許延偉+許凱

摘要：該文提出一種基于SDN全物理交換機(jī)部署OpenStakc網(wǎng)絡(luò)實(shí)現(xiàn)方法，使得OpenStack可以利用SDN強(qiáng)大的網(wǎng)絡(luò)管理優(yōu)勢，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)資源的統(tǒng)一高效的管理。該文方法中OpenStack不再對(duì)網(wǎng)絡(luò)資源進(jìn)行虛擬化管理，而是把網(wǎng)絡(luò)管理工作交付SDN控制器來完成，OpenStack直接接入物理交換機(jī)，實(shí)現(xiàn)了OpenStack與SDN的整合。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò)；OpenStack

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）04-0066-04

An Implementation to Deployed OpenStack on SDN Physical Switches

XU Yan-wei， XU Kai

（National Engineering Research Center for Broadband Networks & Applications， Shanghai 200336， China）

Abstract： In this paper， we proposes an implementation to deployed OpenStack on SDN physical switches， OpenStack could manage network resources effectively by using SDN. In this implementation， OpenStack did not need to manage network resources directly， the SDN did it； and OpenStack kindly connect to physical switches， we successfully integrated OpenStack and SDN.

Key words： SDN ； OpenStack

云計(jì)算（Cloud Computing）于2006年由google首次提出，經(jīng)過近十年的發(fā)展技術(shù)日漸成熟，云計(jì)算[1]也越來越普及，云提供的彈性、動(dòng)態(tài)的服務(wù)日益受人矚目。它使用戶能夠通過網(wǎng)絡(luò)按照自己的需求從一個(gè)共享的、可配置的資源池中獲取計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源。

隨著OpenStack[2]項(xiàng)目的出現(xiàn)，云平臺(tái)的搭建也越來越簡單。最初OpenStack項(xiàng)目由Nova，OSwift和Glance組成，網(wǎng)絡(luò)部分由Nova提供Flat Network配置和VLAN進(jìn)行隔離，這種簡單的網(wǎng)絡(luò)能力使得租戶很難設(shè)立多級(jí)網(wǎng)絡(luò)（Flat Networking模式），同時(shí)沒有擴(kuò)展性可言，因此并沒有受到公眾的重視。從OpenStack的Quantum[3]項(xiàng)目開始，OpenStack在接口設(shè)備（比如vNIC）間提供“網(wǎng)絡(luò)連接即服務(wù)”。Quantum使得租戶可以輕松建立虛擬網(wǎng)絡(luò)，模塊化的架構(gòu)和標(biāo)準(zhǔn)的API可方便實(shí)現(xiàn)防火墻和ACL的Plugin。在大量涌現(xiàn)的Plugin中，和網(wǎng)絡(luò)最相關(guān)的就是OpenFlow控制器RYU[4]的plugin，但是RYU開源的Plugin缺乏云計(jì)算最基本的特性：擴(kuò)展性。

本文將為OpenStack的Juno版本設(shè)計(jì)一個(gè)更具擴(kuò)展性的Neutron/ml2 plugin，同時(shí)利用SDN的集中支持并控制整個(gè)OpenFlow物理交換機(jī)網(wǎng)絡(luò)。

1 相關(guān)技術(shù)

1.1 OpenStack

OpenStack是一個(gè)開源云操作系統(tǒng)，是Infrastructure as a Service （IaaS） 中的一員。從2010年首次發(fā)布以來，現(xiàn)已成為互聯(lián)網(wǎng)中使用最為廣泛的云堆棧之一。OpenStack利用虛擬化技術(shù)，使用接口API實(shí)現(xiàn)了跨服務(wù)器網(wǎng)絡(luò)的虛擬機(jī)管理。通過該平臺(tái)，用戶可以分別以租戶和管理員的身份進(jìn)行登錄，租戶啟動(dòng)虛擬機(jī)實(shí)例進(jìn)行操作，可以動(dòng)態(tài)申請(qǐng)不同的計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源；管理員管理用戶訪問網(wǎng)絡(luò)規(guī)則和資源的分配。OpenStack 云平臺(tái)是通過組件交互模式來提供云服務(wù)，各個(gè)組件可以任意分配到不同的物理節(jié)點(diǎn)，具有良好的靈活性與擴(kuò)展性，如圖1所示。

