劉正浩

（中移（蘇州）軟件技術(shù)有限公司，江蘇 蘇州 215163）

0 引 言

在傳統(tǒng)私有云環(huán)境中，裸金屬與云主機(jī)通常被不同的云計算平臺管理，兩者相對獨(dú)立并在網(wǎng)絡(luò)的互聯(lián)互通上具有非常復(fù)雜的策略配置。隨著云計算的發(fā)展，云計算數(shù)據(jù)中心開始對網(wǎng)絡(luò)提出了虛擬化、自動化等要求。SDN作為具備控制與轉(zhuǎn)發(fā)分離、集中化控制等特征的技術(shù)，很好地匹配了云計算數(shù)據(jù)中心的需求，目前已被廣泛應(yīng)用[1]。在云計算中，裸金屬由于其固有的硬件物理屬性，相較于虛擬云主機(jī)在資源部署與配置方面缺乏靈活性[2]。通過引入SDN技術(shù)，提升了裸金屬的配置靈活性，使云主機(jī)與裸金屬的統(tǒng)一納管變得更易實(shí)現(xiàn)[3-5]。

1 私有云混合資源池

隨著私有云的深入建設(shè)，根據(jù)資源池的建設(shè)與使用經(jīng)驗(yàn)，逐步形成了云主機(jī)和裸金屬一體管理的混合資源池解決方案。所謂混合資源池，是指實(shí)現(xiàn)了虛擬化云主機(jī)與資源獨(dú)占裸金屬一體能力的資源池。本文旨在介紹SDN組網(wǎng)下的OpenStack云平臺混合資源池方案，探討一種實(shí)現(xiàn)虛擬化和物理機(jī)混合部署的私有云建設(shè)方法[6-8]。

本文建設(shè)的混合資源池對比普通資源池具有多種優(yōu)勢，一是具備提供云主機(jī)和裸金屬的一體化業(yè)務(wù)能力，二是滿足租戶靈活的資源需求和業(yè)務(wù)組網(wǎng)需求，三是云主機(jī)與裸金屬實(shí)現(xiàn)了網(wǎng)絡(luò)的簡易無縫互聯(lián)。下面從物理組網(wǎng)、邏輯架構(gòu)以及流量模型等方面闡述混合資源池解決方案在私有云中的應(yīng)用實(shí)踐。

2 混合資源池物理組網(wǎng)

云計算數(shù)據(jù)中心通常規(guī)劃為公共管理POD、獨(dú)立業(yè)務(wù)POD以及公共存儲POD。公共管理POD部署公用管理服務(wù)和業(yè)務(wù)POD控制服務(wù)，可以通過虛擬路由轉(zhuǎn)發(fā)（Virtual Routing Forwarding，VRF）技術(shù)隔離公共管理POD中的管理網(wǎng)絡(luò)，主要包括PUB網(wǎng)絡(luò)域和各業(yè)務(wù)POD網(wǎng)絡(luò)域。PUB網(wǎng)絡(luò)域與所有管理網(wǎng)絡(luò)互聯(lián)互通，而業(yè)務(wù)POD網(wǎng)絡(luò)域僅與關(guān)聯(lián)POD管理網(wǎng)互聯(lián)互通。此外，業(yè)務(wù)POD主要部署OpenStack云平臺的鏡像、計算以及存儲等服務(wù)。

在混合資源池內(nèi)，裸金屬會上聯(lián)至實(shí)體SDN接入交換機(jī)，而云主機(jī)則上聯(lián)至宿主機(jī)上的虛擬VSW交換機(jī)。SDN接入交換機(jī)和VSW交換機(jī)都由SDN控制器管理，可以降低網(wǎng)絡(luò)操作的復(fù)雜性?；旌腺Y源池?fù)碛歇?dú)立的池內(nèi)防火墻、負(fù)載均衡以及SDN網(wǎng)關(guān)等硬件設(shè)備，也可存在非共享的塊存儲等。

3 混合資源池邏輯架構(gòu)

