SDN技術(shù)及其在云計(jì)算中的應(yīng)用

2014-09-26 11:32:14 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

1 SDN提出的背景及其概念　　近幾年，隨著移動(dòng)互聯(lián)網(wǎng)、電子商務(wù)、大數(shù)據(jù)等服務(wù)的興起和發(fā)展，以及虛擬化、云計(jì)算技術(shù)的快速發(fā)展，傳統(tǒng)網(wǎng)絡(luò)技術(shù)及架構(gòu)已經(jīng)越來(lái)越不能滿(mǎn)足快速配置、按需調(diào)用、自動(dòng)負(fù)載均衡的要求。

5.SDN的應(yīng)用和展望

　　5.1 IBM SDN VE在Openstack中的應(yīng)用

　　IBM SDN VE KVM版提供了OpenStack Neutron插件，所以使用KVM作為hypervisor的基于OpenStack的云計(jì)算解決方案可以使用IBM SDN VE作為網(wǎng)絡(luò)虛擬化方案以提供極大的網(wǎng)絡(luò)靈活性和自動(dòng)化。

圖8 IBM SDN VE在OpenStack中的應(yīng)用框圖

　　通過(guò)本方案，結(jié)合OpenStack的Neutron部件，用戶(hù)可以直接在Web Portal中進(jìn)行創(chuàng)建多層網(wǎng)絡(luò)應(yīng)用的操作。用戶(hù)對(duì)創(chuàng)建或者修改虛擬網(wǎng)絡(luò)的操作通過(guò)Neutron插件對(duì)DOVE管理控制臺(tái)(DMC)北向API的調(diào)用而反映到SDN VE環(huán)境中。這時(shí)DMC經(jīng)過(guò)一系列的對(duì)虛擬網(wǎng)絡(luò)的配置、策略控制和向各個(gè)相關(guān)虛擬交換機(jī)分發(fā)策略來(lái)實(shí)施這些用戶(hù)操作，從而達(dá)到以軟件獲取網(wǎng)絡(luò)能力的目標(biāo)。

　　由于SDN VE提供了完善統(tǒng)一的日志信息和統(tǒng)計(jì)信息，可以通過(guò)這些信息根據(jù)網(wǎng)絡(luò)使用量等數(shù)據(jù)實(shí)現(xiàn)“按需付費(fèi)”。

　　疊加層網(wǎng)絡(luò)實(shí)現(xiàn)過(guò)程簡(jiǎn)介

　　在每個(gè)KVM中，都有一個(gè)DOVE代理進(jìn)程，這個(gè)代理進(jìn)程直接偵聽(tīng)分布式連通性服務(wù)(DCS)，同時(shí)也負(fù)責(zé)創(chuàng)建獨(dú)立的橋接接口，這個(gè)橋接接口最終會(huì)顯示給virt-manager或者虛擬機(jī)管理器。每個(gè)VM都可以創(chuàng)建1個(gè)或者多個(gè)虛擬網(wǎng)絡(luò)接口，這些虛擬網(wǎng)絡(luò)接口將VM與虛擬交換機(jī)相連接。

　　同一KVM內(nèi)的VM之間需要通信時(shí)，只需要根據(jù)流表在這臺(tái)KVM上的虛擬交換機(jī)內(nèi)進(jìn)行數(shù)據(jù)交換。不同KVM上的VM之間需要通信時(shí)，則會(huì)由虛擬交換機(jī)將從VM虛擬網(wǎng)絡(luò)接口上收到的網(wǎng)絡(luò)包進(jìn)行VxLAN封裝，封裝后的包在底層IP網(wǎng)絡(luò)上發(fā)送給目標(biāo)VM所在的KVM，經(jīng)過(guò)VxLAN的解封裝，最終由源VM發(fā)出的網(wǎng)絡(luò)包被交換到目標(biāo)VM上。

　　如果VM要和遺留在底層網(wǎng)絡(luò)上的物理機(jī)進(jìn)行通信，則可以將VxLAN包發(fā)送到DOVE網(wǎng)關(guān)，由網(wǎng)關(guān)進(jìn)行解封裝并且發(fā)送到目標(biāo)主機(jī)。物理機(jī)到VM的通信可以由相反的過(guò)程完成。

