yuanruxu
作者yuanruxu2020-09-21 14:44
系统运维工程师, 中国银联

(硬件、软件)SDN技术路线应该如何选型线上探讨总结

字数 13175阅读 3761评论 0赞 4

现在行业整体技术发展趋势是基础架构环境云化,偏向 OpenStack 。现在计算、存储在前两年做了云化的落地。但是光有存储和计算的云化,不是一个完整的云解决方案。从整体考虑,要做到云化、服务化,要把 SDN 带进去,不管是面对用户、软件还是我们自身的运维,都会是一个比较好的选择。

SDN 方案分为硬件和软件两大类。硬件 SDN 是采用专用的硬件交换设备与控制器来实现相关的网络功能,控制器对硬件设备进行策略以及流表的下发,来实现网络相关的功能。它的优点是性能强,比较稳定,缺点是不灵活且组网成本很高。

而在软件 SDN 的解决方案中,网络的功能是通过软件层面的 Linux 协议栈以及相关的虚拟交换机技术实现的。它的优点可以避免对硬件网络设备的过度依赖,同时降低了组网的成本,但是软件方案的缺点也比较明显,主要表现在网络的稳定性、性能和可扩展性不如硬件方案。

那么针对您企业在 SDN 技术路线的选型上我们应该如何选择? twt 社区为此特别邀请了多位社区专家进行线上交流,探讨汇总如下内容:

1 、 企 业为 什么需要上 SDN ,能 给带 来什么好 处 ?

回复: albertming 网 络 , 民生 银 行

以这几年的经验来谈谈,正如楼上朋友说的一样 sdn 其实更像是一种新的网络架构,又统一的控制器帮助运维人员把意图转换为各个网络设备上的具体配置,并且能借助 sdn 上的各种工具去做很多原来没办法简单实现的功能。 sdn 主要对企业具体能够解决的问题一般有几点我觉得比传统网络好的:

  1. 集中管理集中配置,只需要通过控制器完成全网配置,并且不是命令方式而是图形化和意图方式。
  2. 网络虚拟化,物理网络共用。
  3. 分布式网关,尤其对多中心组网流量绕行问题极大优化。
  4. 大带宽,低收敛比网络。
  5. 具备北向接口,对接云平台和自动化平台能力很强。

回复: 雪山ZZB 产品经理

SDN 不应被定义为一种网络技术,更为准确地说法是, SDN 是由多种重要技术、解决方案形成地一种下一代网络体系架构

传统网络存在以下问题:

  1. 用 户 需求的快速响 应 。云 资 源池内部网 络设备 多,网 络 特征复 杂 ,采用点 对 点手工配置,将会延 迟 用 户 需求的响 应 速度。
  2. 清晰的网 络 拓扑 视图 。云 资 源池本身的网 络 拓扑 难 以清晰呈 现 ,特 别 是租 户 网 络 与云 资 源网 络 无法呈 现对应 关系, 导 致运 维 复 杂 。 3. 灵活的 资 源共享与 调 度。 资 源池很 难实现 相互隔离的多租 户环 境,而且在跨数据中心 组 网 时 很 难实现 网 络资 源的灵活共享与 调 度。
  3. 动态感知租户的网络资源需求。不同租户的网络流量、安全策略、性能要求等不同,资源池网络无法动态感知租户的需求,造成资源浪费或过载 。

传统网络设备支撑了过去几十年网络的发展和应用,随着云计算与移动互联网的兴起,用户的业务需求呈现出多样化、灵活化、不确定性等特点,目前封闭的网络体系架构已经不能满足实际应用的需求,面临着越来越多的问题和挑战。 SDN/NFV 作为一种革命性的新技术必将对未来网络的演进带来举足轻重的影响。

回复: yuanruxu 系 统 运 维 工程 师 , 中国 银联

近年来,随着数据中心云化的加速,云作为最新的基础设施形态开始被行业认同并接纳。但在云环境下,传统网络技术架构受到了挑战:一方面虚拟化思想的出现,颠覆了原有的数据中心网络模型,使得传统网络技术已不足以适配云环境下产生的新场景,如虚拟机的出现要求网络颗粒度从物理机细化到了虚拟机级别;另一方面面向互联网的创新业务的快速发展,也会对网络的性能、弹性等特性提出更高的要求。软件定义网络( SDN )技术通过分布式架构理念,将网络中数据平面与控制平面相分离,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台,其与云网络发展趋势相契合,是实现云网络服务的有效支撑技术。

