軟件定義網絡在云計算領域的實施部署

傅 帥

青云QingCloud 北京 100107

1 SDN的體系

1.1 SDN的產生

軟件定義網絡(Software Defined Network，SDN)是由美國斯坦福大學Clean Slate研究組提出的一種新型網絡創新架構，它將控制平面和轉發平面進行分離，轉發平面由受控的轉發設備組成，轉發方式及業務邏輯由運行在控制面板上的控制應用決定，這種邏輯上的集中控制實現了網絡流量的靈活控制，為核心網絡及應用創新提供了良好的平臺[1]。

由于傳統網絡設備(交換機、路由器)的固件是由設備制造商鎖定和控制，所以SDN希望將網絡控制與物理網絡拓撲分離，從而擺脫硬件對網絡架構的限制。這樣企業便可以像升級、安裝軟件一樣對網絡架構進行修改，滿足企業對整個網站架構進行調整、擴容或升級的需求。而底層的交換機、路由器等硬件則無需替換，節省大量成本的同時，網絡架構迭代周期將大大縮短[2]。

1.2 SDN的發展

開放網絡基金會(Open Network Foundation，ONF)最早提出了SDN的體系架構(如圖1所示)。

ONF的架構分為三層。第一層為應用層，包括各種業務和應用系統平臺；第二層為控制層，負責處理網絡的資源編排、網絡拓撲、狀態消息等；第三層為基礎架構層，負責數據的轉發。而在三個層的連接處，即控制層與基礎設施層之間被稱為南向接口，而應用層與控制層之間被稱為北向接口，這是SDN架構中的兩個重要組成部分。其中，ONF在南向接口上定義了開放的OpenFlow標準，而在北向接口上還沒有做統一要求；因此，ONF SDN架構更多的是從網絡資源用戶的角度出發，希望通過對網絡的抽象推動更快速的業務創新[3]

圖1 SDN的體系架構圖

ONF三層體系架構有三個特征。1)集中管控。邏輯上集中管控能夠獲得全局的網絡資源信息并根據業務情況對網絡資源進行全局的調整和優化，如流量控制、負載均衡等。同時，集中管控還使得網絡可在邏輯上被視作是由一臺虛擬網絡設備進行管理和維護，無須對物理設備進行配置調整，從而提升了網絡控制的便捷性。2)接口開放。通過南向和北向接口的開放，可實現應用和網絡的集成，使應用實時告知網絡如何優化和調整才能更好地滿足應用的需求，如應用的帶寬、時延、抖動、丟包率的需求等。另外，支持用戶基于開放接口自行開發網絡業務并調用資源，加快新業務的上線周期。3)網絡虛擬化。南向接口的統一和開放，屏蔽了底層網絡轉發設備的差異，實現了底層網絡設備對上層應用的透明化。邏輯網絡和物理網絡分離后，邏輯網絡可以根據業務需求隨時配置和調整，不再受具體網絡設備物理位置的限制。同時，邏輯網絡還支持多租戶共享，支持租戶網絡的定制需求。

總之，SDN對控制平面與轉發平面的分離，使網絡設備的集中管控成為可能。以OpenFlow為代表的南向接口的提出使得底層的轉發設備可以被統一控制和管理，而其具體的物理實現將被透明化，從而實現設備的虛擬化。多種多樣的開放接口，必將推動網絡能力被便捷地調用，支持網絡業務的創新。

網絡功能虛擬化(Network Function Virtualization，NFV)是運營商針對目前遇到的問題，結合虛擬化技術提出的一項網絡解決方案。隨著運營商網絡規模的擴大，其所部署管理的設備型號與種類也在逐步增加，這必然導致能耗增長和管理成本增加，這些因素會嚴重影響運營商網絡規模的擴張與發展，運營商因此提出采用NFV技術幫助其繼續提升網絡規模。NFV可以給運營商帶來低成本、低能耗、快速部署以及靈活調整等方面的優勢；與傳統的專屬網絡設備不同，NFV采用通用硬件服務器作為基礎設施資源，通過虛擬化技術在基礎設施資源中建立虛擬的網絡設備，并提供完整的專屬網絡設備所具備的完整功能。而NFV技術很好地整合了計算虛擬化技術、存儲虛擬化技術以及網絡虛擬化技術。在接口標準方面，NFV既可以與OpenFlow協同運行，也可以采用基于非OpenFlow的自有協議工作，還能夠兼容ForCES等傳統的標準化接口協議；這一方面是為兼容運營商中大量的傳統網絡設備，另一方面是面向運營商未來網絡的發展要求。