1.2 Neutron

Neutron[5]是OpenStack 項(xiàng)目中負(fù)責(zé)提供網(wǎng)絡(luò)服務(wù)的組件。Neutron 的設(shè)計(jì)目標(biāo)是實(shí)現(xiàn)“網(wǎng)絡(luò)即服務(wù)”，在設(shè)計(jì)上遵循了基于“軟件定義網(wǎng)絡(luò)”實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化的原則，在實(shí)現(xiàn)上充分利用各種網(wǎng)絡(luò)相關(guān)的技術(shù)。

Neutron負(fù)責(zé)虛擬化網(wǎng)絡(luò)資源并進(jìn)行管理，通過RestFull API以及 RPC service為上層提供服務(wù)，利用Plugin對(duì)網(wǎng)絡(luò)資源進(jìn)行虛擬化并管理，如圖2所示。

Neutron負(fù)責(zé)管理以下實(shí)體

網(wǎng)絡(luò)：隔離的二層網(wǎng)絡(luò)域?？梢允翘摂M的網(wǎng)絡(luò)或者邏輯的網(wǎng)絡(luò)。同一個(gè)網(wǎng)絡(luò)中的主機(jī)彼此在二層網(wǎng)絡(luò)中可見。網(wǎng)絡(luò)是最基礎(chǔ)，子網(wǎng)以及端口都需要關(guān)聯(lián)到網(wǎng)絡(luò)。

子網(wǎng)：隔離的三層網(wǎng)絡(luò)域。每個(gè)虛擬機(jī)器有一個(gè)IP，同一個(gè)子網(wǎng)的主機(jī)彼此在三層網(wǎng)絡(luò)可見。一個(gè)子網(wǎng)可能會(huì)有一個(gè)網(wǎng)關(guān)、一組 DNS 和一個(gè)主機(jī)路由表。

端口：網(wǎng)絡(luò)上虛擬、邏輯或交換端口。虛擬機(jī)掛載網(wǎng)卡到特定的端口上，通過該端口訪問網(wǎng)絡(luò)。

如圖3所示，現(xiàn)行的Neutron Plugin把網(wǎng)絡(luò)資源虛擬化為Computer節(jié)點(diǎn)以及Network節(jié)點(diǎn)。在OpenStack中，所有網(wǎng)絡(luò)有關(guān)的邏輯管理均在Network節(jié)點(diǎn)中實(shí)現(xiàn)，例如DNS、DHCP以及路由等。Compute節(jié)點(diǎn)上只需要對(duì)所部屬的虛擬機(jī)提供基本的網(wǎng)絡(luò)功能支持，包括隔離不同租戶的虛擬機(jī)和進(jìn)行一些基本的安全策略管理（即Security Group）。

另外OpenStack網(wǎng)絡(luò)允許創(chuàng)建和附加第三方插件，第三方插件可以實(shí)現(xiàn)適應(yīng)不同的網(wǎng)絡(luò)設(shè)備，使得OpenStack部署和架構(gòu)更加的靈活。

1.3 軟件定義網(wǎng)絡(luò)（SDN）

SDN（Software Defined Network）[6]是把傳統(tǒng)網(wǎng)絡(luò)設(shè)備緊密耦合的網(wǎng)絡(luò)架構(gòu)分拆為應(yīng)用、控制、數(shù)據(jù)轉(zhuǎn)發(fā)3層分離的體系架構(gòu)，其核心技術(shù)是通過實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的控制權(quán)和轉(zhuǎn)發(fā)權(quán)的相互獨(dú)立，從而靈活、方便的控制數(shù)據(jù)包的轉(zhuǎn)發(fā)，提供了一種可編程的網(wǎng)絡(luò)管理模式。

