24、云数据中心网络架构与开放性解析

d6e7f8

于 2025-07-30 14:30:16 发布

阅读量46

点赞数

CC 4.0 BY-SA版权

分类专栏：解读云数据中心网络架构与技术文章标签：云数据中心网络架构 SDN控制器

本文链接：https://blog.youkuaiyun.com/d6e7f8/article/details/149967391

解读云数据中心网络架构与技术专栏收录该内容

30 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

云数据中心网络架构与开放性解析

云网络集成中的服务供应

在云网络集成或网络虚拟化场景下，云平台或SDN控制器会提供服务供应的图形用户界面（GUI）。下面以网络虚拟化为例，详细介绍服务供应的过程。

场景说明

在此示例中，内网虚拟机（VM）需提供可被互联网访问的服务，因此需要使用弹性公网IP（EIP）。该服务场景的物理模型和服务逻辑模型如下：
- 物理模型 ：服务器的私有IP地址为192.168.1.10/24，捆绑的EIP为2.2.2.2，EIP功能由防火墙提供。
- 服务逻辑模型 ：虚拟专用云（VPC）中的逻辑路由器将从外部网络接收到的访问流量转发到虚拟防火墙（vFW）。流量经过EIP处理后，vFW将流量返回给逻辑路由器，逻辑路由器再将其转发到逻辑交换机，最终到达服务器。

数据规划

项目	数据
VPC计划 - 项目	Fabric
VPC计划 - vpc1	Fabric1
互联网互连计划 - 外部网关	2.2.2.2
互联网互连计划 - NAT地址池
互联网互连计划 - 公共IP地址映射到NAT地址池	192.168.1.10
ACL计划 - 目的地址	192.168.1.10
ACL计划 - 动作	Permit
子网计划 - 子网1	192.168.1.10/24
子网计划 - 地址段	192.168.1.10/24
子网计划 - 网关IP地址	192.168.1.1
子网计划 - 逻辑路由器	Router1
子网计划 - 逻辑交换机	Switch1
子网计划 - VNI	由SDN控制器自动分配
子网计划 - BD	由SDN控制器自动分配

服务供应流程

graph LR
    A[创建租户账户] --> B[创建外部网关]
    B --> C[创建L2或L3网络]
    C --> D[创建VM]
    D --> E[创建防火墙相关服务]
    E --> F[配置防火墙服务]

创建租户账户 ：为用户创建租户账户，并授权租户使用Fabric。租户管理员可以登录SDN控制器来创建服务或执行运维操作。
创建外部网关 ：在SDN控制器上创建外部网关，指定一个网段作为EIP地址池，并配置边界叶节点与提供商边缘设备（PE）之间的互连接口和路由。外部网关用于内部和外部站点之间的访问。
创建L2或L3网络 ：
- 为指定租户创建VPC。
- 在VPC中创建逻辑路由器，将逻辑路由器与Fabric关联，并设置与逻辑路由器关联的子网和网关。内部服务器位于该子网中。
- 在VPC中创建逻辑交换机（相当于创建一个用于连接服务器的二层网络），并将逻辑交换机与为逻辑路由器设置的子网关联。
- 部署网络，为创建EIP服务做准备。
创建VM ：在计算虚拟化平台（如vCenter）上创建VM，以向外部网络提供应用服务。
- 对于SDN控制器的VPC，编辑VMM映射参数（包括逻辑交换机、VMM和VDS）。
- 在vCenter上创建VM。在为VM配置网络标签时，选择SDN控制器推送到VMM的网络标签。
- 保存VM并启动。VM加载资源并连接到网络后，可以在SDN控制器的VPC中查看VM的访问点。
创建防火墙相关服务 ：在SDN控制器的VPC中创建防火墙相关服务，使流量通过防火墙。
- 在VPC中创建逻辑防火墙，并将其与逻辑路由器关联。
- 为防火墙创建内部和外部互连链路。
配置防火墙服务 ：
- 登录SecoManager，并与SDN控制器同步数据。同步的数据包括租户、网络拓扑信息、VPC、逻辑路由器、逻辑交换机和子网。这使SecoManager能够了解VPC中逻辑路由器和逻辑防火墙之间的关联，并随后将VPC中子网对应的网段设置为防火墙的受保护网段。
- 在SecoManager上创建EIP策略，将该策略与创建的外部网络关联（系统自动解析EIP地址），并设置用于EIP转换的内部私有网络地址。
- 在SecoManager上创建安全策略，允许外部用户访问内部服务器。

