張利

計算虛擬化提高了服務器資源的利用率，其快速部署、動態(tài)遷移等特性滿足了業(yè)務快速擴展需求，成為當前企業(yè)IT建設的常規(guī)形態(tài)。但是傳統(tǒng)網(wǎng)絡對計算虛擬化的適配一直存在問題，網(wǎng)絡無法快速地適配虛擬機的擴展及業(yè)務的快速變更。利用Overlay網(wǎng)絡技術(shù)，可以實現(xiàn)傳統(tǒng)網(wǎng)絡向網(wǎng)絡虛擬化的深度延伸，實現(xiàn)真正的云網(wǎng)融合，從而構(gòu)建新架構(gòu)下的數(shù)據(jù)中心網(wǎng)絡。

一、傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡面臨的問題

1.虛擬機遷移范圍受限

傳統(tǒng)網(wǎng)絡架構(gòu)以三層網(wǎng)絡為主，主要是以控制南北數(shù)據(jù)流量為目標。由于數(shù)據(jù)中心虛擬機的大規(guī)模使用，虛擬機遷移的特點以東西流量為主。虛擬機遷移前后需要其IP地址、MAC地址等參數(shù)要求保持不變，因此要求業(yè)務網(wǎng)絡是一個二層網(wǎng)絡，但現(xiàn)有二層網(wǎng)絡技術(shù)，無論是生成樹技術(shù)還是近幾年出現(xiàn)的大規(guī)模二層網(wǎng)絡技術(shù)TRILL/SPB/FabricPath等都存在不同程度的局限。

2.業(yè)務規(guī)模受網(wǎng)絡設備規(guī)格限制

云計算數(shù)據(jù)中心部署了大量的虛擬機，每個虛擬機都會占用一個二層地址表項。而二層地址表是有規(guī)格上限的，尤其對接入設備而言，設備本身二層地址表現(xiàn)規(guī)格較小，因此極大地限制了云計算數(shù)據(jù)中心的業(yè)務規(guī)模。

3.不能適應大規(guī)模租戶部署

云計算數(shù)據(jù)中心內(nèi)承載了大量不同租戶的業(yè)務，租戶與租戶之間有安全隔離的需求。當前主流的租戶隔離技術(shù)就是傳統(tǒng)的VLAN技術(shù)，而在大型的云數(shù)據(jù)中心，大量租戶部署會遇到兩大限制：

限制一：VLAN可用的數(shù)量為4K（4X1024），遠遠不能滿足云業(yè)務部署的需求。

限制二：如果在大規(guī)模數(shù)據(jù)中心部署VLAN，會使得所有VLAN在數(shù)據(jù)中心內(nèi)都被允許通過，導致任何一個VLAN的廣播風暴會在整個數(shù)據(jù)中心內(nèi)泛濫，大量消耗網(wǎng)絡帶寬，同時運維管理困難。

二、Overlay——解決問題的新思路

針對前文提出的三大技術(shù)挑戰(zhàn)，業(yè)界提出新的思路，在不改變原先網(wǎng)絡架構(gòu)的基礎之上，新建一個面向應用的邏輯網(wǎng)絡——Overlay網(wǎng)絡，為云業(yè)務提供支撐。

Overlay網(wǎng)絡是指建立在物理網(wǎng)絡上的邏輯網(wǎng)絡。該網(wǎng)絡中的結(jié)點可以看做通過虛擬或邏輯鏈路而連接起來的。

Overlay網(wǎng)絡具有獨立的控制和轉(zhuǎn)發(fā)平面，對于連接在Overlay邊緣設備之外的終端系統(tǒng)來說，物理網(wǎng)絡是透明的。

Overlay網(wǎng)絡是物理網(wǎng)絡向云和虛擬化的深度延伸，使云資源池化能力可以擺脫物理網(wǎng)絡的限制，是實現(xiàn)云網(wǎng)融合的關(guān)鍵。

1.Overlay技術(shù)如何應對挑戰(zhàn)

（1）虛擬機遷移范圍受限的解決方式

Overlay技術(shù)是把二層報文封裝在IP報文之上的隧道技術(shù)。因此，只要網(wǎng)絡支持IP可達就可以部署Overlay網(wǎng)絡，且在網(wǎng)絡結(jié)構(gòu)上沒有特殊要求。路由網(wǎng)絡本身具備良好的擴展能力、很強的故障自愈能力和負載均衡能力。采用Overlay技術(shù)后，企業(yè)不用改變現(xiàn)有網(wǎng)絡架構(gòu)就可用于支撐云計算業(yè)務，部署極其方便。