在軟件定義網(wǎng)絡(luò)中，控制器通過南向接口（OpenFlow[7]協(xié)議）獲取底層網(wǎng)絡(luò)設(shè)備信息，進(jìn)行統(tǒng)一部署、集中管理以及靈活控制，從而解決了分散網(wǎng)絡(luò)設(shè)備的管理控制問題。同時(shí)，控制器提供了可編程擴(kuò)展的北向接口，按不同需求設(shè)計(jì)的功能應(yīng)用軟件可以直接運(yùn)行在控制器上，利用控制器對(duì)全局網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理。

2 基于SDN全物理交換機(jī)部署OpenStack

傳統(tǒng)化網(wǎng)絡(luò)中存在品牌各異的交換機(jī)、終端、路由器、以及其他設(shè)備，在這些網(wǎng)絡(luò)設(shè)備中使用著大量封閉、專有的內(nèi)部接口以及協(xié)議。所以對(duì)現(xiàn)有傳統(tǒng)化網(wǎng)絡(luò)進(jìn)行有效的統(tǒng)一管理十分困難。OpenStack為了解決現(xiàn)有傳統(tǒng)化網(wǎng)絡(luò)統(tǒng)一管理的問題，提出了虛擬化網(wǎng)絡(luò)資源管理方法。在現(xiàn)行的OpenStack網(wǎng)絡(luò)模塊Neutron網(wǎng)絡(luò)管理主要分為Vlan[8]、Gre[9]、Vxlan[10]三種模式。這三種模式共同點(diǎn)在于首先在底層對(duì)網(wǎng)絡(luò)資源進(jìn)行虛擬化，把所有網(wǎng)絡(luò)資源虛擬化為虛擬網(wǎng)絡(luò)節(jié)點(diǎn)；通過對(duì)虛擬節(jié)點(diǎn)的統(tǒng)一管理配置來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的統(tǒng)一管理。虛擬節(jié)點(diǎn)之間通過虛擬網(wǎng)橋相互通信，在網(wǎng)橋之間加入安全策略管理層，以進(jìn)行訪問控制；虛擬節(jié)點(diǎn)之間通過統(tǒng)一的DHCP服務(wù)劃分子網(wǎng)，實(shí)現(xiàn)不同租戶之間的隔離。

軟件定義網(wǎng)絡(luò)技術(shù)的發(fā)展實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)資源的有效的統(tǒng)一管理，使得我們可以通過軟件來控制網(wǎng)絡(luò)訪問，還可以進(jìn)行全局流量管理、訪問控制等高級(jí)網(wǎng)絡(luò)管理功能。本文提出一種基于SDN的全物理交換機(jī)部屬OpenStack的方法，使得OpenStack可以利用SDN來統(tǒng)一管理其網(wǎng)絡(luò)資源。

3 基于SDN的OpenStack網(wǎng)絡(luò)模塊

SDN控制前臺(tái)：SDN的全局控制模塊，包含路由模塊、DHCP模塊、安全模塊。

路由模塊：根據(jù)交換機(jī)的拓?fù)浣Y(jié)構(gòu)信息以及路由選擇策略計(jì)算得到任意兩個(gè)所述交換機(jī)之間的路由路徑信息，根據(jù)路由路徑信息生成相應(yīng)的OpenFlow流表?？梢酝ㄟ^配置相應(yīng)的三層網(wǎng)關(guān)，實(shí)現(xiàn)三層網(wǎng)絡(luò)通信。

DHCP模塊：動(dòng)態(tài)IP分配模塊，根據(jù)相應(yīng)策略劃分子網(wǎng)，實(shí)現(xiàn)租戶的網(wǎng)絡(luò)隔離；并負(fù)責(zé)IP池的創(chuàng)建、管理、回收等工作。

安全模塊：OpenStack的網(wǎng)絡(luò)安全策略共功能的實(shí)現(xiàn)，可以在該模塊部屬防火墻，實(shí)現(xiàn)內(nèi)網(wǎng)、外網(wǎng)之間的訪問控制，該模塊可以根據(jù)相應(yīng)的安全策略生成特定的OpenFlow流表，并下發(fā)到對(duì)應(yīng)OpenFlow交換機(jī)。

