能力可以脱离物理网络的多种限制,但两个网络本身却是需要连通交互才能实现云的服务能力,随着技术的发展,主机的Overlay技术也将向硬件化发展,并逐步会成为物理网络的一部分。但Overlay尚没有深度成熟,还需要较长时间发展和应用,其中的问题会逐步暴露和解决。

    百家:云计算网络,没那么简单
    数据中心虚拟化成为了趋势,通过服务器虚拟化提高资源利用率,同时降低单位能耗。但是,随着数据中心虚拟化程度的不断提高、虚拟化服务器规模的不断扩大,带来了巨大的管理压力。这就孕育了云计算诞生的条件。在大规模虚拟化的基础上,实现了自动化管理和集中化管理,就是云计算的基本模型。这一点在互联网行业尤其重要。

    一、 互联网云计算对网络的需求

    互联网行业数据中心的基本特征就是服务器的规模偏大。进入云计算时代后,其业务特征变得更加复杂,包括:虚拟化支持、多业务承载、资源灵活调度等(如图1所示)。与此同时,互联网云计算的规模不但没有缩减,反而更加庞大。这就给云计算的网络带来了巨大的压力。

    图1. 互联网云计算的业务特点

    l 大容量的MAC表项和ARP表项

    虚拟化会导致更大的MAC表项。假设一个互联网云计算中心的服务器有5000台,按照1:20的比例进行虚拟化,则有10万个虚拟机。通常每个虚拟机会配置两个业务网口,这样这个云计算中心就有20万个虚拟网口,对应的就是需要20万个MAC地址和IP地址。云计算要求资源灵活调度,业务资源任意迁移。也就是说任意一个虚拟机可以在整个云计算网络中任意迁移。这就要求全网在一个统一的二层网络中。全网任意交换机都有可能学习到全网所有的MAC表项。与此对应的则是,目前业界主流的接入交换机的MAC表项只有32K,基本无法满足互联网云计算的需求。另外,网关需要记录全网所有主机、所有网口的ARP信息。这就需要网关设备的有效ARP表项超过20万。大部分的网关设备芯片都不具备这种能力。

    l 4K VLAN Trunk问题

    传统的大二层网络支持任意VLAN的虚拟机迁移到网络的任意位置,一般有两种方式。方式一:虚拟机迁移后,通过自动化网络管理平台动态的在虚拟机对应的所有端口上下发VLAN配置;同时,还需要动态删除迁移前虚拟机对应所有端口上的VLAN配置。这种方式的缺点是实现非常复杂,同时自动化管理平台对多厂商设备还面临兼容性的问题,所以很难实现。方式二:在云计算网络上静态配置VLAN,在所有端口上配置VLAN trunk all。这种方式的优点是非常简单,是目前主流的应用方式。但这也带来了巨大的问题:任一VLAN内如果出现广播风暴,则全网所有VLAN内的虚拟机都会受到风暴影响,出现业务中断。

    l 4K VLAN上限问题

    云计算网络中有可能出现多租户需求。如果租户及业务的数量规模超出VLAN的上限(4K),则无法支撑客户的需求。

    l 虚拟机迁移网络依赖问题

    VM迁移需要在同一个二层域内,基于IP子网的区域划分限制了二层网络连通性的规模。

    二、 互联网云计算网络为什么选择Overlay

    针对互联网云计算对网络提出的这些挑战,H3C选择了基于VXLAN技术的Overlay网络架构来构建自己的云计算网络解决方案。

    1. Overlay如何应对云计算网络的挑战

    首先,Overlay的核心是重新构建一个逻辑网络平面,其技术手段的关键是采用隧道技术实现L2oIP的封装。通过隧道实现各虚拟机之间的二层直连。这样网络只看见Overlay边缘节点的MAC地址,物理网络学习到的MAC表项非常有限,现有接入交换机32K的MAC表项足以满足需求(如图2所示)。对应的Overlay边缘节点实现基于会话的地址学习机制,也就是说只学习有交互流量的虚拟机MAC地址。这样也严格限制了边缘节点的地址表项。

    图2. Overlay网络如何应对云计算网络的挑战

    其次,Overlay网络仅仅是一个逻辑上的二层直连网络。其依赖的物理网络,是一个传统的路由网络。这个路由网络是一个三层到边缘的网络。也就是说二层广播域被缩小到极致。这样,网络风暴潜在的风险大幅度降低。同时,对于一些需要依赖二层广播的协议报文,例如:ARP报文,Overlay网络通过ARP代理等方式实现协议的内容透传,不会影响协议报文的正常运作。

    再次,针对4K VLAN上限问题,Overlay网络通过L2oIP的封装字段,提供24bits长度的隔离ID,最大可以支持16M租户或业务。

    最后,针对网络虚拟化问题。Overlay网络本身就是一个从物理网络中抽离的逻辑网络,通过名址分离使得内层IP地址完全作为一个寻址标签,不再具备路由功能,可以实现不同subnet之间二层互通,保证二层网络的连通性不受IP地址段的限制。

    1. H3C为什么选择VXLAN

    从Overlay网络出现开始,业界陆续定义了多种实现Overlay网络的技术,主流技术包括:VXLAN、NVGRE、STT、Dove等(如图3所示)。

    图3 Overlay主流技术概览

    从标准化程度进行分析,DOVE和STT到目前为止,标准化进展缓慢,基本上可以看作是IBM和VMware的私有协议。因此,从H3C的角度来看无法选择这两种技术。

    从技术的实用性来看,XLAN和NVGRE两种技术基本相当。其主要的差别在于链路Hash能力。由于NVGRE采用了GRE的封装报头,需要在标准GRE报头中修改部分字节来进行Hash实现链路负载分担。这就需要对物理网络上的设备进行升级改造,以支持基于GRE的负载分担。这种改造大部分客户很难接受。相对而言,VXLAN技术是基于UDP报头的封装,传统网络设备可以根据UDP的源端口号进行Hash实现链路负载分担。这样VXLAN网络的部署就对物理网络没有特殊要求。这是最符合客户要求的部署方案,所以VXLAN技术是目前业界主流的实现方式。

    1. VXLAN为什么选择SDN

    VXLAN的标准协议目前只定义了转发平面流程,对于控制平面目前还没有协议规范,所以目前业界有三种定义VXLAN控制平面的方式。

    ¡ 方式1:组播。由物理网络的组播协议形成组播表项,通过手工将不同的VXLAN与组播组一一绑定。VXLAN的报文通过绑定的组播组在组播对应的范围内进行泛洪。简单来说,和VLAN方式的组播泛洪和MAC地址自学习基本一致。区别只是前者在三层网络中预定义的组播范围内泛洪,而后者是在二层网络中指定VLAN范围内泛洪。这种方式的优点是非常简单,不需要做协议扩展。但缺点也是显而易见的,需要大量的三层组播表项,需要复杂的组播协议控制。显然,这两者对于传统物理网络的交换机而言,都是巨大的负荷和挑战,基本很难实现。同时,这种方式还给网络带来大量的组播泛洪流量,对网络性能有很大的影响。

    ¡ 方式2:自定义协议。通过自定义的邻居发现协议学习Overlay网络的拓扑结构并建立隧道管理机制。通过自定义(或扩展)的路由协议透传Overlay网络的MAC地址(或IP地址)。通过这些自定义的协议可以实现VXLAN控制平面转发表项的学习机制。这种方式的优点是不依赖组播,不存在大量的组播泛洪报文,对网络性能影响很小。缺点是通过邻居发现协议和路由协议控制所有网络节点,这样网络节点的数量就受到协议的限制。换句话说,如果网络节点的数量超过一定范围,就会导致对应的协议(例如路由协议)运行出现异常。这一点在互联网行业更加明显,因为互联网行业云计算的基本特征就是大规模甚至超大规模。尤其是在vSwitch上运行VXLAN自定义路由协议,其网络节点数量可以达到几千甚至上万个,没有路由协议可以支持这种规模的网络。