（2）業(yè)務規(guī)模受網(wǎng)絡規(guī)格限制的解決方式

部署Overlay網(wǎng)絡后，虛擬機數(shù)據(jù)封裝在IP數(shù)據(jù)包中，對于承載網(wǎng)絡（特別是接入交換機）只需要學習隧道端點的MAC，MAC地址規(guī)格需求極大降低。而對于核心網(wǎng)關(guān)處的設備表項（MAC/ARP）要求依然極高，采用分布式網(wǎng)關(guān)解決方案，通過多個核心網(wǎng)關(guān)設備提高表項的總體規(guī)格，有效解決核心設備規(guī)格表項受限問題。

（3）租戶數(shù)量限制的解決方式

Overlay技術(shù)擴展了隔離標識的位數(shù)，可以支持數(shù)量高達16M（16X1024X1024）的用戶，極大地擴展了隔離數(shù)量，足以滿足超大規(guī)模公有云數(shù)據(jù)中心需求。針對廣播風暴問題，Overlay對廣播流量轉(zhuǎn)化為組播流量，可以避免網(wǎng)絡本身的無效流量的帶寬浪費。

2.Overlay網(wǎng)絡模型

根據(jù)客戶不同組網(wǎng)需求，Overlay分為三種組網(wǎng)模型（如圖1所示）。

（1）網(wǎng)絡Overlay。隧道封裝在物理交換機完成。這種Overlay的優(yōu)勢在于物理網(wǎng)絡設備性能轉(zhuǎn)發(fā)性能比較高，可以支持非虛擬化的物理服務器之間的組網(wǎng)互通。

（2）主機Overlay。隧道封裝在vSwitch完成，不用增加新的網(wǎng)絡設備即可完成Overlay部署，支持虛擬化的服務器之間的組網(wǎng)互通。

（3）混合Overlay。是網(wǎng)絡Overlay和主機Overlay的混合組網(wǎng)，可以支持物理服務器和虛擬服務器之間的組網(wǎng)互通。

當前業(yè)界主流廠商對Overlay都是積極支持，但每個廠商的支持程度有所不同。目前思科主要支持網(wǎng)絡Overlay，Vmware僅支持主機Overlay，H3C支持以上三種類型的Overlay網(wǎng)絡架構(gòu)，并提供支持Overlay技術(shù)的全套軟硬件產(chǎn)品，以滿足不同客戶的各種組網(wǎng)需求。

3.實現(xiàn)Overlay網(wǎng)絡的三大技術(shù)方案

IETF在Overlay技術(shù)領域提出三大技術(shù)方案。分別是VXLAN、NVGRE和STT（有關(guān)三者的具體介紹詳見《IP領航》第29期“基于多租戶的云計算網(wǎng)絡”一文）。三者的簡單對比如表1所示。

總體比較，VXLAN利用了現(xiàn)有通用的UDP傳輸，成熟度極高，VXLAN技術(shù)具有更明顯的優(yōu)勢。

（1）L2-L4層鏈路HASH能力強，不需要對現(xiàn)有網(wǎng)絡改造（GRE有不足，需要網(wǎng)絡設備支持）。

（2）對傳輸層無修改，使用標準的UDP傳輸流量（STT需要修改TCP）。

（3）業(yè)界支持度最好，商用網(wǎng)絡芯片大部分支持。

三、數(shù)據(jù)中心間Overlay網(wǎng)絡

為了滿足災備和擴容的需求，越來越多的云計算數(shù)據(jù)中心跨越了多個位于不同地理位置的物理站點，在多個站點部署相同業(yè)務，并以主備或雙活模式對外提供服務。站點間資源動態(tài)調(diào)配管理的首要需求是虛擬機能夠跨站點透明遷移，遷移前后IP地址不變，所以必須在各站點間實現(xiàn)二層網(wǎng)絡互聯(lián)。數(shù)據(jù)中心之間二層互聯(lián)需要具備以下基本要求：

1.站點相互獨立

數(shù)據(jù)中心間二層互聯(lián)后，某個站點的故障不會傳遞到其他站點，如廣播風暴。另外，站點內(nèi)的拓撲互不影響和依賴。

2.傳輸無關(guān)性

對站點之間傳輸數(shù)據(jù)時使用的技術(shù)與站點位置、提供商的網(wǎng)絡無特殊要求，盡量使用最通用的技術(shù)，例如只要求核心網(wǎng)絡支持IP即可。

3.高可靠性

使用多歸屬來提供冗余接入，并具有在站點間避免流量環(huán)路的機制。

4.鏈路使用效率

站點之間的流量包括組播和廣播必須得到充分的優(yōu)化從而盡量節(jié)省帶寬，在具有冗余鏈路時實現(xiàn)負載分擔。

5.靈活性

數(shù)據(jù)中心互聯(lián)不要依賴于站點的拓撲結(jié)構(gòu)，不對站點拓撲結(jié)構(gòu)有特定要求。

6.運營維護簡單

站點互聯(lián)使用的技術(shù)盡量簡單，可以快速新增和減少站點。邊緣設備上的配置要盡量簡單，并且對站點現(xiàn)有的網(wǎng)絡變動最小化，部署過程對流量轉(zhuǎn)發(fā)不產(chǎn)生影響。

