虚拟私有云(VPC, Virtua Private Coud),是基于虚拟化技术实现的供企业自己使用私有云平台,它将网络、安全、存储、计算等一系列虚拟资源进行组合,供企业用户按需使用。 随着数据中心的集中化,越来越多的大型企业倾向于使用虚拟私有云部署企业内部IT系统。
以SDN、Overay等技术为支撑VPC方案,具备云化管理和运维、产品形态软件化、网络功能虚拟化、网络控制集中化等技术特征,能实现云端管理运维、高度开放、海量租户、网络灵活自定义、资源随需而动、虚机迁移自跟随等多种业务需求。VPC方案主要包括下面三种关键技术。
云平台
云平台是企业云运维的核心系统,它主要基于基础设施虚拟化来实现资源池化,并融合企业所需的多种服务流程为企业用户提供安全便捷的IT服务应用。
OpenStack是目前最热门的开源云平台,其最核心价值是基于开放API和完全解耦的模块化系统架构设计思路,因此OpenStack系统具有良好的开放性与兼容性。单独的
Openstack无法承担企业IT云平台商用建设,商业Coud OS一般使用Openstack作为云服务中间件来衔接各功能模块构建企业IT基础设施云平台。
SDN(Software Defined Network,软件定义网络)
SDN是一种创新性的网络架构,它的其核心思想是通过Openfow等标准化技术实现控制平面与转发平面分离从而简化网络管理,其特点很符合云计算对网络的要求。
SDN技术在控制和转发平面分离的基础上,实现对网络流量的灵活化、集中化、细粒度的控制,从而为网络的集中管理和应用的创新提供了良好的平台。由此企业和运营商的网络具备了可编程、可自动化控制等特点。这种可扩展的弹性网络更容易适应变化的业务需求。
Overay
Overay技术可以使用户原始数据通过路由转发,不再受二层网络限制,因此具备良性大规模扩展能力。VXAN技术是目前市场上主流的Overay技术。
Overay网络使物理网络虚拟化、资源池化,是实现云网融合的关键。把SDN技术和Overay网络结合使用,把SDN控制器作为Overay网络控制平面的控制器,这种方式更容易把使网络与计算组件整合,是网络向云平台转变的理想选择。
一、 VPC的实现详解
本文以 H3C VPC方案为例详解VPC平台该如何搭建?
- H3C VPC的整体架构
如图1所示,VPC的整体架构自顶向下主要包含H3Coud OS云管理平台、计算存储虚拟化管理系统和VCFC控制器分布式集群,以及底层由NFV虚拟网络单元或经典网络设备构建的VPC网络。其中,H3Coud OS云管理平台实现对网络、计算、存储、安全等资源的统一管理;计算存储虚拟化管理系统(H3C CVM/vCenter等)负责计算存储虚拟化管理;VCF控制器分布式集群实现对底层网络、NFV资源的集中管理,虚拟网络单元和经典网络设备承担网络转发功能。
基于SDN+Overlay的虚拟私有云(VPC)实现
- H3Coud OS云管理平台云管理平台
基于SDN+Overlay的虚拟私有云(VPC)实现
如图2所示,H3Coud OS云管理平台是H3C基于自己深厚的IT基础架构和运维管理支撑经验、专业的IToIP解决方案、融合的云计算服务模式、全面的SaaS、PaaS、IaaS层对接能力而构建的综合性云管理平台,它让政府、企业更专注于自身的职能和专长,从复杂的传统机房管理中解脱出来,改为享受专业的云服务商提供的服务,它具备以下多种优势:
提供丰富的云服务
提供云主机、云硬盘、云防火墙、云负载均衡、云数据库、云应用、云网盘、弹性IP、虚拟数据中心等丰富多样的云服务,而且支持根据用户的需求进行灵活裁剪。
云用户通过自助服务门户可以完成所有云资源的申请、使用、配置、修改、销毁,还可以通过自助服务门户完成查看所申请云资源的使用情况、性能状况、审批流程、操作日志、计费信息等。
