1.SDN提出的背景及其概念
近幾年,隨著移動互聯(lián)網(wǎng)?電子商務(wù)?大數(shù)據(jù)等服務(wù)的興起和發(fā)展,以及虛擬化、云計算技術(shù)的快速發(fā)展,傳統(tǒng)網(wǎng)絡(luò)技術(shù)及架構(gòu)已經(jīng)越來越不能滿足快速配置、按需調(diào)用、自動負載均衡的要求;谶@種背景,SDN(Software Defined Networking)軟件定義的網(wǎng)絡(luò)被提出并作為軟件定義數(shù)據(jù)中心的重要一部分。SDN是一種新型的網(wǎng)絡(luò)架構(gòu),它的設(shè)計理念是將網(wǎng)絡(luò)的控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面進行分離,支持集中化的網(wǎng)絡(luò)狀態(tài)控制,實現(xiàn)底層網(wǎng)絡(luò)設(shè)施對上層應(yīng)用的透明。SDN具有靈活的編程能力,使得網(wǎng)絡(luò)的自動化管理和控制能力獲得空前的提升,能夠有效地解決當(dāng)前網(wǎng)絡(luò)所面臨的資源規(guī)模擴展受限,組網(wǎng)靈活性差,難以快速滿足業(yè)務(wù)需求等問題。
2.SDN 研究機構(gòu)及其參考架構(gòu)
目前業(yè)界主要有以下幾種SDN定義參考架構(gòu),分別是目前基于領(lǐng)導(dǎo)地位的ONF架構(gòu),和由IT巨頭思科、Juniper、IBM、微軟參與的OpenDaylight開源項目提出的OpenDaylight架構(gòu),以及ETSI ISG及其參考架構(gòu)。
2.1 ONF 及其架構(gòu)定義
成立于2011年3月份的開放網(wǎng)絡(luò)基金會ONF(Open Networking Foundation)主要致力于推動SDN架構(gòu)、技術(shù)的規(guī)范和發(fā)展工作。是目前SND標(biāo)準(zhǔn)化技術(shù)的引領(lǐng)者,其提出并倡導(dǎo)的以O(shè)penflow為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)首次系統(tǒng)的闡述了SDN架構(gòu)以及一些應(yīng)用場景,為SDN的發(fā)展奠定了重要基礎(chǔ)。
圖1 ONF提出的SDN架構(gòu)
如圖1所示,ONF提出的SDN的典型架構(gòu)分為三層:分為最上層的應(yīng)用層?中間的控制層和最下層的基礎(chǔ)設(shè)施層。 應(yīng)用層包括各種不同的業(yè)務(wù)和應(yīng)用,根據(jù)業(yè)務(wù)和應(yīng)用的需求可以通過API(按照接口和控制層的關(guān)系,此API稱作北向接口)管理和控制網(wǎng)絡(luò)的轉(zhuǎn)發(fā)/處理的策略,通過北向接口也支持對網(wǎng)絡(luò)屬性的配置實現(xiàn)提升網(wǎng)絡(luò)利用率、保障特定應(yīng)用的安全和服務(wù)質(zhì)量;控制層主要負責(zé)處理數(shù)據(jù)轉(zhuǎn)發(fā)資源的抽象信息,支持網(wǎng)絡(luò)拓撲、狀態(tài)信息的匯總和維護,并基于業(yè)務(wù)和應(yīng)用的控制來調(diào)用不同的轉(zhuǎn)發(fā)面的資源;基礎(chǔ)設(shè)施層負責(zé)基于業(yè)務(wù)的流表的數(shù)據(jù)處理、轉(zhuǎn)發(fā)和狀態(tài)收集。介于控制器和基礎(chǔ)設(shè)施層之間的接口被稱作南向接口,ONF在南向接口上定義了開放的OpenFlow標(biāo)準(zhǔn),而在北向接口上還沒有做統(tǒng)一要求。