劉正浩
(中移(蘇州)軟件技術(shù)有限公司,江蘇 蘇州 215163)
在傳統(tǒng)私有云環(huán)境中,裸金屬與云主機(jī)通常被不同的云計算平臺管理,兩者相對獨(dú)立并在網(wǎng)絡(luò)的互聯(lián)互通上具有非常復(fù)雜的策略配置。隨著云計算的發(fā)展,云計算數(shù)據(jù)中心開始對網(wǎng)絡(luò)提出了虛擬化、自動化等要求。SDN作為具備控制與轉(zhuǎn)發(fā)分離、集中化控制等特征的技術(shù),很好地匹配了云計算數(shù)據(jù)中心的需求,目前已被廣泛應(yīng)用[1]。在云計算中,裸金屬由于其固有的硬件物理屬性,相較于虛擬云主機(jī)在資源部署與配置方面缺乏靈活性[2]。通過引入SDN技術(shù),提升了裸金屬的配置靈活性,使云主機(jī)與裸金屬的統(tǒng)一納管變得更易實(shí)現(xiàn)[3-5]。
隨著私有云的深入建設(shè),根據(jù)資源池的建設(shè)與使用經(jīng)驗(yàn),逐步形成了云主機(jī)和裸金屬一體管理的混合資源池解決方案。所謂混合資源池,是指實(shí)現(xiàn)了虛擬化云主機(jī)與資源獨(dú)占裸金屬一體能力的資源池。本文旨在介紹SDN組網(wǎng)下的OpenStack云平臺混合資源池方案,探討一種實(shí)現(xiàn)虛擬化和物理機(jī)混合部署的私有云建設(shè)方法[6-8]。
本文建設(shè)的混合資源池對比普通資源池具有多種優(yōu)勢,一是具備提供云主機(jī)和裸金屬的一體化業(yè)務(wù)能力,二是滿足租戶靈活的資源需求和業(yè)務(wù)組網(wǎng)需求,三是云主機(jī)與裸金屬實(shí)現(xiàn)了網(wǎng)絡(luò)的簡易無縫互聯(lián)。下面從物理組網(wǎng)、邏輯架構(gòu)以及流量模型等方面闡述混合資源池解決方案在私有云中的應(yīng)用實(shí)踐。
云計算數(shù)據(jù)中心通常規(guī)劃為公共管理POD、獨(dú)立業(yè)務(wù)POD以及公共存儲POD。公共管理POD部署公用管理服務(wù)和業(yè)務(wù)POD控制服務(wù),可以通過虛擬路由轉(zhuǎn)發(fā)(Virtual Routing Forwarding,VRF)技術(shù)隔離公共管理POD中的管理網(wǎng)絡(luò),主要包括PUB網(wǎng)絡(luò)域和各業(yè)務(wù)POD網(wǎng)絡(luò)域。PUB網(wǎng)絡(luò)域與所有管理網(wǎng)絡(luò)互聯(lián)互通,而業(yè)務(wù)POD網(wǎng)絡(luò)域僅與關(guān)聯(lián)POD管理網(wǎng)互聯(lián)互通。此外,業(yè)務(wù)POD主要部署OpenStack云平臺的鏡像、計算以及存儲等服務(wù)。
在混合資源池內(nèi),裸金屬會上聯(lián)至實(shí)體SDN接入交換機(jī),而云主機(jī)則上聯(lián)至宿主機(jī)上的虛擬VSW交換機(jī)。SDN接入交換機(jī)和VSW交換機(jī)都由SDN控制器管理,可以降低網(wǎng)絡(luò)操作的復(fù)雜性?;旌腺Y源池?fù)碛歇?dú)立的池內(nèi)防火墻、負(fù)載均衡以及SDN網(wǎng)關(guān)等硬件設(shè)備,也可存在非共享的塊存儲等。
從網(wǎng)絡(luò)平面考慮,混合資源池方案將僅使用管理網(wǎng)絡(luò)的云服務(wù)組件規(guī)劃在管理域,將涉及多網(wǎng)絡(luò)平面的云服務(wù)組件規(guī)劃在業(yè)務(wù)域。同時考慮到云服務(wù)的高可用性,總結(jié)了對應(yīng)物理組網(wǎng)的云服務(wù)組件分布。管理域服務(wù)器規(guī)劃如表1所示,業(yè)務(wù)域服務(wù)器規(guī)劃如表2所示。
表1 管理域服務(wù)器規(guī)劃
表2 業(yè)務(wù)域服務(wù)器規(guī)劃
由圖1混合資源池云組件邏輯關(guān)系可知,混合資源池共用鑒權(quán)服務(wù),以Region為界限劃分不同的資源。每個Region都有完整的OpenStack環(huán)境,Regions之間除共用組件外完全隔離。
圖1 混合資源池云組件邏輯關(guān)系
混合資源池與單資源池邏輯架構(gòu)的不同之處在于混合資源池采用雙Region部署,而普通資源池采用單Region部署。此外,混合資源池共享Keystone和Horizon組件來實(shí)現(xiàn)資源池的訪問控制與界面操作。混合資源池Neutron組件共享數(shù)據(jù)庫,對接一套SDN控制器,可以實(shí)現(xiàn)云主機(jī)和裸金屬的互聯(lián)互通。
通過Region劃分虛擬化和裸金屬資源,保留對網(wǎng)絡(luò)可用域的規(guī)劃,即采用Nova aggregate邏輯單元來分隔核心業(yè)務(wù)域和DMZ域[9,10]。核心業(yè)務(wù)域和DMZ域擁有不同的網(wǎng)絡(luò)訪問控制策略,核心業(yè)務(wù)域可以實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)的聯(lián)通,DMZ域則可以實(shí)現(xiàn)外部網(wǎng)絡(luò)的訪問,這有效地保護(hù)了資源池的內(nèi)部網(wǎng)絡(luò),降低了安全風(fēng)險。下面以兩種典型的業(yè)務(wù)場景為例,說明雙域流量模型。
外部網(wǎng)絡(luò)訪問DMZ區(qū)業(yè)務(wù)主機(jī),流量需通過外層防火墻后到達(dá)SDN網(wǎng)關(guān),不經(jīng)過內(nèi)層防火墻處理,直接訪問業(yè)務(wù)主機(jī)。當(dāng)有負(fù)載均衡需求時,流量通過外層防火墻后,先通過負(fù)載均衡器,再到達(dá)DMZ區(qū)業(yè)務(wù)主機(jī),如圖2所示。
圖2 業(yè)務(wù)POD南北向流量模型
POD內(nèi)業(yè)務(wù)系統(tǒng)相同安全域內(nèi)虛擬機(jī)與裸金屬業(yè)務(wù)主機(jī)互訪流量不經(jīng)過內(nèi)層防火墻,通過業(yè)務(wù)核心交換機(jī)進(jìn)行轉(zhuǎn)發(fā),流量會路經(jīng)虛擬化VSW、虛擬化接入交換機(jī)以及SDN接入交換機(jī)。當(dāng)配置負(fù)載均衡器時,先通過負(fù)載均衡設(shè)備,然后再到達(dá)業(yè)務(wù)主機(jī)。
目前基于混合資源池解決方案,已經(jīng)完成了40多個私有云資源池的交付。后續(xù)將會不斷優(yōu)化方案,逐步提高云計算IaaS層的建設(shè)質(zhì)量,帶給客戶更優(yōu)質(zhì)的使用體驗(yàn)。結(jié)合不同行業(yè)的應(yīng)用需求,將混合資源池建設(shè)方案作為資源池交付的一種典型解決方案,為各領(lǐng)域提供云計算資源。