中國電信浙江公司為解決業(yè)務(wù)云資源池中網(wǎng)絡(luò)資源管理遇到的困境，試點引入VxLAN技術(shù)，以此為基礎(chǔ)構(gòu)建與物理網(wǎng)絡(luò)松耦合的網(wǎng)絡(luò)虛擬化資源池，進一步探索私有云網(wǎng)絡(luò)資源開放的可行性。本文從VxLAN技術(shù)的實際部署設(shè)計方案出發(fā)，解析云資源池引入VxLAN的設(shè)計要點，并結(jié)合資源池的實際情況，進一步分析引入VxLAN如何為云資源池在網(wǎng)絡(luò)資源管理效率方面帶來提升。

　　主要問題

　　中國電信浙江公司自2011年開始研究部署云計算技術(shù)，建設(shè)了業(yè)務(wù)云計算資源池。經(jīng)過幾年的發(fā)展和優(yōu)化，現(xiàn)已基本形成安全、可靠的云計算資源池體系。目前在資源池上已經(jīng)承載了包括企業(yè)信息化系統(tǒng)在內(nèi)的近300個應(yīng)用平臺。自2013年開始，伴隨著資源池規(guī)模的增大、部署應(yīng)用系統(tǒng)的增多、業(yè)務(wù)需求的不斷疊加，網(wǎng)絡(luò)能力逐漸成為了資源池演進的瓶頸：網(wǎng)絡(luò)集中配置導(dǎo)致業(yè)務(wù)開通時間越來越長、不同應(yīng)用的網(wǎng)絡(luò)個性需求不斷疊加到基礎(chǔ)網(wǎng)絡(luò)上、網(wǎng)絡(luò)資源的SLA粒度與資源池其他資源的分配管理互不匹配等。

　　究其原因，我們認為主要存在以下兩點。

　　● 資源池網(wǎng)絡(luò)相關(guān)設(shè)備均是由傳統(tǒng)的IP設(shè)備組成，維護人員直接管理、配置和維護物理設(shè)備，但是物理設(shè)備無法實現(xiàn)高效的動態(tài)化。已經(jīng)可以動態(tài)按需分配的計算資源會因物理網(wǎng)絡(luò)設(shè)備的限制而無法高效地實現(xiàn)自動化供給與調(diào)配;不同類型資源的統(tǒng)一快速配置與編排組合還難以做到，快速的自動協(xié)同更是不可能;無法滿足多租戶環(huán)境下不同客戶對各類資源的統(tǒng)一快速供給需求。

　　● 資源池內(nèi)共享的網(wǎng)絡(luò)資源導(dǎo)致物理設(shè)備上配置復(fù)雜，各配置信息集中在某些核心設(shè)備上，缺乏隔離手段，會出現(xiàn)某一配置出錯，進而導(dǎo)致整個資源池網(wǎng)絡(luò)出現(xiàn)故障，并引發(fā)業(yè)務(wù)大面積的中斷，配置壓力也很大。復(fù)雜的配置決定網(wǎng)絡(luò)的配置必須集中在1~2名對資源池網(wǎng)絡(luò)環(huán)境非常熟悉并且對各租戶網(wǎng)絡(luò)需求充分理解的維護人員上，這不僅需要維護人員的技術(shù)水平極高，而且也形成了資源池的配置瓶頸。

　　因此，我們嘗試了“網(wǎng)絡(luò)資源池化”：將網(wǎng)絡(luò)資源封裝為類似計算、存儲的池化資源進行多租戶管理，并通過SDN網(wǎng)絡(luò)管理能力開放的方法，解決上述問題。

　　軟件定義網(wǎng)絡(luò)

　　軟件定義網(wǎng)絡(luò)(Software-Defined-Network，SDN)技術(shù)廣義上是解決云資源池網(wǎng)絡(luò)瓶頸的理想方案，其具體的實現(xiàn)方案主要包括以下3種類型。

　　(1)基于專用接口的方案：該類方案的實現(xiàn)思路是不改變傳統(tǒng)網(wǎng)絡(luò)的實現(xiàn)機制和工作方式，通過對現(xiàn)有網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)進行升級改造，使之能夠支持專用的可編程接口供網(wǎng)絡(luò)管理系統(tǒng)調(diào)用，實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一配置管理和策略下發(fā)，改變原先需要逐臺設(shè)備進行登錄配置的手工操作方式;同時這些接口也可用于開發(fā)網(wǎng)絡(luò)應(yīng)用，實現(xiàn)網(wǎng)絡(luò)設(shè)備的軟件編程。其中，最典型的技術(shù)產(chǎn)品是思科的onePK(Open Network Environment Platform Kit)。