OpenDaylight是由若干IT廠商提出的技術路線，以方案可落地實施部署為前提條件，基于SDN的開源技術并結合了NFV的優勢特點所形成的技術標準。OpenDaylight借鑒了SDN的層次架構，包括網絡應用與編程服務層、控制平臺層、物理與虛擬網絡設備層。而OpenDaylight的控制平臺層是以Java虛擬機實現，根據一系列功能模塊來實現不同的網絡功能組件，也可以基于第三方的功能模塊來提升功能的多樣性。其與SDN的差異包括：南向接口既支持OpenFlow協議，也支持網絡設備廠家專有的協議，更支持符合國際標準的網絡協議(如NETCONF的配置協議和BGP、OSPF等路由協議)。OpenDaylight采用服務抽象層來兼容處理不同的協議標準。具體是服務抽象層將不同標準的協議翻譯為OpenDaylight可以解釋的服務請求，對底層協議保持透明的狀態，大幅提升了整體架構的可擴展性。

NFV與SDN所適用的場景存在一些差異，不同的網絡和架構需要選擇不同的技術來提升網絡體驗。而兩者相同的地方都是采用通用設備結合虛擬化技術，基于軟件來實現不同的網絡功能組件；而OpenDaylight的開源特性，使得它既兼容SDN、也對NFV采取融合的態度，未來將與兩者繼續并行發展。其最終目標是基于軟件的開發、調整、配置與部署完成對網絡拓撲、架構的規劃；而以上這些均可通過PC端、移動端(手機、平板)基于Web方式進行。

SDN的控制器層處于中間，基于開放的接口提供南北向的數據通信。其中北向接口專門負責與上層應用進行通信，南向接口專門負責與底層資源的數據層進行通信。為避免由于單點導致控制器的功能失效與性能瓶頸，未來將采用東西向的通信方式部署多控制器集群，這是SDN未來的發展方向之一[4]。

2 SDN的關鍵技術

2.1 SDN的控制層

控制層是SDN的大腦，負責對底層轉發設備的集中統一控制，同時向上層業務提供網絡能力調用的接口，在SDN架構中具有舉足輕重的作用，SDN控制器也是SDN關注的焦點。從技術實現上看，控制器除了南向的網絡控制和北向的業務支撐外，還需要關注東西的擴展，以避免SDN集中控制導致的性能和安全瓶頸問題，SDN控制器也在南向、北向、東西向上引入了相應的核心技術，有效解決與各層通信以及控制集群橫向擴展的難題[5]。

當前，業界有很多基于OpenFlow控制協議的開源控制器實現，例如NOX、Onix、Floodlight等，它們都有各自的設計特色，能夠實現鏈路發現、拓撲管理、策略制定、表項下發等支持SDN網絡運行的基本操作。雖然不同的控制器在功能和性能上存在差異，但SDN控制器已具備應有的技術特征，從這些開源系統的研發與實踐中得到的經驗和教訓將有助于推動SDN控制器的規范化發展。

另外，用于網絡集中化控制的控制器作為SDN網絡的核心，其性能和安全性非常重要，其可能存在的負載過大、單點失效等問題一直是SDN領域中亟待解決的問題。業界已對此有很多探討，從部署架構、技術措施等多個方面提出很多建設性的方法。

SDN控制器對網絡的控制主要是通過南向接口協議實現，包括鏈路發現、拓撲管理、策略制定、表項下發等，其中鏈路發現和拓撲管理主要是控制其利用南向接口的上行通道對底層交換設備上報信息進行統一監控和統計；而策略制定和表項下發則是控制器利用南向接口的下行通道對網絡設備進行統一控制。

SDN北向接口是通過控制器向上層業務應用開放的接口，其目標是使業務應用能夠便利地調用底層的網絡資源和能力。通過北向接口，網絡業務的開發者能以軟件編程的形式調用各種網絡資源；同時，上層的網絡資源管理系統可以通過控制器的北向接口全局把控整個網絡的資源狀態，并對資源進行統一調度。因為北向接口直接為業務應用服務，因此，其設計需要密切聯系業務應用需求。同時，北向接口的設計要合理、便捷，以便能被業務應用廣泛調用。這將直接影響SDN控制器廠商的市場前景。

