數(shù)據(jù)中心虛擬化成為了趨勢,通過服務器虛擬化提高資源利用率,同時降低單位能耗。但是,隨著數(shù)據(jù)中心虛擬化程度的不斷提高、虛擬化服務器規(guī)模的不斷擴大,帶來了巨大的管理壓力。這就孕育了云計算誕生的條件。在大規(guī)模虛擬化的基礎上,實現(xiàn)了自動化管理和集中化管理,就是云計算的基本模型。這一點在互聯(lián)網(wǎng)行業(yè)尤其重要。
一、 互聯(lián)網(wǎng)云計算對網(wǎng)絡的需求
互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)中心的基本特征就是服務器的規(guī)模偏大。進入云計算時代后,其業(yè)務特征變得更加復雜,包括:虛擬化支持、多業(yè)務承載、資源靈活調(diào)度等(如圖1所示)。與此同時,互聯(lián)網(wǎng)云計算的規(guī)模不但沒有縮減,反而更加龐大。這就給云計算的網(wǎng)絡帶來了巨大的壓力。
圖1. 互聯(lián)網(wǎng)云計算的業(yè)務特點
大容量的MAC表項和ARP表項
虛擬化會導致更大的MAC表項。假設一個互聯(lián)網(wǎng)云計算中心的服務器有5000臺,按照1:20的比例進行虛擬化,則有10萬個虛擬機。通常每個虛擬機會配置兩個業(yè)務網(wǎng)口,這樣這個云計算中心就有20萬個虛擬網(wǎng)口,對應的就是需要20萬個MAC地址和IP地址。云計算要求資源靈活調(diào)度,業(yè)務資源任意遷移。也就是說任意一個虛擬機可以在整個云計算網(wǎng)絡中任意遷移。這就要求全網(wǎng)在一個統(tǒng)一的二層網(wǎng)絡中。全網(wǎng)任意交換機都有可能學習到全網(wǎng)所有的MAC表項。與此對應的則是,目前業(yè)界主流的接入交換機的MAC表項只有32K,基本無法滿足互聯(lián)網(wǎng)云計算的需求。另外,網(wǎng)關需要記錄全網(wǎng)所有主機、所有網(wǎng)口的ARP信息。這就需要網(wǎng)關設備的有效ARP表項超過20萬。大部分的網(wǎng)關設備芯片都不具備這種能力。
4K VLAN Trunk問題
傳統(tǒng)的大二層網(wǎng)絡支持任意VLAN的虛擬機遷移到網(wǎng)絡的任意位置,一般有兩種方式。方式一:虛擬機遷移后,通過自動化網(wǎng)絡管理平臺動態(tài)的在虛擬機對應的所有端口上下發(fā)VLAN配置;同時,還需要動態(tài)刪除遷移前虛擬機對應所有端口上的VLAN配置。這種方式的缺點是實現(xiàn)非常復雜,同時自動化管理平臺對多廠商設備還面臨兼容性的問題,所以很難實現(xiàn)。方式二:在云計算網(wǎng)絡上靜態(tài)配置VLAN,在所有端口上配置VLAN trunk all。這種方式的優(yōu)點是非常簡單,是目前主流的應用方式。但這也帶來了巨大的問題:任一VLAN內(nèi)如果出現(xiàn)廣播風暴,則全網(wǎng)所有VLAN內(nèi)的虛擬機都會受到風暴影響,出現(xiàn)業(yè)務中斷。
4K VLAN上限問題
云計算網(wǎng)絡中有可能出現(xiàn)多租戶需求。如果租戶及業(yè)務的數(shù)量規(guī)模超出VLAN的上限(4K),則無法支撐客戶的需求。
虛擬機遷移網(wǎng)絡依賴問題
VM遷移需要在同一個二層域內(nèi),基于IP子網(wǎng)的區(qū)域劃分限制了二層網(wǎng)絡連通性的規(guī)模。
二、互聯(lián)網(wǎng)云計算網(wǎng)絡為什么選擇Overlay
針對互聯(lián)網(wǎng)云計算對網(wǎng)絡提出的這些挑戰(zhàn),H3C選擇了基于VXLAN技術的Overlay網(wǎng)絡架構(gòu)來構(gòu)建自己的云計算網(wǎng)絡解決方案。
1. Overlay如何應對云計算網(wǎng)絡的挑戰(zhàn)
