cnBeta.COM_中文业界资讯站

私有云的神经系统——品高云SDN分析

2017-11-14 来源: 中国网 作者:秩名 次阅读

有这样一个故事——在白垩纪时期,恐龙是地球上的霸主,但是恐龙的神经系统却不是那么发达,对外界的刺激反应缓慢,踩到一个什么东西,要几个小时后才有感觉。虽然这只是一个笑话,但是恐龙体型巨大,却只有那么小的脑容量,也确实是件奇怪的事情。联系客服小表妹(VX:pingaoyunzzm)了解更多。
在这里我们不去讨论恐龙的反应有多慢,而是要讲讲云计算。虽然感觉好像有点怪,不过要是把云计算的网络系统比喻为神经系统,把云计算的存储/计算能力比喻骨骼和肌肉,是不是就容易理解了呢?恐龙庞大的身躯,就像现在规模巨大的云计算一样,如果空有强壮的骨骼和肌肉,却没有强悍的神经系统辅佐,那么云计算规模再大,也是一个上古时期的传说了,无法承担新时代复杂的计算应用需求。

  私有云的发展与规模

  云计算给无数的用户带来了技术便利性,也让传统企业用户有了技术革新的机会——私有云市场的蓬勃发展即是明证。私有云能够有更高效的资源利用率、更便捷的管理、更灵活的扩展与升级,以及更契合业务的支撑能力,这让越来越多的传统企业用户将目光聚焦到云计算之上,以构建新型数据中心,为企业业务提供更好的支撑能力。

  Tips:据IDC调查,2015年全球公有云服务的支出约700亿美元,2019年将超过1400亿美元。

  私有云不是简单的设备堆积,虚拟化只是消除物理资源间隔的第一步。但在部署虚拟化之后,“虚机蔓延”问题带来一系列连锁性问题却是用户不得不面对的现实。
Tips:根据RightScale调查结果,2016年有31%的企业在私有云中运行超过1,000台虚拟机,而2015年超过1000个虚拟机的用户仅有22%。

  拥有超过1000个虚拟主机的企业私有云已经占据了近1/3的份额,面对如此众多的“虚拟主机”,不仅仅是管理复杂的问题,更重要的是“性能”问题。就如恐龙一样,庞大的身躯如果没有高效的神经系统,那结局……而云架构数据中心的“神经”就是网络,或者说网络子系统——其要解决的难题比想象中要大得多。

  云计算的神经系统

  相比于传统“孤岛”式数据中心/IT架构系统,网络子系统主要解决的是“南北向”流量问题,即从业务层到数据库/存储底层的数据流通。但在云数据中心/云架构系统,其不仅仅是南北向流量,还要解决由于分布式技术广泛应用带来的“东西向”流量,分布式计算、分布式存储、虚机主机的动态迁移……都会导致比南北向流量大得多的东西向流量。在一般情况下,虚拟主机的网络流量都是用CPU来处理,这会占用计算资源,尤其是流量巨大时,必然会造成计算资源争夺。也有使用VXLAN卸载等技术手段来将这一部分工作从CPU卸载到网卡,但这一封装会增加报文长度,导致额外的网络流量,数据传输效率受到影响。

  在规模较小的时候,传统架构的网络子系统利用性能更好的硬件、技术改良也许能够应对,一旦规模扩大,网络子系统就必须拥有更好的性能、更灵活的变更(管理)以及更高的效率等特点,如何构建新型网络子系统则成为横亘在云计算规模应用前的一大难题。

  品高云SDN
  
  作为国内最早一批开拓私有云市场的品高云,它推出的Bingo SDN环境就是为私有云配置的一套强大的网络/神经系统。

  传统的企业级数据中心,大都是一个应用一套系统,因为服务器、存储、网络设备都比较贵,系统架构相对而言比较简单,大都通过交换机、路由器来实现互联,虽然性能有保证,但是基本没有灵活性,系统搭建完成后,除非业务变化,否则不会有什么变动;

  在虚拟化和早期的私有环境中,SDI概念将计算、存储和网络环境都通过x86平台来组合实现,物理服务器、存储设备和网络设备都成为企业基础设施平台了,虽然用软件定义的资源池取代了传统架构的硬件设备,但是在网络端依然是依托交换机和虚拟路由器/网关在进行管理。很显然,即便用软件定义取代了部分硬件设备,但是单点的瓶颈依然存在,虽然具有了更强的灵活性,但是面对大规模私有云架构,传统的软件定义模式并不能解决所有的问题。

  随着私有云的进一步发展,那些着力于推动私有云应用的企业就开始考虑搭建更适合大规模部署企业级的架构了,品高云作为在国内较早进入私有云领域的厂商,已经进化到品高云7.0时代,从品高云6.0版本就就具备了Bingo SDN环境,这是面对大规模私有云环境的一个出色的私有云网络解决方案。

  光从以上的文字描述可能不太容易理解云计算的虚拟网络环境,那么我们就用图来描述:


 
 
  这是一个典型的传统私有云环境,所有的物理服务器都通过交换机互联,通过网络节点(通常是一台1U的x86服务器)来分配相关的网络功能,所有的虚拟主机都由一台物理的网络设备来支持,是常见的一种私有云/虚拟化解决方案。

  这也是早期企业级用户升级云计算的一个主要方案,因为在数据中心内,一套机柜内可以放置20台2U服务器,为了更好的使用感受,单台服务器通常配备双端口10GB网卡,因此还需要一个48口交换机结合网关/路由设备来支持网络环境。通过VLAN/VxLAN等功能,可以为用户提供不错的虚拟化计算环境。