ONF將SDN網(wǎng)絡(luò)架構(gòu)劃分為應(yīng)用層?控制層?基礎(chǔ)設(shè)施層,改變了傳統(tǒng)網(wǎng)絡(luò)中設(shè)備的轉(zhuǎn)發(fā)與控制平面精密耦合關(guān)系。Openflow作為控制數(shù)據(jù)平面接口協(xié)議,目前已從1.0升級到1.3版本,已有思科、Juniper、Dell、HP等眾多廠商的設(shè)備支持。Openflow是目前SDN體系架構(gòu)中標(biāo)準(zhǔn)化程度最高,產(chǎn)品最接近商用的技術(shù),在一些領(lǐng)域甚至成為了SDN的代名詞。
2.2 OpenDaylight項目及其架構(gòu)定義
2013年4月8日,OpenDaylight開源項目被推出,其參與者主要來自業(yè)界主要的大牌的硬件廠商和傳統(tǒng)的IT巨頭,包括思科、Juniper、IBM、微軟、VMware等。
圖2 Opendaylight提出的SDN架構(gòu)
從圖2可以看出,Opendaylight提出的SDN架構(gòu)跟ONF SDN架構(gòu)類似,主要包括最下層數(shù)據(jù)平面層包括虛擬交換機,物理設(shè)備接口等。支持Openflow等協(xié)議的南向接口;中間控制層平臺和相應(yīng)的基于REST的API北向接口;與ONF應(yīng)用層對應(yīng)的網(wǎng)絡(luò)應(yīng)用和服務(wù)層。相比于ONF SDN架構(gòu)以O(shè)penFlow 協(xié)議為基礎(chǔ),并將其作為架構(gòu)中的唯一的南向接口協(xié)議,OpenDaylight開源項目,在南向接口方面除了OpenFlow之外還有更豐富的選擇。
2.3 ETSI NFV 介紹
歐洲電信標(biāo)準(zhǔn)協(xié)會(ETSI)(European Telecommunications Standards Institute)是由歐共體1988年批準(zhǔn)成立的一個非盈利的電信標(biāo)準(zhǔn)化組織。 ETSI于2012年11月成立了專門用于討論NFV(Network Function Virtualization)網(wǎng)絡(luò)功能虛擬化的ISG(Industry Specification Group,行業(yè)規(guī)范小組)。
從圖3可以看出,ESTI NFV架構(gòu)跟ONF SDN架構(gòu)類似,實現(xiàn)了數(shù)據(jù)轉(zhuǎn)發(fā)平面和控制平面的分離,并在控制平面之上提出了編排系統(tǒng)層。 相比于ONF SDN架構(gòu),NFV定義架構(gòu)增加了E2E(End to End)網(wǎng)絡(luò)控制層,能夠?qū)Χ鄶?shù)據(jù)中心不同技術(shù)進行融合。 ETSI NFV的重點是網(wǎng)絡(luò)功能的虛擬化,NFV的目標(biāo)主要是希望通過廣泛采用標(biāo)準(zhǔn)化的IT虛擬化技術(shù),采用業(yè)界標(biāo)準(zhǔn)的大容量服務(wù)器、存儲和交換機承載各種各樣的網(wǎng)絡(luò)軟件功能,實現(xiàn)軟件的靈活加載,實現(xiàn)在數(shù)據(jù)中心、網(wǎng)絡(luò)節(jié)點和用戶端等各個位置靈活的部署配置,從而加快網(wǎng)絡(luò)部署和調(diào)整的速度,降低業(yè)務(wù)部署的復(fù)雜度,提高網(wǎng)絡(luò)設(shè)備的統(tǒng)一化、通用化、適配性等,最終降低網(wǎng)絡(luò)的投資和運營成本。
3.SDN主要的特點
從上面幾個架構(gòu)中可以看出,SDN目前在業(yè)界普遍認可的有以下幾大特征:
