私有云的神經系統——品高雲SDN分析

有這樣一個故事——在白堊紀時期，恐龍是地球上的霸主，但是恐龍的神經系統卻不是那麼發達，對外界的刺激反應緩慢，踩到一個什麼東西，要幾個小時後才有感覺。雖然這只是一個笑話，但是恐龍體型巨大，卻只有那麼小的腦容量，也確實是件奇怪的事情。

在這裡我們不去討論恐龍的反應有多慢，而是要講講雲端計算。雖然感覺好像有點怪，不過要是把雲端計算的網路系統比喻為神經系統，把雲端計算的儲存/計算能力比喻骨骼和肌肉，是不是就容易理解了呢？恐龍龐大的身軀，就像現在規模巨大的雲端計算一樣，如果空有強壯的骨骼和肌肉，卻沒有強悍的神經系統輔佐，那麼雲端計算規模再大，也是一個上古時期的傳說了，無法承擔新時代複雜的計算應用需求。

私有云的發展與規模

雲端計算給無數的使用者帶來了技術便利性，也讓傳統企業使用者有了技術革新的機會——私有云市場的蓬勃發展即是明證。私有云能夠有更高效的資源利用率、更便捷的管理、更靈活的擴充套件與升級，以及更契合業務的支撐能力，這讓越來越多的傳統企業使用者將目光聚焦到雲端計算之上，以構建新型資料中心，為企業業務提供更好的支撐能力。

Tips：據IDC調查，2015年全球公有云服務的支出約700億美元，2019年將超過1400億美元。

私有云不是簡單的裝置堆積，虛擬化只是消除物理資源間隔的第一步。但在部署虛擬化之後，“虛機蔓延”問題帶來一系列連鎖性問題卻是使用者不得不面對的現實。

Tips：根據RightScale調查結果，2016年有31%的企業在私有云中執行超過1,000臺虛擬機器，而2015年超過1000個虛擬機器的使用者僅有22%。

擁有超過1000個虛擬主機的企業私有云已經佔據了近1/3的份額，面對如此眾多的“虛擬主機”，不僅僅是管理複雜的問題，更重要的是“效能”問題。就如恐龍一樣，龐大的身軀如果沒有高效的神經系統，那結局……而云架構資料中心的“神經”就是網路，或者說網路子系統——其要解決的難題比想象中要大得多。

雲端計算的神經系統

相比於傳統“孤島”式資料中心/IT架構系統，網路子系統主要解決的是“南北向”流量問題，即從業務層到資料庫/儲存底層的資料流通。但在雲資料中心/雲架構系統，其不僅僅是南北向流量，還要解決由於分散式技術廣泛應用帶來的“東西向”流量，分散式計算、分散式儲存、虛機主機的動態遷移……都會導致比南北向流量大得多的東西向流量。在一般情況下，虛擬主機的網路流量都是用CPU來處理，這會佔用計算資源，尤其是流量巨大時，必然會造成計算資源爭奪。也有使用VXLAN解除安裝等技術手段來將這一部分工作從CPU解除安裝到網路卡，但這一封裝會增加報文長度，導致額外的網路流量，資料傳輸效率受到影響。

在規模較小的時候，傳統架構的網路子系統利用效能更好的硬體、技術改良也許能夠應對，一旦規模擴大，網路子系統就必須擁有更好的效能、更靈活的變更（管理）以及更高的效率等特點，如何構建新型網路子系統則成為橫亙在雲端計算規模應用前的一大難題。

品高雲SDN

作為國內最早一批開拓私有云市場的品高雲，它推出的Bingo SDN環境就是為私有云配置的一套強大的網路/神經系統。

傳統的企業級資料中心，大都是一個應用一套系統，因為伺服器、儲存、網路裝置都比較貴，系統架構相對而言比較簡單，大都通過交換機、路由器來實現互聯，雖然效能有保證，但是基本沒有靈活性，系統搭建完成後，除非業務變化，否則不會有什麼變動；

在虛擬化和早期的私有環境中，SDI概念將計算、儲存和網路環境都通過x86平臺來組合實現，物理伺服器、儲存裝置和網路裝置都成為企業基礎設施平臺了，雖然用軟體定義的資源池取代了傳統架構的硬體裝置，但是在網路端依然是依託交換機和虛擬路由器/閘道器在進行管理。很顯然，即便用軟體定義取代了部分硬體裝置，但是單點的瓶頸依然存在，雖然具有了更強的靈活性，但是面對大規模私有云架構，傳統的軟體定義模式並不能解決所有的問題。

隨著私有云的進一步發展，那些著力於推動私有云應用的企業就開始考慮搭建更適合大規模部署企業級的架構了，品高雲作為在國內較早進入私有云領域的廠商，已經進化到品高雲7.0時代，從品高雲6.0版本就就具備了Bingo SDN環境，這是面對大規模私有云環境的一個出色的私有云網路解決方案。

光從以上的文字描述可能不太容易理解雲端計算的虛擬網路環境，那麼我們就用圖來描述：

雲端計算的神經系統

這是一個典型的傳統私有云環境，所有的物理伺服器都通過交換機互聯，通過網路節點（通常是一臺1U的x86伺服器）來分配相關的網路功能，所有的虛擬主機都由一臺物理的網路裝置來支援，是常見的一種私有云/虛擬化解決方案。

這也是早期企業級使用者升級雲端計算的一個主要方案，因為在資料中心內，一套機櫃內可以放置20臺2U伺服器，為了更好的使用感受，單臺伺服器通常配備雙埠10GB網路卡，因此還需要一個48口交換機結合閘道器/路由裝置來支援網路環境。通過VLAN/VxLAN等功能，可以為使用者提供不錯的虛擬化計算環境。

