SDN技術及其在云計算中的應用

2014-09-26 11:32:14 大云網　點擊量：評論 (0)

1 SDN提出的背景及其概念　　近幾年，隨著移動互聯網、電子商務、大數據等服務的興起和發展，以及虛擬化、云計算技術的快速發展，傳統網絡技術及架構已經越來越不能滿足快速配置、按需調用、自動負載均衡的要求。

在這里，我們不需要關心我們是使用VMware平臺還是KVM虛擬化平臺，在不同的平臺之上這些IBM SDN VE部件的功能是相似的。

IBM SDN VE解決方案使用了4個軟件部件協同工作來提供高效率的網絡虛擬化。

　　DOVE管理控制臺

　　DOVE管理控制臺(DMC)是用于控制IBM SDN VE配置的中心點。它配置各個虛擬網絡、進行策略控制并且向各個虛擬交換機分發策略。它同時也可以幫助管理員對某個虛擬網絡進行管理。DOVE管理控制臺作為一個虛擬應用器件運行。

　　分布式連通性服務

　　分布式連通性服務(DCS)將虛擬機的地址分發到所有參與到SDN VE虛擬網絡中的虛擬交換機。分布式連通性服務會配置對應的虛擬網絡、進行策略控制并且向各個虛擬交換機分發策略。DCS服務作為一個虛擬應用器件的集群進行部署，從而提供比傳統網絡控制平臺更高的伸縮性和可靠性。

　　DOVE網關

　　DOVE網關是一種特殊的應用器件，它將SDN VE疊加層網絡環境與非SDN VE疊加層網絡環境連接起來。這包括了將SDN VE上的虛擬機與公共網絡連接，也包括了使SDN VE環境與遺留在非疊加層的傳統網絡上運行的硬件和軟件進行交互，比如說一些不能被遷移到SDN VE環境中的物理主機、管理工具和物理防火墻等網絡器件。

　　SDN VE提供了2種網關：分布式VLAN網關和分布式外部網關。

　　分布式VLAN網關負責在疊加網絡上不同的2層網絡(VLAN)之間進行數據轉發。

　　分布式外部網關使SDN VE域中的虛擬機可以與外部非SDN VE/DOVE的系統進行通信，也可以使用外部系統能夠訪問SDN VE內部的虛擬機，同時也可以使在策略分配上位于不同SDN VE域的虛擬機之間實現通信。

　　目前DOVE網關也是以軟件方式發布，基于硬件交換機的DOVE網關已經在計劃之中。

　　5000V主機模塊

　　5000V主機模塊是運行在VMware hypervisor之上的軟件，是5000V分布式虛擬交換機的組成部分。它基于UDP VXLAN疊加層提供了2層和3層的網絡虛擬化，實現了虛擬網絡的數據通路。虛擬交換機同時也處理一些控制平臺的功能來支持虛擬機地址的自動發現，虛擬機遷移及網絡策略配置。

　　KVM不使用5000V主機模塊，取而代之的是一個運行在每一臺hypervisor上的DOVE代理進程，這個代理進程直接偵聽分布式連通性服務(DCS)，同時也負責創建獨立的橋接接口，這個橋接接口最終會顯示給virt-manager或者虛擬機管理器。

　　4.3 統一控制器

　　統一控制器(Unified Controller)是一個網絡業務流程平臺，它向應用層抽象了一個網絡的整體視圖，通過該視圖可基于軟件獲取網絡能力和其它服務。

　　統一控制器是SDN VE新加入的一個特性，之所以稱之為“統一”，是因為它可以控制SDN VE的各種版本，包括VMware版本和KVM版本，還包括未來可以控制Openflow硬件交換機的Openflow版本，統一控制器提供了以下的服務：

　　1.提供了管理員界面DOVE管理控制臺(DMC)的可視化和控制操作。

　　2.靜態的DOVE配置，如：域的配置、虛擬網絡的配置、策略的配置等。

　　3.向應用層提供北向API接口。

　　4.網關的配置和管理。

　　5.為控制器和第三方管理軟件的通信提供了外部接口，為控制器和SDN VE各部件間的通信提供了接口。

　　在當前的數據中心，越來越多的服務提供者已經不僅僅只依賴網絡拓撲、網絡狀態和策略了，他們還依賴于運行于物理主機內的hypervisor軟件。管理員需要定義靈活的、具有安全策略的、位置無關的和其它復雜的模式以用于多層的、可擴展的及高密度的基礎架構。這就需要一種服務能夠輔助他們快速地部署新的網絡功能并且管理和控制它們。

　　統一控制器的目的就在于在SDN VE內提供一個統一的網絡業務流程平臺，同時提供豐富的API，這些API可以用來操作統一控制器。圖6顯示了統一控制器的概覽。

圖6 統一控制器概覽

　　統一控制器從每個SDN VE vSwitch、分布式連通性服務(DCS)和DOVE網關收集日志和統計信息，因此它是整個SDN VE部署環境的日志的狀態信息的中心。

　　由于SDN VE環境是一個大型的分布式系統，統一控制器為虛擬化管理員提供了獲取整個系統統計信息的功能。比如說：與物理交換機一樣可以取得包計數和錯誤計數等。

4.4 VXLAN溝通底層網絡與疊加網絡

　　之前說明過，使用疊加網絡方案的好處就是可以在不修改現有的物理網絡架構(底層網絡)的情況之下提供網絡虛擬化服務。疊加網絡和底層網絡之間的通信依賴于某種封裝協議，IBM SDN VE采用了VXLAN來實現。圖7是SDN VE解決方案中使用的VXLAN幀結構圖。

圖7 SDN VE解決方案中使用的VXLAN幀結構

　　VNID是一個24位的標識符用以標識源IP子網，和傳統的VLAN使用12位的標識符只能支持4096個網段相比，VXLAN可以支持到最多1600萬個網段。當一個VM發送了一個幀，用VNID封裝這個幀之后就可以在傳統的三層網絡上創建一個穿越第三層的隧道將這個幀傳輸出去。在圖4-4中藍色部分的外部UDP頭中包含了VTEP(VXLAN隧道端點)源端口和目標端口，外部IP頭中包含了VTEP的IP，外部以太網頭部中包含了源VTEP的源MAC地址和目標VTEP的目標MAC地址。圖中綠色部分是內部以太網幀，這是最初由VM發出的包含VM的MAC地址和IP源地址和目標地址的幀，正是這個幀被封裝起來在VXLAN隧道中傳輸。