1.控制平面與數(shù)據(jù)平面的分離,使得分布式系統(tǒng)得到集中控制。邏輯上集中的控制能夠支持獲得網(wǎng)絡(luò)資源的全局信息并根據(jù)業(yè)務(wù)需求進行資源的全局調(diào)配和優(yōu)化。同時集中控制無須對物理設(shè)備進行現(xiàn)場配置,提升網(wǎng)絡(luò)控制的便捷性。
2.開放的數(shù)據(jù)平面控制協(xié)議,使得交換設(shè)備商品化,避免廠商鎖定,屏蔽了底層物理轉(zhuǎn)發(fā)設(shè)備的差異。
3.開放的控制平面管理接口,通過開放的南向和北向接口,能夠?qū)崿F(xiàn)網(wǎng)絡(luò)和具體應(yīng)用的無縫集成,使得網(wǎng)絡(luò)實時動態(tài)的滿足應(yīng)用的需求成為可能。另外基于開放接口通過自行開發(fā)網(wǎng)絡(luò)業(yè)務(wù),加快新業(yè)務(wù)的上線周期。
4.SDN解決方案
隨著SDN的提出和各種標(biāo)準(zhǔn)的建立,各大廠商也開始推出他們的SDN解決方案。專注于虛擬化的VMware在2012年斥資12億美元收購了Nicira隨之推出了它的NSX解決方案;網(wǎng)絡(luò)巨頭思科也推出了ACI 以支持其開放式網(wǎng)絡(luò)環(huán)境(ONE)策略。而正在實施戰(zhàn)略轉(zhuǎn)型,希望完成從硬件制作到服務(wù)業(yè)轉(zhuǎn)型,成為一體化行業(yè)解決方案服務(wù)商的IBM,在SDN方面也有著深厚的積累。2011年IBM就已經(jīng)開始開發(fā)他的分布式疊加虛擬以太網(wǎng)(DOVE)解決方案。在DOVE架構(gòu)的基礎(chǔ)之上,2013年3月IBM推出了“用于虛擬環(huán)境的IBM 軟件定義網(wǎng)絡(luò)”(IBM SDN VE)解決方案。IBM SDN VE 是采用Opendaylight項目提出的參考架構(gòu)的實現(xiàn)。
讓我們基于IBM SDN VE來了解一下一個具有代表性的SDN解決方案。
4.1 IBM SDN VE解決方案總覽
IBM SDN VE是一種分布式的疊加型虛擬網(wǎng)絡(luò),它可以利用現(xiàn)有的物理網(wǎng)絡(luò),而無需對物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)進行任何更改。此解決方案可用于VMware環(huán)境,也可用于KVM環(huán)境?梢允褂肐BM SDN VE的KVM版構(gòu)建開源的云計算方案中的SDN網(wǎng)絡(luò)。
圖4 IBM SDN VE總覽圖
圖4是IBM SDN VE的總覽圖,中間的菱形框內(nèi)是SDN VE的虛擬網(wǎng)絡(luò)環(huán)境,在這個虛擬網(wǎng)絡(luò)環(huán)境中可以創(chuàng)建多個虛擬網(wǎng)絡(luò)。虛擬網(wǎng)絡(luò)之間的通信由SDN VE網(wǎng)關(guān)負責(zé)轉(zhuǎn)發(fā)。網(wǎng)關(guān)同時負責(zé)跨IDC的相同虛擬網(wǎng)絡(luò)之間的流量轉(zhuǎn)發(fā),這個過程可以理解為在一端的網(wǎng)關(guān)將虛擬網(wǎng)絡(luò)的分組先以一定格式封裝(通常是VXLAN封裝),然后再通過傳統(tǒng)的IP網(wǎng)絡(luò)向?qū)Χ藗魉,對端以相?yīng)方式解開封裝并且轉(zhuǎn)發(fā)到相應(yīng)的虛擬網(wǎng)絡(luò)內(nèi)。SDN VE通過RESTful和Neutron的標(biāo)準(zhǔn)提供了北向接口以提供給OpenStack等應(yīng)用程序來控制和定義虛擬網(wǎng)絡(luò)。