計算機技術在快速發展，早期2U雙路伺服器只能提供8個核心的計算能力，而最新的Xeon SP平臺已經可以在2U雙路的伺服器內提供56核112執行緒的計算能力；記憶體也從64GB擴充套件到1.5TB；這些進步發展相當於最新的2U雙路服務在計算能力上14倍於早期產品（這才10年的光景，某些更新換代較慢的資料中心才換了兩代伺服器），意味著使用者可以在一套物理伺服器環境上執行更多的虛擬主機，如果使用者對計算資源需求沒有那麼強的話，一套物理伺服器環境支援超過100臺虛擬主機是完全可行的部署方式，這時再看傳統的私有云計算架構，就會發現——所有的流量都要經過物理裝置中的網路控制單點。

傳統的雲網路大都把 Gateway 部署在一個物理節點上，這樣既存在網路單點故障的可能，同時閘道器也將成為整個雲網路的效能瓶頸；而且 Gateway 也是黑客攻擊的一個重點物件……無論使用者選擇什麼樣的網路裝置，只要存在流量的單點，當流量突破了這個裝置的極限時 ，那麼就意味著這套系統存在瓶頸了。

簡單計算一下：一套機櫃滿配可以部署20臺2U雙路伺服器，每臺伺服器上執行50個虛擬主機，那麼在這個機櫃內就存在20*50=1000個虛擬主機；要是傳統物理環境，這就相當於一個50套機櫃的小型IDC的伺服器總量了，這麼大規模的業務系統僅靠一臺交換機+網路控制節點來支撐，其效能和可靠性顯然無法滿足業務所需，那麼在這種情況下，必然會推動網路子系統架構的革新。

品高SDN系統

那麼我們來看看品高雲是怎麼解決這樣的問題。

兩個物理伺服器節點的品高雲7.0示意圖

我們可以看到，在每臺物理節點上可以執行大量的虛擬主機，多臺物理伺服器構成一套SDN網路系統。這些物理伺服器只是通過2層交換機互聯，沒有其他的3層網路控制節點（在傳統私有云環境中，往往使用x86伺服器平臺來做3層以上的VR（虛擬路由器）/VG（虛擬閘道器）功能。

在品高雲SDN環境中，SDN控制器使用分散式控制器代替了原有的集中式控制器，每一臺物理伺服器的作業系統層都有一個小型的分散式控制器程式，不但減少了硬體系統的開銷，還消減了單點可能導致系統整體可用性。在品高雲環境裡，所有虛擬主機的連線、管理等網路服務都由品高雲SDN分散式控制器來實現。在各個虛擬主機間沒有業務流量的時候，SDN控制器將所有的虛擬主機網路都統一管理，因此在連線物理伺服器的網路環境只需要支援2層協議就可以了，且在交換機的網路環境內消減了ARP廣播，因此在基礎網路環境內是一個乾淨的網路環境，可以充分支援多臺物理伺服器的網路服務。

品高雲主控介面

品高SDN的特點

品高雲的Bingo SDN controller 是一個分散式元件，採用統一的集中化管理，可以感知整體網路的情況，擺脫了臃腫的 Linux network stack 元件。具有多重的程式保護措施，並獲得了大量相關的專利；遵循 ONF（open network foundation）的 SDN 標準，不存在網路單點，符合新一代雲端計算網路架構的發展趨勢。

品高雲SDN監控介面

品高雲在私有云的租戶隔離技術上沒有選擇VXLAN技術（只是在在異地多活環境中使用VXLAN來做隧道隔離），隔離方式基於OpenFlow環境，具有更好的隔離效果，不存在網管中心，因此某租戶受到攻擊時，其他租戶不會受到任何影響。SDN採用的ARP廣播抑制技術讓使用者的MAC地址被保護起來，在使用者例項中，租戶的資訊得到了最大的保護。

分散式的SDN技術在每一臺物理主機上都有一套SDN的環境，因此任何一臺/套物理機的當機都不會影響租戶的業務應用。只有還有一臺宿主機還能執行，這套網路環境就依然可用。據實測，部署了品高雲SDN環境的單臺宿主機，可以提供169W的併發連線效能，由此可見品高雲SDN環境的效能強勁。在物理機（宿主機）環境下，品高雲SDN支援5000臺的超大規模環境，而虛擬主機則沒有數量的限制。

品高雲私有云環境內，SDN預設提供的虛擬網路頻寬是萬兆環境，使用者也可以使用千兆鏈路聚合來提升頻寬。企業客戶在虛擬主機上的關鍵業務，就可以具有較高的網路效能，滿足使用者在私有云環境內的關鍵業務的需求。品高雲在跨VPC或者異地雙活環境中同樣支援多種頻寬的虛擬網路連線，滿足使用者私有云的高效能、高可用需求。

對於安全特性，品高雲採用了兩套手段進行詳盡的管理。一是在管理許可權和策略上使用了vpc，安全組，acl，對等連線等一系列內建可組合的安全功能，最大限度避免使用者無意中的埠，漏洞，風險的出現，最大限度避免使用者無意中的埠、漏洞的出現；二是聯合第三方安全廠商，提供第三方的安全方案整合，目前在品高雲中已經提供了10個不同安全廠商的多種型別的安全元件服務（山石網科的雲格/雲界、啟明星辰、360企業安全、安全狗等主流安全廠商），可以滿足使用者各種不同層次的安全需求。

通過以上，相信您已經對Bingo SDN的整體有了初步瞭解。後續我們將會從私有云使用者的使用角度，對品高雲SDN系統進行系列的實戰測試，相信會讓你對私有云有更深刻的理解。

本文出處：暢享網

本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。