傳統(tǒng)的二層互聯(lián)技術(shù)可以達到二層打通的目的（如表2所示），但是無法同時滿足數(shù)據(jù)中心二層互聯(lián)的基本要求，比如與鏈路形態(tài)無關(guān)、站點之間完全獨立等。傳統(tǒng)的二層互聯(lián)技術(shù)只是簡單地把二層范圍從一個數(shù)據(jù)中心擴展到兩個數(shù)據(jù)中心，所以二層廣播域隨之擴展到兩個數(shù)據(jù)中心，無法實現(xiàn)故障的隔離。

為了彌補上述的不足，數(shù)據(jù)中心互聯(lián)解決方案EVI（以太網(wǎng)虛擬互聯(lián)）應運而生。EVI是一種先進的“MACinIP”技術(shù)，基于IP核心網(wǎng)實現(xiàn)二層互聯(lián)。通過EVI連接到IP核心網(wǎng)的數(shù)據(jù)中心站點，就像是直接連接到二層交換機上，同時實現(xiàn)數(shù)據(jù)中心之間的安全隔離。EVI是H3C的一項專有技術(shù)，與此類似的技術(shù)還有Cisco的OTV。

EVI技術(shù)在實現(xiàn)數(shù)據(jù)中心之間二層互聯(lián)的基礎上，也滿足二層互聯(lián)的基本要求。通過ARP代答功能、未知目的報文抑制功能、協(xié)議報文抑制功能及多歸屬機制實現(xiàn)數(shù)據(jù)中心之間的安全隔離、高可靠、靈活部署的目標。

EVI既支持以VLAN為單位，又支持以VXLAN為單位，在數(shù)據(jù)中心之間實現(xiàn)二層互聯(lián)，是目前最靈活最可靠的云間二層互聯(lián)解決方案。

四、Overlay網(wǎng)絡服務鏈（ServiceChain）

傳統(tǒng)數(shù)據(jù)中心的L4-L7層設備不僅部署復雜，而且有極強的拓撲依賴，無法實現(xiàn)快速的橫向擴展及自動化部署。解決這個問題，可以借助Overlay網(wǎng)絡服務鏈技術(shù)，輕松實現(xiàn)服務能力橫向擴展，使業(yè)務上線快速安全。

數(shù)據(jù)報文在數(shù)據(jù)中心網(wǎng)絡中傳遞時，需要經(jīng)過各種各樣的服務節(jié)點，才能保證網(wǎng)絡能夠按照設計要求，提供給用戶安全、快速、穩(wěn)定的網(wǎng)絡服務。這些服務節(jié)點（ServiceNode），包括熟知的防火墻、入侵檢測、負載均衡等。通常網(wǎng)絡流量需要按照業(yè)務邏輯所要求的既定順序，穿過這些業(yè)務點，這就是服務鏈（ServiceChain）?？梢姺真湶⒉皇且粋€新的概念。而隨著軟件定義網(wǎng)絡（SDN）及網(wǎng)絡功能虛擬化（NFV）的不斷推進，服務鏈逐漸變得更重要。

以H3C的Overlay網(wǎng)絡服務鏈解決方案為例，它是部署與實際物理位置無關(guān)的服務鏈方案，支持服務鏈的靈活編排、設備內(nèi)和設備間的混合業(yè)務編排、支持單向和雙向服務鏈，同時支持服務鏈的負載分擔及備份（如圖2所示）。

H3C的Overlay網(wǎng)絡服務鏈是基于控制器的解決方案。通過VCFController內(nèi)置服務鏈功能模塊，可以管理所有的服務節(jié)點，在各個節(jié)點上配置多個服務鏈。服務鏈功能模塊提供北向API，供各種云管理系統(tǒng)使用；同時通過南向接口，管理服務節(jié)點，部署服務鏈。

五、結(jié)語

Overlay的網(wǎng)絡架構(gòu)是網(wǎng)絡支持云業(yè)務發(fā)展的理想選擇，提供了網(wǎng)絡資源池化的最佳解決方式，克服了基于VLAN的傳統(tǒng)限制，可為處于任何位置的用戶帶來最高的可擴展性和靈活性及優(yōu)化的性能。云計算數(shù)據(jù)中心借助Overlay彌補網(wǎng)絡資源虛擬化短板后，才能實現(xiàn)計算、存儲及網(wǎng)絡的一體化運維管理，實現(xiàn)真正的虛擬化和自動化的IaaS云。