  计算机技术在快速发展,早期2U双路服务器只能提供8个核心的计算能力,而最新的Xeon SP平台已经可以在2U双路的服务器内提供56核112线程的计算能力;内存也从64GB扩展到1.5TB;这些进步发展相当于最新的2U双路服务在计算能力上14倍于早期产品(这才10年的光景,某些更新换代较慢的数据中心才换了两代服务器),意味着用户可以在一套物理服务器环境上运行更多的虚拟主机,如果用户对计算资源需求没有那么强的话,一套物理服务器环境支持超过100台虚拟主机是完全可行的部署方式,这时再看传统的私有云计算架构,就会发现——所有的流量都要经过物理设备中的网络控制单点。

  传统的云网络大都把 Gateway 部署在一个物理节点上,这样既存在网络单点故障的可能,同时网关也将成为整个云网络的性能瓶颈;而且 Gateway 也是黑客攻击的一个重点对象……无论用户选择什么样的网络设备,只要存在流量的单点,当流量突破了这个设备的极限时 ,那么就意味着这套系统存在瓶颈了。
 
  简单计算一下:一套机柜满配可以部署20台2U双路服务器,每台服务器上运行50个虚拟主机,那么在这个机柜内就存在20*50=1000个虚拟主机;要是传统物理环境,这就相当于一个50套机柜的小型IDC的服务器总量了,这么大规模的业务系统仅靠一台交换机+网络控制节点来支撑,其性能和可靠性显然无法满足业务所需,那么在这种情况下,必然会推动网络子系统架构的革新。

  品高SDN系统

  那么我们来看看品高云是怎么解决这样的问题。


 
 
  两个物理服务器节点的品高云7.0示意图

  我们可以看到,在每台物理节点上可以运行大量的虚拟主机,多台物理服务器构成一套SDN网络系统。这些物理服务器只是通过2层交换机互联,没有其他的3层网络控制节点(在传统私有云环境中,往往使用x86服务器平台来做3层以上的VR(虚拟路由器)/VG(虚拟网关)功能。

  在品高云SDN环境中,SDN控制器使用分布式控制器代替了原有的集中式控制器,每一台物理服务器的操作系统层都有一个小型的分布式控制器进程,不但减少了硬件系统的开销,还消减了单点可能导致系统整体可用性。在品高云环境里,所有虚拟主机的连接、管理等网络服务都由品高云SDN分布式控制器来实现。在各个虚拟主机间没有业务流量的时候,SDN控制器将所有的虚拟主机网络都统一管理,因此在连接物理服务器的网络环境只需要支持2层协议就可以了,且在交换机的网络环境内消减了ARP广播,因此在基础网络环境内是一个干净的网络环境,可以充分支持多台物理服务器的网络服务。


 
 
  品高云主控界面

  品高SDN的特点

  品高云的Bingo SDN controller 是一个分布式组件,采用统一的集中化管理,可以感知整体网络的情况,摆脱了臃肿的 Linux network stack 组件。具有多重的进程保护措施,并获得了大量相关的专利;遵循 ONF(open network foundation)的 SDN 标准,不存在网络单点,符合新一代云计算网络架构的发展趋势。
 
 
 
  品高云SDN监控界面

  品高云在私有云的租户隔离技术上没有选择VXLAN技术(只是在在异地多活环境中使用VXLAN来做隧道隔离),隔离方式基于OpenFlow环境,具有更好的隔离效果,不存在网管中心,因此某租户受到攻击时,其他租户不会受到任何影响。SDN采用的ARP广播抑制技术让用户的MAC地址被保护起来,在用户实例中,租户的信息得到了最大的保护。

  分布式的SDN技术在每一台物理主机上都有一套SDN的环境,因此任何一台/套物理机的宕机都不会影响租户的业务应用。只有还有一台宿主机还能运行,这套网络环境就依然可用。据实测,部署了品高云SDN环境的单台宿主机,可以提供169W的并发连接性能,由此可见品高云SDN环境的性能强劲。在物理机(宿主机)环境下,品高云SDN支持5000台的超大规模环境,而虚拟主机则没有数量的限制。

  品高云私有云环境内,SDN默认提供的虚拟网络带宽是万兆环境,用户也可以使用千兆链路聚合来提升带宽。企业客户在虚拟主机上的关键业务,就可以具有较高的网络性能,满足用户在私有云环境内的关键业务的需求。品高云在跨VPC或者异地双活环境中同样支持多种带宽的虚拟网络连接,满足用户私有云的高性能、高可用需求。

  对于安全特性,品高云采用了两套手段进行详尽的管理。一是在管理权限和策略上使用了vpc,安全组,acl,对等连接等一系列内置可组合的安全功能,最大限度避免用户无意中的端口,漏洞,风险的出现,最大限度避免用户无意中的端口、漏洞的出现;二是联合第三方安全厂商,提供第三方的安全方案集成,目前在品高云中已经提供了10个不同安全厂商的多种类型的安全组件服务(山石网科的云格/云界、启明星辰、360企业安全、安全狗等主流安全厂商),可以满足用户各种不同层次的安全需求。

  通过以上,相信您已经对Bingo SDN的整体有了初步了解。后续我们将会从私有云用户的使用角度,对品高云SDN系统进行系列的实战测试,相信会让你对私有云有更深刻的理解。