完成上述操作后，SDN控制器会自动将配置下发到交换机，SecoManager会自动将配置下发到防火墙，从而使数据中心的外部用户能够通过EIP访问VM。

数据中心网络的开放性

数据中心（DC）通常由多个组织和供应商共同构建，因此转发层和控制层必须采用统一的标准（协议）和接口进行系统互连。下面将介绍SDN控制器在数据中心中的南向和北向开放性，以及转发器（网络设备）的北向和互连开放性。

数据中心网络生态系统

控制器的开放性

控制器的北向开放性

控制器的北向开放性指的是与以下对象的互连开放性：
- 容器平台 ：SDN控制器通过SDN API Server Watcher与容器平台互连，容器以二层桥接模式（VLAN）或路由模式（BGP）访问虚拟化覆盖网络。这使容器网络能够实现自动化、可视化和智能化的运维。此外，安全管理器管理下一代防火墙（NGFW），为南北向流量提供负载均衡和为容器提供安全服务。SDN API Server Watcher应能够与开源Kubernetes、Red Hat OpenShift和FusionStage 2.0互连，以提供基本的网络服务，如网络、网关和子网，以及容器IP地址管理（IPAM）功能。vSwitchCNI插件应使容器能够以桥接或路由模式访问覆盖网络。
- 云管理平台 ：作为典型的开源云管理平台，OpenStack在私有云DCN市场中占据很大份额。同时，各种第三方云管理平台基于原生OpenStack开发。因此，SDN控制器应支持与OpenStack互连，以构建端到端的SDN解决方案。在SDN和OpenStack集成的数据中心中，硬件交换机用作VXLAN隧道端点（VTEP），以防止CPU资源消耗并提高CPU资源利用率。该集成解决方案可以采用网络覆盖模式或混合覆盖模式实现。
- 网络覆盖模式 ：所有VXLAN VTEP都部署在物理交换机上。VM和物理机（PM）按照OpenStack社区的定义进行分层捆绑，并通过硬件交换机连接到VXLAN。
- 混合覆盖模式 ：VXLAN VTEP部署在硬件交换机和虚拟交换机上。物理终端通过硬件交换机连接到VXLAN，而VM通过虚拟交换机连接。
SDN控制器使用OpenStack社区定义的标准API，并通过向OpenStack的Neutron组件添加插件来与OpenStack云管理平台互连。通过这个过程，SDN控制器实现网络设备配置和可视化监控，并添加了以下主流插件：
| 插件名称 | 功能 |
| — | — |
| SDN ML2驱动 | 检测Neutron端口事件，并调用SDN控制器的北向RESTful API来完成PM和VM接入侧的网络配置 |
| SDN VPN驱动 | 检测云管理平台提供的VPN服务，调用SDN控制器的北向RESTful API来配置服务叶节点与华为防火墙之间的互连，并将VPN服务下发到华为防火墙 |
| SDN L3插件 | 检测Neutron vRouter、网络、EIP和SNAT事件，并调用SDN控制器的北向RESTful API来配置转发器的路由网关、华为防火墙的NAT以及服务叶节点与第三方LB或防火墙之间的互连 |
| SDN FWaaS插件 | 检测云管理平台提供的防火墙服务，调用SDN控制器的北向RESTful API来配置服务叶节点与华为防火墙之间的互连，并将安全策略下发到华为防火墙 |
| SDN QoS插件 | 检测云管理平台提供的QoS服务，并调用SDN控制器的北向RESTful API来为转发器配置QoS |
| SDN GBP驱动 | 检测云管理平台提供的基于GBP的服务，映射这些服务，并调用SDN控制器的北向RESTful API来在转发器上配置GBP模型 |
- 虚拟化平台 ：作为主流的VM管理平台，VMware vSphere和Microsoft System Center提供计算和存储虚拟化能力，但它们基于vSwitch的网络虚拟化解决方案无法满足数据中心中多个计算资源（如PM、异构虚拟化平台和容器平台）之间的网络互连和统一管理要求，也无法管理现有网络。华为SDN控制器与VMware vSphere和Microsoft System Center的联合解决方案不仅可以访问现有的虚拟服务器，还可以访问物理服务器和遗留网络，实现虚拟资源池、物理资源池和遗留网络的统一管理，并有机地互连网络设备和计算资源。
- 与VMware vSphere互连 ：VMware vSphere虚拟化解决方案由vCenter服务器和ESXi虚拟化平台组成。vCenter服务器实现虚拟集群的统一管理和网络服务的统一供应，而ESXi虚拟化平台提供基本的计算虚拟化（vCompute）、存储虚拟化（vStorage）和网络虚拟化（vNetwork）能力。但vCenter服务器不支持对物理网络设备的管理和控制，而华为SDN控制器与VMware vSphere的联合解决方案可以有效解决这些问题。SDN控制器通过开放API与VMware vSphere VM管理平台上的vCenter服务器互连，根据vCenter服务器检测到的VM相关事件，自动将服务配置下发到网络设备，并使用SFC功能将VM的流量转移到VAS设备。
- 与Microsoft System Center互连 ：Microsoft System Center数据中心解决方案支持端到端的服务备份和IT服务部署，通过服务器中的Hyper - V交换机自动配置VM的vNIC，部署和配置vFW、虚拟SLB和虚拟网关服务，管理服务器的物理NIC并下发NIC团队配置。但网络控制器不支持对物理网络设备的管理和控制，华为SDN控制器与Microsoft System Center的联合解决方案可以有效解决这些问题。SDN控制器通过开放API与Microsoft System Center VM管理平台上的网络控制器互连，根据网络控制器检测到的VM相关事件，自动将服务配置下发到网络设备，并使用SFC功能将VM的流量转移到VAS设备。
- 第三方应用和平台 ：SDN控制器还提供以下标准北向接口（NBI）来与第三方应用和平台（如云管理平台、其他SDN控制器和网关平台）互连：
| 支持的NBI | 描述 | 适用场景 |
| — | — | — |
| OpenStack Neutron服务模型接口 | 创建、删除、查询和更新网络、子网、端口、路由器、浮动IP地址、安全组和QoS服务 | 连接到云管理平台的标准网络模型，实现VM和VAS设备之间的互连 |
| SDN控制器VPC服务模型接口 | 配置和管理逻辑网络资源（逻辑端口、交换机、路由器和VAS，以及外部网关） | 与云管理平台的非标准网络模型互连，在机架租赁和多出口数据中心等场景中提供服务 |
| O&M API | 查询物理和逻辑拓扑，收集网络服务流量统计信息，并对转发的数据包执行ERSPAN镜像 | 连接到运维监控平台，管理和监控网络拓扑和流量 |
| 网络安全接口 | 提供SFC服务和网络，部署L4 - L7服务 | 连接到VAS平台，提供NAT、防火墙、VPN和负载均衡等服务 |