4.2 IBM SDN的構(gòu)成部件
IBM SDN VE通過一些分離的部件來完成軟件定義網(wǎng)絡(luò)的原則和構(gòu)想,這些部件對傳統(tǒng)的交換機控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)平面在虛擬的疊加網(wǎng)絡(luò)環(huán)境中進行了仿真。
圖5表示了IBM SDN VE各部件之間的邏輯關(guān)系,同時說明了這些部件是如何與“底層網(wǎng)絡(luò)”即現(xiàn)有的物理網(wǎng)絡(luò)之間產(chǎn)生關(guān)系。畫面中心的“DOVE Overlay”網(wǎng)絡(luò)是整個解決方案的基礎(chǔ),它實現(xiàn)了虛擬機(VM)之間實現(xiàn)透明的通信而不需要關(guān)心虛擬機之間的“底層網(wǎng)絡(luò)”基礎(chǔ)設(shè)施,同時它的存在也實現(xiàn)了可以不對“底層網(wǎng)絡(luò)”做任何的修改就可以以疊加的方式實現(xiàn)SDN。
圖5 IBM SDN VE部件關(guān)系圖
在這里,我們不需要關(guān)心我們是使用VMware平臺還是KVM虛擬化平臺,在不同的平臺之上這些IBM SDN VE部件的功能是相似的。
IBM SDN VE解決方案使用了4個軟件部件協(xié)同工作來提供高效率的網(wǎng)絡(luò)虛擬化。
DOVE管理控制臺
DOVE管理控制臺(DMC)是用于控制IBM SDN VE配置的中心點。它配置各個虛擬網(wǎng)絡(luò)、進行策略控制并且向各個虛擬交換機分發(fā)策略。它同時也可以幫助管理員對某個虛擬網(wǎng)絡(luò)進行管理。DOVE管理控制臺作為一個虛擬應(yīng)用器件運行。
分布式連通性服務(wù)
分布式連通性服務(wù)(DCS)將虛擬機的地址分發(fā)到所有參與到SDN VE虛擬網(wǎng)絡(luò)中的虛擬交換機。分布式連通性服務(wù)會配置對應(yīng)的虛擬網(wǎng)絡(luò)、進行策略控制并且向各個虛擬交換機分發(fā)策略。DCS服務(wù)作為一個虛擬應(yīng)用器件的集群進行部署,從而提供比傳統(tǒng)網(wǎng)絡(luò)控制平臺更高的伸縮性和可靠性。
DOVE網(wǎng)關(guān)
DOVE網(wǎng)關(guān)是一種特殊的應(yīng)用器件,它將SDN VE疊加層網(wǎng)絡(luò)環(huán)境與非SDN VE疊加層網(wǎng)絡(luò)環(huán)境連接起來。這包括了將SDN VE上的虛擬機與公共網(wǎng)絡(luò)連接,也包括了使SDN VE環(huán)境與遺留在非疊加層的傳統(tǒng)網(wǎng)絡(luò)上運行的硬件和軟件進行交互,比如說一些不能被遷移到SDN VE環(huán)境中的物理主機、管理工具和物理防火墻等網(wǎng)絡(luò)器件。
SDN VE提供了2種網(wǎng)關(guān):分布式VLAN網(wǎng)關(guān)和分布式外部網(wǎng)關(guān)。
分布式VLAN網(wǎng)關(guān)負責(zé)在疊加網(wǎng)絡(luò)上不同的2層網(wǎng)絡(luò)(VLAN)之間進行數(shù)據(jù)轉(zhuǎn)發(fā)。
分布式外部網(wǎng)關(guān)使SDN VE域中的虛擬機可以與外部非SDN VE/DOVE的系統(tǒng)進行通信,也可以使用外部系統(tǒng)能夠訪問SDN VE內(nèi)部的虛擬機,同時也可以使在策略分配上位于不同SDN VE域的虛擬機之間實現(xiàn)通信。
目前DOVE網(wǎng)關(guān)也是以軟件方式發(fā)布,基于硬件交換機的DOVE網(wǎng)關(guān)已經(jīng)在計劃之中。
5000V主機模塊
