漫談SDN、NFV與NV

責(zé)任編輯:editor007

作者:薛保平

2015-07-15 17:35:18

摘自: SDNAP.com

對于東西向流量,由Controller控制下的Hypervisor之間(以下稱虛擬機(jī)集群)轉(zhuǎn)發(fā)實(shí)現(xiàn),而南北向流量,需要部署專門的虛擬路由器或物理網(wǎng)絡(luò)設(shè)備作為虛擬機(jī)集群的出口。

SDN(Software Defined Network),NFV(Network Function Virtulizaiton),NV(Network Virtulization),三個(gè)網(wǎng)絡(luò)名詞是電信界與IT界的熱點(diǎn)詞匯,它們與運(yùn)營商網(wǎng)絡(luò)、云計(jì)算,虛擬化密切相關(guān),所以頻繁的在不同領(lǐng)域,不同場合出現(xiàn),以致于很多人對它們混為一談,在此,就自己前一段的學(xué)習(xí)與體會,談?wù)勊斫獾腟DN,NFV與NV。

漫談SDN

SDN即軟件定義網(wǎng)絡(luò),開放網(wǎng)絡(luò)基金會(ONF)將軟件定義網(wǎng)絡(luò)定義為三個(gè)特征:

控制平面與轉(zhuǎn)發(fā)平面分離

控制平面集中化

網(wǎng)絡(luò)可編程

了解現(xiàn)有網(wǎng)絡(luò)的人一看就明白,我們現(xiàn)在的網(wǎng)絡(luò)無論運(yùn)營商骨干網(wǎng),城域網(wǎng),接入網(wǎng),數(shù)據(jù)中心網(wǎng)絡(luò)以及企業(yè)的園區(qū)網(wǎng),辦公網(wǎng),都是非SDN的,即硬件定義的網(wǎng)絡(luò),特點(diǎn)是:

控制部件與轉(zhuǎn)發(fā)部件一體化,形態(tài)上體現(xiàn)為廠家專用的、封閉的、控制與轉(zhuǎn)發(fā)平面緊耦合的設(shè)備;

控制平面工作方式是分布式的,每臺設(shè)備獨(dú)立通過二層,三層的協(xié)議學(xué)習(xí)網(wǎng)絡(luò)拓?fù)洌纬赊D(zhuǎn)發(fā)表與路由表,報(bào)文轉(zhuǎn)發(fā)自主決定。

不可編程,網(wǎng)絡(luò)的部署通過設(shè)備廠家的特有命令行,命令行各家不一,沒有標(biāo)準(zhǔn)。

SDN描繪的理想網(wǎng)絡(luò)應(yīng)該是這樣的:

轉(zhuǎn)發(fā)平面通用化(Openflow的目標(biāo)),轉(zhuǎn)發(fā)設(shè)備的研發(fā),生產(chǎn),制造不再有門檻,制造商僅需要將通用芯片組裝成設(shè)備即可,廠家設(shè)備差異化消失。轉(zhuǎn)發(fā)設(shè)備受控于控制器,轉(zhuǎn)發(fā)信息由控制器下發(fā)。

控制器即Controller,要性能強(qiáng)(控制相當(dāng)規(guī)模的網(wǎng)絡(luò)),可部署復(fù)雜業(yè)務(wù)(高級服務(wù)),支持高可用。Controller能形成集群組,支持更大規(guī)模網(wǎng)絡(luò)。

公開的北向接口,應(yīng)用或云平臺可以通過這個(gè)接口調(diào)用控制器,實(shí)現(xiàn)業(yè)務(wù)所需的網(wǎng)絡(luò)服務(wù)。

在這里啰嗦大家熟悉的SDN的定義以及SDN實(shí)現(xiàn)的理想網(wǎng)絡(luò),是因?yàn)闃I(yè)界對SDN有不同的解讀,有種說法是SDN重在第三項(xiàng)特征可編程,第一,二特征沒這么重要。我的看法是,如果控制不集中,在現(xiàn)有設(shè)備商上是可以實(shí)現(xiàn)一定程度的可編程,可其帶來的好處是有很大局限的,局限之處在于:

無全局拓?fù)?/p>

配置上下文一致性沒保證

無統(tǒng)一的網(wǎng)絡(luò)運(yùn)行狀態(tài)信息

因此,SDN的三個(gè)特征是互為補(bǔ)充的,只有這三者之間的有機(jī)結(jié)合才能真正解決硬件定義網(wǎng)絡(luò)的束縛,上層業(yè)務(wù)才能隨心所欲調(diào)用網(wǎng)絡(luò),使其為之服務(wù)。

Google的B4以及Facebook最新的數(shù)據(jù)中心都證明了這一點(diǎn),其核心建設(shè)思想都在強(qiáng)調(diào)Controller對網(wǎng)絡(luò)的全面掌控。可見,強(qiáng)調(diào)滿足一、二特征還是必須的。