從網(wǎng)絡(luò)平面考慮，混合資源池方案將僅使用管理網(wǎng)絡(luò)的云服務(wù)組件規(guī)劃在管理域，將涉及多網(wǎng)絡(luò)平面的云服務(wù)組件規(guī)劃在業(yè)務(wù)域。同時考慮到云服務(wù)的高可用性，總結(jié)了對應(yīng)物理組網(wǎng)的云服務(wù)組件分布。管理域服務(wù)器規(guī)劃如表1所示，業(yè)務(wù)域服務(wù)器規(guī)劃如表2所示。

表1 管理域服務(wù)器規(guī)劃

表2 業(yè)務(wù)域服務(wù)器規(guī)劃

由圖1混合資源池云組件邏輯關(guān)系可知，混合資源池共用鑒權(quán)服務(wù)，以Region為界限劃分不同的資源。每個Region都有完整的OpenStack環(huán)境，Regions之間除共用組件外完全隔離。

圖1 混合資源池云組件邏輯關(guān)系

混合資源池與單資源池邏輯架構(gòu)的不同之處在于混合資源池采用雙Region部署，而普通資源池采用單Region部署。此外，混合資源池共享Keystone和Horizon組件來實(shí)現(xiàn)資源池的訪問控制與界面操作。混合資源池Neutron組件共享數(shù)據(jù)庫，對接一套SDN控制器，可以實(shí)現(xiàn)云主機(jī)和裸金屬的互聯(lián)互通。

4 私有云混合資源池流量模型

通過Region劃分虛擬化和裸金屬資源，保留對網(wǎng)絡(luò)可用域的規(guī)劃，即采用Nova aggregate邏輯單元來分隔核心業(yè)務(wù)域和DMZ域[9,10]。核心業(yè)務(wù)域和DMZ域擁有不同的網(wǎng)絡(luò)訪問控制策略，核心業(yè)務(wù)域可以實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)的聯(lián)通，DMZ域則可以實(shí)現(xiàn)外部網(wǎng)絡(luò)的訪問，這有效地保護(hù)了資源池的內(nèi)部網(wǎng)絡(luò)，降低了安全風(fēng)險。下面以兩種典型的業(yè)務(wù)場景為例，說明雙域流量模型。

4.1 POD內(nèi)南北向流量模型

外部網(wǎng)絡(luò)訪問DMZ區(qū)業(yè)務(wù)主機(jī)，流量需通過外層防火墻后到達(dá)SDN網(wǎng)關(guān)，不經(jīng)過內(nèi)層防火墻處理，直接訪問業(yè)務(wù)主機(jī)。當(dāng)有負(fù)載均衡需求時，流量通過外層防火墻后，先通過負(fù)載均衡器，再到達(dá)DMZ區(qū)業(yè)務(wù)主機(jī)，如圖2所示。

圖2 業(yè)務(wù)POD南北向流量模型

4.2 POD內(nèi)東西向流量模型

POD內(nèi)業(yè)務(wù)系統(tǒng)相同安全域內(nèi)虛擬機(jī)與裸金屬業(yè)務(wù)主機(jī)互訪流量不經(jīng)過內(nèi)層防火墻，通過業(yè)務(wù)核心交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，流量會路經(jīng)虛擬化VSW、虛擬化接入交換機(jī)以及SDN接入交換機(jī)。當(dāng)配置負(fù)載均衡器時，先通過負(fù)載均衡設(shè)備，然后再到達(dá)業(yè)務(wù)主機(jī)。

5 結(jié) 論

目前基于混合資源池解決方案，已經(jīng)完成了40多個私有云資源池的交付。后續(xù)將會不斷優(yōu)化方案，逐步提高云計算IaaS層的建設(shè)質(zhì)量，帶給客戶更優(yōu)質(zhì)的使用體驗(yàn)。結(jié)合不同行業(yè)的應(yīng)用需求，將混合資源池建設(shè)方案作為資源池交付的一種典型解決方案，為各領(lǐng)域提供云計算資源。