首先,Overlay的核心是重新構(gòu)建一個邏輯網(wǎng)絡平面,其技術手段的關鍵是采用隧道技術實現(xiàn)L2oIP的封裝。通過隧道實現(xiàn)各虛擬機之間的二層直連。這樣網(wǎng)絡只看見Overlay邊緣節(jié)點的MAC地址,物理網(wǎng)絡學習到的MAC表項非常有限,現(xiàn)有接入交換機32K的MAC表項足以滿足需求(如圖2所示)。對應的Overlay邊緣節(jié)點實現(xiàn)基于會話的地址學習機制,也就是說只學習有交互流量的虛擬機MAC地址。這樣也嚴格限制了邊緣節(jié)點的地址表項。
圖2. Overlay網(wǎng)絡如何應對云計算網(wǎng)絡的挑戰(zhàn)
其次,Overlay網(wǎng)絡僅僅是一個邏輯上的二層直連網(wǎng)絡。其依賴的物理網(wǎng)絡,是一個傳統(tǒng)的路由網(wǎng)絡。這個路由網(wǎng)絡是一個三層到邊緣的網(wǎng)絡。也就是說二層廣播域被縮小到極致。這樣,網(wǎng)絡風暴潛在的風險大幅度降低。同時,對于一些需要依賴二層廣播的協(xié)議報文,例如:ARP報文,Overlay網(wǎng)絡通過ARP代理等方式實現(xiàn)協(xié)議的內(nèi)容透傳,不會影響協(xié)議報文的正常運作。
再次,針對4K VLAN上限問題,Overlay網(wǎng)絡通過L2oIP的封裝字段,提供24bits長度的隔離ID,最大可以支持16M租戶或業(yè)務。
最后,針對網(wǎng)絡虛擬化問題。Overlay網(wǎng)絡本身就是一個從物理網(wǎng)絡中抽離的邏輯網(wǎng)絡,通過名址分離使得內(nèi)層IP地址完全作為一個尋址標簽,不再具備路由功能,可以實現(xiàn)不同subnet之間二層互通,保證二層網(wǎng)絡的連通性不受IP地址段的限制。
2. H3C為什么選擇VXLAN
從Overlay網(wǎng)絡出現(xiàn)開始,業(yè)界陸續(xù)定義了多種實現(xiàn)Overlay網(wǎng)絡的技術,主流技術包括:VXLAN、NVGRE、STT、Dove等(如圖3所示)。
圖3 Overlay主流技術概覽
從標準化程度進行分析,DOVE和STT到目前為止,標準化進展緩慢,基本上可以看作是IBM和VMware的私有協(xié)議。因此,從H3C的角度來看無法選擇這兩種技術。
從技術的實用性來看,XLAN和NVGRE兩種技術基本相當。其主要的差別在于鏈路Hash能力。由于NVGRE采用了GRE的封裝報頭,需要在標準GRE報頭中修改部分字節(jié)來進行Hash實現(xiàn)鏈路負載分擔。這就需要對物理網(wǎng)絡上的設備進行升級改造,以支持基于GRE的負載分擔。這種改造大部分客戶很難接受。相對而言,VXLAN技術是基于UDP報頭的封裝,傳統(tǒng)網(wǎng)絡設備可以根據(jù)UDP的源端口號進行Hash實現(xiàn)鏈路負載分擔。這樣VXLAN網(wǎng)絡的部署就對物理網(wǎng)絡沒有特殊要求。這是最符合客戶要求的部署方案,所以VXLAN技術是目前業(yè)界主流的實現(xiàn)方式。
3. VXLAN為什么選擇SDN
VXLAN的標準協(xié)議目前只定義了轉(zhuǎn)發(fā)平面流程,對于控制平面目前還沒有協(xié)議規(guī)范,所以目前業(yè)界有三種定義VXLAN控制平面的方式。
方式1:組播。由物理網(wǎng)絡的組播協(xié)議形成組播表項,通過手工將不同的VXLAN與組播組一一綁定。VXLAN的報文通過綁定的組播組在組播對應的范圍內(nèi)進行泛洪。簡單來說,和VLAN方式的組播泛洪和MAC地址自學習基本一致。區(qū)別只是前者在三層網(wǎng)絡中預定義的組播范圍內(nèi)泛洪,而后者是在二層網(wǎng)絡中指定VLAN范圍內(nèi)泛洪。這種方式的優(yōu)點是非常簡單,不需要做協(xié)議擴展。但缺點也是顯而易見的,需要大量的三層組播表項,需要復雜的組播協(xié)議控制。顯然,這兩者對于傳統(tǒng)物理網(wǎng)絡的交換機而言,都是巨大的負荷和挑戰(zhàn),基本很難實現(xiàn)。同時,這種方式還給網(wǎng)絡帶來大量的組播泛洪流量,對網(wǎng)絡性能有很大的影響。