南向接口已有OpenFlow等國際標準不同，而北向接口還缺少業界公認的標準，因此，北向接口的協議制定成為當前SDN領域競爭的焦點。不同的參與者或者從用戶角度出發、或者從運營角度出發、或者從產品能力角度出發提出很多方案。據悉，目前至少有20種控制器，每種控制器會對外提供北向接口用于上層應用開發和資源編排。雖然北向接口標準當前還很難達成共識，但充分的開放性、便捷性、靈活性將是衡量接口優劣的重要標準。例如，REST API就是上層業務應用的開發者比較喜歡的接口形式。部分傳統的網絡設備廠商在其現有設備上提供了編程接口供業務應用直接調用，也可被視作是北向接口之一，其目的是在不改變其現有設備架構的條件下提升配置管理靈活性，應對開放協議的競爭[6]。

2.2 SDN的轉發層面

在傳統網絡中出現的由于單點故障導致的網絡抖動在SDN網絡中也會發生。當網絡流量負載遷移、網絡拓撲更新時，非常容易出現規則更新不一致的情況。其原因可能是人為因素，也可能是非人為因素，最終必將導致網絡規則的更新不一致。

一般采用分階段提交方式進行規則更新，從而避免規則不一致。階段一，當某規則要更新時，控制器查詢每個交換機對應此規則的流量處理是否完成，并對處理完成的交換機的規則進行更新；在階段二，當所有交換機的規則更新完成后，整個規則更新動作才會完成，否則，會取消規則更新動作。為實現分階段的規則更新，在更新初始階段，數據包會以打標簽的方式來識別對應的新舊規則，交換機在轉發過程中會檢測數據包標簽的版本，以標簽對應的規則來完成數據包的轉發動作；當數據包離開邊界交換機時，數據包的標簽會被去除。但此方式需要在所有舊標簽的數據包處理完成后，新的規則才會生效并進行數據包的轉發；由此會帶來規則存儲空間占用導致利用率較低的問題；而基于增量的更新算法可以避免此類問題的發送，即將規則更新分多次進行，每次更新均采用分階段提交方式更新一個子集，以此達到更新時間與規則空間的平衡。

3 SDN的實施部署

QingCloud第一個將SDN技術應用到IaaS平臺，并且為公有云用戶提供虛擬基礎網絡服務，整個IaaS平臺的調試部署在2013年7月完成，并向廣大用戶正式提供公有云服務，其整體的網絡架構如圖2所示。

圖2 實際部署網絡拓撲圖

在SDN技術架構的設計上采用全軟件方式實現，即只需以傳統網絡設備為基礎，便可構建完整功能的SDN網絡。與云計算平臺集成后可以為用戶提供虛擬交換機(即二層隔離虛擬網絡)、虛擬路由器(具有端口轉發、DHCP、過濾控制等功能，并支持Openvpn/PPTP等VPN以及GRE/IPsec隧道)、防火墻(傳統防火墻功能)、負載均衡器(支持HTTP、HTTPS、TCP三種協議、具有全透明代理功能及自定義的轉發策略)等組件，可以滿足為企業客戶搭建各種復雜網絡拓撲的能力，并最大限度地保護用戶的業務安全，同時，具備架構混合云的能力。用戶也可以通過腳本程序，如bash、Python、Ruby等，調用集成的API來實現[7]。

圖3展示的是在云環境中租戶之間基于私有網絡的隔離。上述技術是以openvswitch(簡稱ovs)為技術參考實現的，即每臺物理服務器上配置ovs，同時，在ovs上保存所有云主機的網絡信息，包括IP地址信息、私有網絡信息、帳號與主機的關聯信息，基于上述信息，才可以完成對所有網絡流量的訪問控制。

圖3 OVS邏輯結構圖

針對一個帳號下所有云主機之間的互聯互通，需要考慮到多種網絡上的差異。如，在不同的物理服務器上導致的網絡配置差異，在相同物理服務器上導致的網絡配置雷同，以及在發生云主機遷移時網絡配置的變動都會影響到ovs上面保存的有關云主機的網絡配置信息。

