摘? 要：軟件定義網(wǎng)絡(luò)（SDN）是解決傳統(tǒng)網(wǎng)絡(luò)技術(shù)對(duì)云計(jì)算平臺(tái)支持不力問題的有效手段。結(jié)合浦東機(jī)場(chǎng)數(shù)據(jù)中心云平臺(tái)的實(shí)際問題，分析軟件定義網(wǎng)絡(luò)的技術(shù)選型、方案設(shè)計(jì)及部署要點(diǎn)，以此構(gòu)建與物理網(wǎng)絡(luò)解耦的虛擬化網(wǎng)絡(luò)資源池，配合vSphere、VSAN技術(shù)一道建成軟件定義數(shù)據(jù)中心，從而提升IT基礎(chǔ)設(shè)施的靈活性、可靠性，為機(jī)場(chǎng)航班運(yùn)營(yíng)提供有力的支撐。

關(guān)鍵詞：數(shù)據(jù)中心;虛擬化網(wǎng)絡(luò);軟件定義數(shù)據(jù)中心

中圖分類號(hào)：TP393.03? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2020）06-0110-03

Abstract：Software Defined Network （SDN） is an effective way to solve the problem that traditional network technology can not support cloud computing platform effectively. Based on the actual problems of cloud platform of Pudong Airport data center，analyze the key points of technical selection，scheme design and deployment of software defined network，so as to build a virtual network resource pool decoupled from physical network，and build a software defined data center together with vSphere and VSAN technology，in order to improve the flexibility and reliability of IT infrastructure and provide powerful support for airport flight operation.

Keywords：data center;virtual network;software defined datacenter

0? 引? 言

隨著云計(jì)算技術(shù)的普及，各類機(jī)場(chǎng)信息系統(tǒng)逐步由物理服務(wù)器遷移至虛擬云平臺(tái)。然而，類似虛擬機(jī)在物理機(jī)房之間遷移的網(wǎng)絡(luò)需求、不同系統(tǒng)虛擬機(jī)互訪的安全控制等問題在傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境下卻未能得到有效解決。上海機(jī)場(chǎng)集團(tuán)建設(shè)指揮部在浦東機(jī)場(chǎng)衛(wèi)星廳數(shù)據(jù)中心建設(shè)項(xiàng)目中嘗試引入NSX軟件定義網(wǎng)絡(luò)技術(shù)，破解上述云平臺(tái)的運(yùn)行難題。本文對(duì)浦東機(jī)場(chǎng)數(shù)據(jù)中心軟件定義網(wǎng)絡(luò)技術(shù)選型、實(shí)施方案設(shè)計(jì)及部署要點(diǎn)進(jìn)行了詳細(xì)的介紹。

1? 項(xiàng)目背景

浦東機(jī)場(chǎng)自2015年開始物理服務(wù)器向云平臺(tái)遷移，建設(shè)了VMware vSphere云平臺(tái)。經(jīng)過幾年的逐步發(fā)展，現(xiàn)已基本形成穩(wěn)定、可靠的云計(jì)算平臺(tái)資源池。目前云平臺(tái)承載各類航班生產(chǎn)系統(tǒng)的上百個(gè)應(yīng)用。隨著云平臺(tái)規(guī)模不斷擴(kuò)大、應(yīng)用系統(tǒng)的增多以及業(yè)務(wù)需求不斷疊加，數(shù)據(jù)中心網(wǎng)絡(luò)穩(wěn)定性、安全性逐漸成為云平臺(tái)發(fā)展的制約因素，數(shù)據(jù)中心內(nèi)部二層網(wǎng)絡(luò)潛在的廣播風(fēng)暴風(fēng)險(xiǎn)、數(shù)據(jù)中心內(nèi)部應(yīng)用系統(tǒng)互訪的安全控制問題日益突出。究其原因，主要存在以下兩點(diǎn)：

（1）數(shù)據(jù)中心網(wǎng)絡(luò)仍采用傳統(tǒng)的二層網(wǎng)絡(luò)技術(shù)，由IP網(wǎng)絡(luò)設(shè)備組成，沒有采用SDN或其他硬件大二層技術(shù)滿足云計(jì)算資源在兩個(gè)不同物理中心機(jī)房之間遷移的需求（出于災(zāi)備考慮）;

（2）數(shù)據(jù)中心內(nèi)部應(yīng)用系統(tǒng)互訪的安全控制采用在數(shù)據(jù)中心核心網(wǎng)絡(luò)設(shè)備上部署Vlan ACL實(shí)現(xiàn)，在原應(yīng)用發(fā)生變化或新應(yīng)用上線時(shí)，維護(hù)人員需要在核心網(wǎng)絡(luò)設(shè)備上手工更改ACL。隨著云計(jì)算平臺(tái)承載應(yīng)用的不斷增多，網(wǎng)絡(luò)配置日益復(fù)雜，運(yùn)維工作量大且容易出錯(cuò)。