    ¡ 方式3:SDN控制器。通过SDN控制器集中控制VXLAN的转发,经由Openflow协议下发表项是目前业界的主流方式。这种方式的优点是不依赖组播,不对网络造成负荷;另外,控制器通过集群技术可以实现动态的扩容,所以可以支持大规模甚至超大规模的VXLAN网络。当然,SDN控制器本身的性能和可靠性决定了全网的性能和可靠性,所以如何能够提高控制器的性能和可靠性就是核心要素。

    三、 VXLAN Fabric网络架构的优势

    云计算网络一直都有一个理念:Network as a Fabric,即整网可以看作是一个交换机。通过VXLAN Overlay可以很好地实现这一理念——VXLAN Fabric(如图4所示)。

    图4 VXLAN Fabric网络架构

    Spine和Leaf节点共同构建了Fabric的两层网络架构,通过VXLAN实现Spine和Leaf之间的互联,可以看做是交换机的背板交换链路。Spine节点数量可以扩容,最大可以达到16台。Leaf节点数量也可以平滑扩容。理论上只要Spine节点的端口密度足够高,这个Fabric可以接入数万台物理服务器。

    另外,通过VXLAN隧道可以实现安全服务器节点的灵活接入。这些安全服务节点可以集中部署在一个指定区域,也可以灵活部署在任意Leaf节点下。通过Service Chain技术实现任意两个虚拟机之间可以通过任意安全服务节点互联。保证网络中虚拟机业务的安全隔离和控制访问。同理,Fabric的出口节点也可以部署在任意位置,可以灵活扩展。

    简而言之,VXLAN Fabric构建了一个灵活的、稳定的、可扩展的Overlay网络。这个网络可以有效地解决云计算对网络的挑战,是云计算网络发展的趋势。

    参考:

    1 https://www.zhihu.com/question/24393680
    ————————————————
    版权声明:本文为CSDN博主「翟海飞」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
    原文链接:https://blog.csdn.net/zhaihaifei/article/details/74340428

    展开全文
    Ye_mulin 2021-08-15 15:10:12
  • Overlay把二层报文封装在IP报文之上,因此,只要网络支持IP路由可达就可以部署Overlay网络,而IP路由网络本身已经非常成熟,且在网络结构上没有特殊要求。而且路由网络本身具备良好的扩展能力,很强的故障自愈能力和...

    出处:

    http://www.360doc.com/content/16/0330/15/30136251_546541601.shtml#

    http://www.360doc.com/content/16/0330/15/30136251_546541819.shtml

    https://blog.csdn.net/zhaihaifei/article/details/38662333



    SDN之叠加网络Overlay

    叠加(Overlay) 在SDN讨论中经常会出现的另一个术语就是叠加网络。简而言之,叠加是用来创建虚拟的网络容器,这些容器之间在逻辑上彼此隔离,但可共享相同的底层物理网络。该类方案的主要思想可被归纳为解耦、独立、控制三个方面。

    overlay网络技术之VXLAN详解

    二. 什么是Vxlan

    1. Vxlan报文

    vxlan(virtual Extensible LAN)虚拟可扩展局域网,是一种overlay的网络技术,使用MAC in UDP的方法进行封装,共50字节的封装报文头。

    深入理解 VXLAN(隧道技术)

    VXLAN 是非常新的一个 tunnel 技术,它是一个 L2 tunnel。Linux 内核的 upstream 中也刚刚加入 VXLAN 的实现。相比 GRE tunnel 它有着很的扩展性,同时解决了很多其它问题。

    一,GRE tunnel 的不足

    网络很多介绍 VXLAN 的文章都没有直接告诉你相比较 GRE tunnel,VXLAN 的优势在哪里,或者说 GRE tunnel 的不足在哪里。为了更好的了解 VXLAN,我们有必要看一下 GRE tunnel 的不足。

    在我前面写的介绍 GRE tunnel 的文章中,其实并不容易看出 GRE tunnel 的不足之处。根本原因是图中给出的例子不太好,只有两个网络的话 GRE tunnel 的不足凸显不出来,让我们看看有三个网络的情况如何用 GRE tunnel 互联,如下图所示:

    这下子就很明显了,要让这三个网络互联,我们需要建立三个 GRE tunnel。如果网络数量再增长,那么需要的 tunnel 数量更多。换句话说,GRE tunnel 的扩展性太差,从根本上讲还是因为它只是一个 point to point 的 tunnel。

    二,VLAN 的不足

    其实 VLAN 在某种程度上也可以看作一个 L2 over L2 的 tunnel,只不过它多了一个新的 VLAN header,这其中有12 bit 是 VLAN tag。所以 VLAN 的第一个不足之处就是它最多只支持 4096 个 VLAN 网络(当然这还要除去几个预留的),对于大型数据中心的来说,这个数量是远远不够的。

    第二个不足就是,VLAN 这个所谓的 tunnel 是基于 L2 的,所以很难跨越 L2 的边界,在很大程度上限制了网络的灵活性。同时,VLAN 操作需手工介入较多,这对于管理成千上万台机器的管理员来说是难以接受的。

    三,VXLAN 的引入

    VXLAN 是 Virtual eXtensible LANs 的缩写,所以顾名思义,它是对 VLAN 的一个扩展,但又不仅限于此。

    从数量上讲,它确实把 12 bit 的 VLAN tag 扩展成了 24 bit,所以至少暂时够用的了。从实现上讲,它是 L2 over UDP,它利用了 UDP 同时也是 IPv4 的单播和多播,可以跨 L3 边界,很巧妙地解决了 GRE tunnel 和 VLAN 存在的不足,让组网变得更加灵活。

    四,VXLAN 的实现

    VXLAN 的配置可以参考内核文档 Documentation/networking/vxlan.txt,本人目前还没有环境测试,所以只能做一些代码分析了。

    Linux 内核中对 VXLAN 的实现是在 drivers/net/vxlan.c 源文件中,是由 Stephen Hemminger (iproute2 的维护者)完成的。代码质量相当高,所以可读性也很好,强烈推荐阅读一下。


    像GRE,VXLAN这类overlay的遂道都有一个很大的重要,它在虚拟层面将L2层打通了,如果再采用广播来做ARP的话可能会造成广播风暴,所以可以采用ARP Proxy的方式自己用程序实现cache来给虚机提供ip到mac的映射。





    1 概述

    1.1 产生背景

    随着企业业务的快速扩展,IT作为基础设施,其快速部署和高利用率成为主要需求。云计算可以为之提供可用的、便捷的、按需的资源,成为当前企业IT建设的常规形态,而在云计算中大量采用和部署的虚拟化几乎成为一个基本的技术模式。部署虚拟机需要在网络中无限制地迁移到目的物理位置,虚拟机增长的快速性以及虚拟机迁移成为一个常态性业务。传统的网络已经不能很好满足企业的这种需求,面临着如下挑战:


    虚拟机迁移范围受到网络架构限制

    虚拟机迁移的网络属性要求,当其从一个物理机上迁移到另一个物理机上,虚拟机需要不间断业务,因而需要其IP地址、MAC地址等参数维持不变,如此则要求业务网络是一个二层网络,且要求网络本身具备多路径多链路的冗余和可靠性。传统的网络生成树(STP,Spaning Tree Protocol)技术不仅部署繁琐,且协议复杂,网络规模不宜过大,限制了虚拟化的网络扩展性。基于各厂家私有的IRF/vPC等设备级的(网络N:1)虚拟化技术,虽然可以简化拓扑、具备高可靠性,但是对于网络有强制的拓扑形状要求,在网络的规模和灵活性上有所欠缺,只适合小规模网络构建,且一般适用于数据中心内部网络。


