為了進一步推進金融科技發展應用,深化西南部地區金融機構間的協同,提升服務實體經濟水平,助推西部地區金融業高質量發展,四川省計算機學會金融分會聯合《金融電子化》雜誌社、中國資訊通訊研究院共同主辦,由成都銀行承辦,於2019年7月18、19日召開了2019中國「成都」金融科技發展論壇。
金融行業在穩步改進系統架構和雲端計算應用的過程中,中大型金融機構從傳統IT基礎架構逐漸向雲基礎架構演進時面臨了諸多的問題與挑戰。雲杉網路CTO張天鵬在會上與來自西南地區國有銀行分支機構、股份制銀行、城商行農信社等資訊科技部門的專家及領導共同探討了企業IT如何構建混合雲SDN網路,分享了雲杉網路在金融、運營商、交通等行業的一體化雲網解決方案。以下為演講實錄。
▌SDDC的現狀
不同行業根據自身的業務特點對於雲端計算基礎架構的要求有所差異。金融企業對網路的高可用、合規性等方面有很高的要求。SDDC即軟體定義的資料中心所涵蓋的範疇相對較大,包括計算虛擬化、儲存虛擬化、網路虛擬化。在建設SDDC的時候不僅要考慮資源,更要以業務為核心去考慮如何構建IT基礎架構,實現計算、儲存、網路的按需軟體化定義。SDDC構建之後整個資料中心的IT技術架構以服務的方式交付給業務系統,資源的管理編排實現高度的自動化控制,未來軟體定義的資料中心趨勢是智慧化的運維與閉環控制,滿足業務彈性擴充套件和平滑遷移。
在雲端計算核心技術中,網路是重要且複雜的部分,需要考慮的因素包括物理網路、虛擬網路、業務網路、安全、合規、運維等諸多因素。SDN是實現SDDC網路規劃的核心技術,主要體現在:
- 解決網路自動化配置,讓網路具有可程式設計性,從而獲得很大的靈活性;
- 網路視覺化,雲網路本身很複雜,需要有強大視覺化能力;
- 雲網一體化,通過與雲平臺對接提供網路編排能力。
目前絕大多數的公有云、私有云都採用了SDN技術。這是一個逐步演進的過程。從傳統的資料中心物理資源來看,計算資源、網路裝置、儲存資源這三者雖然相關但融合度並不高。許多雲平臺把計算、儲存、網路虛擬化以後,以相互之間隔離的邏輯將資源交付給租戶,在網路層面對應的就是VPC「Virtual Private Cloud」。VPC是交付給租戶的邏輯隔離網路空間,與資料中心執行的傳統網路相似,託管在VPC內的是在私有云上的服務資源,如雲主機、負載均衡、雲資料庫等。可以自定義網段、IP地址和路由策略等,並通過安全組和網路ACL等實現多層安全防護。同時也可以通過VPN或專線連通VPC與原有的資料中心,靈活部署混合雲。
在公有云和私有云實現了VPC是不是就滿足了使用者的所有需求呢?在實踐中可以看到,對於全新的業務系統VPC很好解決了問題,但對於需要相容既有複雜IT環境的企業,VPC並不能完美解決問題。公有云的VPC,目的是提供多租戶和資源隔離,強調的是業務的垂直性。比如很多企業可以在公有云上部署自身業務,這些業務之間一般沒有特別的關聯關係。特殊情況下,某些公有云實現了VPC和VPC之間的網路通道,但這對於直接承載企業業務來講是遠遠不夠的。
資源的規劃要以業務為核心,業務的穩定性和技術風險可控是技術選型的重要因素。很多情況下內部業務之間的相互訪問非常頻繁。某金融客戶的借貸業務,南北向的流量只有不到10M,但在內部產生了超過1G的流量,業務區域之間東西向的流量有很多互動,某些場景中東西向流量可能是幾十甚至上百倍的大於南北向的流量。
另外,安全策略管控也是技術選型參考的重要因素,所有的業務之間都應該具備安全隔離的機制,很多金融企業的IT環境中劃分了不同的安全域,跨區域的訪問一般而言是需要經過安全策略的。所以很多企業在實施雲之後,因為業務太複雜,按照傳統VPC的邏輯很難梳理清楚,採用的是業務域VPC的實施方案。即VPC對應的業務上的功能區,這樣可以很容易和原有IT資源區域對應起來,降低業務遷移的複雜度。
▌SDDC建設目標
當使用者建設SDDC時,會面臨多種困難。首先是很多企業客戶不止一個資料中心或一套資源池,而資料中心整體IT架構不是一天建成的,歷史上有不同廠商的裝置、有不同型別資源池,混合資源池是常態。另一個是服務化的交付,原來純靠手工配置網路、安全策略的時代過去了,必須實現高度自動化的方式給業務部分實現自服務能力,不需要每天開埠、配策略,需要把人力解放出來。再次是合規性,包括業務合規性、監管要求、等保合規是必須滿足的。最後是可用性,從業務高可用方面必須達到高可用和容災的要求,達到服務SLA的要求。