　　(2)基于疊加網(wǎng)絡(luò)的方案：該類方案的實現(xiàn)思路是以現(xiàn)行的IP網(wǎng)絡(luò)為基礎(chǔ)，在其上建立疊加的邏輯網(wǎng)絡(luò)(Overlay Logical Network)用于屏蔽掉底層物理網(wǎng)絡(luò)的差異，實現(xiàn)網(wǎng)絡(luò)資源的虛擬化，使得多個邏輯上彼此隔離的網(wǎng)絡(luò)分區(qū)以及多種異構(gòu)的虛擬網(wǎng)絡(luò)可以在同一共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施上共存，支持網(wǎng)絡(luò)資源的多租戶共享并突破傳統(tǒng)網(wǎng)絡(luò)技術(shù)對租戶網(wǎng)絡(luò)的限制。其中，最典型的技術(shù)產(chǎn)品包括VMware NSX及其主導(dǎo)推出的VxLAN、微軟支持的NVGRE、IBM的DOVE等，其中VXLAN利用了現(xiàn)有通用的UDP傳輸，成熟性極高。總體比較，VxLAN技術(shù)相對具有優(yōu)勢。VxLAN網(wǎng)絡(luò)設(shè)備主要有3種角色，分別是VTEP(VXLAN Tunnel End Point)、VxLAN GW(VxLANGateway)、VxLAN IP GW(VxLAN IP Gateway)，均是物理網(wǎng)絡(luò)的邊緣設(shè)備，而由3種邊緣設(shè)備構(gòu)成了VxLAN Overlay網(wǎng)絡(luò)，對于應(yīng)用系統(tǒng)來說，只與這3種設(shè)備相關(guān)，與底層物理網(wǎng)絡(luò)無關(guān)。

　　(3)基于開放協(xié)議的方案：這是當前最流行的SDN實現(xiàn)方案，它引入了開放的網(wǎng)絡(luò)協(xié)議標準，強調(diào)網(wǎng)絡(luò)中控制與轉(zhuǎn)發(fā)的分離，支持南向網(wǎng)絡(luò)設(shè)備的集中控制，并提供豐富的北向應(yīng)用編程接口，能夠有效降低網(wǎng)絡(luò)架構(gòu)復(fù)雜度，支持業(yè)務(wù)驅(qū)動的網(wǎng)絡(luò)資源靈活調(diào)配。其中，最典型的技術(shù)成果是由ONF(OpenNetworking Foundation，開放網(wǎng)絡(luò)基金會)提出的基于OpenFlow南向控制協(xié)議的SDN架構(gòu)。

　　基于中國電信浙江公司云資源池的現(xiàn)狀和需求，我們選擇了對現(xiàn)網(wǎng)影響最小的疊加網(wǎng)絡(luò)方案，同時以VxLAN作為項目實施的核心技術(shù)，其主要原因在于：

　　● 大規(guī)模云計算資源池對VLAN的需求遠不止4096;

　　● 資源池大量的物理及虛擬服務(wù)器的存在，物理交換機上的MAC表項資源面臨耗盡;

　　● 多租戶需要隔離、自主的網(wǎng)絡(luò)環(huán)境;

　　● 弱化運營商傳統(tǒng)建設(shè)采購模式造成的底層物理設(shè)備差異性;

　　● VxLAN協(xié)議的引入，不會對現(xiàn)有網(wǎng)絡(luò)造成大規(guī)模的改造工作，改造風險最小。

　　實施方案引入

　　中國電信浙江公司云資源池希望在VMwarevSphere虛擬化平臺基礎(chǔ)之上，借助VxLAN技術(shù)實現(xiàn)網(wǎng)絡(luò)的虛擬化，使網(wǎng)絡(luò)資源成為一種可以按需動態(tài)分配的資源，期望能在確保系統(tǒng)安全的前提下通過平滑、穩(wěn)定升級，實現(xiàn)資源池網(wǎng)絡(luò)能力的多租戶開放、自配置、自管理、構(gòu)建靈活、高效、擴展性強的網(wǎng)絡(luò)環(huán)境。

　　云資源池網(wǎng)絡(luò)現(xiàn)狀

　　中國電信浙江公司云資源池是一個部署在紹興和金華2個物理節(jié)點的“雙活統(tǒng)一”資源池，兩物理節(jié)點以DWDM互接，節(jié)點核心交換機通過跨節(jié)點2層虛擬化堆疊實現(xiàn)資源池的邏輯統(tǒng)一，拓撲如圖1。云資源池網(wǎng)絡(luò)采用扁平化的網(wǎng)絡(luò)架構(gòu)(核心-接入)。

　　● 核心層采用H3C 12518交換機，負責高速的3層交換。

　　● 接入層主要采用H3C 5500/5800交換機。

　　接入交換機安裝在每個服務(wù)器機柜的機架頂，實現(xiàn)服務(wù)器網(wǎng)絡(luò)接入，但只開啟2層轉(zhuǎn)發(fā)，所有3層網(wǎng)關(guān)設(shè)置在核心層。核心層和接入層均采用了H3C的IRF2技術(shù)，構(gòu)建了天然無環(huán)網(wǎng)絡(luò)結(jié)構(gòu)，因此沒有啟用STP (生成樹協(xié)議)，所有機架內(nèi)服務(wù)器之間的3層流量需要上行至核心層進行交換。