twt运营
作者twt运营联盟成员·2016-09-18 09:27
软件开发工程师·twt

招商银行SDN网络实践

字数 6229阅读 3372评论 0赞 1

文  |  招商银行信息技术部

            平湖数据中心经理   钟祝君

云计算、虚拟化等新技术的快速发展,带来了新一轮的IT革命。新的技术带来了灵活、敏捷、高扩展、快速交付等新的特征,传统的网络已很难适应云化和虚拟化的需求,而软件定义网络(SoftwareDefinedNetworks,SDN)弥补了这一缺陷。

SDN是指开放网络控制面与业务之间的北向接口,向上提供资源抽象,实现软件可编程控制的网络架构。SDN不仅仅是技术,更是一种网络架构,一种理念,代表了“开放性、虚拟化和可编程”的网络设计理念,同时SDN也代表了网络的一个发展方向。为了更好地适应业务和IT的发展,招商银行对SDN进行了一些探索和研究。

一、招商银行对SDN技术的探索

中国银行业在信息化方面已经经历了三十多年的建设历程。从上个世纪80年代开始,计算机开始在银行业务中发挥作用,替代了原来的手工记账操作,但银行IT系统基本上是一个个的信息孤岛。

现在云计算、大数据等新兴信息技术得到了快速发展,伴随着这些新兴信息技术的应用,互联网金融兴起,对传统银行业造成了很大的冲击。银行也在积极地跟踪和研究云计算等新兴技术,并与传统的信息和网络技术相结合,向云网融合方向进行探索和实践。

1.银行新一代IT基础架构将会重点关注的四个方面从银行业这三十多年的IT建设历程来看,在信息技术应用方面,银行向来不是保守者,而是实践者与创新者。根据这些年IT建设累积的经验,以及对未来信息技术发展的研究,招商银行认为银行新一代的IT基础架构,将会重点关注“高可用性”、“灵活性”、“自动化”与“智能化”四个方面。

(1)高可用性一直是银行在信息化建设过程中所重点关注的。由于银行业务的重要性,其对承载业务的IT系统也有着严格的可靠性要求。从IT系统的整体架构、基础网络到系统的灾备体系,都要求极高的可靠性和可用性。

(2)在以前的IT建设过程中,灵活性并没有得到特别的重视。但是,随着金融行业的互联网化,业务创新越来越频繁,对IT资源的要求也在快速地发生变化。业务的快速变化要求IT资源能够按照业务的需求灵活调度,网络架构能够弹性地扩展,各种IT系统的架构能够平滑地升级与更新换代。

(3)智能化和自动化是从IT管理的角度,对IT系统提出的更高的要求。智能化的IT系统,要求能够做到IT资源的按需分配,IT提供的服务能够随需而动,对IT资源能够进行全方位的监控和管理并与业务状态相关联。自动化主要指IT资源在部署、调度和管理方面能够由系统特别是软件系统自行完成,而不需要过多的人为干预,大幅度地节省人力资源。

2.网络建设面临的挑战在这些年的IT建设过程中,网络建设也遇到了一些挑战,主要表现在以下四方面。

(1)随着计算、存储等IT资源的虚拟化程度日益提高,传统的网络架构无法适应快速扩展和灵活多变的需求。

(2)随着IT运维管理的自动化程度越来越高,传统网络技术已经无法匹配自动化管理的需求。

(3)随着业务和管理的需要,对数据流量的管理与控制要求越来越精细,调度策略也要求越来越灵活,传统网络的服务质量和调度技术已经难以满足越来越高的管控要求。

(4)传统网络是静态的网络,业务系统与物理网络是紧耦合的关系,在这样的架构下难以实现业务的快速部署与灵活变更。

3.SDN技术对传统网络的改变为了应对这些挑战,在跟踪与研究了业界的相关新兴技术之后,招商银行开始考虑在银行的基础网络架构引入SDN技术。

SDN技术是一项通过软件来改变传统网络架构和转发机制的技术。它对传统网络的改变主要体现在以下四方面。

(1)基础网络资源与上层各类应用平台之间可以通过SDN技术关联在一起,由SDN控制器通过北向接口与上层平台对接,通过南向接口调度网络基础资源,最终实现由业务驱动的基础网络架构。