在雲杉網路和企業客戶的諸多實踐中,混合雲架構是相對靈活並能讓企業業務逐步從傳統IT演進至雲端計算架構的方式。這裡介紹的方案包含了雲杉NSP混合雲網路服務和DeepFlow®雲網分析的方案,這個混合雲方案包括幾個層面的含義:
企業的業務可能部署在多個資料中心,每個資料中心因為構建的時期不同,可能有裸機、虛擬化、容器等型別的資源池,還有些業務部署在了不同的公有云上。在這些基礎資源之上可以構建混合雲的雲管平臺,SDN能把上述的資源網路打通,以服務化、按需定義的方式交付給業務。
混合雲網路分成兩個部分,第一部分是資源網路管控,這裡有公有云、私有云資源,可以在其上構建一個統一的Overlay網路,這個網路是以VPC為基礎,可以將傳統網路統一納管和連線。從資源屬性上看網路管控包括兩個部分,一是資源池內部,或者是雲內部的管控,這裡重點是對資源池網路怎麼做網路虛擬化,怎麼提高效能、擴充套件性和高可用。二是雲間互聯,即資源池與資源池之間的互訪管理,基於這個網路我們提供了多種用於業務隔離的服務,如邊界閘道器、DC邊界的防火牆及負載均衡等多項滿足網路隔離、安全可控、等保合規等型別的服務。
第二部分是混合雲網路的視覺化監控,目前比較流行的架構是通過在雲裡部署各種各樣的資料探針,把資料採集出來傳送到大資料分析平臺,基於這個平臺做網路全景展示、業務故障分析、網路診斷分析和回溯分析等功能。
從整體混合雲管平臺來講,我們可以從網路層面提供面向異構資源的網路虛擬化方案、跨資料中心網路邊界服務和混合雲網路編排解決方案。從虛擬網路運維的層面為多租戶業務提供虛擬網路流量採集、虛擬網路效能監控、虛擬網路策略管理和虛擬網路路徑診斷解決方案。
▌NSP網路服務平臺
從軟體架構來看,混合雲的SDN控制器邏輯不僅是設計一套最優的架構,還要考慮既有網路架構,比如既有當前流行的Fabric架構,也需要支援傳統的接入-匯聚-核心的網路架構;既要考慮物理網路,也要考慮虛擬網路的實現邏輯。從資源池來講,因為業務的要求需要支援例如裸機、容器、OpenStack、VMware等型別資源池,同時支援公有云的對接。控制器的核心有兩層,一個是編排層,一個是控制器層,編排層主要面向雲管提供統一的網路的編排和服務,控制器層主要是控制下層的雲資源。
▌網路虛擬化要解決的核心問題
網路虛擬化解決方案場景在需要支援較大規模的基礎設施時,主要解決的問題包括以下四個方面:
- 如何支援彈性擴充套件,目前流行的網路架構是VxLAN進行組網,EVPN完善了控制平面,解決了大規模的問題。
- 如何支援高效能的東西向流量,在很多業務系統裡面東西向的流量遠大於南北向的流量,隨著網路規模的擴大這個問題會更突出。
- 分層解耦,雲平臺運維管理不僅有技術問題,團隊職責邊界的劃分也成了經常遇到的問題。比如如何界定網路團隊和系統團隊在雲網路中的管理邊界,網路團隊原來是管裝置居多,在雲資源池上線以後,虛擬網路到底歸誰管。為了釐清這個邏輯,我們需要把網路和系統解耦,將網路作為標準服務用於多資源池。
- 如何支援多廠商裝置,因為沒有人願意被廠商繫結,如果技術方案能支援多廠商,就意味著未來的業務擴充套件會有更大的靈活性,不會受制於人。
上圖是一個比較流行的資料中心的網路架構,從業務層面來講,採用這個架構可以分為三種不同的網路區(Border Leaf、Service Leaf、Server Leaf)。另外資源池的規模很大,有幾十或上百個Rack,而且可能會包括不同型別的資源池。對於網路虛擬化而言,有一個核心的機制是Super Plugin,通過這個機制,可以支援多種資源池、支援多廠商的裝置。裝置API型別豐富、功能強大,如果每個功能都支援,基本上很難實現,並且這不是SDN的目標。Super Plugin機制是從雲管邏輯出發,梳理了業界標準的架構,通過這種開放性標準實現跟廠商或者是雲平臺的對接。
▌混合雲網路編排