回复: asdf-asdf 研究学者 , cloudstone

由于虚拟化技术兴起,网络从稳态需要变换成敏态,
vm 在不同的物理设备之间迁移或者不同物理设备上的 vm 实现组网
需要一个 网络定义过程
这个过程 如果依然需要固网运维模式,已经无法满足快速的 vm 变换业务需求
从而提出 SDN 技术,传输层和上层业务网络管理流量方面逻辑分开
业务网络可自己组网,快速完成 vm 级别的网络组建

2 、 现在主流的 SDN 的技 术 路 线 ( 软 件、硬件) 应该 如何 选择 ?

回复 1 : it 技 术 咨 询顾问 , 东软集团

现在主流的 SDN 技术方案很多,主要还是看现有网络环境和设备配置情况。
一、按照实现的方式分为软件和硬件两种方案。
二、按照技术路线分类可以分为设备 API 接口方案,附加网络方案和专有协议方案三种。
1 、基于硬件设备实现的方案就属于 设备 API 接口方案 ,是网络设备厂商通过在设备内置的控制操作系统上开放专用的 API 接口,然后网络管理原可以通过这个 API 接口统一对网络设备进行管理。例如思科的 ACI 和华为 AC 等。这种方式不管从性能、稳定性和可控制管理性上都比较好。建议新建数据中心,而且对 SDN 网络要求比较高的用户选择。但是需要注意的是,每个网络厂商主导的接口并不相同,需要注意兼容性问题。
2 、附加网络的方案其实是一种基于 SDN 软件的实现方案,现在现有网络环境上附加一个逻辑的 SDN 网络,实现对网络的控制和管理,而不用考虑现有硬件网络环境,可以屏蔽不同硬件厂商的差异。通常虚拟化网络都可以实现类似的功能, 例如 VMware nsx 。基于软件的 SDN 网络方式是部署相对简单,不用对现有底层硬件设备进行改造,但是管理能力和性能处理能力不如硬件方式。
3 、基于专有协议的 SDN 实现方案也属于一种软件的 SDN 实现方式。例如 ONF SDN 是一种开放的 SDN 协议。 ONF SDN 标准的设计理念是能在任何硬件上灵活的创建 SDN 服务并且大规模部署,可以摆脱设备厂商束缚,因此现在正得到越来越多的用户支持,技术也在不断更新和加快。影响力也越来越大,很有可能像虚拟化软件 KVM 一样,成为未来大规模 SDN 应用部署的技术路线。

回复 2 : 雪山ZZB 产品经理

传统早期的网络架构关注设备本身的性能,包括交换机、路由器、安全设备的性能。发展到现在,不管是高、中、低端的网络设备,从外观、功能、性能来看都非常接近,设备越来越同质化。而用户的诉求却从关注单机的能力向整网能力转变,包括端到端的性能,网络的整体设计、管理能力和服务质量。
SDN 作为目前整个网络业界最热门的创新技术领域,主要满足两个需求:集中控制、面向应用。通过集中控制和面向应用的实现, SDN 将引导整个网络产业从硬件向软件和服务转型。
目前网络中基于虚拟化、自动化技术,已经提供了丰富的网络应用,来支撑上层业务。而 SDN 为网络虚拟化、自动化提供了更丰富的技术和手段,更易用的开放 API ,进而更好地支撑上层业务。

回复 3 : wanggeng 系 统 运 维 工程 师 , 某 银 行

SDN 方案分为两种,硬件与软件方案。如果要对两种方案下一个定义,硬件方案是采用专用的硬件交换设备与控制器来实现相关的网络功能,控制器对硬件设备进行策略以及流表的下发,来实现网络相关的功能,也就是说虚拟机数据是跑在硬件交换机上的,并由硬件交换机实现相关的网络功能;软件方案网络的功能是通过软件层面的 Linux 协议栈以及相关的虚拟交换机技术实现的,比如在软件中我们常使用软件交换机 OVS 来实现虚拟机的数据转发交换。