基于openstack架构实现
H3Coud OS云管理平台基于penstack架构实现,在继承了H3C软件产品的成熟、稳定、商业化程度高的基础上,也同时拥有Openstack架构灵活、扩展性强、开放性和兼容度高的特点。同时它还对Openstack的深入改造,实现了与H3C物理防火墙、B等网络设备的对接,以及对H3C CVM虚拟化软件和VMWare的支持。
可自定义的业务审批流程
支持多级云服务审批,可以使用业务流程控制手段对行为的过程和结果进行有效监管和控制,并提供行为审计;支持定制流程模板,使用独立的流程审批平台,对服务申请进行审批。
强大的管理能力
具备强大的管理能力,支持统一资源管理、存储管理、计算管理、安全管理,同时还可以提供丰富、多维度的统计和趋势分析报表。
高度的开放性
H3Coud OS云管理平台平台是一个开放的云管理平台,它除了兼容Openstack的API接口外,还提供涵盖IaaS、PaaS/SaaS三个层面的REST API接口供第三方开发部署。
便捷的安装部署
H3Coud OS云管理平台云平台的安装包中内置Openstack安装文件,支持Openstack和云平台的一体化自动化部署,将云平台的部署时间从几天缩短至几小时。同时支持自动化部署在没有做虚拟化的物理服务器上,并提供高可用HA部署方案。
- 详解云平台的“大脑”-VCF控制器
H3C VCF控制器是一个SDN 控制器,VCF控制器集群是云平台的“大脑”。如图3所示,VCF控制器在架构上大致分为:北向接口层、内置应用层、基础网络层、抽象逻辑层、南向接口层。VCF控制器负责物理网络及虚拟网络的管控,同时北向可与各类云平台进行对接,并兼容第三方APP,从而易于完成网络业务的快速部署及调整。
基于SDN+Overlay的虚拟私有云(VPC)实现
图3 VCF控制器架构
北向接口层
提供标准的Restfu API、JAVA/C API,可以与Openstack、类Openstack、IMC等多种云平台对接。除此,VCF控制器还支持嵌入式和独立第三方应用,满足用户根据自己业务需要自主定制开发应用的需求。
内置应用层
提供了基于Openfow的基础功能包,如Overay APP、服务链APP、云POP APP、自动化部署APP以及控制器大规模集群架构等。
基础网络层
通过基础网络层的各个功能模块,VCF控制器可以实现对网络的拓扑管理、链路管理、主机管理、连接管理、设备管理、流表管理、转发管理等多种多样式的管理。
抽象逻辑层
抽象逻辑层主要作用是将服务抽象出来,不管控制器和网络设备之间使用的是何种通信协议,提供协约过的统一服务。它支持多种南向协议,为各模块和应用提供一致的服务。
南向接口层
VCF控制器通过南向接口层的Openfow、Netconf/OVSDB等标准协议通道,还可以实现对传统经典网络、OpenFow网络、Overay网络、NFV网络等多种网络的支持和网络集中控制。
系统管理
VCF控制器可以通过图形化界面实现应用管理、配置管理、用户管理、icense管理等多种多样的系统管理功能。
集群管理
VCF控制器集群支持控制器数量的弹性扩展,可以根据网络规模动态伸缩,支持对超大规模网络的集中化控制;集群由eader控制器在北向提供统一的IP地址与所有上层软件进行交互,所有控制器位于同一二层网络,每个控制器拥有唯一的南向IP;集群南向通过划分Region管理网络设备,Region内部的控制器互为备份和负载分担。
VNF Manager
VCF控制器通过融合VNF Manager,可以实现对NFV资源的生命周期管理、业务编排、业务部署等多种功能。
运维监控