控制器的南向开放性

在南向方向上，SDN控制器使用标准的OpenFlow、OVSDB、NETCONF和BGP EVPN协议来管理华为路由器、防火墙和交换机；使用RESTful API来管理第三方VAS设备（如Fortinet防火墙、Check Point防火墙、F5 LB、Palo Alto防火墙和Radware LB）；并使用策略路由（PBR）流量转移策略将网络设备的流量转移到第三方VAS设备。

云数据中心网络架构与开放性解析

南向开放性的详细运作

在前面提到SDN控制器的南向开放性，下面更深入地探讨其具体的运作机制和应用场景。

南向协议的作用

OpenFlow协议 ：OpenFlow 是一种用于控制网络设备转发行为的通信协议。在SDN架构中，SDN控制器通过OpenFlow协议向华为的路由器、防火墙和交换机发送指令，精确地控制数据包的转发路径。例如，当有特定的流量需要优先处理时，控制器可以通过OpenFlow协议为这些流量分配更高的优先级，确保其快速通过网络。
OVSDB协议 ：OVSDB（Open vSwitch Database Management Protocol）用于管理Open vSwitch（OVS）的数据库。SDN控制器利用OVSDB协议与支持该协议的网络设备进行交互，对设备的配置信息进行管理和更新。比如，当需要修改某个交换机的端口配置时，控制器可以通过OVSDB协议直接操作交换机的数据库，实现配置的动态调整。
NETCONF协议 ：NETCONF（Network Configuration Protocol）主要用于网络设备的配置管理。SDN控制器使用NETCONF协议对华为的网络设备进行配置和管理，确保设备按照预定的策略运行。例如，在部署新的网络服务时，控制器可以通过NETCONF协议将新的配置信息下发到设备，实现快速的服务部署。
BGP EVPN协议 ：BGP EVPN（Border Gateway Protocol - Ethernet Virtual Private Network）用于在数据中心网络中实现二层和三层的虚拟化。SDN控制器借助BGP EVPN协议，实现不同虚拟网络之间的通信和路由。例如，在多租户的环境中，不同租户的虚拟网络可以通过BGP EVPN协议实现隔离和互通。