(2)在SDN架构下,SDN控制器掌控着全网的信息,有利于实现网络的统一管理,并根据全网状态进行实时决策,快速响应业务应用的需求变化。

(3)SDN技术让网络具备了可编程的能力,网络设备通过SDN的相关协议接受SDN控制器的动态指令,可以实现网络管理和控制的自动化。

(4)在SDN架构下,网络的控制平面与转发平面解耦和,解决了传统网络灵活性差、资源规模扩展受限制的问题。

4.SDN给银行的信息化建设带来的价值SDN技术在应用到银行的信息体系中之后,将给银行的信息化建设带来一些新的价值。

(1)提升速度

首先,加快了业务部署的速度。在传统网络架构下,从业务部门提出需求,到网络部门进行网络方案设计、测试验证、设备采购和部署安装,少则几天多则几个月,才能完成业务的部署。而在SDN网络中,网络资源是被虚拟化的,可以通过软件的方式来进行分配和调度,再配合虚拟化的计算、存储等资源,一个新的业务系统可以在很短的时间内就获得它所需要的各类IT资源,并进行部署和提供服务。

其次,软件定义的IT基础架构,也提高了相应业务需求变化的速度,并能够根据需求的变化进行快速的调整。

再次,对于运维而言,通过软件的方式,能够很快重新分配基础网络资源,在需要的时间和节点对网络资源进行必要的操作。

(2)通过软件的方式让网络变得更加灵活

在SDN架构下,网络资源与物理设备之间不再是静态绑定的关系,虚拟化的逻辑网络可以根据业务需求灵活地部署和调整,而底层物理设备及互连链路只是起到提供通道的作用。通过SDN框架下定义的各种南北向标准接口,上层应用和基础网络资源可以被关联在一起,使得网络资源可以由软件应用来进行分配和调度。这样的方式改变了传统网络的静态部署模式,极大地提高了网络的灵活性。

此外,由于网络可以被软件驱动和改变,各种软件管理APP可以被开发出来,并集成到SDN控制器或上层云平台里,实现更加丰富的网络功能。

(3)提高网络资源的使用效率

通过软件对网络资源进行管理,改变了传统上只能依靠各种网络协议进行管理的方式。软件应用可以更加详细地监测网络的整体状态,并且更加有效地分配和调度网络资源,实现精细化的网络服务质量控制。

同时,通过软件可以实现对网络状态的实时监控,并根据预先定义的策略和规则,由系统自动响应各类网络事件,提高运维管理的自动化程度和管理效率。从整体的角度看,对网络资源的精细化和自动化管理,可以更加有效地利用已部署的资源,从而控制或者降低IT的总体成本。

(4)网络管理模式的改变

对于IT运维管理人员来说,对IT资源的统一管理是其一直在追求的目标。然而由于种类繁多的通信协议的限制,以及各个厂商的设备兼容性的差异,导致了统一管理很难得到彻底的实行。

SDN的出现,改变了传统网络的架构,通过软件的方式屏蔽了底层设备和协议的差异。同时,集中式的控制模式,使得SDN控制器可以掌控全网的信息,并对网络中的任何一个节点进行管理。这两个特点使得对网络的统一管理变得更加可行。

未来,在引入云计算技术之后,将SDN与云管理平台进行有机的结合,可以最终实现在一个云管理平台下,对所有基础资源,包括网络、计算、存储资源进行统一的管理和调度,最终实现对整个IT环境的统一管理。

二、招商银行在SDN方面的实践

众所周知,SDN的Openflow协议于2009年被正式提出,并引起了IT界的极大关注。

从2012年开始,招商银行就组织科技人员对SDN的相关技术进行了跟踪和研究。

2013年,招商银行对在银行IT环境中引入SDN技术进行了可行性分析,结论是使用SDN技术来改造银行IT环境是可行的。

2014年,招商银行开始调研业界主流厂商的SDN方案和产品,包括Cisco、VMware、H3C、Juniper、Huawei、BigSwitch、Arista、Brocade等。根据调研结果,招商银行选择了部分厂商产品进行了测试。