談SDN需提及Openflow(盡管它表面上只是一個(gè)南向接口協(xié)議),因?yàn)樗鼈儽煌瑫r(shí)提出并緊密相關(guān),在此,說說我理解的Openflow。

從SDN提出第一天起,以斯坦福大學(xué)Nick教授為代表的學(xué)術(shù)界就一直在致力于轉(zhuǎn)發(fā)平面的通用化,Openflow充分體現(xiàn)了這一設(shè)想。但大家都了解,Openflow的進(jìn)展到目前為止并不順利,原因有三點(diǎn):一:目前的商業(yè)芯片無法有效支持Openflow定義的多字段匹配;二:商業(yè)芯片對匹配、動作多級流水線的支持也很有限;第三點(diǎn)倒是與Openflow沒有直接關(guān)系,業(yè)界各廠家推出的controller+switch方案與現(xiàn)網(wǎng)的互通性過于簡單,不滿足生產(chǎn)要求,使得所建的網(wǎng)絡(luò)成為孤島,只能用于特定場合(如研究與測試),并非可以全面推廣的通用方案。

盡管現(xiàn)狀如此,但Openflow實(shí)現(xiàn)轉(zhuǎn)發(fā)層面通用化的努力還是有非常大的意義。假設(shè)Openflow的標(biāo)準(zhǔn)固定下來,基于Openflow的商業(yè)芯片量產(chǎn),對于網(wǎng)絡(luò)界的意義不亞于x86對于服務(wù)器行業(yè)的意義。

漫談NFV

NFV是ETSI(即歐洲電信標(biāo)準(zhǔn)化協(xié)會)旨在通過采用通用硬件及在其上流行的虛擬化技術(shù),來取代目前由電信設(shè)備廠商給運(yùn)營商提供的專用硬件設(shè)備,從而降低網(wǎng)絡(luò)建設(shè)的昂貴成本支出。NFV背后的支持者是電信業(yè)界的各大巨頭。

IT業(yè)者不大了解電信網(wǎng)絡(luò),以為NFV的目標(biāo)是拿通用服務(wù)器代替數(shù)據(jù)中心的交換機(jī)、路由器等設(shè)備。實(shí)際上,NFV所涵蓋的范圍要廣泛的多,電信網(wǎng)絡(luò)中除了數(shù)據(jù)網(wǎng)絡(luò)外還有固定網(wǎng)絡(luò),移動網(wǎng)絡(luò)以及傳輸網(wǎng)絡(luò),涉及的網(wǎng)元類型達(dá)百十種之多(電信業(yè)內(nèi)的專家都難準(zhǔn)確說出電信網(wǎng)絡(luò)究竟有多少種網(wǎng)元),都在NFV所涵蓋的范圍。

既然NFV的目標(biāo)是通用服務(wù)器替代專用電信設(shè)備,那就需要了解它們各自的特點(diǎn)。專用電信設(shè)備的特點(diǎn)是性能強(qiáng),可靠性高,有較強(qiáng)的可擴(kuò)展能力。而通用服務(wù)器的長處是計(jì)算能力強(qiáng),標(biāo)準(zhǔn)化,有成熟、開放的虛擬化技術(shù)支持。

上面講到電信網(wǎng)絡(luò)中的網(wǎng)元類型很多,功能上有側(cè)重計(jì)算密集型的(以處理信令為主),也有側(cè)重轉(zhuǎn)發(fā)性能的。NFV應(yīng)該發(fā)揮通用服務(wù)器的強(qiáng)項(xiàng),目標(biāo)先鎖定那些計(jì)算密集型的網(wǎng)元,之后再隨著CPU處理網(wǎng)絡(luò)報(bào)文性能的提高,再逐步覆蓋那些側(cè)重轉(zhuǎn)發(fā)的網(wǎng)元。

這里以數(shù)據(jù)通信設(shè)備為例,講講NFV可能的發(fā)展路徑。數(shù)據(jù)通信中的常見設(shè)備有交換機(jī),路由器,防火墻,深層監(jiān)測及應(yīng)用交付設(shè)備等。交換機(jī)與路由器基本工作在OSI定義的二層到三層,而深層監(jiān)測與應(yīng)用交付設(shè)備工作在OSI定義的四層到七層。越往上層走,芯片需要處理的報(bào)文字段就越多,計(jì)算的工作負(fù)荷就越大;越往下層,芯片需要處理的字段就越少,計(jì)算資源的需求就越小。