那么这两种方案的优缺点比较明显,而且呈现互补的态势。硬件方案的优点是性能强,比较稳定,缺点是不灵活且组网成本很高,业界常见的硬件方案包括思科的 ACI ,华为 AC 、华三 VCF 等;而软件方案的优点可以避免对硬件网络设备的过度依赖,同时降低了组网的成本,缺点是稳定性、性能和可扩展性不如硬件方案,常用的软件方案包括 Neutron+OpenvSwitch 、 OpenDayLight+OpenvSwitch 等。

在金融行业中,由于其数据中心承载的金融业务具有一定的民生属性,特别是核心业务一旦中断影响会极大,所以金融行业在选取技术方案的时候更注重考虑其可靠性和稳定性;另外金融机构更多扮演的是技术应用方的角色,因此不会去深究技术细节,技术人力的精简也会使其更看重对方案的维保支持。因此金融机构一般在选型的时候都会选取硬件方案。

当然在选型的过程中也要看具体场景。比如采用商业硬件方案改造成本较高,控制器、交换机必须成套采购,基本无法利旧,所以一般都是在建设新业务区域的时候进行硬件的 SDN 落地,而基本很少在改造的过程中使用硬件 SDN 方案。而软件 SDN 方案比较灵活,对硬件环境要求低,因此有的金融机构也会在一些非核心业务区域使用软件 SDN 方案落地。

回复 4 : zhjl520 网 络 管理 员 , 江 苏 省 农 村信用社 联 合社

技术路线的选择取决于场景的需求。银行业在业务的稳定新和连续性方面有极高的要求。在云数据中心中 ,选择企业级稳定的 sdn 组网方案,如思科的 ACI 、华为的 AC ,会是首选。这样的选择的好处是满足组网需求,稳定,技术支持强。因此,该如何选择更因关注计划搭建的场景和自己的需求。

3 、 随着 银 行 业务增长,传统网络摊子越铺越大,传统数据中心何去何从? SDN 是唯一的出路 吗 ?

随着银行业务增长,传统网络摊子越铺越大,传统数据中心何去何从? SDN 是唯一的出路吗?云数据中心是终局吗?

回复 1 : it 技 术 咨 询顾问 , 东软集团

SDN 是一种软件定义的网络技术,虽然说不上是唯一的出路,但是可以说是未来数据中心的一个发展方向。
随着传统数据中心的规模越来越大,网络架构也越来越复杂,设备种类不同,生产厂商不同,造成配置麻烦,问题也比较多。以前经常是拿着一根串口线到机房连到交换机上进行修改配置,再后来是通过 IP KVM 或远程管理的方式进行修改配置。如果对于中小规模的数据中心,还可以接受。但是放在现在越来越多的云数据中心或大数据中心,这种管理方式恐怕要让技术人员崩溃了。设备配置麻烦不说,而且有大的网络架构调整或是改动,几乎是不可能的。如果原来建设数据中心时候网络架构设计的不好,那么只能小改,以一种凑活用的方式让网络继续执行下。最后只能是网络越来越慢,灵活性差,响应能力不足。
如果采用 SDN 技术,就可以对网络进行编程管理,按需定制甚至是自动化部署。这种集中统一式的管理方式是 SDN 的优势所在。不在依赖原有逐个设备的手动配置模式,而是采用编程自动化的部署方式。
SDN 对于经常需要根据业务调整网络的大型数据中心来说是唯一的出路,但是对于小规模数据中心,或者网络变化不频繁的数据中心,可以通过加强网络规划设计,增加网络管理系统、运维管理等其他措施对网络进行优化改造。毕竟上 SDN 需要网络设备硬件本身的支持,成本也会增加不少。特别是传统的数据中心,大部分设备都需要进行替换和改造,动静也不少,也会有一些风险。

回复 2 : 雪山ZZB 产品经理 , 新 华 三集 团

SDN ( Software Defined Network ,软件定义网络)是一种新型网络创新架构,其核心思想是将网络设备的控制层面与转发层面分离,以实现对网络流量的灵活控制,为网络及应用的创新提供良好的平台。
在数据中心用 SDN 可以引入服务链的方式,数据报文在网络中传递时,需要按需经过各种安全服务节点,提供给用户安全、自定义的网络服务。
控制器可以管理所有的服务节点,将各种安全设备组合抽象成统一的服务链资源池,满足数据中心内各种安全业务的应用模型。同时,支持服务链的灵活编排,可以根据需要部署差异化、细粒度、多样化的服务链。