    虚拟机规模受网络规格限制

    在大二层网络环境下,数据流均需要通过明确的网络寻址以保证准确到达目的地,因此网络设备的二层地址表项大小(即MAC地址表),成为决定了云计算环境下虚拟机的规模上限,并且因为表项并非百分之百的有效性,使得可用的虚拟机数量进一步降低。特别是对于低成本的接入设备而言,因其表项一般规格较小,限制了整个云计算数据中心的虚拟机数量,但如果其地址表项设计为与核心或网关设备在同一档次,则会提升网络建设成本。虽然核心或网关设备的MAC与ARP规格会随着虚拟机增长也面临挑战,但对于此层次设备能力而言,大规格是不可避免的业务支撑要求。减小接入设备规格压力的做法可以是分离网关能力,如采用多个网关来分担虚拟机的终结和承载,但如此也会带来成本的巨幅上升。


    网络隔离/分离能力限制

    当前的主流网络隔离技术为VLAN(或VPN),在大规模虚拟化环境部署会有两大限制:一是VLAN数量在标准定义中只有12个比特单位,即可用的数量为4K,这样的数量级对于公有云或大型虚拟化云计算应用而言微不足道,其网络隔离与分离要求轻而易举会突破4K;二是VLAN技术当前为静态配置型技术,这样使得整个数据中心的网络几乎为所有VLAN被允许通过(核心设备更是如此),导致任何一个VLAN的未知目的广播数据会在整网泛滥,无节制消耗网络交换能力与带宽。


    上述的三大挑战,完全依赖于物理网络设备本身的技术改良,目前看来并不能完全解决大规模云计算环境下的问题,一定程度上还需要更大范围的技术革新来消除这些限制,以满足云计算虚拟化的网络能力需求。在此驱动力基础上,逐步演化出Overlay网络技术。


    1.2 技术优点

    Overlay是一种叠加虚拟化技术,主要具有以下优点:


    基于IP网络构建Fabric。无特殊拓扑限制,IP可达即可;承载网络和业务网络分离;对现有网络改动较小,保护用户现有投资。

    16M多租户共享,极大扩展了隔离数量。

    网络简化、安全。虚拟网络支持L2、L3等,无需运行LAN协议,骨干网络无需大量VLAN Trunk。

    支持多样化的组网部署方式,支持跨域互访。

    支持虚拟机灵活迁移,安全策略动态跟随。

    转发优化和表项容量增大。消除了MAC表项学习泛滥,ARP等泛洪流量可达范围可控,且东西向流量无需经过网关。


    2 Overlay技术介绍

    2.1 Overlay的概念介绍

    在网络技术领域,Overlay是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主(如图1所示)。

    1)Overlay网络是指建立在已有网络上的虚拟网,由逻辑节点和逻辑链路构成。
    2)Overlay网络具有独立的控制和转发平面,对于连接在overlay边缘设备之外的终端系统来说,物理网络是透明的。

    3)Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化能力可以摆脱物理网络的重重限制,是实现云网融合的关键。


                   图1 Overlay网络概念图

    2.2 Overlay的解决方法

    针对前文提到的三大挑战,Overlay给出了完美的解决方法。


    针对虚拟机迁移范围受到网络架构限制的解决方式

    Overlay把二层报文封装在IP报文之上,因此,只要网络支持IP路由可达就可以部署Overlay网络,而IP路由网络本身已经非常成熟,且在网络结构上没有特殊要求。而且路由网络本身具备良好的扩展能力,很强的故障自愈能力和负载均衡能力。采用Overlay技术后,企业不用改变现有网络架构即可用于支撑新的云计算业务,极方便用户部署。


    针对虚拟机规模受网络规格限制的解决方式

    虚拟机数据封装在IP数据包中后,对网络只表现为封装后的网络参数,即隧道端点的地址,因此,对于承载网络(特别是接入交换机),MAC地址规格需求极大降低,最低规格也就是几十个(每个端口一台物理服务器的隧道端点MAC)。当然,对于核心/网关处的设备表项(MAC/ARP)要求依然极高,当前的解决方案仍然是采用分散方式,通过多个核心/网关设备来分散表项的处理压力。


    针对网络隔离/分离能力限制的解决方式

    针对VLAN只能支持数量4K以内的限制,在Overlay技术中扩展了隔离标识的位数,可以支持高达16M的用户,极大扩展了隔离数量。


    3 Overlay技术实现

    3.1 Overlay网络基础架构

    VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)是基于IP网络、采用“MAC in UDP”封装形式的二层VPN技术,具体封装的报文格式如图2所示。VXLAN可以基于已有的服务提供商或企业IP网络,为分散的物理站点提供二层互联功能,主要应用于数据中心网络。


                     图2 VXLAN报文格式

    VXLAN技术已经成为目前Overlay技术事实上的标准,得到了非常广泛的应用。


    以VXLAN技术为基础的Overlay网络架构模型如图3所示:


                          图3 Overlay网络的基础架构


    VM(Virtual Machine,虚拟机)

    在一台服务器上可以创建多台虚拟机,不同的虚拟机可以属于不同的VXLAN。属于相同VXLAN的虚拟机处于同一个逻辑二层网络,彼此之间二层互通。


    两个VXLAN可以具有相同的MAC地址,但在一个VXLAN范围段内不能有一个重复的MAC地址。


    VTEP(VXLAN Tunnel End Point,VXLAN隧道端点)

    VXLAN的边缘设备,进行VXLAN业务处理:识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装/解封装VXLAN报文等。


    VXLAN通过在物理网络的边缘设置智能实体VTEP,实现了虚拟网络和物理网络的隔离。VTEP之间建立隧道,在物理网络上传输虚拟网络的数据帧,物理网络不感知虚拟网络。VTEP将从虚拟机发出/接受的帧封装/解封装,而虚拟机并不区分VNI和VXLAN隧道。


    VNI(VXLAN Network Identifier,VXLAN网络标识符)

    VXLAN采用24比特标识二层网络分段,使用VNI来标识二层网络分段,每个VNI标识一个VXLAN,类似于VLAN ID作用。VNI占用24比特,这就提供了近16M可以使用的VXLAN。VNI将内部的帧封装(帧起源在虚拟机)。使用VNI封装有助于VXLAN建立隧道,该隧道在第三层网络之上覆盖第二层网络。


    VXLAN隧道

    在两个VTEP之间完成VXLAN封装报文传输的逻辑隧道。业务报文在入隧道时进行VXLAN头、UDP头、IP头封装后,通过三层转发透明地将封装后的报文转发给远端VTEP,远端VTEP对其进行出隧道解封装处理。


    VSI(Virtual Switching Instance,虚拟交换实例)

    VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例。


    3.2 Overlay网络部署需求

    3.2.1 VXLAN网络和传统网络互通的需求

    为了实现VLAN和VXLAN之间互通,VXLAN定义了VXLAN网关。VXLAN网关上同时存在VXLAN端口和普通端口两种类型端口,它可以把VXLAN网络和外部网络进行桥接、完成VXLAN ID和VLAN ID之间的映射和路由。和VLAN一样,VXLAN网络之间的通信也需要三层设备的支持,即VXLAN路由的支持。同样VXLAN网关可由硬件设备和软件设备来实现。


    当收到从VXLAN网络到普通网络的数据时,VXLAN网关去掉外层包头,根据内层的原始帧头转发到普通端口上;当有数据从普通网络进入到VXLAN网络时,VXLAN网关负责打上外层包头,并根据原始VLAN ID对应到一个VNI,同时去掉内层包头的VLAN ID信息。相应的如果VXLAN网关发现一个VXLAN包的内层帧头上还带有原始的二层VLAN ID,会直接将这个包丢弃。


    如图4左侧所示,VXLAN网关最简单的实现应该是一个Bridge设备,仅仅完成VXLAN到VLAN的转换,包含VXLAN到VLAN的1:1、N:1转换,复杂的实现可以包含VXLAN Mapping功能实现跨VXLAN转发,实体形态可以是vSwitch、物理交换机。


