SDN技術及其在云計算中的應用

2014-09-26 11:32:14 大云網　點擊量：評論 (0)

1 SDN提出的背景及其概念　　近幾年，隨著移動互聯網、電子商務、大數據等服務的興起和發展，以及虛擬化、云計算技術的快速發展，傳統網絡技術及架構已經越來越不能滿足快速配置、按需調用、自動負載均衡的要求。

5.SDN的應用和展望

　　5.1 IBM SDN VE在Openstack中的應用

　　IBM SDN VE KVM版提供了OpenStack Neutron插件，所以使用KVM作為hypervisor的基于OpenStack的云計算解決方案可以使用IBM SDN VE作為網絡虛擬化方案以提供極大的網絡靈活性和自動化。

圖8 IBM SDN VE在OpenStack中的應用框圖

　　通過本方案，結合OpenStack的Neutron部件，用戶可以直接在Web Portal中進行創建多層網絡應用的操作。用戶對創建或者修改虛擬網絡的操作通過Neutron插件對DOVE管理控制臺(DMC)北向API的調用而反映到SDN VE環境中。這時DMC經過一系列的對虛擬網絡的配置、策略控制和向各個相關虛擬交換機分發策略來實施這些用戶操作，從而達到以軟件獲取網絡能力的目標。

　　由于SDN VE提供了完善統一的日志信息和統計信息，可以通過這些信息根據網絡使用量等數據實現“按需付費”。

　　疊加層網絡實現過程簡介

　　在每個KVM中，都有一個DOVE代理進程，這個代理進程直接偵聽分布式連通性服務(DCS)，同時也負責創建獨立的橋接接口，這個橋接接口最終會顯示給virt-manager或者虛擬機管理器。每個VM都可以創建1個或者多個虛擬網絡接口，這些虛擬網絡接口將VM與虛擬交換機相連接。

　　同一KVM內的VM之間需要通信時，只需要根據流表在這臺KVM上的虛擬交換機內進行數據交換。不同KVM上的VM之間需要通信時，則會由虛擬交換機將從VM虛擬網絡接口上收到的網絡包進行VxLAN封裝，封裝后的包在底層IP網絡上發送給目標VM所在的KVM，經過VxLAN的解封裝，最終由源VM發出的網絡包被交換到目標VM上。

　　如果VM要和遺留在底層網絡上的物理機進行通信，則可以將VxLAN包發送到DOVE網關，由網關進行解封裝并且發送到目標主機。物理機到VM的通信可以由相反的過程完成。

　　DOVE網關也用于疊加層網段中的廣播。從疊加層網絡的設計可以了解到分布于不同KVM中的同網段VM之間要實現廣播必須借助于一些特別的設計。分布式連通性服務(DCS)保持了一個VM的地址表，通過這張地址表可以了解到某一疊加層網段內所有VM所對應的KVM。當網段內某一VM發出廣播包時，DOVE網關會將這個廣播包轉發到所有需要的KVM中。

　　創建多層網絡應用

　　用戶可以通過OpenStack的用戶界面向Neutron部件發出創建新網段的指令，這個指令由IBM SDN VE KVM版OpenStack Neutron插件轉發到DOVE管理控制臺(DMC)，DOVE管理控制臺向各個虛擬交換機分發策略，以創建這個網段。

　　用戶創建多個這樣的網段，然后通過OpenStack將各個VM和諸如路由器、防火墻等應用器件連接到各個網段，可以快速創建出一個多層網絡應用。

圖9 用戶在OpenStack上創建多層網絡應用

5.2 SDN在網絡安全等方面的應用展望

　　SDN不但提供了快速的網絡部署，用戶可以快速部署自己的多層應用網絡拓撲，還可以獲取豐富的作為虛擬應用器件運行的網絡服務，而這些網絡服務都是可以按照“按需付費”的方式提供給用戶在線訂購。

　　比較典型的如網絡安全服務、入侵檢測、垃圾郵件過濾及負載均衡等。

圖10 SDN網絡安全服務

　　圖10示意了IBM的一種網絡安全服務的部署模型。Security Service組件提供了網絡安全服務，它可以檢測流經它2個網絡接口的流量并且檢測到威脅的連接將之斷開從而保護目標VM。

　　當用戶訂購了該服務之后，SDN的控制器就會向虛擬交換機發送配置更新，將指定的VM的流量導向該安全服務應用器件。比如原先外部流量是直接流向VM的，用戶訂購服務之后就會先流向安全服務應用器件，經過安全過濾之后再流向VM。這種服務同樣可以保護來自環境內部其它VM的威脅。

　　總之，有了SDN這種可以由軟件定義而獲取的網絡能力之后，將會有更多的應用值得展望，這種由軟件控制快速改變網絡結構的能力的確是當前云計算非常需要的能力。有了這種能力，用戶可以快速部署應用的網絡結構，訂購虛擬網絡設備和服務，實現“按需付費”。