作為浦東機(jī)場(chǎng)衛(wèi)星廳項(xiàng)目建設(shè)單位，上海機(jī)場(chǎng)集團(tuán)建設(shè)指揮部嘗試在衛(wèi)星廳數(shù)據(jù)中心建設(shè)中引入NSX軟件定義網(wǎng)絡(luò)技術(shù)，組成軟件定義數(shù)據(jù)中心，以解決上述問題。

2? 軟件定義網(wǎng)絡(luò)（SDN）

2.1? SDN的定義

軟件定義網(wǎng)絡(luò)（Software-Defined-Network，SDN）技術(shù)是解決云化的計(jì)算資源池與傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)之間需求不匹配問題的理想方案。SDN是一種設(shè)計(jì)理念或框架，主要包括以下特征：

（1）網(wǎng)絡(luò)系統(tǒng)中的控制平面和轉(zhuǎn)發(fā)平面分離;

（2）開放的可編程接口;

（3）集中化的網(wǎng)絡(luò)控制。

2.2? 實(shí)現(xiàn)方案

SDN的具體實(shí)現(xiàn)方案包括以下3種：

（1）基于硬件網(wǎng)絡(luò)設(shè)備專用接口的方案：其思路是升級(jí)現(xiàn)有網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)，使之支持專用的可編程接口，供網(wǎng)絡(luò)管理系統(tǒng)調(diào)用，實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)配置/策略下發(fā)，避免逐臺(tái)設(shè)備的手工配置。例如思科的onePK（Open Network Environment Platform Kit）;

（2）基于疊加網(wǎng)絡(luò)（Overlay Network）的方案：在底層物理網(wǎng)絡(luò)之上建立邏輯的疊加網(wǎng)絡(luò)，用以屏蔽底層硬件網(wǎng)絡(luò)的差異，實(shí)現(xiàn)網(wǎng)絡(luò)資源的虛擬化，在同一硬件網(wǎng)絡(luò)之上構(gòu)建多個(gè)異構(gòu)虛擬網(wǎng)絡(luò)。例如VMware的NSX等;

（3）基于開放協(xié)議的方案：使用開放網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)控制平面與轉(zhuǎn)發(fā)平面分離，支持南向網(wǎng)絡(luò)設(shè)備的集中控制，并提供豐富的北向接口，支持網(wǎng)絡(luò)資源的靈活調(diào)配。例如ONF提出的基于Openflow的SDN方案。

從機(jī)場(chǎng)的現(xiàn)狀及需求出發(fā)，最終采用VMware NSX方案，相對(duì)其他兩種方案，其優(yōu)勢(shì)包括：NSX技術(shù)成熟度及商業(yè)化程度較高;弱化數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備品牌差異，有利于提高硬件設(shè)備采購(gòu)靈活性;作為疊加網(wǎng)絡(luò)，NSX部署對(duì)現(xiàn)有網(wǎng)絡(luò)改動(dòng)最小，有利于減少項(xiàng)目風(fēng)險(xiǎn)。

3? NSX實(shí)施設(shè)計(jì)方案

3.1? 整體設(shè)計(jì)思路

NSX是在物理網(wǎng)絡(luò)之上建立一種抽象的虛擬網(wǎng)絡(luò)，從而將下層物理網(wǎng)絡(luò)的復(fù)雜結(jié)構(gòu)與虛擬網(wǎng)絡(luò)進(jìn)行解耦。其基本功能組件如圖1所示。

邏輯架構(gòu)分為管理平面、控制平面、數(shù)據(jù)平面三層。NSX Manager位于管理平面，提供單一配置點(diǎn)和REST API入口點(diǎn);控制平面在NSX Controller中運(yùn)行，NSX Controller管理邏輯網(wǎng)絡(luò)并提供控制平面和數(shù)據(jù)平面的分離;數(shù)據(jù)平面分為分布式服務(wù)（包括邏輯交換機(jī)、分布式邏輯路由器、分布式防火墻）以及NSX Edge服務(wù)。

通過這些組件完成網(wǎng)絡(luò)抽象化并提供分布式服務(wù)，邏輯網(wǎng)絡(luò)與物理網(wǎng)絡(luò)實(shí)現(xiàn)了完全的解耦。分功能域：計(jì)算（Computering）、管理（Management）、邊緣（Edge），如圖2所示。

3.2? 物理網(wǎng)絡(luò)設(shè)計(jì)

為成功部署NSX，物理網(wǎng)絡(luò)必須能夠提供高可靠的IP傳輸，并具備下列特性。

（1）高帶寬及高容錯(cuò)性;

（2）支持Jumbo MTU，最小為1600字節(jié);

（3）支持Qos。

本次項(xiàng)目整體物理網(wǎng)絡(luò)架構(gòu)如圖3所示。

物理網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的主要內(nèi)容如下：

（1）衛(wèi)星廳以及TOC兩個(gè)數(shù)據(jù)中心節(jié)點(diǎn)的云平臺(tái)NSX系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)作為雙中心，互作災(zāi)備設(shè)計(jì)。衛(wèi)星廳以及TOC網(wǎng)絡(luò)中，各部署一組Server Farm匯聚交換機(jī);