SDN控制器后臺(tái)：實(shí)現(xiàn)了對(duì)OpenFlow物理交換機(jī)的管理工作。利用OpenFlow協(xié)議控制物理交換機(jī)。實(shí)時(shí)統(tǒng)計(jì)網(wǎng)絡(luò)的流量以及網(wǎng)絡(luò)拓?fù)湫畔?，?fù)責(zé)下發(fā)流表到對(duì)應(yīng)交換機(jī)。

OpenFlow交換機(jī)層：物理層交換機(jī)，根據(jù)SDN控制器下發(fā)的流表轉(zhuǎn)發(fā)數(shù)據(jù)包。

OpenStack平臺(tái)：OpenStack無需關(guān)心底層網(wǎng)絡(luò)實(shí)現(xiàn)，所有網(wǎng)絡(luò)管理工作交付SDN模塊網(wǎng)絡(luò)模塊來進(jìn)行統(tǒng)一管理。

OpenStack虛擬機(jī)之間不再通過網(wǎng)橋進(jìn)行通訊，而是通過物理交換機(jī)直接建立一個(gè)點(diǎn)對(duì)點(diǎn)的連接。OpenStack平臺(tái)不再參與后臺(tái)網(wǎng)絡(luò)的構(gòu)建，把網(wǎng)絡(luò)構(gòu)建，連通與維護(hù)全部交于上述的SDN控制器，SDN控制器會(huì)自動(dòng)識(shí)別拓?fù)?、?jì)算路由路徑、下發(fā)流表。

4 基于SDN的全物理交換機(jī)部署OpenStack

步驟1：啟動(dòng)OpenStack，通常的模式是OpenStack控制節(jié)點(diǎn)、網(wǎng)絡(luò)節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)分布在不同的服務(wù)器上，不同的節(jié)點(diǎn)之間用管理網(wǎng)段相互通訊。

步驟2：SDN控制器以O(shè)penStack Neutron插件的方式實(shí)現(xiàn)啟動(dòng)，在ml2_conf中配置本項(xiàng)目的控制器，然后啟動(dòng)SDN控制器后臺(tái)。

步驟3：接入OpenFlow物理交換機(jī)，物理交換機(jī)之間使用網(wǎng)線互連，物理交換機(jī)和OpenStack的網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)器使用網(wǎng)線互連，在OpenStack網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)器相應(yīng)增加通往物理交換機(jī)的port。

步驟3：SDN控制器識(shí)別完整個(gè)網(wǎng)絡(luò)拓?fù)?，包括所有的物理交換機(jī)，OpenStack虛擬交換機(jī)以及實(shí)例，連接到物理交換機(jī)的主機(jī)信息，開始計(jì)算路徑，下發(fā)流表；根據(jù)相應(yīng)的安全策略生成相應(yīng)的流表并下發(fā)。

步驟4：SDN控制器啟動(dòng)一個(gè)監(jiān)控線程監(jiān)控拓?fù)涞淖兓?，?dāng)新增、刪除交換機(jī)或者新增、刪除改變交換機(jī)的某個(gè)端口時(shí)，線程會(huì)重新通知控制器計(jì)算受影響的節(jié)點(diǎn)的路徑，重新下發(fā)流表。網(wǎng)絡(luò)拓?fù)涞淖兓瘍H會(huì)影響通過路該交換機(jī)端口的路徑，所以只是流表局部下發(fā)，并不會(huì)影響拓?fù)渲型ㄟ^其余正常交換機(jī)進(jìn)行通信的主機(jī)。

步驟4：至此OpenStack網(wǎng)絡(luò)已經(jīng)完成對(duì)整個(gè)物理交換機(jī)層的管控，可以輕松地在各網(wǎng)段配置實(shí)例、網(wǎng)絡(luò)，通過SDN控制器前臺(tái)配置的三層網(wǎng)關(guān)也可以跨網(wǎng)段通信，也可以通過網(wǎng)絡(luò)節(jié)點(diǎn)的對(duì)外接口實(shí)現(xiàn)外網(wǎng)通信需求。實(shí)現(xiàn)了OpenStack網(wǎng)絡(luò)模塊現(xiàn)有的所有功能。