VCF控制器提供强大而丰富的运维监控功能:提供全面、系统的日志,包含系统日志、操作日志、诊断日志等多种日志;支持Openfow跟踪、告警通知等维护手段;支持端到端连通性诊断、分段连通性诊断等多种Overay链路诊断;支持流量统计、流量镜像等监控手段;支持雷达探测、单薄仿真等多种互通性的监测手段。
- 选择VPC的构建模型-Overay网络
Overay包括网络Overay、主机Overay和混合Overay三种部署模型。网络Overay的在物理交换机完成报文的隧道封装,传统网络如需部署此种模式则需要大批量更换设备;主机Overay由虚拟设备完成报文隧道封装,虚拟设备是承载在服务器上的服务器可能存在转发瓶颈;混合Overay融合了上述两种方案的优点,充分发挥硬件网关的高性能和虚拟网关的业务灵活性,又减少了对现有网络的改动,是极佳的Overay模型。
二、 H3C VPC的整体部署
H3C VPC的整体部署,如图4所示。
基于SDN+Overlay的虚拟私有云(VPC)实现
H3Coud OS云管理平台提供云主机、云硬盘、云网盘、云防火墙、云负载均衡、云数据库、弹性IP等丰富的云服务,通过流程化服务模板和操作向导帮助用户快捷开通云业务;同时为管理员提供多级组织结构、业务审批流程、计费、监控、统计分析等丰富的运营、运维支撑能力。
H3C CVM/vCenter等管理系统负责计算存储虚拟化管理,并将虚拟化相关的必要信息同步给VCF控制器,以支持VCF控制器实现对虚拟化网络的管理。
VCF控制器实现网络的集中化控制管理,控制器支持集群机制,开放REST API、
JAVA/C API等多种形式的北向标准化接口,实现与上层平台的对接,用户可根据实际需要开发、部署最新业务。同时,控制器通过集成的VNF Manager,可以实现对vFW、vB等NFV资源的管理,也可以通过服务链APP实现对东西、南北向服务链部署。
H3C vSwitch做VXAN GW可以对计算节点上的各虚拟机之间以及虚拟机与外部网络之间的流量进行转发。H3C vSwitch支持VMware、KVM、XEN、CAS等多个虚拟化平台,支持VXAN、DVR、状态防火墙、QOS、NAT、端口镜像等丰富特性;而S6800作为VXAN GW时,可以将传统的非虚拟化物理服务器接入到VXAN网络中,从而可以最大程度地实现利旧和降低成本。
S125-X、S98可以充当VXAN IP GW,实现VXAN网络和传统网络之间的互通。其中S125-X作为高可靠的VXAN硬件网关组,支持业务负载分担、弹性扩展和设备无缝升级,可以提供Overay与经典网络互通的通道。
服务节点包括VSR、VFW、VB等NFV池化资源,也可以包括M9000等传统硬件安全设备,然后通过VCF控制器、vSwitch的配合,实现灵活、可定义的东西向和南北向服务链功能,实现资源利用的充分化和成本最低化。
完成如图5所示的H3C VPC整体部署后,管理员通过H3Coud OS云管理平台和VCF控制器可以实现对整个VPC的集中控制管理和网络自动化,大幅降低了运维人员的工作量;同时也实现了多租户的安全隔离,各租户可以根据实际需要选择部署不同的计算、网络和安全资源,VXAN的大规格也方便VPC的后续扩展;计算虚拟化、网络虚拟化等设备和技术的应用,构筑了统一的资源池,大大方便了资源的动态调整、随需而动。
三、 结语
H3C VPC通过集成SDN、Overay等最新技术,并协同H3Coud OS云管理平台、VCF控制器、虚拟化资源和传统网络设备、安全设备等网络资源,可以实现物理资源、虚拟资源的随需而动,解决了云计算、虚拟化、大数据等技术带来的挑战,充分满足了企业云化管理和运维、网络灵活定义、资源弹性部署、海量租户规模、租户安全隔离、网络安全可靠的诸多需求。
本文转自d1net(转载)