    如图4右侧所示,VXLAN路由器(也称为VXLAN IP GW)最简单的实现可以是一个Switch设备,支持类似VLAN Mapping的功能,实现VXLAN ID之间的Mapping,复杂的实现可以是一个Router设备,支持跨VXLAN转发,实体形态可以是NFV形态的路由器、物理交换机、物理路由器。



                  图4 VXLAN网关和VXLAN路由简单实现

    3.2.2 VXLAN网络安全需求

    同传统网络一样,VXLAN网络同样需要进行安全防护。

    VXLAN网络的安全资源部署需要考虑两个需求:


    VXLAN和VLAN之间互通的安全控制

    传统网络和Overlay网络中存在流量互通,需要对进出互通的网络流量进行安全控制,防止网络间的安全问题。针对这种情况,可以在网络互通的位置部署VXLAN防火墙等安全资源,VXLAN防火墙可以兼具VXLAN网关和VXLAN路由器的功能,该功能可以称之为南北向流量安全。


    VXLAN ID对应的不同VXLAN域之间互通的安全控制

    VM之间的横向流量安全是在虚拟化环境下产生的特有问题,在这种情况下,同一个服务器的不同VM之间的流量可能直接在服务器内部实现交换,导致外部安全资源失效。针对这种情况,可以考虑使用重定向的引流方法进行防护,又或者直接基于虚拟机进行防护,这个功能可以称之为东西向流量安全。


    网络部署中的安全资源可以是硬件安全资源,也可以是软件安全资源,还可以是虚拟化的安全资源。

    3.2.3 Overlay网络虚拟机位置无关性

    通过使用MAC-in-UDP封装技术,VXLAN为虚拟机提供了位置无关的二层抽象,Underlay网络和Overlay网络解耦合。终端能看到的只是虚拟的二层连接关系,完全意识不到物理网络限制。


    更重要的是,这种技术支持跨传统网络边界的虚拟化,由此支持虚拟机可以自由迁移,甚至可以跨越不同地理位置数据中心进行迁移。如此以来,可以支持虚拟机随时随地接入,不受实际所在物理位置的限制。


    所以VXLAN的位置无关性,不仅使得业务可在任意位置灵活部署,缓解了服务器虚拟化后相关的网络扩展问题,而且使得虚拟机可以随时随地接入、迁移,是网络资源池化的最佳解决方式,可以有力地支持云业务、大数据、虚拟化的迅猛发展。


    3.2.4 Overlay与SDN的结合

    Overlay技术与SDN可以说天生就是适合互相结合的技术组合。前面谈到的Overlay网络虚拟机物理位置无关特性就需要有一种强有力的集中控制技术进行虚拟机的管理和控制。而SDN技术恰好可以完美的做到这一点。接下来就让我们继续分析Overlay技术和SDN技术相结合带来的应用场景。


    4 H3C SDN Overlay模型设计

    4.1 H3C SDN Overlay模型设计

    在数据中心虚拟化多租户环境中部署和配置网络设施是一项复杂的工作,不同租户的网络需求存在差异,且网络租户是虚拟化存在,和物理计算资源位置无固定对应关系。通过传统手段部署物理网络设备为虚拟租户提供网络服务,一方面可能限制租户虚拟计算资源的灵活部署,另一方面需要网络管理员执行远超传统网络复杂度的网络规划和繁重的网络管理操作。在这种情况下,VPC(Virtual Private Cloud,虚拟私有云)技术就应运而生了。VPC对于网络层面,就是对物理网络进行逻辑抽象,构架弹性可扩展的多租户虚拟私有网络,对于私有云、公有云和混合云同样适用。


    H3C的SDN控制器称为VCF控制器。H3C通过VCF控制器控制Overlay网络从而将虚拟网络承载在数据中心传统物理网络之上,并向用户提供虚拟网络的按需分配,允许用户像定义传统L2/L3网络那样定义自己的虚拟网络,一旦虚拟网络完成定义,VCF控制器会将此逻辑虚拟网络通过Overlay技术映射到物理网络并自动分配网络资源。VCF的虚拟网络抽象不但隐藏了底层物理网络部署的复杂性,而且能够更好的管理网络资源,最大程度减少了网络部署耗时和配置错误。


    VCF控制器将虚拟网络元素组织为“资源池”,VCF控制器控制了“网络资源池”的按需分配,进而实现虚拟网络和物理网络的Overlay映射。



                     图5 VPC多租户资源池场景
    VCF控制器的虚拟网络元素的抽象方式与OpenStack网络模型兼容,如图6所示:

                     图6 VPC多租户资源池场景

    虚拟网络的各个要素如下表:


    4.2 SDN控制器模型介绍


                           图7 SDN控制器模型

    从控制器是否参与转发设备的转发控制来看,当前主要有两种控制器类型:


    控制器弱控制模式

    弱控制模式下,控制平面基于网络设备自学习,控制器不在转发平面,仅负责配置下发,实现自动部署。主要解决网络虚拟化,提供适应应用的虚拟网络。

    弱控制模式的优点是转发控制面下移,减轻和减少对控制器的依赖。


    控制器强控制模式

    在强控制模式下,控制器负责整个网络的集中控制,体现SDN集中管理的优势。


    基于OpenFlow的强控制使得网络具备更多的灵活性和可编程性。除了能够给用户提供适合应用需要的网络,还可以集成FW等提供安全方案;可以支持混合Overlay模型,通过控制器同步主机和拓扑信息,将各种异构的转发模型同一处理;可以提供基于OpenFlow的服务链功能对安全服务进行编排,可以提供更为灵活的网络诊断手段,如虚拟机仿真和雷达探测等。


    用户可能会担心强控制模式下控制器全部故障对网络转发功能的影响,这个影响因素可以通过下述两点来降低和消除:

    1)通过控制器集群增加控制器可靠性,避免单点故障

    2)逃生机制:设备与所有控制器失联后,切换为自转模式,业务不受影响。

    3)考虑到强控制模式可以支持混合Overlay模型,可以额外支持安全、服务链等灵活、可编程的功能,并且可靠性又可以通过上述方式加强,我们建议使用强控制模式来实现SDN Overlay。


    4.3 H3C SDN Overlay组件介绍

                       
    图8 H3C SDN Overlay组件

    如图8所示,H3C SDN Overlay主要包含如下组件:


    云管理系统

    可选,负责计算,存储管理的云平台系统,目前主要包括Openstack,Vmware Vcenter和H3C Cloud OS。


    VCF Controller集群

    必选,VCF Controller实现对于VPC网络的总体控制。


    VNF Manager

    VNF Manager实现对NFV设备(如vFW、vLB)的生命周期管理。


    VXLAN GW

    必选,VXLAN GW包括vSwitch、S68、VSR等,实现虚拟机、服务器等各种终端接入到VXLAN网络中。


    VXLAN IP GW

    必选,VXLAN IP GW包括S125-X、S98、VSR等,实现VXLAN网络和经典网络之间的互通。


    虚拟化平台

    可选,vSwitch和VM运行的Hypervisor平台,目前主要包括CAS、VMware、KVM等。


    Service安全设备

    可选,包括VSR、vFW、vLB和M9000、安全插卡等设备,实现东西向和南北向服务链服务节点的功能。

    4.4 SDN Overlay网络与云对接

    公有云或私有云(VPC)对网络的核心需求:

    1)租户隔离

    2)网络自定义

    3)资源大范围灵活调度

    4)应用与网络位置无关

    5)网络资源池化与按需分配

    6)业务自动化


    H3C提出的解决方案:

    1)利用VXLAN Overlay提供一个“大二层”网络环境,满足资源灵活调度的需求;

    2)由SDN控制器VCFC实现对整个Overlay网络的管理和控制;

    3)由VXLAN GW实现服务器到VXLAN网络的接入;

    4)由VXLAN IP GW实现VXLAN网络与传统网络的对接;

    5)NFV设备(vSR/vFW/vLB)实现东西向和南北向服务链服务节点的功能;