相比現(xiàn)行OpenStack網(wǎng)絡(luò)模塊實(shí)現(xiàn)本文提出的方法具有以下優(yōu)勢：

OpenStack平臺(tái)管理的網(wǎng)絡(luò)為全OpenFlow物理交換機(jī)。區(qū)別于現(xiàn)在通常的實(shí)現(xiàn)方式為全虛擬交換機(jī)，虛擬網(wǎng)關(guān)的模式。

重新定義了OpenStack平臺(tái)內(nèi)各交換機(jī)之間的連接方式：交換機(jī)之間不再使用二層網(wǎng)絡(luò)通信的方式，而是通過流表控制的方式通信。物理交換機(jī)和OpenStack虛擬交換機(jī)之間通過點(diǎn)對(duì)點(diǎn)方式進(jìn)行連接。

OpenStack平臺(tái)管理方式保持不變，本文提出的網(wǎng)絡(luò)管理模塊對(duì)于OpenStack平臺(tái)保持透明，OpenStack完全可以不關(guān)心后臺(tái)網(wǎng)絡(luò)；控制器以插件的方式運(yùn)行，負(fù)責(zé)整個(gè)交換機(jī)網(wǎng)絡(luò)的路徑計(jì)算，流表下發(fā)，使整個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)互通。

使得OpenStack平臺(tái)的網(wǎng)絡(luò)管理更加方便，可以更加便捷的配置網(wǎng)絡(luò)的高級(jí)管理功能比如QoS、流量管理功能等。

5 結(jié)束語

本文提出了一種基于SDN控制器，對(duì)于全物理OpenFlow交換機(jī)網(wǎng)絡(luò)的OpenStack解決方案。該解決方案可以實(shí)現(xiàn)OpenStack平臺(tái)對(duì)于全物理OpenFlow交換機(jī)網(wǎng)絡(luò)的管控。OpenFlow交換機(jī)層對(duì)于OpenStack層透明，OpenStack平臺(tái)管理模式不變，也不關(guān)心下層交換機(jī)之間是如何運(yùn)作的。SDN控制器負(fù)責(zé)下發(fā)流表完成網(wǎng)絡(luò)連通?；赟DN全物理交換機(jī)部署OpenStack可充分體現(xiàn)SDN的優(yōu)勢，利用SDN實(shí)現(xiàn)了對(duì)OpenStack網(wǎng)絡(luò)資源的高效統(tǒng)一的管理。

參考文獻(xiàn)：

[1] Mell P， Grance T. The NIST definition of cloud computing[Z]. 2011.

[2] Stack O. Open source software for building private and public cloud[Z]. 2013.

[3] Quantum N. OpenFlow Plugin[EB/OL].http：//wiki.openstack.org.Quantum-NEC-OpenFlow-Plugin.

[4] Online-Document， Ryu Network[EB/OL].http：//osrg.github.io/ryu/resources.html#books.

[5] Denton J. Learning OpenStack Networking （Neutron）[M]. Packt Publishing Ltd， 2014.

[6] Fundation O N. Software-defined networking： The new norm for networks[M]. ONF White Paper， 2012.

[7] McKeown N. OpenFlow： enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review， 2008， 38（2）： 69-74.

[8] 應(yīng)旭鋒. 淺談 VLAN 技術(shù)在局域網(wǎng)內(nèi)的實(shí)施和應(yīng)用[J]. 中國醫(yī)學(xué)教育技術(shù)， 2010（1）： 47-48.

[9] 唐琴. GRE 隧道技術(shù)在大型企業(yè)網(wǎng)中的應(yīng)用[J]. 電腦知識(shí)與技術(shù)： 學(xué)術(shù)交流， 2008（8）： 800-802.

[10] 繆仕福. VXLAN 網(wǎng)絡(luò)技術(shù)研究[J]. 科技資訊， 2015（4）： 9.