登录 / 注册
IT168网络通信频道
IT168首页 > 网络通信 > 网络通信案例 > 正文

中国联通基于CORD的云数据中心演进解决方案

2017-12-14 10:21    it168网站 原创  作者: 厂商投稿 编辑: 李雪薇

  【IT168 案例】2015年中国联通制定了CUBE-NET2.0的新一代网络架构方案,核心使能技术是SDN、NFV和Cloud,目标是建设面向云服务的极简、极智的弹性网络架构。其中,CORD(Central Office Re-Architected as a Data Center)的概念尤为重要,CORD的整体思路就是通过SDN、NFV和Cloud的技术将原有运营商的传统机房改造成为云数据中心,从而满足未来业务从纯CT的提供方式向IT延伸,并通过业务协同和编排层实现应用的快速响应和实现。中国联通是E-CORD的主导运营商,是中国联通CORD联盟的发起单位,积极推进CORD在多个领域(R-CORD\E-CORD\M-CORD)的研究和实践。

中国联通基于CORD的云数据中心演进解决方案

  随着“互联网+”的快速发展及5G业务的即将到来,中国联通正积极推进以云化网络为核心,打造区域DC、本地DC、边缘DC为一体的三级架构。2018-2019年适时开展现网汇聚机房DC化改造工作,2020年完成所有过渡机房改造,以符合未来业务网络的承载需求,形成“端”和“云”的双中心网络格局。

  在实际工作开展中,网络重构遇到了多种问题和困难。一是对现网网络资产如何最大化保护,如何利用已有的网络能力平滑演进到未来网络,降低网络更新的成本;二是如何通过对机房的重构(如E-CORD/R-CORD),构建一个开放、灵活的新型网络,快速支撑政企业务。基于以上问题点,我们对现网的某一试点机房进行了DC化重构。

  1. 现网环境

中国联通基于CORD的云数据中心演进解决方案


  现网环境中,4台核心交换机和40多台接入交换机,部署在位于不同物理位置的两个机房中,通过横向虚拟化、纵向虚拟化技术,虚拟成一台逻辑设备,简化了运维的工作; 通过虚拟化技术消除了生成树,避免了环路会导致的二层网络风暴问题,配置的四块高性能安全插卡为数据中心安全性保驾护航。现有网络架构已满足了高可靠、高可用、高安全的设计要求。

  2. CORD重构解决方案

  在现有健壮的底层网络基础上,为进一步提高网络的灵活性、加快业务部署能力,提升运维效率,本次采用SDN、Overlay、NFV、OpenStack技术为基础,建设面向业务、灵动运营的新一代云数据中心,满足业务云资源池的弹性部署、快速交付、海量扩展、自动运维等方面的需求,为各类业务提供可信赖的融合承载平台。

  CORD可理解为一个端到端融合了SDN\NFV\Cloud架构能力的开放生态系统,实现网络架构的灵活规模扩展与云实时交付的必要能力,运用SDN、NFV和云技术,使得业务部署快速高效,业务发放灵活多样,并且实现软硬件的解耦,网络更有弹性。

  CORD重构后的物理网络拓扑结构:

中国联通基于CORD的云数据中心演进解决方案

  保持原有基础网络架构,在充分保护原有投资基础上,进行了CORD重构。演进后的网络具备以下突出特点:

  (1)开放性与先进性:基于开放式标准,采用成熟的软件技术并提供开放的接口。

  (2)灵活性与可扩展性:可根据业务需要,灵活快速扩展设备容量和提升设备性能。

  (3)安全性与可靠性:支持SDN的服务链引流的高可靠性的安全防护模式除了提供边界防护以外,增加了内部业务互访时的安全加固,提升了整体系统的安全性。

  (4)易用性与可管理性:可实现快捷的部署业务,平台具有良好的交互界面,系统参数的维护与管理都通过管理运维平台的界面完成。

中国联通基于CORD的云数据中心演进解决方案

  基于上图,CORD重构实现了云业务+接入专线的融合:

  ● 通过统一的编排器,实现云网融合,云资源和网络资源统一管理,协同编排;

  ● 基于openflow协议的流表,SDN控制器实现VXLAN网络的全自动化配置,自动化业务开通,全流程无需对设备进行单 独手工配置;