    6)SDN控制器与云管理平台对接,可实现业务的自动化部署。


    4.4.1 SDN Overlay与Openstack对接



                    图9 SDN Overlay与Openstack对接


    如图9所示,与标准的Openstack对接:采用在Neutron Server中安装VCFC插件的方式,接管Openstack网络控制。Openstack定义的插件如表1所示:

                     表1 Openstack定义的插件



    Openstack插件类似于一个硬件驱动,以网络组件Neutron为例,Neutron本身实现抽象的虚拟网络功能,Neutron先调用插件把虚拟网络下发到VCFC,然后由VCFC下发到具体的设备上。插件可以是核心组件也可以是一项服务:核心插件实现“核心”的Neutron API——二层网络和IP地址管理。服务插件提供“额外”的服务,例如三层路由、负载均衡、VPN、防火墙和计费等。


    H3C VCFC实现了上述插件,在插件里通过REST API把Nuetron的配置传递给VCFC,VCFC进行网络业务编排通过OpenFlow流表等手段下发到硬件交换机、NFV以及vSwitch上,以实现相应的网络和服务功能。


    VCFC与H3C CloudOS对接也是采用Neutron插件的方式。

    4.4.2 SDN Overlay与基于Openstack的增强云平台对接

              图10 SDNOverlay与基于Openstack的增强云平台对接


    考虑到Openstack标准版本不一定都能满足用户的需求,很多基于Openstack开发的云平台都在Oenstack基础之上进行了增强开发,以满足自己特定的需求。


    与这类增强的Openstack版本对接时,基础的网络和安全服务功能仍通过插件形式对接;标准Openstack版本的Nuetron组件未定义的增强功能,如服务链、IPS/AV等等,通过Rest API对接。


    4.4.3 SDN Overlay与非Openstack云平台对接

                       图11 SDNOverlay与非Openstack云平台对接


    以CloudStack为例,VCFC与非Openstack云平台的对接通过Rest API进行,H3C提供了完整的用于实现虚拟网络及安全功能的Rest API接口。云平台调用这些接口来实现VM创建、删除、上线等一系列流程。


    4.5 服务链在Overlay网络安全中的应用

    4.5.1 什么是服务链

    数据报文在网络中传递时,首先按特定策略进行流分类,再按照一定顺序经过一组抽象业务功能的节点,完成对应业务功能处理,这种打破了常规网络转发逻辑的方式,称为服务链。


    服务链常见的服务节点(Service Node):防火墙(FW)、负载均衡(LB)、入侵检测(IPS)、VPN等。


    H3C VCF控制器支持集中控制整个服务链的构建与部署,将NFV形态或硬件形态的服务资源抽象为统一的服务资源池,实现服务链的自定义和统一编排。


    服务链在实现Overlay网络安全方面有独到的优势,服务链方案/VxLAN终结方案除了能够满足Openstack FWaaS、LBaaS定义外,还能提供更灵活的FW/LB编排方案。


    4.5.2 Overlay网络服务链节点描述

                      图12 Overlay网络服务链节点描述


    如图12所示,Overlay网络中的服务链主要由如下几个部件组成:

    1)控制器(Controller):VTEP和ServiceNode上的转发策略都由控制器下发。

    2)服务链接入节点(VTEP1):通过流分类,确定报文是否需要进入服务链。需要进入服务链,则将报文做VXLAN+服务链封装,转到服务链首节点处理。

    3)服务链首节点(SN1):服务处理后,将用户报文做服务链封装,交给服务链下一个节点。

    4)服务链尾节点(SN2):服务处理后,服务链尾节点需要删除服务链封装,将报文做普通VXLAN封装,转发给目的VTEP。如果SN2不具备根据用户报文寻址能力,需要将用户报文送到网关VTEP3,VTEP3再查询目的VTEP发送。


    4.5.3 服务链在Overlay网络安全中的应用

                  图13 Overlay网络服务链流程


    图13是一个基于SDN的服务链流程。SDN Controller实现对于SDN Overlay、NFV设备、vSwitch的统一控制;NFV提供虚拟安全服务节点;vSwitch支持状态防火墙的嵌入式安全;同时SDN Controller提供服务链的自定义和统一编排。我们看一下,假设用户自定义从VM1的VM3的业务流量,必须通过中间的FW和LB等几个环节。通过SDN的服务链功能,业务流量一开始就严格按照控制器的编排顺序经过这组抽象业务功能节点,完成对应业务功能的处理,最终才回到VM3,这就是一个典型的基于SDN的服务链应用方案。

     

    来源:云端漫步

    5 SDN Overlay组网方案设计

    Overlay控制平面架构可以有多种实现方案,例如网络设备之间通过协议分布式交互的方式。而基于VCF控制器的集中式控制的SDN Overlay实现方案,以其易于与计算功能整合的优势,能够更好地使网络与业务目标保持一致,实现Overlay业务全流程的动态部署,在业界逐步成为主流的Overlay部署方案。


    5.1 SDN Overlay组网模型

                      
    图14 SDNOverlay组网模型


    如上图所示,H3C的SDN Overlay组网同时支持网络Overlay、主机Overlay和混合Overlay三种组网模型:


    1)网络Overlay:在这种模型下,所有Overlay设备都是物理设备,服务器无需支持Overlay,这种模型能够支持虚拟化服务器和物理服务器接入;

    2)主机Overlay:所有Overlay设备都是虚拟设备,适用服务器全虚拟化的场景,物理网络无需改动;

    3)混合Overlay:物理设备和虚拟设备都可以作为Overlay边缘设备,灵活组网,可接入各种形态服务器,可以充分发挥硬件网关的高性能和虚拟网关的业务灵活性。

    三种Overlay商用模型都通过VCF控制器集中控制,实现业务流程的下发和处理,应该说这三种Overlay模型都有各自的应用场景。用户可根据自己的需求从上述三种Overlay模型和VLAN VPC方案中选择最适合自己的模型。


    5.1.1 网络Overlay

    1. 定位

    网络Overlay组网里的服务器可以是多形态,也无需支持Overlay功能,所以网络Overlay的定位主要是网络高性能、与Hypervisor平台无关的Overlay方案。


    2. 面向客户

    网络Overlay主要面向对性能敏感而又对虚拟化平台无特别倾向的客户群。该类客户群的网络管理团队和服务器管理团队的界限一般比较明显。


    5.1.2 主机Overlay

    1. 定位

    主机Overlay不能接入非虚拟化服务器,所以主机Overlay主要定位是配合VMware、KVM等主流Hypervisor平台的Overlay方案。


    2. 面向客户

    主机Overlay主要面向已经选择了虚拟化平台并且希望对物理网络资源进行利旧的客户。


    5.1.3 混合Overlay

    1. 定位

    混合Overlay组网灵活,既可以支持虚拟化的服务器,也可以支持利旧的未虚拟化物理服务器,以及必须使用物理服务器提升性能的数据库等业务,所以混合Overlay的主要定位是Overlay整体解决方案,它可以为客户提供自主化、多样化的选择。


    2. 面向客户

    混合Overlay主要面向愿意既要保持虚拟化的灵活性,又需要兼顾对于高性能业务的需求,或者充分利旧服务器的要求,满足客户从传统数据中心向基于SDN的数据中心平滑演进的需求。


    5.2 H3C SDN Overlay典型组网

    5.2.1 网络Overlay

    网络Overlay的隧道封装在物理交换机完成。这种Overlay的优势在于物理网络设备的转发性能比较高,可以支持非虚拟化的物理服务器之间的组网互通。


    H3C提供的网络Overlay组网方式,支持以下转发模式:


    1)控制器流转发模式:控制器负责Overlay网络部署、主机信息维护和转发表项下发,即VXLAN L2 GW上的MAC表项由主机上线时控制器下发,VXLAN IP GW上的ARP表项也由控制器在主机上线是自动下发,并由控制器负责代答和广播ARP信息。这种模式下,如果设备和控制器失联,设备会临时切换到自转发状态进行逃生。