（2）衛(wèi)星廳/TOC Server Farm匯聚交換機(jī)分別上聯(lián)衛(wèi)星廳/TOC主網(wǎng)、離港、安防、無線網(wǎng)核心交換機(jī);

（3）網(wǎng)絡(luò)功能層面上，云平臺(tái)在邏輯上劃分為主網(wǎng)Server Farm、離港Server Farm、安防網(wǎng)Server Farm、無線網(wǎng)Server Farm、NSX管理網(wǎng)絡(luò)以及VSAN網(wǎng)絡(luò);

（4）為保證每個(gè)Server Farm區(qū)域之間在邏輯上完全獨(dú)立，衛(wèi)星廳以及AOC Server Farm匯聚交換機(jī)上將通過為每一套網(wǎng)絡(luò)配置獨(dú)立VRF（虛擬路由轉(zhuǎn)發(fā)）的方式來實(shí)現(xiàn)。

3.3? 虛擬網(wǎng)絡(luò)設(shè)計(jì)

此次項(xiàng)目為單個(gè)vCenter NSX環(huán)境，以下分三個(gè)物理功能域介紹虛擬網(wǎng)絡(luò)的主要配置情況（物理網(wǎng)絡(luò)架構(gòu)參見圖3）。

3.3.1? 計(jì)算集群

計(jì)算物理資源池上劃分邏輯區(qū)域：主網(wǎng)、離港、安防和無線，可以在多個(gè)區(qū)域內(nèi)統(tǒng)一管理NSX網(wǎng)絡(luò);啟用分布式虛擬防火墻（微分段）功能，以對(duì)東西向流量進(jìn)行安全控制。

3.3.2? 邊緣集群

Edge都采用ECMP方式部署，先采用2～4臺(tái)Edge做ECMP方式，以后根據(jù)邏輯區(qū)南北流量擴(kuò)充Edge;路由上Edge與區(qū)域匯聚交換機(jī)之間采用動(dòng)態(tài)OSPF路由，Edge和內(nèi)部DLR也采用OSPF動(dòng)態(tài)路由。

3.3.3? 管理集群

衛(wèi)星廳的多個(gè)邏輯區(qū)域?qū)?yīng)單個(gè)vCenter Server，有統(tǒng)一的管理集群，上面部署vCenter和NSX-Manager。vCetner必須與其NSX Manager進(jìn)行配對(duì)，NSX Manager用于部署控制器群集。

4? 結(jié)? 論

在衛(wèi)星廳數(shù)據(jù)中心網(wǎng)絡(luò)中部署NSX，有效實(shí)現(xiàn)了網(wǎng)絡(luò)資源的云計(jì)算池化，消除了傳統(tǒng)二層鏈路的廣播風(fēng)暴問題，體現(xiàn)在以下3個(gè)方面：

（1）通過NSX實(shí)現(xiàn)對(duì)云平臺(tái)資源內(nèi)部虛擬化網(wǎng)絡(luò)更大程度的管理和控制，改變了傳統(tǒng)物理網(wǎng)絡(luò)架構(gòu)下云平臺(tái)內(nèi)部網(wǎng)絡(luò)管控力度較弱的現(xiàn)狀;

（2）無需借助硬件大二層技術(shù)便可實(shí)現(xiàn)虛機(jī)在兩個(gè)物理數(shù)據(jù)中心節(jié)點(diǎn)之間的無縫遷移，對(duì)機(jī)場(chǎng)來說是必不可少的災(zāi)備手段;

（3）對(duì)于數(shù)據(jù)中心內(nèi)部的“東西向”以及物理網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)之間“南北向”流量安全控制，通過NSX的虛擬化防火墻（微分段）技術(shù)得到較好的解決，避免傳統(tǒng)網(wǎng)絡(luò)部署ACL帶來的繁重工作負(fù)擔(dān)以及隨之而來的技術(shù)風(fēng)險(xiǎn)。

總之，NSX以對(duì)網(wǎng)絡(luò)較小改動(dòng)代價(jià)實(shí)現(xiàn)了網(wǎng)絡(luò)資源的池化，對(duì)諸如浦東機(jī)場(chǎng)的國(guó)有企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)是較好的選擇。

參考文獻(xiàn)：

[1] 范恂毅，張曉和.新一代SDN VMware NSX網(wǎng)絡(luò)原理與實(shí)踐 [M].北京：人民郵電出版社，2016：48-56.

[2] larryvmw.VMware NSX網(wǎng)絡(luò)虛擬化設(shè)計(jì)指南 [EB/OL].（2013-12-26）.https：//wenku.baidu.com/view/0a8a2a1ccfc7 89eb172dc8c4.html.

[3] 顧炯炯.云計(jì)算架構(gòu)技術(shù)與實(shí)踐（第2版） [M].北京：清華大學(xué)出版社，2016：153-185.

作者簡(jiǎn)介：鐘敦遠(yuǎn)（1977-），男，漢族，廣東揭陽人，項(xiàng)目經(jīng)理，工程師，本科，研究方向：網(wǎng)絡(luò)技術(shù)、信息安全、云計(jì)算。