作為核心功能的網路編排面臨幾個挑戰,首先對於現有的業務遷到雲的時候如何滿足既定業務上線要求?雲網路部署架構很多場景是按照VPC設計的,規劃VPC是首要考慮因素。其次是既有投資保護,不可能上了雲以後將原來的裝置全都廢棄,需要考慮利舊問題。第三就是彈性擴充套件,如何在多資料中心之間實現資源彈性擴充套件,實現業務高可用。最後是業務的隔離,如何保證不同的業務之間有足夠的安全防控手段。
這是一個邏輯圖,它是基於VPC概念的擴充套件,即在一個VPC中可以包括多個Region「資料中心」、多型別資源池,包括網路、安全服務,且通過SDN技術,實現了網路的扁平化,將上述資源、服務融合到了一個網路之中。最下面是雲的資源區,比如說OpenStack或VMware資源池,提供資源訪問的方式。倒數第二層是資源訪問的網路接入層,包括二層、三層網路連線能力。倒數第三層我們稱之為虛擬路由交換,vRouter是核心,它南向連線資源池,中間可以連線DCI,可以基於DCI構建Overlay網路。這個VPC不再侷限於某一個地域的某一個資源池,而是可以跨資料中心,可以把南北的防火牆和網路的功能加進來。
這種擴充套件VPC給客戶帶來了很大的彈性,舉個秒殺的業務場景。很多企業資料中心的資源是有限的,在趕上促銷活動時一個Region的資源滿足不了要求就要彈性擴充套件到其他Region,業務是要求有跨資料中心的。為了實現這個需求我們提供了跨資料中心混合雲網路編排方案,實現的效果是將兩個不同地域的資料中心裡面,不同廠商的網路裝置、網路防火牆、負載均衡等用NSP網路編排方案將資源打通,滿足秒殺業務彈性擴容的要求。
▌網路服務交付
站在混合雲資料中心管理和運營的角度來看,如何在保護原有裝置資產投入的前提下相容硬體裝置和NFV、統一納管多廠商多品類的網路和安全服務、化解硬體裝置廠商繫結的問題的同時,給租戶提供差異化的網路服務,即滿足效能需求和服務交付的效率又能給使用者帶來更多的靈活性。
上圖左側是一個雲管,右側建立一個邏輯上的資源池,一般是放在Service Leaf中。這個資源池裡面能夠把資料中心南北向的安全服務放到一個池子裡面,包括為DCI和ISP的接入提供網路和安全服務。
▌DeepFlow®網路視覺化分析平臺
從整個軟體定義的資料中心的部署來看,根據業務需求把網路以軟體的方式配置好後,接下來所要面臨的就是虛擬網路運維監控的問題。DeepFlow®從虛擬網路流量的採集、分發、分析三個層面出發,將遙測類資料、日誌資料和網包資料採集併傳送到大資料引擎中,在與雲平臺資訊關聯後進行多維度分析和視覺化的展示。
視覺化平臺流量採集有兩個技術難點:
- 精準採集,傳統網路流量採集方案是從交換機做分光、映象,東西向的流量非常大,成本非常高,如何通過SDN做更細粒度訪問的控制,實現精準資料採集是關鍵因素。
- 虛擬網路流量分發,如果想分析南北向的流量相對簡單,但對於虛擬網路目前的技術還不是特別的成熟,業界缺乏統一的規範。DeepFlow®提供整體虛擬網路流量採集和分發能力,包括OpenStack、VMware和正在支援的容器,能把各種網路不同資源池的流量採集出來,送到後端的安全分析、審計等工具,滿足合規性的要求。
前面說到的流量資料採集,分發後的目標還是為了解決業務的問題。從業務來講DeepFlow®和雲管做了對接,以雲租戶、雲資源和雲網路三個視角分析雲端業務的流量特性從而可以將網路的拓撲、網路的流量與其承載的業務進行有機的關聯分析。通過DeepFlow®的全景圖功能,可以看到是哪個VPC、子網、虛擬機器產生的流量,效能分析是面向業務的流量分析,包括南北向和東西向流量,分析的KPI指標包括RTT、重傳、延遲等,給使用者提供了快速故障定位和診斷的能力,並以視覺化的方式將問題根因呈現出來,作為團隊之間責任定位的依據。端到端的診斷是另外一個重要的功能,支援從邏輯網路到虛擬網路最後到物理網路的虛擬網路節點、物理網路元件、VLAN/VxLAN的轉換、安全組規則、流表表項等配置的展示與分析,這裡可以把網路延遲、流量的變化還有丟包率和流速放到一個維度分析,基於這些分析結果,提供事件驅動的告警資訊,並可以統一納管平臺各應用建立的告警策略。
▌總結
最後總結一下SDDC規劃的思路,混合雲的架構是企業資料中心建設的未來趨勢,在這個基礎上構建新的資源池形成IT基礎架構的統一規範,通過SDN技術實現業務平滑遷移、利舊、控制風險,再通過網路自動化、服務化的能力來提高運營效率並滿足一體化的運維監控體系。