    2)数据平面自转发模式:控制器负责Overlay网络的灵活部署,转发表项由Overlay网络交换机自学习,即VXLANL2 GW上自学习主机MAC和网关MAC信息,VXLAN IP GW上可以自学习主机ARP信息并在网关组成员内同步。

    3)混合转发模式:控制器也可以基于主机上线向VXLANIP GW上下发虚机流表,如果VXLAN IP GW上自学习ARP和控制器下发的虚机流表信息不一样,则以VXLAN IP GW上自学习ARP表项为主,交换机此时触发一次ARP请求,保证控制器和交换机自学习主机信息的正确性和一致性;数据平面自转发模式下ARP广播请求报文在VXLAN网络内广播的同时也会上送控制器,控制器可以做代答,这种模式是华三的一种创新,实现了Overlay网络转发的双保险模型。



                             图15网络Overlay


    在图15的组网中,VCFC集群实现对整个VXLAN网络的总体控制,以及对VNF的生命周期管理和服务链编排;VCFC可以同Openstack、VMware Vcenter、H3Cloud OS等其他第三方云平台,通过插件方式或RESTAPI方式进行对接。


    物理交换机125X/S98充当VXLAN IP GW,提供Overlay网关功能,实现VXLAN网络和经典网络之间的互通,支持Overlay报文的封装与解封装,并根据内层报文的IP头部进行三层转发,支持跨Overlay网络之间的转发,支持Overlay网络和传统VLAN之间的互通以及Overlay网络与外部网络的互通;H3C S6800充当VTEP,支持Overlay报文的封装与解封装,实现虚拟机接入到VXLAN网络中。


    Service安全设备属于可选项,包括vFW、vLB、M9000、L5000等设备。东西向支持基于vFW、vLB的服务链;南北向可以由125X串联M9000实现NAT、FW等服务,125X旁挂L5000提供LB服务,由VCFC实现引流。


                          图16 无状态IP网关


    如图16所示,在网络Overlay的组网模型中,125X/S98作为Overlay网关功能,考虑到网关的扩容功能,可以采用无状态IP网关方案:

    1)VXLAN IP GW实现VXLAN网络与传统网络的互联互通。

    2)网关组内的VXLAN IP GW设置相同的VTEP IP地址,设置相同的VNI接口IP地址及MAC地址,VTEP IP地址通过三层路由协议发布到内部网络中。

    3)支持多台VXLAN IP GW组成网关组。

    无状态网关的业务流向如下:

    1)北向业务:VTEP设备通过ECMP(HASH时变换UDP端口号)将VXLAN报文负载均衡到网关组内的不同网关上处理。

    2)南向业务:每个网关都保存所有主机的ARP,并在外部网络上将流量分流给各网关。

    3)路由延迟发布确保网关重启和动态加入时不丢包。


    网络Overlay组网方案有以下优点:

    1)更高的网卡和VXLAN性能。

    2)通过TOR实现QoS、ACL,可以实现线速转发。

    3)不依赖虚拟化平台,客户可以有更高的组网自由度。

    4)可以根据需要自由选择部署分布式或者集中式控制方案。

    5)控制面实现可以由H3C高可靠的SDNController集群实现,提高了可靠性和可扩展性,避免了大规模的复杂部署。

    6)网关组部署可以实现流量的负载分担和高可靠性传输。


    5.2.2 主机Overlay

    主机Overlay将虚拟设备作为Overlay网络的边缘设备和网关设备,Overlay功能纯粹由服务器来实现。主机Overlay方案适用于服务器虚拟化的场景,支持VMware、KVM、CAS等主流Hypervisor平台。主机Overlay的网关和服务节点都可以由服务器承担,成本较低。


    H3C vSwitch(即S1020V,又称为OVS)以标准的进程和内核态模块方式直接运行在Hypervisor主机上,这也是各开源或者商用虚拟化平台向合作伙伴开放的标准软件部署方式,性能和兼容性可以达到最佳。


    S1020V上除了实现转发功能,还集成了状态防火墙功能,防火墙功能可以支持四层协议,如TCP/UDP/IP/ICMP等协议。可以基于源IP、目的IP、协议类型(如TCP)、源端口、目的端口的五元组下发规则,可以灵活决定报文是允许还是丢弃。

    状态防火墙(DFW)和安全组的区别是,状态防火墙是有方向的,比如VM1和VM2之间互访,状态防火墙可以实现VM1能访问VM2,VM2不能访问VM1这样的需求。



                  图17 vSwitch集成状态防火墙

    如图17所示,vSwitch功能按下述方式实现:

    1)VCFC通过OVSDB通道将DFW策略下发给S1020V。

    2)S1020V集成DFW功能,依据下发的防火墙策略对端口报文做相应处理。

    3)配置DFW策略后,OVS的原有转发流程会以黑盒的形式嵌入到Netfilter框架的报文处理过程中,接收到报文后依据配置的DFW策略在Netfilter的对应阶段调用相应的钩子函数实现对应的防火墙功能。

    4)在虚机迁移或删除时,VCFC控制下发相关防火墙策略随即迁移,实现整个数据中心的分布式防火墙功能。

    在主机Overlay情况下,H3C vSwitch既承担了VTEP(即VXLAN L2 GW)功能,也可以承担东西向流量三层网关的功能。三层网关同时亦可以由NFV、物理交换机分别承担。vSwitch功能也可以实现Overlay网络内虚机到虚机的跨网段转发。按照VXLAN三层转发实现角色的不同,可以分为以下几个方案:

    (1)东西向分布式网关转发方案

    如图18所示,在分布式网关情况下,采用多个vSwitch逻辑成一个分布式三层网关,东西向流量无需经过核心设备Overlay层面的转发即可实现东西向流量的跨VXLAN转发,以实现跨网段最短路径转发;南北向的流量仍然会以核心Spine设备作为网关,虚机访问外网时,vSwitch先把报文通过VXLAN网络转发到Spine设备上,Spine设备进行VXLAN解封装后再根据目的IP转发给外部网络。


                        图18 东西向分布式网关方案

    (2)NFV设备VSR做网关方案

    VSR做网关的情况下,VXLAN IP GW、VXLAN L2 GW、服务节点都由服务器来实现,如图19所示。


                         图19VSR做网关的主机Overlay方案

    VCFC集群实现对整个VXLAN网络的总体控制,以及对VNF的生命周期管理和服务链编排;VCFC可以同Openstack、VMware Vcenter、H3Cloud OS等其他第三方云平台,通过插件方式或REST API方式进行对接。


    NFV设备VSR充当VXLAN IP GW,提供Overlay网关功能,实现VXLAN网络和经典网络之间的互通,支持Overlay报文的封装与解封装,并根据内层报文的IP头部进行三层转发,支持跨Overlay网络之间的转发,支持Overlay网络和传统VLAN之间的互通以及Overlay网络与外部网络的互通;H3C S1020V充当L2 VTEP,支持Overlay报文的封装与解封装,实现虚拟机接入到VXLAN网络中,其中H3C S1020V支持运行在ESXi、KVM、H3C CAS等多种虚拟化平台上。


    Service安全设备属于可选项,包括VSR、vFW、vLB等设备,实现东西向和南北向服务链服务节点的功能。


    (3)物理交换机做网关方案

    如图20所示,同纯软主机Overlay方案相比,软硬结合主机Overlay方案使用Spine设备做VXLAN IP GW。Spine设备可以使用125-X/98,也可以使用S10500,在使用S10500和S1020V组合的情况下可以实现更低的使用成本。Service安全设备属于可选项,包括vFW、vLB、M9000、L5000等设备。东西向支持基于vFW、vLB的服务链;南北向可以由125-X串联M9000实现NAT、FW等服务,125-X旁挂L5000提供LB服务,由VCFC通过服务链实现引流。



