查看其它 1 个回答cuizengshun的回答
网络是分为软件SDN和硬件SDN两大类的。在软件SDN的解决方案中,网络的功能是通过软件层面的Linux协议栈以及相关的OpenvSwitch技术实现的。它的优点是可以通过软件来实现网络的创建、子网的划分、路由的选择以及防火墙策略的管理等功能,可以避免对硬件网络设备的过度依赖,同时极大降低了组网的成本;它的缺点是稳定性和可扩展性不如硬件SDN专用设备。硬件SDN是使用专用的硬件设备加上一个专用的控制器来实现相关的网络功能,这个专用的控制器对硬件设备进行策略以及流表的下发,来实现网络相关的功能。它的优点是比较稳定,缺点是不灵活且组网成本很高。在目前技术发展的趋势来看,并不存在软件SDN和硬件SDN孰优孰劣的明显对比,因此对于这两种技术都要进行相关的研究和探索。
网络支持5种网络模型:GRE/VXLAN/VLAN/FLAT/LOCAL。其中GRE/VXLAN模型是隧道技术,可以实现overlay网络。FLAT/LOCAL主要适用于简单的网络环境。因此比较常用的网络模型是VLAN模型和VXLAN模型。其中VLAN模型的特点缺点是需要在传统的网络交换机上放开对应的VLAN,因此在做网络接入时需要依赖网络的规划,同时在多租户隔离上不是特别方便,仍然需要在网络交换机上做操作,即网络组网不够灵活;优点是VLAN技术比较成熟,不管是性能上还是稳定性上都比较好。VXLAN模型的最大的特点是在多租户场景下方便实现租户隔离,组网比较方便,不太依赖网络交换机的变更。缺点是在性能上要是达到和VLAN相同的性能,需要有支持vxlan offload的网卡进行支持。
从网络性能的角度来分析,VLAN模型的网络吞吐量要高于VXLAN模型的网络吞吐量。以万兆网卡为例,实测VLAN网络吞吐量为9Gb/s以上,VXLAN网络吞吐量为8Gb/s以上。(备注VXLAN的吞吐量需要专门支持VXLAN OFFLOAD的网卡进行支持)。
从网络隔离的角度来讲,有两大类的实现方案。方案一:对于VLAN模型的网络,网络隔离需要使用传统防火墙进行策略控制,即不同网段的策略需要在硬件防火墙上实现。方案二:对于VXLAN网络模型,可以通过软件的防火墙和安全组这两种方案进行实现。软件防火墙和安全组是都是通过Linux操作系统的iptables来进行实现,区别在于软件防火墙是部署在网络节点上,安全组是部署在计算节点上。