回复 3 : mileskuo 金融云架构 师 , 平安科技

你承认云计算是数据中心的未来么?你承认 IPv6 迟早会取代 IPv4 么?那么 SDN 就是网络的未来。
你也说了传统网络规模越来越大,出现了很多管理,运维的不方便。如何解决这些统一管理 / 配置的问题? SDN 就是思路,当然实现的方式有很多种,实现的步骤也很长。但是可以从小规模实验开始, 4 大行早就开始动作了。

回复 4 : asdf-asdf 研究学者 , cloudstone

SDN 是唯一 出路 , 不一定, 但是未来趋势是必然的
以后设备都会支持 SDN ,传统网络会在 SDN 下服务
云数据中心必须使用 SDN 来隔离各个租户的数据流量,以便符合网络安全审核
目前几个大型金融机构规划的网络构建都已经进入大二层建设和实施
完成网络大二层规划后 SDN 逐步会落地实施完成整体软件定义网络的布局

回复 5 : yuanruxu 系 统 运 维 工程 师 , 中国 银联

我认为 SDN 是一种思想,并非一种技术方案。其中之一的核心理念就是增加网络控制层, 在控制层面增加部署具有逻辑中心化和可编程的控制器,可掌握全局网络信息,方便运营商和科研人员管理配置网络和部署新协议等。从当前情形来看,利用 SDN 来解决网络运维复杂化的问题确实是最直接的一条出路。即使不采用厂商方案,而是自己研发实现数据中心网络自动化能力,其实也是 SDN 的一种实现方式。 SDN 并非与云强绑定,即使在不上云的情况下,也可以利用 SDN 思想解决当前问题。

回复 6 : albertming 网 络 , 民生 银 行

可以这么看, sdn 不是唯一的出路,但是 sdn 现在的架构的确是非常合适数据中心网络的, 40g 100g 大带宽互联,分布式网关,逻辑专网隔离,统一配置管理,控制转发分离等等技术的组合基本就是现在数据中心所必须的能力。其实也跟早几年的思科 752 架构一样,时代的主流产物拥抱即可,不用也可能通过自己的方法实现响应的功能。
云数据中心并不一定是唯一出路,云的主要逻辑是资源的整合,弹性扩缩容,快速部署。同样云平台和各个组件耦合度较高,面临着版本升级极其复杂的问题,主要还是取决于公司的业务模式和需求。

回复 7 : zhjl520 网 络 管理 员 , 江 苏 省 农 村信用社 联 合社

银行业务不断发展 ,银行的传统数据中心不断升级扩容。在传统架构和相关要求中,各银行数据中心都采用划分功能区域进行分片管理。随着云中心的上线,对网络的要求提高, SDN 是一种解决方案。 SDN 设计理念采用的 OpenFlow 通过将网络设备的控制面与数据面分离开来,可以以性价比较高的方式进行扩展,且灵活控制。

5 、 多个数据中心上 SDN 的背景下,跨数据中心的二 层 网 络 是否有必要, 给 管理 带 来的灵活性和 问题 方面,怎么取舍?

多个数据中心上 SDN 的背景下,跨数据中心的二层网络是否有必要,给管理带来的灵活性和问题方面,怎么取舍

回复 1 : 赵海 技 术经 理 , 大 连

这个问题需要从以下两个方面来考虑:
一、首先得搞清楚二层打通的目的是什么?一般来讲二层打通的目的主要有以下几个:

  1. 跨数据中心漂移
  2. 跨数据中心数据库集群( HA 或者 AA )
  3. 跨数据中心应用负载集群

对于 1 、 3 来讲,其实 SDN 技术本身有一个优势,就是通过隧道技术解决二层跨地域问题,也就是说通过 SDN 的隧道技术完全可以实现以上所述的几个功能。但是,有一点是需要注意的,就是如果数据库集群采用的是跨中心的 RAC ,那么双中心之间的 RAC 心跳是非常重要的(一致性缓存块儿的传递、锁信息的传递),从稳定性、延时、带宽等各个方面需要一个全面的评估。