               图20物理交换机做网关的主机Overlay方案

    主机Overlay组网方案总体来说有以下优点:

    1)适用于服务器虚拟化的场景,成本较低。

    2)可以配合客户已有的VMware、Microsoft等主流Hypervisor平台,保护客户已有投资。

    3)可以根据需要自由选择部署分布式或者集中式控制方案。

    4)控制面实现可以由H3C高可靠的SDNController集群实现,提高了可靠性和可扩展性,避免了大规模的复杂部署。

    5)物理交换机做网关的情况下,也同网络Overlay一样可以使用多网关组功能,网关组部署可以实现流量的负载分担和高可靠性传输。

    6)vSwitch作为东西向IP网关时,支持分布式网关功能,使虚机迁移后不需要重新配置网关等网络参数,部署简单、灵活。


    5.2.3 混合Overlay

    如图21所示,混合Overlay是网络Overlay和主机Overlay的混合组网,可以支持物理服务器和虚拟服务器之间的组网互通。它融合了两种Overlay方案的优点,既可以充分利用虚拟化的低成本优势,又可以发挥硬件GW的转发性能、将非虚拟化设备融入Overlay网络,它可以为客户提供自主化、多样化的选择。


                           图21混合Overlay

    VCFC集群实现对整个VXLAN网络的总体控制,以及对VNF的生命周期管理和服务链编排;VCFC可以同Openstack、VMware Vcenter、H3Cloud OS等其他第三方云平台,通过插件方式或REST API方式进行对接。


    125X/S98充当VXLAN IP GW,提供Overlay网关功能,实现VXLAN网络和经典网络之间的互通,支持Overlay报文的封装与解封装,并根据内层报文的IP头部进行三层转发,支持跨Overlay网络之间的转发,支持Overlay网络和传统VLAN之间的互通以及Overlay网络与外部网络的互通;H3C S6800、H3C S1020V充当VTEP,支持Overlay报文的封装与解封装,实现服务器和虚拟机接入到VXLAN网络中。


    Service安全设备属于可选项,包括vFW、vLB、M9000、L5000等设备。东西向支持基于vFW、vLB的服务链;南北向可以由125X串联M9000实现NAT、FW等服务,125X旁挂L5000提供LB服务,由VCFC实现引流。


    5.2.4 Overlay组网总结

                          表2 Overlay组网总结

    上述几种Overlay组网均支持和Openstack K版本对接。

    6 SDN Overlay转发流程描述

    6.1 SDN Overlay流表建立和发布

    我们以流转发为例介绍SDN Overlay的转发流程。

    6.1.1 流表建立流程对ARP的处理

    对于虚拟化环境来说,当一个虚拟机需要和另一个虚拟机进行通信时,首先需要通过ARP的广播请求获得对方的MAC地址。由于VXLAN网络复杂,广播流量浪费带宽,所以需要在控制器上实现ARP代答功能。即由控制器对ARP请求报文统一进行应答,而不创建广播流表。


    ARP代答的大致流程:控制器收到OVS上送的ARP请求报文,做IP-MAC防欺骗处理确认报文合法后,从ARP请求报文中获取目的IP,以目的IP为索引查找全局表获取对应MAC,以查到的MAC作为源MAC构建ARP应答报文,通过Packetout下发给OVS。


    6.1.2 Overlay网络到非Overlay网络

    Overlay网络到非Overlay网络的流表建立和路由发布如图22所示:


             图22 Overlay网络到非Overlay网络的流表建立和路由发布


    创建VM的时候,会同时分配IP和MAC信息。然后VM发送ARP请求报文,该报文会通过Packet-in被上送到控制器。控制器做IP-MAC防欺骗处理确认报文合法后,通过ARP代答功能构建ARP应答报文并通过Packet-out下发。


    VM收到ARP应答报文后,封装并发送IP首包。OVS收到IP首报后发现没有对应流表,就将该IP首包通过Packet-in上送控制器。控制器通过OpenFlow通道收到Packet-in报文后,判断上送的IP报文的IP-MAC为真实的。然后根据报文中的目的IP查询目的端口,将IP首包直接发送到目的端口,同时生成相应流表下发到OVS。


    流表下发到OVS后,而后续的IP报文就会根据OVS上的流表进行转发,而不再需要上送控制器。


    6.1.3 非Overlay网络到Overlay网络

    非Overlay网络到Overlay网络的流表建立和路由发布如图23所示:


               图23 非Overlay网络到Overlay网络的流表建立和路由发布


    创建VM的时候,会同时分配IP、MAC和UUID等信息。VM上线时会触发OVS发送Port Status消息上送控制器,该消息携带VM MAC信息。控制器根据VM MAC查找IP等相关信息,然后携带VM的相关信息通知GW虚机上线。

    控制器根据VM上线消息中携带的数据,构造物理机向VM转发报文时使用的流表表项,并下发到VM所在VNI对应网关分组中的所有GW。


    6.2 Overlay网络转发流程

    1. 识别报文所属VXLAN

    VTEP只有识别出接收到的报文所属的VXLAN,才能对该报文进行正确地处理。

    VXLAN隧道上接收报文的识别:对于从VXLAN隧道上接收到的VXLAN报文,VTEP根据报文中携带的VNI判断该报文所属的VXLAN。

    本地站点内接收到数据帧的识别:对于从本地站点中接收到的二层数据帧,VTEP通过以太网服务实例(Service Instance)将数据帧映射到对应的VSI,VSI内创建的VXLAN即为该数据帧所属的VXLAN。

    2. MAC地址学习

    本地MAC地址学习:指本地VTEP连接的本地站点内虚拟机MAC地址的学习。本地MAC地址通过接收到数据帧中的源MAC地址动态学习,即VTEP接收到本地虚拟机发送的数据帧后,判断该数据帧所属的VSI,并将数据帧中的源MAC地址(本地虚拟机的MAC地址)添加到该VSI的MAC地址表中,该MAC地址对应的出接口为接收到数据帧的接口。

    远端MAC地址学习:指远端VTEP连接的远端站点内虚拟机MAC地址的学习。远端MAC学习时,VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后,根据VXLAN ID判断报文所属的VXLAN,对报文进行解封装,还原二层数据帧,并将数据帧中的源MAC地址(远端虚拟机的MAC地址)添加到所属VXLAN对应VSI的MAC地址表中,该MAC地址对应的出接口为VXLAN隧道接口。


    6.2.1 Overlay网络到非Overlay网络

    Overlay网络到非Overlay网络的转发流程如图24所示:


               图24 Overlay网络到非Overlay网络的转发流程


    虚拟机构造发送到物理机的报文,目的MAC为OVS的MAC,目的IP为要访问的物理机的IP,报文从虚拟机的虚拟接口发出。


    OVS接收到虚拟机发送的报文,根据报文中的目的IP匹配OVS上的流表表项。匹配到流表表项后,修改报文的目的MAC为VXLAN-GW的MAC,源MAC为OVS的MAC,并从指定的隧道接口发送。从指定的隧道接口发送报文时,会在报文中添加VXLAN头信息,并封装隧道外层报文头信息。


    VXLAN-GW从隧道口接收到VXLAN隧道封装报文,隧道自动终结,得到内层报文。然后根据内层报文的目的IP按照FIB(非流表)进行报文三层转发。


    报文按照传统网络的转发方式继续转发。物理机接收到VXLAN-GW转发的报文,实现虚拟机到物理机的访问。


    6.2.2 非Overlay网络到Overlay网络

    非Overlay网络到Overlay网络的转发流程如图25所示:


             图25 非Overlay网络到Overlay网络的转发流程


    物理机构造发送到虚拟机的报文,在传统网络中通过传统转发方式将报文转发到VXLAN-GW。VXLAN-GW接收该报文时,报文的目的MAC为VXLAN-GW的MAC,目的IP为虚拟机的IP地址,从物理机发送出去的报文为普通报文。