  ● 通过NFV:vCPE的方式实现租户的隔离;vFW、vLB实现业务安全隔离防护;

  ● 基于VxLAN技术实现大二层网络,云网络中的VxLAN三层网关设备及VxLAN二层设备能够与SDN控制器配合,实现了专线的自动化部署,云内业务自动化部署,为用户实现了端到端的业务全自动化开通;

  3. 云平台技术架构

  云平台是数据中心从虚拟化阶段迈向真正云化DC的重要组成环节。本次CORD重构的云平台选用开源云平台OpenStack为基础,完成了对网络、存储、计算、安全、业务等资源的运维管理,以及在此之上的业务自动化编排,实现了计费、流程、日志、应用交付的运营功能,最终通过自助服务门户和运维门户向最终用户和管理员提供相应的服务。

中国联通基于CORD的云数据中心演进解决方案

  云平台实现的是“中间层”,通过OpenStack平台实现了计算、存储、网络资源的统一调度,利用OpenStack良好的兼容性和开放性,实现了对异构平台和设备的支持。

  云平台包括云资源管理平台和云运营管理平台,涵盖云安全防护,运行监控及维护管理,云服务管理的功能。云平台架构如下图所示:

中国联通基于CORD的云数据中心演进解决方案

  1.云资源管理平台

  物理资源管理:实现对服务器、存储、网络的配置管理、性能监控、日志管理等功能。

  虚拟资源管理:提供对云主机、虚拟交换机和虚拟网卡的全方位监控;支持面向应用的资源调度,通过资源配置下发,将网络切片,实现端到端的流量监管、访问控制和质量保证,租户之间完全隔离,如同独享各自的服务。

  2.云运营管理平台

  自助服务门户:为用户提供申请云资源、使用云资源、监控云资源的门户,用户直接在门户上完成资源申请的工单填写与提交。

  多租户管理:实现本租户组织内的用户管理和权限分配、资源配额、模板管理等。各租户的资源相互隔离,每个租户都拥有各自的管理员。

  业务流审批:云业务流程为:

  用户申请云资源à审批员审批à云平台开通云资源通知反馈给用户使用云资源。

  服务目录:为各租户提供不同的云服务产品配置模板,供租户选择云平台提供的相应服务产品。

  监控与报表:对各租户的云资源使用情况进行监控,对使用的数据可以自定义输出相应的报表。

  4. 云网融合

  本次CORD重构,采用SDN方式构建了基于VXLAN的Overlay的方案,通过OpenStack云平台Neutron组件实现对网络Overlay的配置,经过SDN控制器完成对网络设备、安全设备的配置下发。

  OpenStack云管理平台的Neutron组件采用如下的软件架构实现对网络Overlay的配置管理。

中国联通基于CORD的云数据中心演进解决方案

  在OpenStack环境中,Neutron用来管理所有VNI(Virtual Networking Infrastructure,虚拟网络架构),它负责向OpenStack计算服务管理的设备提供虚拟网络服务,管理各种虚拟网络资源,包括网络、子网、DHCP、虚拟路由器、防火墙、负载均衡(LB)等。

  其中Neutron Server是一个守护进程,对外提供API服务,将对API的请求转交给插件处理。Neutron组件中的Plugin实现API的具体功能,可以支持多种Plugin。

  Core Plugin基于Neutron ML2框架,通过Neutron的ML2框架,Openstack能够使用当前数据中心组网中的各种二层网络技术,是负责实现本次云化DC二层虚拟网络的功能插件。

  L3 Plugin负责实现虚拟网络三层网关的部署,包括FWaaS Plugin、LBaaS Plugin、VPNaaS Plugin等网络安全服务,实现了对网络安全设备的API调用,下发业务策略到具体设备。

  5. 云数据中心安全

  部署NFV安全服务器资源池的方式,对业务系统提供高性能的安全防护业务。考虑到在虚拟化之后服务器内部的多个VM之间可能存在流量交换,在这种情况下外部的安全资源池无法对其流量进行必要的安全检查,基于SDN架构模式的虚拟化软件安全网关NFV产品VFW基于专业平台在安全功能方面,为用户提供了全面的安全防范体系和远程安全接入能力,支持攻击检测和防御、NAT、ALG、ACL、安全域策略,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN、IPSec VPN等丰富业务功能。