拿業(yè)界最有代表性的三類芯片CPU,NP(Network Processor)與ASIC(Application Specific Integrated Circuit)作性能分析:NP比CPU快一個(gè)數(shù)量級,ASCI又比NP快一個(gè)數(shù)量級。拿最新的數(shù)據(jù)參考,NFV領(lǐng)先的某公司剛發(fā)布了性能測試報(bào)告,采用的雙路服務(wù)器實(shí)現(xiàn)的最大三層轉(zhuǎn)發(fā)性能為80Gbps(注意:該服務(wù)器工作在裸設(shè)備模式,還沒作虛擬化,虛擬化后必然有一定程度的性能降低),可是,交換機(jī)領(lǐng)域量產(chǎn)的單顆芯片的轉(zhuǎn)發(fā)性能已經(jīng)是1.28T。

所以,NFV如果要大行其道的話,CPU必須在性能方面大大縮短與NP及ASIC之間的差距。

漫談NV

隨著云數(shù)據(jù)中心里計(jì)算虛擬化的趨勢,數(shù)據(jù)中心中業(yè)務(wù)快速部署、自動化以及自服務(wù)成了必然的需求,這在公有云,大規(guī)模私有云里體現(xiàn)的最為明顯。對網(wǎng)絡(luò)提出了以下幾個(gè)方面新的要求:

云平臺無法操縱現(xiàn)有網(wǎng)絡(luò)設(shè)備,無法根據(jù)應(yīng)用的要求配置網(wǎng)絡(luò)。

多租戶之間要實(shí)現(xiàn)隔離。

單租戶的不同應(yīng)用之間安全性要保障。

虛擬機(jī)遷移的要求打破了原有網(wǎng)絡(luò)的邊界,配置的網(wǎng)絡(luò)策略需要隨動遷移。

上述要求使得現(xiàn)有網(wǎng)絡(luò)無所適從,所以NV應(yīng)運(yùn)而生。

NV的方法是在現(xiàn)有網(wǎng)絡(luò)之上構(gòu)建了一個(gè)疊加(Overlay)的,虛擬的網(wǎng)絡(luò),這個(gè)網(wǎng)絡(luò)直接支持業(yè)務(wù),由云平臺操控。而現(xiàn)有網(wǎng)絡(luò)只作為傳輸通道,只在特定情況下支持業(yè)務(wù)(如需要虛機(jī)與物理機(jī)之間互通)。

NV的體系架構(gòu)大致如下:

服務(wù)器Hypervisor上安裝轉(zhuǎn)發(fā)部件,接收Controller下發(fā)的轉(zhuǎn)發(fā)指令,形成轉(zhuǎn)發(fā)表,轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。

Controller控制其下的Hypervisor們,準(zhǔn)確的說是控制其上的轉(zhuǎn)發(fā)部件;管理整個(gè)虛擬網(wǎng)絡(luò)。

Controller提供API接口給云平臺,云平臺部署業(yè)務(wù)時(shí)只跟Controller打交道。

對于東西向流量,由Controller控制下的Hypervisor之間(以下稱虛擬機(jī)集群)轉(zhuǎn)發(fā)實(shí)現(xiàn),而南北向流量,需要部署專門的虛擬路由器或物理網(wǎng)絡(luò)設(shè)備作為虛擬機(jī)集群的出口。

南北向流量處理需要多提一點(diǎn)的是,不論專門的虛擬路由器還是物理設(shè)備,上面運(yùn)行的是傳統(tǒng)路由協(xié)議,Controller要與其互通,需要支持相同的協(xié)議。

疊加網(wǎng)絡(luò)是這樣形成的,Hypervisor之間建立隧道,通用的協(xié)議是VXLAN或NVGRE(隧道協(xié)議后續(xù)還有發(fā)展,這里不作探討)。虛擬機(jī)之間的流量封裝在Hypervisor地址內(nèi)傳送。物理網(wǎng)絡(luò)設(shè)備只看到Hypervisor地址,不會看到虛擬機(jī)地址。

了解傳統(tǒng)網(wǎng)絡(luò)設(shè)備的就會意識到,這個(gè)架構(gòu)似曾相識,虛擬機(jī)集群像一臺機(jī)架式路由器或交換機(jī),Controller就是主控,Hypervisor就是接口卡,每臺虛擬機(jī)連接到接口卡上。Hypervisor之間通過VXLAN連接,VXLAN相當(dāng)于機(jī)架式設(shè)備的背板或交換引擎(當(dāng)然VXLAN報(bào)文不能跑在空氣中,由物理網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā))。這里,Controller負(fù)責(zé)控制平面,Hypervisor們組成轉(zhuǎn)發(fā)平面。

在此回答NV是如何解決前面提到的計(jì)算虛擬化挑戰(zhàn)問題的:

云平臺通過Controller控制虛擬網(wǎng)絡(luò),滿足應(yīng)用部署要求。

隧道建立時(shí),有隧道標(biāo)識,VXLAN封裝有VNI字段,24位,1千6百萬個(gè)。每個(gè)VXLAN就是一個(gè)廣播域,VXLAN之間二層隔離。為單個(gè)租戶建立獨(dú)有的虛擬路由器,租戶VXLAN終結(jié)到自己的路由器,自然也實(shí)現(xiàn)了三層隔離。