根据测试的情况,并结合招商银行实际IT环境,最终选择了H3C的SDN方案和产品,并于2015年在招商银行的科兴园区新建了SDN网络,为招商银行的开发测试业务提供服务。

1.科兴园区应用SDN技术重点关注并最终实现的功能由于是首次应用SDN技术进行网络建设,所以对于科兴园区,招商银行并没有从一开始就要求建设一张大而全的SDN网络。招商银行重点关注并最终实现的功能主要有以下三方面。

一是在SDN网络中实现对网络流量的灵活调度。在方案设计和网络部署的过程中,要求能够实现SDN网络流量的可视化,能够对SDN网络的流量进行调度,实现网络资源的充分和有效利用。这些流量既包括SDN内部的流量,也包括从SDN网络进出传统网络的流量。

二是实现网络资源的自动化部署。在科兴园区的SDN网络里,要求能够实现在管理平台上进行操作,通过软件实现网络资源的自动化部署和配置。这些网络资源是预先部署好的虚拟化网络资源,并放在网络资源池里。通过SDN控制器,各种预先定义好的网络策略也可以按照业务系统需求进行下发,并能跟随服务器进行迁移。

另外,还要求通过网络功能虚拟化(NetworkFunctionsVirtualization,NFV)技术,在SDN网络中提供虚拟的安全服务,并通过服务链的方式为需要的流量提供安全访问控制。

三是在一个管理平台下实现对虚拟网络、物理网络的统一管理和控制。在部署了SDN之后,对于网络本身而言其实是变得更加复杂了。除了原有的物理网络之外,还有一张虚拟的网络,并且虚拟网络的规模和架构复杂度丝毫不亚于那张物理网络。

另外,Openflow和VXLAN等新协议的引入,也增加了网络整体的技术复杂度。在这种情况下,网络运维管理的难度高于传统网络。如果不能采用一些方法和技术,实现对物理网络和虚拟网络的统一管理,那么部署SDN对网络运维管理技术人员来说,将是一个极大的挑战。因此,在进行科兴园区的网络设计时,就要求能够实现在一个平台下对所有基础设施资源进行统一管理。在综合考虑各种方案之后,最终决定在科兴园区引入云计算平台,对网络、计算和存储资源进行统一管理。

2.科兴园区SDN网络逻辑架构

科兴园区的SDN网络是按照私有云的模式建设的,综合应用了云计算(Openstack)、SDN(Openflow)和Overlay(VXLAN)等方面的技术,其整体逻辑架构如图1所示。

57415686636724472.jpg


整个SDN网络分为三个层次。

最上面是管理层,主要由云管理平台和用户Portal组成。云管理平台采用了基于Openstack架构的商业化产品,包括品高的平台和H3C的云平台,并做了一定的定制化集成开发。云管理平台负责对SDN网络里的所有IT资源进行管理和调度。用户Portal是实现用户自助服务的Web页面。这个SDN网络的用户主要是招商银行内部的开发和测试部门。

管理层下面是控制层,主要部署了各类IT资源的控制器。在网络方面,主要是H3C的VCFController(VCFC)。为了保障SDN控制器的高可用性,VCFC是以集群的模式进行部署的。

控制层下面是基础资源层,包括网络资源、计算资源和存储资源等。在网络方面,采用了基于VXLAN协议的Overlay技术。Overlay模式是一种混合模式,既部署了主机Overlay,通过服务器Hypervisor层的OVS(OpenvSwitch)来实现;也部署了网络Overlay,通过支持VLXAN和Openflow协议的物理交换机来实现。

OVS和支持VXLAN的TOR交换机都可以作为VTEP节点,实现对数据报文的VLXAN封装和解封装。采用混合Overlay的好处是,在同一个Overlay网络下,可以接入支持在虚拟机环境下部署的应用,也可以接入那些必须部署在物理服务器上的应用。这为业务系统的部署提供了很高的灵活性。另外,Overlay网络并不是孤立存在的,而是通过VXLANIPGateway节点,实现了与招商银行传统网络的互连互通。