中国联通基于CORD的云数据中心演进解决方案

  虚机间的流量要想按需调度到NFV资源池中,要依赖于SDN+VXLAN技术,还要依赖服务链技术。数据报文在网络中传递时,需要经过各种各样的业务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。网络流量按照业务逻辑所要求的既定的顺序,经过这些业务点,这就是服务链。

  传统网络中的防火墙、负载均衡器等业务节点和网络拓扑有紧密的耦合,部署较为复杂,在服务链变更、扩容时,都需要改动网络拓扑,并重新进行网络设备的配置。随着NFV技术的的发展,业务节点可以方便的部署在虚拟化网络甚至直接安装到服务器中。为了引导网络中的业务报文次序通过虚拟化网络中的多个业务节点处理后再进行转发,需要SDN的服务链功能来实现。服务链是支撑虚拟化、业务网络可编程的关键技术。

  NFV带来如下优势:

  ● 部署简单,无需改变网络即可对虚拟机提供保护;

  ● 安全策略自动跟随虚拟机迁移,确保虚拟机安全性;

  ● 新增虚拟机能够自动接受已有安全策略的保护;

  ● 细粒度的安全策略确保虚拟机避免内外部安全威胁;

  6. 业务编排设计

中国联通基于CORD的云数据中心演进解决方案


  以租户的形式为各业务系统提供云主机、云存储、云网络、云安全等虚拟基础设施资源,并通过统一的云平台实现了对租户业务的自动化编排。登录到“统一自助服务门户”页面后,可以自行完成开户、虚机资源申请、存储资源申请、数据库资源申请、负载均衡申请、安全资源申请等步骤。在提交申请之后,云管理员进行审批,然后由云平台系统实现各类资源的自动化分配和部署。基于这些虚拟资源,最终租户在云数据中心里构建了专属于自己的虚拟私有云(Virtual Private Cloud,vPC),可以在vPC里部署自己的业务系统,并实现各自业务的安全隔离。

  7. 云+专线业务实现

  中小企业对组网专线的需求增长迅速,传统的物理专线价格高,缺少竞争力。云专线的出现,填补了这方面的需求。云专线通过提供云和网络一站式服务,可自动适配云资源的变化。客户可以不需要向运营商申请单独的线路资源,利用现有的互联网线路就可使用。

中国联通基于CORD的云数据中心演进解决方案

  如上图所示,(CPE盒子)VXLAN GW用于接入政企随选用户,与DC内vCPE之间建立VXLAN隧道;用户在VXLAN GW上经过802.1X认证后通过VXLAN隧道送到所属vCPE;租户可以实现漫游接入,保持接入地址和接入vCPE不变,DC内IT资源池可用于给租户提供云主机服务。SDN集约化控制,实现跨域端到端网络协同。

  8. 白盒交换机的使用

  越来越多的白盒交换机出现在产业链,推动了云DC更新改造的成本下降。白盒交换机实现了交换机和自身运行软件之间的解耦,使得网络层快速响应上层应用的需求成为可能,目前BAT大型数据中心都在使用或将使用白盒交换机,并自主研发交换机的运行软件,以更好的适配业务模型,优化网络工作效率。

  对运营商而言,白盒交换机的使用,对网络重构也是有着积极意义。本次测试用例如下图所示,通过验证,白盒交换机和异厂商控制器可以连通,两者之间的连接使用的是OpenFlow1.3标准。在控制器上可以查到设备相关信息,控制器上可以完整的显示拓扑信息,支持跨设备的二层转发和三层转发。

中国联通基于CORD的云数据中心演进解决方案

  9. 结束语

  江苏联通和中国联通集团网络技术研究院联合打造基于CORD的云服务能力,建设集中管理平台,并构建覆盖全省的云资源能力,为业务系统提供灵活、可靠、随需而变的云服务。

  在现有网络架构下,可以利用软件定义的方式,引入SDN/NFV和云管理平台。通过CORD重构,实现对各种资源的统一管理、调度和编排。同时面向中小企业的云专线业务需求,以及推动软硬件解耦的白盒交换机功能,都进行了有益的尝试和功能验证,为未来网络演进提前进行技术准备。

标签: 中国联通
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫一扫关注

行车视线文章推荐

首页 评论 返回顶部