Hypervisor上的轉(zhuǎn)發(fā)部件可以為虛擬機(jī)配置ACL實(shí)現(xiàn)安全控制,也可以與第三方安全模塊集成,實(shí)現(xiàn)更復(fù)雜的安全功能。

云平臺在遷移虛擬機(jī)時(shí)同時(shí)調(diào)用Controller接口,配置的網(wǎng)絡(luò)策略實(shí)現(xiàn)隨動遷移。

最后談?wù)凷DN,NFV,NV三者之間的關(guān)系:

就之前對三者的描述,大家可以了解到,三者間絕不等同,但又互有交集。

SDN, NFV, NV之間的區(qū)別:

三者各自提出的背景不同,解決的問題也不同。SDN解決的是加快網(wǎng)絡(luò)部署的問題,面向的是整張網(wǎng)。而NFV的訴求是通用服務(wù)器對專用網(wǎng)元的替代,針對的是單個(gè)的網(wǎng)元。形象的說,SDN關(guān)注的是面的問題,NFV關(guān)注的是點(diǎn)的問題。有電信界專家稱SDN注重降低OPEX,NFV注重降低CAPEX,不無道理(當(dāng)然,SDN的推動轉(zhuǎn)發(fā)平面通用化成為現(xiàn)實(shí),CAPEX也會大大降低)。

再講講SDN與NV的區(qū)別,相比SDN,NV解決的只是虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)問題,SDN面向的網(wǎng)絡(luò)更廣泛,只要有網(wǎng)絡(luò)靈活多變,業(yè)務(wù)部署復(fù)雜,就是SDN的目標(biāo)所在。NV采用疊加網(wǎng)絡(luò)解決虛擬化數(shù)據(jù)中心的方案只能用在數(shù)據(jù)中心,沒法用到園區(qū)網(wǎng),運(yùn)營商城域網(wǎng),骨干網(wǎng)等其他網(wǎng)絡(luò)。所以,NV相比SDN,所針對的只是虛擬機(jī)網(wǎng)絡(luò),只適用于數(shù)據(jù)中心內(nèi),面向的網(wǎng)絡(luò)范圍要小的多。上一段將SDN與NFV比作面與點(diǎn)的關(guān)系,那NV針對的就是整個(gè)網(wǎng)絡(luò)版圖里的一塊塊小角。

總結(jié)一下,SDN,NV,NFV分別對應(yīng)網(wǎng)絡(luò)的面,角,點(diǎn)。

SDN, NFV, NV之間的交集:

NV是虛擬機(jī)世界的網(wǎng)絡(luò)解決方案,我的理解是它采用了SDN的思想,NFV的方式滿足數(shù)據(jù)中心云化的特定網(wǎng)絡(luò)需求。之前的NV架構(gòu)中,Controller與Hypervisor轉(zhuǎn)發(fā)部件之間就是控制與轉(zhuǎn)發(fā)分離,控制平面集中化的體現(xiàn),Controller又有接口供云平臺調(diào)用,實(shí)現(xiàn)可編程,不是完全符合SDN的三個(gè)特征嗎?

在介紹NV時(shí)提到的處理南北向流量的虛擬路由器,與物理路由器功能上沒有什么不同,只是運(yùn)行在物理服務(wù)器上的一臺虛擬機(jī),實(shí)現(xiàn)了路由器功能,這不就是NFV的實(shí)際應(yīng)用!

SDN與NFV訴求不同,前者面向面,后者面向點(diǎn),但它們盡管不同,但有關(guān)聯(lián),而且關(guān)聯(lián)關(guān)系會隨著這兩項(xiàng)技術(shù)的發(fā)展會越來越密切。先拋開SDN說NFV,現(xiàn)網(wǎng)中如果拿通用服務(wù)器替代專用網(wǎng)絡(luò)設(shè)備,就是NFV的實(shí)現(xiàn)。而網(wǎng)絡(luò)中實(shí)現(xiàn)SDN可以通過現(xiàn)有的專用設(shè)備,只要滿足開篇提到的三特征即可。這么說,好像SDN與NFV無關(guān)。那為什么又說SDN與NFV會越來越密切?通用服務(wù)器替換專用設(shè)備,可能會更便于實(shí)現(xiàn)SDN定義的三特征,而且SDN與NFV都是大勢所趨,未來會出現(xiàn)在Controller控制下用通用服務(wù)器作為網(wǎng)元形成的網(wǎng)絡(luò),既實(shí)現(xiàn)了SDN,又是NFV。如果發(fā)展到這一步,SDN與NFV就是完美的融合了。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號