二、从技术成熟性和复杂度来讲,我觉得二层打通技术更复杂,要求更高; SDN 技术从成熟度上来讲缺乏足够的实战场景来发现其中的一些 BUG ,或许使用过程当中会面临很多意想不到 BUG 的困扰。

综上所述,这个问题首先是要看整体技术架构,然后通过技术架构的优化来实现取长补短(比如说,我可以用 SDN 实现应用的漂移以及负载的平衡,但是数据库我可以采用主备模式降低风险,提高硬件配置降低复制带来的 RPO 风险等)。

回复 2 : yuanruxu 系 统 运 维 工程 师 , 中国 银联

二层打通会增加虚拟机的漂移范围,做跨中心的大二层一般是有两个原因,一是两个中心 A 和 B 资源利用率极不平衡,所以需要虚拟机的跨中心漂移来对中心资源进行再平衡,降低其中一个中心的资源负载;二是客户提出明确需求,云平台支持跨中心的虚拟机漂移,以满足特殊业务需求。

跨中心大二层的打通不会带来管理上的便捷,只会增加管理复杂性,一旦出现故障,由于传输线路过长,将极难定位问题。另外跨中心大二层打通会使逻辑上的东西流量变为实质上的南北流量,会增加核心以及骨干的负担,增加专线资源消耗。

虽然目前不会出现广播风暴的问题,但在无硬需求场景的情况下,不建议做跨中心大二层。

以上纯属个人看法,也请大家讨论

回复 3 : albertming 网 络 , 民生 银 行

这个问题我的经验是这样的:
一般多个数据中心之间是否打通二层最关键是取决于数据库的容灾切换方式。
一般银行数据中心重要系统的数据库还是主备架构,主数据所在同机房使用操作系统 HA 或者数据库层的同步技术实现同机房容灾确保 rto 时间较小。在同城灾备机房的备库,使用存储同步技术保证备库数据一致性。在异地灾备机房的备库使用存储异步或者数据库层异步技术保证数据库一致性。
当主库所在机房发生灾难需要切换到同城容灾机房的备库的时候,有两种方式实现容灾。 1. 在 app 使用 ip 地址访问数据库的场景下,最快速的切换方式是把备库的 ip 地址改为主库相同的地址,避免更改大量 app 服务器的配置加快切换速度。 2. 在 app 使用 dns 域名访问数据库的场景下,只需要更改 dns 的 a 记录解析即可完成切换。
第一种切换方式是传统比较常用的方式,使用这种方式的前提的同城双中心需要二层打通部署相同网段,这样才支持跨数据中心修改成相同的 ip 地址。第二种切换方式不需要二层打通,主备库 ip 可以不同网段,当然 dns 改造和 GSLB 是必须的。
所以一般是否需要打通大二层主要取决于数据库容灾切换的方式, sdn 同理,建议传统同城数据中心是大二层架构的可以直接搭建同样打通二层的 sdn ,如果使用 dns 或者负载均衡挂在数据库并且已完成 dns 改造和 gslb 方案的可以搭建三层隔离的 sdn 网络,当然从先进性和运维角度后者是未来的主流趋势。

回复 4 : chinesezzqiang 信息技 术经 理 , M

这个问题要分开来看:
一、从技术发展趋势上看
1.SDN 技术从 2009 年被提出已经经历了 10 多年的发展,技术逐渐成熟,用户量也再逐年上升,尤其在运营商层面;

  1. 其核心就是一种数据平面与控制分离、软件可编程的新型网络体系架构,消除了顶层基础架构的兼容性限制,其实可以理解成为网络虚拟化的一种;
  2. 对于运维人员只需要关注控制即可,转发层甚至是傻瓜交换机都可以。
    所以从技术角度看的确增加了数据中心的灵活性和弹性。
    二、从实际困难出发
  3. 国内掌握 SDN 神髓的个人或者服务商不多,存在较高的技术壁垒;
  4. 整体运维成本高,对运维人员的开源技术要求过高;
  5. 初期投入成本不低,需要各种设备的联调测试;
  6. 场景化应用有待普及。
    所以对于成熟的数据中心更倾向于稳定,试错尽量放在测试环境或者非核心的小环境。