RESTful API管理第三方VAS设备

SDN控制器使用RESTful API来管理第三方VAS设备，如Fortinet防火墙、Check Point防火墙、F5 LB、Palo Alto防火墙和Radware LB。RESTful API是一种基于HTTP协议的轻量级接口，具有良好的可扩展性和易用性。

graph LR
    A[SDN控制器] -->|RESTful API| B[Fortinet防火墙]
    A -->|RESTful API| C[Check Point防火墙]
    A -->|RESTful API| D[F5 LB]
    A -->|RESTful API| E[Palo Alto防火墙]
    A -->|RESTful API| F[Radware LB]

配置管理 ：SDN控制器可以通过RESTful API向第三方VAS设备发送配置请求，如创建访问控制列表（ACL）、配置VPN连接等。例如，当需要在Fortinet防火墙上添加一条新的访问规则时，控制器可以通过RESTful API将规则信息发送到防火墙，实现规则的快速配置。
状态查询 ：通过RESTful API，SDN控制器可以查询第三方VAS设备的状态信息，如设备的运行状态、流量统计信息等。例如，控制器可以定期查询F5 LB的负载情况，以便根据实际情况进行负载均衡策略的调整。

PBR流量转移策略

PBR（Policy - Based Routing）流量转移策略用于将网络设备的流量转移到第三方VAS设备。SDN控制器根据预先定义的策略，将特定的流量引导到相应的VAS设备进行处理。

graph LR
    A[网络设备] -->|PBR策略| B[第三方VAS设备]
    B -->|处理后流量| C[网络设备]

流量分类 ：SDN控制器根据流量的特征（如源IP地址、目的IP地址、端口号等）对流量进行分类。例如，将所有来自特定IP段的流量标记为需要进行安全检查的流量。
流量转移 ：根据分类结果，SDN控制器使用PBR策略将流量转移到相应的VAS设备。例如，将标记为需要安全检查的流量转移到防火墙进行过滤和检查。
流量回注 ：VAS设备处理完流量后，将处理后的流量回注到网络中。SDN控制器确保流量能够正确地回到原来的路径继续传输。

开放性对数据中心网络的影响

提高互操作性

SDN控制器和转发器的开放性使得不同厂商的设备和平台能够更好地进行互操作。例如，华为的SDN控制器可以通过标准的API与多种云管理平台、虚拟化平台和第三方应用进行互连，实现不同系统之间的无缝对接。这大大提高了数据中心网络的灵活性和可扩展性，用户可以根据自己的需求选择不同厂商的设备和服务，而不用担心兼容性问题。

促进创新

开放性为数据中心网络的创新提供了良好的环境。各个厂商和开发者可以基于开放的标准和接口，开发出更多的新功能和应用。例如，在控制器的北向开放性方面，开发者可以利用SDN控制器提供的标准NBIs，开发出更加智能化的网络管理工具和安全防护系统，为数据中心网络带来更多的价值。

降低成本

开放性使得市场竞争更加激烈，各个厂商为了提高竞争力，会不断优化产品和服务，降低价格。同时，用户可以根据自己的需求选择性价比更高的设备和服务，从而降低数据中心网络的建设和运营成本。例如，在选择网络设备时，用户可以在多个符合开放标准的厂商中进行比较，选择最适合自己的产品。

总结

云数据中心网络的服务供应和开放性是数据中心网络发展的重要方向。通过合理的服务供应流程，可以实现内网虚拟机向外部网络提供服务的功能，为用户带来更好的使用体验。而SDN控制器和转发器的开放性则提高了数据中心网络的互操作性、促进了创新并降低了成本。在未来的发展中，随着技术的不断进步和标准的不断完善，云数据中心网络的开放性将会得到进一步的提升，为数据中心网络的发展带来更多的机遇和挑战。

开放性方面	优势
服务供应	实现内网VM外部服务提供，流程清晰，便于操作
控制器北向开放性	与多种平台互连，实现自动化、可视化和智能化运维
控制器南向开放性	管理多种设备，实现流量灵活处理
整体开放性	提高互操作性、促进创新、降低成本