　　DOVE網(wǎng)關(guān)也用于疊加層網(wǎng)段中的廣播。從疊加層網(wǎng)絡(luò)的設(shè)計(jì)可以了解到分布于不同KVM中的同網(wǎng)段VM之間要實(shí)現(xiàn)廣播必須借助于一些特別的設(shè)計(jì)。分布式連通性服務(wù)(DCS)保持了一個(gè)VM的地址表，通過(guò)這張地址表可以了解到某一疊加層網(wǎng)段內(nèi)所有VM所對(duì)應(yīng)的KVM。當(dāng)網(wǎng)段內(nèi)某一VM發(fā)出廣播包時(shí)，DOVE網(wǎng)關(guān)會(huì)將這個(gè)廣播包轉(zhuǎn)發(fā)到所有需要的KVM中。

　　創(chuàng)建多層網(wǎng)絡(luò)應(yīng)用

　　用戶(hù)可以通過(guò)OpenStack的用戶(hù)界面向Neutron部件發(fā)出創(chuàng)建新網(wǎng)段的指令，這個(gè)指令由IBM SDN VE KVM版OpenStack Neutron插件轉(zhuǎn)發(fā)到DOVE管理控制臺(tái)(DMC)，DOVE管理控制臺(tái)向各個(gè)虛擬交換機(jī)分發(fā)策略，以創(chuàng)建這個(gè)網(wǎng)段。

　　用戶(hù)創(chuàng)建多個(gè)這樣的網(wǎng)段，然后通過(guò)OpenStack將各個(gè)VM和諸如路由器、防火墻等應(yīng)用器件連接到各個(gè)網(wǎng)段，可以快速創(chuàng)建出一個(gè)多層網(wǎng)絡(luò)應(yīng)用。

圖9 用戶(hù)在OpenStack上創(chuàng)建多層網(wǎng)絡(luò)應(yīng)用

5.2 SDN在網(wǎng)絡(luò)安全等方面的應(yīng)用展望

　　SDN不但提供了快速的網(wǎng)絡(luò)部署，用戶(hù)可以快速部署自己的多層應(yīng)用網(wǎng)絡(luò)拓?fù)洌€可以獲取豐富的作為虛擬應(yīng)用器件運(yùn)行的網(wǎng)絡(luò)服務(wù)，而這些網(wǎng)絡(luò)服務(wù)都是可以按照“按需付費(fèi)”的方式提供給用戶(hù)在線訂購(gòu)。

　　比較典型的如網(wǎng)絡(luò)安全服務(wù)、入侵檢測(cè)、垃圾郵件過(guò)濾及負(fù)載均衡等。

圖10 SDN網(wǎng)絡(luò)安全服務(wù)

　　圖10示意了IBM的一種網(wǎng)絡(luò)安全服務(wù)的部署模型。Security Service組件提供了網(wǎng)絡(luò)安全服務(wù)，它可以檢測(cè)流經(jīng)它2個(gè)網(wǎng)絡(luò)接口的流量并且檢測(cè)到威脅的連接將之?dāng)嚅_(kāi)從而保護(hù)目標(biāo)VM。

　　當(dāng)用戶(hù)訂購(gòu)了該服務(wù)之后，SDN的控制器就會(huì)向虛擬交換機(jī)發(fā)送配置更新，將指定的VM的流量導(dǎo)向該安全服務(wù)應(yīng)用器件。比如原先外部流量是直接流向VM的，用戶(hù)訂購(gòu)服務(wù)之后就會(huì)先流向安全服務(wù)應(yīng)用器件，經(jīng)過(guò)安全過(guò)濾之后再流向VM。這種服務(wù)同樣可以保護(hù)來(lái)自環(huán)境內(nèi)部其它VM的威脅。

　　總之，有了SDN這種可以由軟件定義而獲取的網(wǎng)絡(luò)能力之后，將會(huì)有更多的應(yīng)用值得展望，這種由軟件控制快速改變網(wǎng)絡(luò)結(jié)構(gòu)的能力的確是當(dāng)前云計(jì)算非常需要的能力。有了這種能力，用戶(hù)可以快速部署應(yīng)用的網(wǎng)絡(luò)結(jié)構(gòu)，訂購(gòu)虛擬網(wǎng)絡(luò)設(shè)備和服務(wù)，實(shí)現(xiàn)“按需付費(fèi)”。