回复 5 : jimV5 存 储 工程 师 , 金融保 险

世界不是非此即彼。要看对象,要看范围,及 sla 等级。
没有了解清楚条件不能随便作答。
二层网 首先得搞清楚范围,多大范围的二层,谁和谁二层 .
存储架构里有多个网络,内联镜像网,业务网络,配置同步网络,客户端主机出口网络。存储内部自己通信,即使是跨多个数据中心,哪也是内部。还要还提供的服务 sla 等级。 rto 时间及 rpo 时间。没有二层, ip 怎么漂移,客户端提供的数据服务如何保障透明无中断。
业界明明是有技术手段实现跨数据中心二层的呀。

回复 6 : cloud_it_farmer 云研 发专 家 , 平安科技

多数据中心情况下, SDN 网络是否要上大二层,笔者认为主要取决于应用场景。对于部分电信应用场景来说,大二层非常有必要,因为有些电信应用场景需要保持 IP 和 MAC 地址不变,而且要支持跨数据中心的迁移,在这种情况下没有大二层根本行不通。对于绝大部分互联网应用场景和金融应用场景来说,大二层没有必要,互联网应用有很多技术可以实现跨数据中心的流量分发和集群多活(如负载均衡 + 域名智能解析),服务器实例不需要在跨数据中心进行迁移。这种情况下,其实没必要上大二层。

在多数据中心上大二层技术的好处是支持的场景更多,对于部分用户的应用来说不需要改造,上云更简单方便。但是对于建设和运维来说,肯定会更复杂,由于涉及多数据中心,多数据中心之间的大二层网络如何打通,这在业界也是一个难题。如果采用点对点 mesh 的方式,即多数据中心之间的虚拟网络直接互联,那虚拟网络节点的规模会成倍增加,这样给查表的速度和网络规格容量都带来很大压力。如果采用 L2 GW 的方式实现互通,那 L2 GW 的性能又会成为瓶颈,总体而言这些技术的复杂度要比非大二层高很多。同时,在日常运维中,大二层网络链路较长涉及多个数据中心,一旦出问题影响比较大(如如何避免二层广播风暴),运维复杂度也会增加,对运维人员的要求更高。

综上而言,是否要上大二层取决于应用场景,如果应用场景没有强烈的需要,还是不上为好。如果要上,需要考虑随之带来的技术复杂度和运维压力,同时必要的一些技术坑还是得踩一踩才更有底气。

回复 7 : wanggeng 系 统 运 维 工程 师 , 某 银 行

多数据中心情况下, SDN 网络是否要上大二层, 还是有必要打通大二层的,打通是为了保持 IP 地址不变, VLAN 不变,一般是容灾高可用技术所需要,例如 VMWARE 的跨中心 vmotion , AIX 的 HACMP 跨中心高可用,负载的跨中心集群架构等等。当然,如果没有用到这些技术,当然可以不打通大二层,灾备中心完全就启一个独立的三层网络,通过全局负载均衡来调度两个数据中心的业务流量。如果用到了其中任何一个容灾高可用技术,大二层就成为必须了,这也是传统数据中心最主流的网络架构。

回复 8 : efbank 网路运 维 , 昆 仑银 行

答:

1 、多个数据中心上 SDN 的背景下,跨数据中心的二层网络是有必要的。

2 、管理方面加强对专线管理,对上层流量做好统一规划,合理分配。

分析如下:

根据业务场景不同,所需的网络也不相同

例如:

1 、多集群不同数据中心部署,三层网络

2 、同集群不同数据中心部署,二层和三层网络

3 、跨数据中心虚机漂移,二层网络和三层网络

4 、 oracle rac 跨机房部署,二层网络和三层网络

5 、一个集群跨数据中心部署,二层网络和三层网络

从数据中心发展历程来看,多数据中心 +SDN 到云数据中心还有一定的路要走,不同阶段都会经历应用和数据的主备和双活。

在这个过程中,上百套应用的业务流量和管理流量避免不了的需要跨数据中心的二层网络互通。

以上纯属个人看法,也请大家讨论

回复 9 : 邓毓 系 统 工程 师 , 江西 农 信

多活数据中心都上了 sdn 用 vxlan 了,实现了二层网络在三层扩展,那二层打通的意义也不大了吧, IAAS 层的飘移也可以通过 VXLAN 实现了。这时您的数据中心应该也不会有传统的集中式数据库了吧, HA 高可用什么的也不会有了,分布式应用和分布式数据库都基本以这些为主了,那更没必要再引入大二层了,增加管理的复杂性。

6 : 给客户规划 SDN 网 络时 , 应该 提前考 虑 和 规 划好什么内容?