3.底层Underlay网络拓扑结构

相对于Overlay网络,底层的Underlay网络采用了传统的网络技术进行了部署。物理Underlay网络的拓扑结构如图2所示。

621590862530387706.jpg

4.科兴园区SDN网络安全架构

在网络安全方面,科兴园区的SDN网络也进行了专门设计。整体的网络安全架构如图3所示。

640266133154840017.jpg

SDN网络的安全设计主要体现在两个方面。

一是采用了vSwitch(OVS)内嵌的分布式防火墙技术,解决了虚拟化技术的应用导致主机与网络的边界模糊的问题,以及Overlay虚拟网络跨越传统的物理网络分区后安全策略如何统一部署的问题。

二是采用了基于NFV技术的安全资源池。NFV技术将原来传统网络里只能通过物理安全设备实现的功能进行虚拟化,部署在虚拟机上运行,并提供同样功能的安全服务,如防火墙功能。通过虚拟机的批量部署,构建网络里的安全资源池,并通过服务链技术调度给业务应用的虚拟机使用。基于NFV技术的虚拟安全设备,解决了传统物理安全设备无法识别Overlay网络数据报文的问题,以及安全设备自动化部署与弹性扩展的问题。

5.科兴云管理平台科兴园区SDN网络的管理通过“科兴云管理平台”的软件来实现。云管理平台的功能包含了对计算、存储和网络等各类IT基础资源的管理,对网络安全体系的管理,对网络流量的调度,网络拓扑管理,租户资源管理,系统运维管理等。在云管理平台上,物理资源、网络逻辑资源、租户资源等都可以统一进行展示和管理。

与传统的IT管理平台相比较,科兴云管理平台的一个突出特点在于实现了对各类资源的统一管理。以网络资源为例,传统的网络管理平台一般只能管理到物理网络的拓扑,对VPN等虚拟网络的管理则需要通过单独的组件来实现。而在科兴云管理平台上则实现了对物理网络和虚拟网络的统一管理。对各种网络的拓扑可以同时直观地展现。

科兴云管理平台另一个很有特色的功能是对于网络流量的灵活调度。网络管理员可以根据业务和网络的情况,对网络中的数据量下发流量调度策略。网络策略应用的对象,可以根据源和目的VTEP(vSwitch)的地址信息而灵活地定义。流量路径的计算与选择可以根据网络中的链路负载情况、链路Cost值、带宽比等灵活选取。

当网络策略下发后,科兴云管理平台会自动监控网络的状态。根据预定义的网络策略,当某条链路的负载状态达到预设定的阈值时,云管理平台会显示告警,并将对应链路标红。这时,管理员可以修改流量调度策略,将需要调度的流量重新调整到新的路径上。

另外,与许多其他的云平台一样,科兴云管理平台还实现了对租户资源的自动化分配与管理,租户可以按自身的业务需求获取云资源。在网络策略方面,实现了策略的自助编排与自动化下发。预先定义好并下发到虚拟机的网络策略,还可以跟随租户虚拟机在任意时刻、任意位置自动迁移。在迁移的过程中,可以保障业务的连续性。

科兴园区SDN网络是招商银行在SDN技术应用方面迈出的第一步,招商银行也将在生产网络中应用SDN。

未来,在SDN与银行信息化建设相融合的道路上,招商银行将继续在两个方向上进行探索、研究与实践:一是探索和研究SDN技术与云计算技术的结合,实现IT基础资源的管理与上层业务平台、以及未来金融云平台的完美对接,最终实现银行业务的自动化编排与管理;二是进一步完善网络及其他IT基础资源的自动化管理和精细化管理,提高IT资源的使用效率,最终达到降低IT总体成本的目标。

转自微信公众号:中国金融电脑

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

1

添加新评论0 条评论

Ctrl+Enter 发表

作者其他文章

相关文章

相关问题

相关资料

X社区推广