5000V主機模塊是運行在VMware hypervisor之上的軟件,是5000V分布式虛擬交換機的組成部分。它基于UDP VXLAN疊加層提供了2層和3層的網(wǎng)絡(luò)虛擬化,實現(xiàn)了虛擬網(wǎng)絡(luò)的數(shù)據(jù)通路。虛擬交換機同時也處理一些控制平臺的功能來支持虛擬機地址的自動發(fā)現(xiàn),虛擬機遷移及網(wǎng)絡(luò)策略配置。
KVM不使用5000V主機模塊,取而代之的是一個運行在每一臺hypervisor上的DOVE代理進程,這個代理進程直接偵聽分布式連通性服務(wù)(DCS),同時也負責(zé)創(chuàng)建獨立的橋接接口,這個橋接接口最終會顯示給virt-manager或者虛擬機管理器。
4.3 統(tǒng)一控制器
統(tǒng)一控制器(Unified Controller)是一個網(wǎng)絡(luò)業(yè)務(wù)流程平臺,它向應(yīng)用層抽象了一個網(wǎng)絡(luò)的整體視圖,通過該視圖可基于軟件獲取網(wǎng)絡(luò)能力和其它服務(wù)。
統(tǒng)一控制器是SDN VE新加入的一個特性,之所以稱之為“統(tǒng)一”,是因為它可以控制SDN VE的各種版本,包括VMware版本和KVM版本,還包括未來可以控制Openflow硬件交換機的Openflow版本,統(tǒng)一控制器提供了以下的服務(wù):
1.提供了管理員界面DOVE管理控制臺(DMC)的可視化和控制操作。
2.靜態(tài)的DOVE配置,如:域的配置、虛擬網(wǎng)絡(luò)的配置、策略的配置等。
3.向應(yīng)用層提供北向API接口。
4.網(wǎng)關(guān)的配置和管理。
5.為控制器和第三方管理軟件的通信提供了外部接口,為控制器和SDN VE各部件間的通信提供了接口。
在當(dāng)前的數(shù)據(jù)中心,越來越多的服務(wù)提供者已經(jīng)不僅僅只依賴網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)狀態(tài)和策略了,他們還依賴于運行于物理主機內(nèi)的hypervisor軟件。管理員需要定義靈活的、具有安全策略的、位置無關(guān)的和其它復(fù)雜的模式以用于多層的、可擴展的及高密度的基礎(chǔ)架構(gòu)。這就需要一種服務(wù)能夠輔助他們快速地部署新的網(wǎng)絡(luò)功能并且管理和控制它們。
統(tǒng)一控制器的目的就在于在SDN VE內(nèi)提供一個統(tǒng)一的網(wǎng)絡(luò)業(yè)務(wù)流程平臺,同時提供豐富的API,這些API可以用來操作統(tǒng)一控制器。圖6顯示了統(tǒng)一控制器的概覽。
圖6 統(tǒng)一控制器概覽
統(tǒng)一控制器從每個SDN VE vSwitch、分布式連通性服務(wù)(DCS)和DOVE網(wǎng)關(guān)收集日志和統(tǒng)計信息,因此它是整個SDN VE部署環(huán)境的日志的狀態(tài)信息的中心。
由于SDN VE環(huán)境是一個大型的分布式系統(tǒng),統(tǒng)一控制器為虛擬化管理員提供了獲取整個系統(tǒng)統(tǒng)計信息的功能。比如說:與物理交換機一樣可以取得包計數(shù)和錯誤計數(shù)等。
4.4 VXLAN溝通底層網(wǎng)絡(luò)與疊加網(wǎng)絡(luò)
之前說明過,使用疊加網(wǎng)絡(luò)方案的好處就是可以在不修改現(xiàn)有的物理網(wǎng)絡(luò)架構(gòu)(底層網(wǎng)絡(luò))的情況之下提供網(wǎng)絡(luò)虛擬化服務(wù)。疊加網(wǎng)絡(luò)和底層網(wǎng)絡(luò)之間的通信依賴于某種封裝協(xié)議,IBM SDN VE采用了VXLAN來實現(xiàn)。圖7是SDN VE解決方案中使用的VXLAN幀結(jié)構(gòu)圖。