给客户规划 SDN 网络时,应该提前考虑和规划好什么内容?

回复 1 : albertming 网 络 , 民生 银 行

一般从大到小开始规划,首先 sdn 网络定位是新建数据中心内的 sdn ,还是传统网络搬迁到同址的 sdn , ip 地址规划和新老网互通方式。接着是定位 sdn 的整体容灾架构,是同城双中心二层打通的 sdn 还是三层独立的 sdn 网络。接着是 fabric 的部署模式,一般取决于 az 域或者服务器规模和成本考虑。 fabric 整体的收敛比,互联带宽大小, vxlan 互联方式, vpc 规划,分布式网关集中式网关。如果涉及传统业务搬迁,提前考虑搬迁计划和方案。
underlay 的部署模式, sdn 控制器是通过带内管理还是带外管理。也要考虑模块距离长度的问题,防火墙的部署模式,负载均衡设备的部署模式,安全隔离方案南北向和东西向是否都需要隔离,东西向是否需要服务链引流到防火墙,服务链的匹配能力是否兼容现有网络尤其是负载均衡的 vs 。

回复 2 ; yuanruxu 系 统 运 维 工程 师 , 中国 银联

从大的层面来看,与云平台采用什么模式对接、业务分布及网络规划如何、怎样与传统区域互通等等
从小层面来看,防火墙、负载均衡的接入方式,业务网、数据网、管理网及带外如何规划,每张网络上都跑什么样的数据, Qos 策略如何设计能够满足业务需求, ACL 安全控制规划等等

回复 3 : asdf-asdf 研究学者 , cloudstone

确定客户网络大小需求,多少物理设备 , 多少 vm ,每个 vm 贷款需求,需要多少口的交换机,核心交换机带宽需求,防火墙需求 ,蜜罐需求等 ,
规划从 vm 设备数量开始规划, ip 分配和区域,
各个路由过程和外联过防火墙位置,蜜罐位置等

7 、 SDN 架构比起我 们传统 的架构,有哪些 优势 ,尤其是成本 这 一 块 ?

回复 1 : yuanruxu 系 统 运 维 工程 师 , 中国 银联

SDN 并不能降低网络设备采购成本。 SDN 价值主要是使企业可以应对上云后所产生的灵活多变的网络需求,提升运维效率和网络的稳定性。如果不与云平台对接,上 SDN 也没有意义了。当然也存在一些对接风险问题,这就需要企业根据自身情况进行评估。

回复 2 : albertming 网 络 , 民生 银 行

数据中心已经面临设备陈旧需要更新的话, sdn 是一个很好的解决方案, sdn 使网络从个体设备为单位的架构升级为一个统一对外服务的架构,在自动化和云场景下非常有用,成本这块如果企业有多个专网需求,那么使用 sdn 的虚拟化能力只需要建设一张物理网络,这块会比传统网络节省大笔资金。

8 、 SDN 网 络环 境下,如何做好 东 西向防火 墙 和南北向防火 墙 策略 规 划,确保相互之 间 的策略分离?

SDN 网络环境下,如何做好东西向防火墙和南北向防火墙策略规划,确保相互之间的策略分离(否则如果做了南北向策略,东西向上还要继续开)

回复 1 : yuanruxu 系 统 运 维 工程 师 , 中国 银联

不太明白东西向防火墙具体是指什么,东西向流量安全实现思路主要有两种一种就是把安全设备 “ 放进去 ” ,也就是将传统的 “ 安全设备盒子 ” 进行虚拟化,部署到云内部,这样就能够 “ 触摸到 ” 并且能够进行相应的安全防护;另一种思路就是把流量 “ 引出来 ” ,将需要检测和防护的流量,从云中牵引出来,经过相应安全设备的 “ 清洗 ” 之后,再将流量回注到业务系统之中 。

回复 2 : albertming 网 络 , 民生 银 行

一般南北向流量主要是指跨网络区域的流量,这个与传统网络一致,通过南北向防火墙配置管理即可。东西向流量在传统网络中一般没有限制,但是基于现有零信任网络的概念,东西向也可以通过 sdn 厂商的服务链和微隔离配合防火墙来实现,一般东西向和南北向尽量使用不同的防火墙,虚墙隔离也可以。

9 、 软件 sdn 如何界定系 统 运 维 人 员 和网 络 运 维 人 员职责 ?

