针对SDN的虚拟私有云研究

引言

云计算的大规模运营给传统网络架构和应用部署带来挑战，新一代网络支撑这种巨型的计算服务，不论是技术革新还是架构变化，都需要服务于云计算的核心要求，即动态、弹性、灵活，并实现网络部署的简捷化。具体来说传统网络面临的挑战主要4点。

1)服务器的利用率从20%提高到80%，服务器端口流量大幅提升，对数据中心网络承载性能提出巨大挑战，对网络可靠性要求也更高;

2)多种应用部署在同一台物理服务器上运行，使网络流量在同一台物理服务器上产生叠加，流量模型更加不可控;

3)服务器虚拟化技术的应用必然伴随着虚拟机的迁移，这种迁移需要一个苛刻的网络环境来保障;

4)虚拟机的部署和迁移，使得安全策略的部署变得复杂和无助，需要一个动态的机制来对数据中心进行防护。

云计算平台中，虚拟机在物理服务器之间进行迁移，为避免虚拟机迁移后路由的震荡和修改网络规划，迁移通常只在在二层域进行，因此，云计算平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。在传统的数据中心网络中，都是通过STP+VRRP的方式进行网络拓扑设计，但由于STP+VRRP的设计和维护都比较复杂，其在很大程度上阻碍了二层域的扩大，随着服务器的数量和网络设备的增多，这种网络设计方式将会变得无法实施。同时，虚拟机的迁移对网络的可用性要求也非常高，在STP+VRRP的组网中，如果链路出现故障，其收敛时间都在秒级，这就增加了应用系统迁移的限制。

通过分析云计算对传统网络基础架构带来的挑战，我们可以从两个方面来应对。一是通过构建高性能、高可靠的网络，以应对云计算给网络带来的压力;二是通过构建虚拟化网络来满足云计算中由于虚拟机部署、迁移以及安全策略实施对网络提出的灵活性、安全性的要求。以亚马逊为首的公有云运营商提出VPC(VirtualPrivate Cloud)的概念。其主要思想是把原有的物理网络作为底层的网络通路，在此之上构建一层虚拟的网络，用来承载用户的业务数据。从而解决用户之间的隔离问题以及用户业务对底层承载网络的相互影响问题。

1 虚拟私有云系统功能分析

VPC的架构图如图1所示。通过Overlay技术，把云计算资源池的网络分为底层的物理承载网络和上层的虚拟Overlay网络。底层的物理网络即原有的由虚拟交换机、物理交换机、路由器等组成的云数据中心网络，用于提供基本的网络连通性。上层的Overlay网络用于用户的业务承载网络。

通过这种Overlay的网络架构，在物理承载网络之上虚拟出多个逻辑上隔离的VPC，用户的私有数据被限制在VPC内部，以保证VPC之间的隔离性。同时，用户的VPC无论怎么规划，都不会影响到物理网络，也不会影响其他用户的网络规划，这样就可以做到用户对自己网络的独立规划，解除了物理网络和用户网络的耦合性。

VPC的功能需求主要有以下几点。

1)用户网络隔离。不同用户的VPC网络之间相互隔离，以保证用户的安全性。

2)用户的主机资源在同一个VPC内。用户的主机包括虚拟机和物理机资源，这些主机资源在一个VPC内，以保证用户资源的互通性。

3)同一个VPC内可划分子网。VPC内部，用户可以根据自己的使用需要划分不同的子网，并可以对IP地址进行自由规划。

4)为用户提供Internet访问功能。用户可以通过地址绑定或者NAT方式访问Internet。

5)为用户提供DHCP服务。支持DHCP server功能，用户主机自动获取IP地址。

6)防火墙服务。提供虚拟或者物理防火墙，用户可以选择是否使用防火墙。

7)QoS服务。根据用户业务流量优先级进行流量调度处理，对用户主机进行限速。

8)提供统计服务。对用户主机的网络流量进行统计，提供统计数据以及相关的数据分析功能。

9)提供网络冗余功能。提供端口冗余、网关冗余、路由冗余、VPN冗余等高可用性功能。

10)允许虚拟机迁移。用户虚拟机可以自由迁移，并且迁移后网络策略自动跟随。

11)提供远程VPN接入功能。允许用户的私有网络和VPC网络互通，形成统一的网络资源池。

2 基于SDN的虚拟私有云实现方式

2.1 概述

Software Defined Network(软件定义网络，SDN)由美国斯坦福大学提出，它是指将网络设备的控制平面(control plane)从数据平面(data plane)中分离出来，并让控制逻辑以软件方式运行于逻辑上独立的控制环境。这个架构可以让网络管理员在不改动硬件设备的前提下，以中央控制方式，用程序重新规划网络，为控制网络流量提供新的方法，也提供核心网络及应用创新的良好平台。

SDN架构图。数据层由只具有数据转发功能的设备组成，它负责数据的转发、设备信息的上报等;控制层又称为网络操作系统层，是SDN架构中的大脑，其抽取了原网络设备中的控制功能，负责制定流转发规则、状态信息收集、网络配置等控制功能;应用层通过调用控制层开放的API接口，编程实现各种网络功能，如网络监控、防火墙、流量过滤等。SDN技术分离数据和控制平面，通过部署标准化网络硬件平台，使得许多网络设备中的软件可以按需安装、修改、卸载而变身为运营商需要的设备，实现业务扩展。SDN的本质是逻辑集中控制层的可编程化。VPC应用于云计算数据中心，云计算资源池由云平台统一管理，实现对底层计算、存储、网络等物理资源的云化处理，并把相关资源作为服务提供给用户使用。目前，Openstack是最炙手可热的云管理平台，其提供开放的模块架构，以组件的方式对计算、存储、网络统一调度管理。本文以Openstack作为云平台为例来对VPC的实现方式进行分析。

3 总结

基于SDN的虚拟私有云通过构建Overlay网络的方式解决了云计算系统中多租户网络的隔离问题，屏蔽了租户业务网络对底层物理网络的影响，使得用户可以自由规划自己的网络，在大规模云计算系统中得到越来越多的应用。目前，虚拟私有云的实现方式主要有软件方式和硬件方式，各有其优缺点，适用于不同的场景。软件方案灵活性较高，对硬件网络设备没有依赖，适用于对原有系统的升级改造;硬件方案性能较好，不占用服务器的资源，但是需要专门的硬件网络设备，硬件成本比软件方案高。