    VXLAN-GW接收报文,根据报文的入接口VPN,目的IP和目的MAC匹配转发流表。然后从指定的VXLAN隧道口发送。从隧道口发送报文时,根据流表中的信息添加VXLAN头信息,并对报文进行隧道封装。从GW发送报文为封装后的Overlay报文。


    OVS接收到报文后,隧道自动终结。根据报文VNI和目的IP匹配转发流表。匹配到流表后,从指定的端口发送。从OVS发送的报文为普通报文。


    根据报文的目的MAC,虚拟机接收到物理机发送的报文,实现物理机到虚拟机的访问。


    6.3 Overlay网络虚机迁移

    在虚拟化环境中,虚拟机故障、动态资源调度功能、服务器主机故障或计划内停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移,需要保证迁移虚拟机和其他虚拟机直接的业务不能中断,而且虚拟机对应的网络策略也必须同步迁移。


    虚拟机迁移及网络策略跟随如图26所示:


                     图26 虚拟机迁移及网络策略跟随


    网络管理员通过虚拟机管理平台下发虚拟机迁移指令,虚拟机管理平台通知控制器预迁移,控制器标记迁移端口,并向源主机和目的主机对应的主备控制器分布发送同步消息,通知迁移的vPort,增加迁移标记。同步完成后,控制器通知虚拟机管理平台可以进行迁移了。


    虚拟机管理平台收到控制器的通知后,开始迁移,创建VM分配IP等资源并启动VM。启动后目的主机上报端口添加事件,通知给控制器,控制器判断迁移标记,迁移端口,保存新上报端口和旧端口信息。然后控制器向目的主机下发网络策略。


    源VM和目的VM执行内存拷贝,内存拷贝结束后,源VM关机,目的VM上线。源VM关机后,迁移源主机上报端口删除事件,通知给控制器,控制器判断迁移标记,控制器根据信息删除旧端口信息并同时删除迁移前旧端口对应的流表信息。


    主控制器完成上述操作后在控制器集群内进行删除端口消息的通知。其他控制器收到删除端口信息后,也删除本控制器的端口信息,同时删除对应端的流表信息。源控制器需要把迁移后新端口通知控制器集群的其他控制器。其他控制器收到迁移后的端口信息,更新端口信息。当控制器重新收到Packet-in报文后,重新触发新的流表生成。


    6.4 SDN Overlay升级部署方案

    6.4.1 SDN Overlay独立分区部署方案

              图27 DC增量部署,SDN Overlay独立分区


    基于对原有数据中心改动尽量少的思路下,可以把SDN Overlay部署在一个独立分区中,作为VXLAN IP GW的核心交换机作为Underlay出口连接到原有网络中,对原有网络无需改动,南北向的安全设备和原有DC共享。


    场景:在现有数据中心的独立区域部署,通过原有网络互联。


    6.4.2 IPGW旁挂部署方案

                   图28 DC增量部署,IP GW旁挂


    考虑到尽量利用原有数据中心空间部署VXLAN网络的情况下,可以采用物理交接机(S125-X/S98)作为VXLAN IP GW旁挂的方案,与经典网络共用核心;而VXLAN网络作为增量部署,对原有网络改动小。


    场景:利用现有数据中心剩余空间增量部署。


    6.4.3 核心升级,SDN Overlay独立分区

              图29 核心利旧升级,SDN Overlay独立分区


    核心设备升级为支持VXLAN IP GW的S125-X,同时作为传统和Overlay网络的核心,原有网络除核心设备外保持不变,充分利旧,保护用户原有投资。安全设备物理上旁挂在核心S125-X上,通过VCFC把VPC流量引流到安全设备进行安全防护。

    场景:全新建设数据中心区域,或者升级现有中心的网络核心,原有服务器和网络设备重复利用。


    6.4.4 Overlay网关弹性扩展升级部署

    受制于芯片的限制,单个网关设备支持的租户数量有限,控制器能够动态的将不同租户的隧道建立在不同的Overlay网关上,支持Overlay网关的无状态分布,实现租户流量的负载分担。


    如图30所示,Overlay网络可以支持Overlay网关随着租户数量增加的扩充,当前最大可以支持超过64K个租户数量,从而提供一个具有弹性扩展能力的Overlay网络架构。


                      
    图30 Overlay网络弹性扩展


    6.4.5 多数据中心同一控制器集群部署


                 图31 多数据中心同一控制器集群部署


    控制器跨数据中心部署在多个数据中心,把多个数据中心逻辑上连接为一个数据中心:

    1)任一个GW上有全网所有的虚拟机信息,任意一个GW上都可以正确通过Overlay隧道转发到正确的虚拟机。

    2)一个网关组发布相同的VTEP IP地址,每一个数据中心会自动根据最短路径算法,将选择本数据中心的核心设备作为网关,实现本地优先转发。

    3)4台控制器的部署,推荐使用2Leader+2Member的主备模式,每个中心各一台Leader和一台Member,4台以上推荐采用多数派/少数派模式。


    7 SDN Overlay方案优势总结

    网络架构方面具有下述明显优势:

    1、应用与位置解耦,网络规模无限弹性扩展;

    2、网络虚拟化,实现大规模多租户和业务隔;

    3、支持多种Overlay模型,满足场景化需求;

    4、跨多中心的网络资源统一池化,随需分配。

    网络安全方面具有下述特点:

    1、各种软硬件安全设备灵活组合,形成统一安全资源池;

    2、丰富的安全组合功能,可以充分满足云计算安全合规要求;

    3、针对主机,南北和东西向流量,可以实现精细化多层次安全防护;

    4、通过服务链,可以实现安全业务的灵活自定义和编排。

    网络业务发放具有下述优点:

    1、支持VPC多租户虚拟网络:基于OpenStack模型,租户相互隔离、互不干扰,各租户可提供独立FW/LB/NAT等服务;

    2、网络灵活自定义:租户虚拟网络根据自身需求可灵活自定义,实现对于SDN和NFV的融合控制;

    3、网络自动化:业务流程全自动发放,配置自动化下发,业务部署从数天缩短到分钟级;

    4、与云无缝对接融合:实现网络、计算与存储的无缝打通,实现云计算业务的自助服务。

    在网络运维上能充分满足客户需求:

    1、支持智能化诊断:全面覆盖的故障自动探测、雷达仿真、故障定位和自动修复;

    2、支持流量可视化:应用、虚拟、网络拓扑的统一呈现、资源映射、流量统计、路径和状态感知;

    3、支持自动化运维:用户能够自定义网络运维管理能力,实现DC内自定义流量调度、动态流量自动监控分析。


    微信ID:SDNLAB

    展开全文
    JackLiu16 2018-05-06 21:37:55
  • weixin_43866211 2020-10-20 15:14:28
  • Tony_long7483 2020-12-01 21:06:13
  • qq_40741808 2020-05-09 21:26:39
  • weixin_43573768 2021-07-15 10:07:50
  • zhao18717359493 2019-01-10 15:36:39
  • weixin_43573768 2021-07-12 14:42:24
  • qq_52778040 2021-09-25 16:31:31
  • dog250 2020-07-24 17:20:54
  • Conrad_Wang 2020-03-26 22:25:35
  • Neo233 2018-04-28 17:19:03
  • u011956172 2017-07-04 17:45:25
  • weixin_42354900 2019-11-24 10:16:51
  • z136370204 2020-03-21 01:04:09
  • qq_40741808 2020-07-23 16:41:24
  • u012785382 2017-04-25 15:26:28
  • fy_long 2018-12-28 10:25:06
  • z136370204 2020-03-29 10:58:20
  • liukuan73 2015-09-07 18:40:17
  • weixin_30437481 2019-07-01 14:22:00
  • tushanpeipei 2021-01-01 18:01:51
  • xinquanv1 2019-10-11 20:42:22
  • weixin_39923623 2020-12-19 19:39:34
  • weixin_39604819 2021-02-27 14:43:42

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,126
精华内容 850
关键字:

overlayvpn