圖7 SDN VE解決方案中使用的VXLAN幀結(jié)構(gòu)
VNID是一個24位的標(biāo)識符用以標(biāo)識源IP子網(wǎng),和傳統(tǒng)的VLAN使用12位的標(biāo)識符只能支持4096個網(wǎng)段相比,VXLAN可以支持到最多1600萬個網(wǎng)段。當(dāng)一個VM發(fā)送了一個幀,用VNID封裝這個幀之后就可以在傳統(tǒng)的三層網(wǎng)絡(luò)上創(chuàng)建一個穿越第三層的隧道將這個幀傳輸出去。在圖4-4中藍色部分的外部UDP頭中包含了VTEP(VXLAN隧道端點)源端口和目標(biāo)端口,外部IP頭中包含了VTEP的IP,外部以太網(wǎng)頭部中包含了源VTEP的源MAC地址和目標(biāo)VTEP的目標(biāo)MAC地址。圖中綠色部分是內(nèi)部以太網(wǎng)幀,這是最初由VM發(fā)出的包含VM的MAC地址和IP源地址和目標(biāo)地址的幀,正是這個幀被封裝起來在VXLAN隧道中傳輸。
5.SDN的應(yīng)用和展望
5.1 IBM SDN VE在Openstack中的應(yīng)用
IBM SDN VE KVM版提供了OpenStack Neutron插件,所以使用KVM作為hypervisor的基于OpenStack的云計算解決方案可以使用IBM SDN VE作為網(wǎng)絡(luò)虛擬化方案以提供極大的網(wǎng)絡(luò)靈活性和自動化。
圖8 IBM SDN VE在OpenStack中的應(yīng)用框圖
通過本方案,結(jié)合OpenStack的Neutron部件,用戶可以直接在Web Portal中進行創(chuàng)建多層網(wǎng)絡(luò)應(yīng)用的操作。用戶對創(chuàng)建或者修改虛擬網(wǎng)絡(luò)的操作通過Neutron插件對DOVE管理控制臺(DMC)北向API的調(diào)用而反映到SDN VE環(huán)境中。這時DMC經(jīng)過一系列的對虛擬網(wǎng)絡(luò)的配置、策略控制和向各個相關(guān)虛擬交換機分發(fā)策略來實施這些用戶操作,從而達到以軟件獲取網(wǎng)絡(luò)能力的目標(biāo)。
由于SDN VE提供了完善統(tǒng)一的日志信息和統(tǒng)計信息,可以通過這些信息根據(jù)網(wǎng)絡(luò)使用量等數(shù)據(jù)實現(xiàn)“按需付費”。
疊加層網(wǎng)絡(luò)實現(xiàn)過程簡介
在每個KVM中,都有一個DOVE代理進程,這個代理進程直接偵聽分布式連通性服務(wù)(DCS),同時也負責(zé)創(chuàng)建獨立的橋接接口,這個橋接接口最終會顯示給virt-manager或者虛擬機管理器。每個VM都可以創(chuàng)建1個或者多個虛擬網(wǎng)絡(luò)接口,這些虛擬網(wǎng)絡(luò)接口將VM與虛擬交換機相連接。
同一KVM內(nèi)的VM之間需要通信時,只需要根據(jù)流表在這臺KVM上的虛擬交換機內(nèi)進行數(shù)據(jù)交換。不同KVM上的VM之間需要通信時,則會由虛擬交換機將從VM虛擬網(wǎng)絡(luò)接口上收到的網(wǎng)絡(luò)包進行VxLAN封裝,封裝后的包在底層IP網(wǎng)絡(luò)上發(fā)送給目標(biāo)VM所在的KVM,經(jīng)過VxLAN的解封裝,最終由源VM發(fā)出的網(wǎng)絡(luò)包被交換到目標(biāo)VM上。
如果VM要和遺留在底層網(wǎng)絡(luò)上的物理機進行通信,則可以將VxLAN包發(fā)送到DOVE網(wǎng)關(guān),由網(wǎng)關(guān)進行解封裝并且發(fā)送到目標(biāo)主機。物理機到VM的通信可以由相反的過程完成。