方式2:自定義協(xié)議。通過自定義的鄰居發(fā)現(xiàn)協(xié)議學習Overlay網(wǎng)絡的拓撲結(jié)構(gòu)并建立隧道管理機制。通過自定義(或擴展)的路由協(xié)議透傳Overlay網(wǎng)絡的MAC地址(或IP地址)。通過這些自定義的協(xié)議可以實現(xiàn)VXLAN控制平面轉(zhuǎn)發(fā)表項的學習機制。這種方式的優(yōu)點是不依賴組播,不存在大量的組播泛洪報文,對網(wǎng)絡性能影響很小。缺點是通過鄰居發(fā)現(xiàn)協(xié)議和路由協(xié)議控制所有網(wǎng)絡節(jié)點,這樣網(wǎng)絡節(jié)點的數(shù)量就受到協(xié)議的限制。換句話說,如果網(wǎng)絡節(jié)點的數(shù)量超過一定范圍,就會導致對應的協(xié)議(例如路由協(xié)議)運行出現(xiàn)異常。這一點在互聯(lián)網(wǎng)行業(yè)更加明顯,因為互聯(lián)網(wǎng)行業(yè)云計算的基本特征就是大規(guī)模甚至超大規(guī)模。尤其是在vSwitch上運行VXLAN自定義路由協(xié)議,其網(wǎng)絡節(jié)點數(shù)量可以達到幾千甚至上萬個,沒有路由協(xié)議可以支持這種規(guī)模的網(wǎng)絡。
方式3:SDN控制器。通過SDN控制器集中控制VXLAN的轉(zhuǎn)發(fā),經(jīng)由Openflow協(xié)議下發(fā)表項是目前業(yè)界的主流方式。這種方式的優(yōu)點是不依賴組播,不對網(wǎng)絡造成負荷;另外,控制器通過集群技術可以實現(xiàn)動態(tài)的擴容,所以可以支持大規(guī)模甚至超大規(guī)模的VXLAN網(wǎng)絡。當然,SDN控制器本身的性能和可靠性決定了全網(wǎng)的性能和可靠性,所以如何能夠提高控制器的性能和可靠性就是核心要素。
三、VXLAN Fabric網(wǎng)絡架構(gòu)的優(yōu)勢
云計算網(wǎng)絡一直都有一個理念:Network as a Fabric,即整網(wǎng)可以看作是一個交換機。通過VXLAN Overlay可以很好地實現(xiàn)這一理念——VXLAN Fabric(如圖4所示)。
圖4 VXLAN Fabric網(wǎng)絡架構(gòu)
Spine和Leaf節(jié)點共同構(gòu)建了Fabric的兩層網(wǎng)絡架構(gòu),通過VXLAN實現(xiàn)Spine和Leaf之間的互聯(lián),可以看做是交換機的背板交換鏈路。Spine節(jié)點數(shù)量可以擴容,最大可以達到16臺。Leaf節(jié)點數(shù)量也可以平滑擴容。理論上只要Spine節(jié)點的端口密度足夠高,這個Fabric可以接入數(shù)萬臺物理服務器。
另外,通過VXLAN隧道可以實現(xiàn)安全服務器節(jié)點的靈活接入。這些安全服務節(jié)點可以集中部署在一個指定區(qū)域,也可以靈活部署在任意Leaf節(jié)點下。通過Service Chain技術實現(xiàn)任意兩個虛擬機之間可以通過任意安全服務節(jié)點互聯(lián)。保證網(wǎng)絡中虛擬機業(yè)務的安全隔離和控制訪問。同理,F(xiàn)abric的出口節(jié)點也可以部署在任意位置,可以靈活擴展。
簡而言之,VXLAN Fabric構(gòu)建了一個靈活的、穩(wěn)定的、可擴展的Overlay網(wǎng)絡。這個網(wǎng)絡可以有效地解決云計算對網(wǎng)絡的挑戰(zhàn),是云計算網(wǎng)絡發(fā)展的趨勢。