软件 SDN 使用普通服务器进行网络控制,这部分服务器由系统工程师还是网络工程师来进行规划和维护工作比较好?

回复 1 : asdf-asdf 研究学者 , cloudstone

SDN 网络环境中,
SDN 设备部署和基础环境管理是网络管理员责任,包括交换机,防火墙,蜜罐,放渗透设备等
软路由和防火墙策略关系等业务网络连接特性和访问关系,等由运维人员负责处理。

回复 2 : albertming 网 络 , 民生 银 行

软件 sdn 如果是指使用主机 overlay+ 软控制器的话,主要还是看控制器这部分是怎样的产品,如果只是单纯的 openstack 内的 neutron 组件控制服务器内的 ovs 这种一般都是归系统统一运维,类似于云平台内的一个组件。如果 sdn 控制器是一个单独的产品,当然这种架构极其稀少,性能又不高,兼容性也不好,运维复杂,那么控制器的运维和变更一般网络运维人员负责比较合适。物理交换机当然也归网络负责。

回复 3 : yuanruxu 系 统 运 维 工程 师 , 中国 银联

服务器本身还是隶属系统运维管理,但网络功能实现是否正常由网络工程师维护。
可将软件 SDN 当做部署在裸机上的应用程序来看

10 、 软件和硬件 SDN ,在性能上会有多大的差异, 对 于后期运 维 管理而言,会有什么区 别 ?

回复: yuanruxu 系 统 运 维 工程 师 , 中国 银联

之前对 ovs+vxlan 方案的性能进行过测试,在无任何加速手段的情况下,极限性能只能跑到 3g 多一点,瓶颈出在对 vxlan 报头的解封装上面,只能在服务器中进行软卸载,导致性能感人。
但是有许多加速的手段,一是采用 dpdk 进行软件加速,单对 vm 极限速率可提升到近 5g , 3 对即可打满;还有就是在服务器上配置具备 vxlan 解封装能力的网卡,也能够打满万兆网卡,提升能力比 dpdk 更强,但这还是依赖了硬件能力。

另外软件 sdn 性能与方案架构也有关系,比如分布式路由性能要强于集中路由。

对后期管理而言,软件方案对物理网络设备没有太大影响,主要都是通过 openflow 流表实现;硬件方案网络设备上配置较复杂,在上面实现 vxlan 能力,服务器上依然通过流表实现 VLAN 。如果自己长期维护,稳定性上硬件要强于软件,但是难度上也高于软件。

11 、 银行传统数据中心升级改造, SDN 如何兼 顾传统 数据中心,是否有 较优 的 过 度解决方案?

关键词:两地三中心架构,主备数据中心向双活数据中心改造,应用双活数据双活。
银行传统数据中心升级改造, SDN 如何兼顾传统数据中心,消除掉不纳管不搭桥不监控现象,是否有较优的过度解决方案?

回复: albertming 网 络 , 民生 银 行

可以在同城双中心先搭建好跨中心端到端 vxlan 的两个 SDN fabric, 在这两个 fabric 上增加 leaf, 用 border leaf 与传统网络各个区域的核心三层和二层打通,然后把 leaf 按照搬迁计划部署到相应服务器附近新布线,服务器 ip 和位置不动,只换接入线缆让其接入 sdn 网络,一般尽量相同网段一批搬迁,然后再迁移网关从传统核心到 sdn 分布式网关,这样逐步搬迁就可以完成,民生银行数据中心就是采用这种方案完成传统网络向 sdn 网络升级。

更多交流问题参考: https://www.talkwithtrend.com/Activity/index/op/question/id/1601

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

4

添加新评论0 条评论

Ctrl+Enter 发表

作者其他文章

相关文章

相关问题

相关资料

X社区推广