DOVE網(wǎng)關(guān)也用于疊加層網(wǎng)段中的廣播。從疊加層網(wǎng)絡(luò)的設(shè)計可以了解到分布于不同KVM中的同網(wǎng)段VM之間要實現(xiàn)廣播必須借助于一些特別的設(shè)計。分布式連通性服務(wù)(DCS)保持了一個VM的地址表,通過這張地址表可以了解到某一疊加層網(wǎng)段內(nèi)所有VM所對應(yīng)的KVM。當(dāng)網(wǎng)段內(nèi)某一VM發(fā)出廣播包時,DOVE網(wǎng)關(guān)會將這個廣播包轉(zhuǎn)發(fā)到所有需要的KVM中。
創(chuàng)建多層網(wǎng)絡(luò)應(yīng)用
用戶可以通過OpenStack的用戶界面向Neutron部件發(fā)出創(chuàng)建新網(wǎng)段的指令,這個指令由IBM SDN VE KVM版OpenStack Neutron插件轉(zhuǎn)發(fā)到DOVE管理控制臺(DMC),DOVE管理控制臺向各個虛擬交換機分發(fā)策略,以創(chuàng)建這個網(wǎng)段。
用戶創(chuàng)建多個這樣的網(wǎng)段,然后通過OpenStack將各個VM和諸如路由器、防火墻等應(yīng)用器件連接到各個網(wǎng)段,可以快速創(chuàng)建出一個多層網(wǎng)絡(luò)應(yīng)用。
圖9 用戶在OpenStack上創(chuàng)建多層網(wǎng)絡(luò)應(yīng)用
5.2 SDN在網(wǎng)絡(luò)安全等方面的應(yīng)用展望
SDN不但提供了快速的網(wǎng)絡(luò)部署,用戶可以快速部署自己的多層應(yīng)用網(wǎng)絡(luò)拓撲,還可以獲取豐富的作為虛擬應(yīng)用器件運行的網(wǎng)絡(luò)服務(wù),而這些網(wǎng)絡(luò)服務(wù)都是可以按照“按需付費”的方式提供給用戶在線訂購。
比較典型的如網(wǎng)絡(luò)安全服務(wù)、入侵檢測、垃圾郵件過濾及負載均衡等。
圖10 SDN網(wǎng)絡(luò)安全服務(wù)
圖10示意了IBM的一種網(wǎng)絡(luò)安全服務(wù)的部署模型。Security Service組件提供了網(wǎng)絡(luò)安全服務(wù),它可以檢測流經(jīng)它2個網(wǎng)絡(luò)接口的流量并且檢測到威脅的連接將之?dāng)嚅_從而保護目標(biāo)VM。
當(dāng)用戶訂購了該服務(wù)之后,SDN的控制器就會向虛擬交換機發(fā)送配置更新,將指定的VM的流量導(dǎo)向該安全服務(wù)應(yīng)用器件。比如原先外部流量是直接流向VM的,用戶訂購服務(wù)之后就會先流向安全服務(wù)應(yīng)用器件,經(jīng)過安全過濾之后再流向VM。這種服務(wù)同樣可以保護來自環(huán)境內(nèi)部其它VM的威脅。
總之,有了SDN這種可以由軟件定義而獲取的網(wǎng)絡(luò)能力之后,將會有更多的應(yīng)用值得展望,這種由軟件控制快速改變網(wǎng)絡(luò)結(jié)構(gòu)的能力的確是當(dāng)前云計算非常需要的能力。有了這種能力,用戶可以快速部署應(yīng)用的網(wǎng)絡(luò)結(jié)構(gòu),訂購虛擬網(wǎng)絡(luò)設(shè)備和服務(wù),實現(xiàn)“按需付費”。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:SDN技術(shù)及其在云計算中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839416292.html