通過隧道技術，將所有需要進行數據交互的云主機通過ovs基于二層聯通與虛擬路由器配合可完成基于三層的聯通。這種技術實現的架構如圖4所示。

圖4 私有網絡邏輯架構圖

圖4中的控制器掌握全局的網絡拓撲情況，如，云主機與帳號的對應關系以及ovs上已建立的隧道情況；基于云計算平臺的規模，控制器也采用分布式部署的架構，同時，控制器之間將采用P2P方式構成社區，社區之間所有網絡信息共享，并選舉出master controller，社區與社區之間基于master controller進行網絡信息的同步更新，master controller同時負責將其他社區更新的信息分發至其所在的社區內。上述架構的好處在于避免單點故障，同時也不會由于規模過大，導致網絡信息管理與傳輸上的問題。

后續SDN2.0版本的功能增強，用戶網絡將完全可以實現自管。一方面可以滿足企業生產網絡拓撲架構高可靠與高復雜度的場景；另一方面也可以滿足超大規模網絡拓撲高可用與高性能的場景[8]。

圖5所展示的局部網絡架構圖中既包括實際物理服務器間物理鏈路的連接，也包括VM之間、VM與vSwitch之間、vSwitch之間邏輯鏈路的連接?？傮w上可以分為兩部分鏈路，即物理鏈路的建立與邏輯鏈路的建立，同時，邏輯鏈路的建立又可劃分為內部邏輯鏈路的建立、內部與外部邏輯鏈路的建立。

圖5 局部網絡架構圖

物理鏈路的建立，即所有物理硬件設備的連接。目前，物理硬件設備的連接是通過10Gb/s、20Gb/s和40Gb/s等標準的接口標準互聯，高帶寬的物理鏈路可以為基礎設施提供足夠的超高的網絡IO與冗余度。

內部邏輯鏈路的建立，即在已有的物理鏈路的基礎上，對VM之間的數據如何傳輸做好邏輯鏈路的規劃、設計與選擇。因需要互聯互通的VM可能連接到同一個vSwitch上，也可能連接在不同vSwitch上，所以在VM建立時，邏輯鏈路的設備必須同時完成相關設定工作，同時，也要根據VM的位置變化隨時調整更新邏輯鏈路的相關信息。

內部與外部邏輯鏈路的建立可認為是外部數據與云中VM之間的數據傳輸，此類傳輸需要通過VG，即SDN中的控制器作為數據傳輸的中轉站，其功能一方面表現在傳統路由器的IP地址轉換角色，另一方面即為所有進出云邊界的流量選擇適合的vSwitch，類似于云內部邏輯鏈路的選擇功能。

在這種SDN網絡中，用戶可以自由設定路由器上的路由規則，靜態路由、動態路由以及策略路由均可實現三層網絡設備的HA模式配置。而在物理設備方面，仍然以傳統網絡設備為基礎進行建設，考慮到網絡穩定性是商業服務的第一指標，新興的SDN交換機、SDN路由器還需要繼續觀察。而對OpenFlow的研究與實驗還將繼續，在發展中不斷根據技術的變化調整SDN的實現。

SDN2.0將在2015年產生巨大變化，而所有這些變化的基礎就是可以將上層平臺與應用系統跨越廣域網實現趨近100%的彈性配置，目標是可以建構安全的網絡、確保隔離和降低成本，支撐用戶在SDN2.0中構建與傳統網絡拓撲毫無差異的虛擬網絡拓撲，給嚴肅的企業級用戶足夠的信心，成為打動企業級客戶的第一塊敲門磚[9]。

4 SDN的未來趨勢

SDN為將來的互聯網發展提供用于控制與轉發分離的整體架構解決方案。下面分別針對數據中心和超大規模網絡在SDN方面的發展重點進行討論。

1) 數據中心部署。如何建立一個低能耗、高可靠、靈活敏捷的數據中心網絡一直是業界研究的重點；數據中心與互聯網的松耦合關系使得數據中心的建設可以根據實際的性能與功能要求通過SDN技術搭建部署全新的數據中心網絡架構，這也是促進SDN技術在數據中心網絡快速推廣的原因之一。另外，由于SDN轉發與控制分離的架構特點，使數據中心可以對密集型服務器進行集中管理與控制，也使數據中心的監控與運維更加靈活。目前，基于OpenFlow的SDN在數據中心鏈路利用率、數據中心動態路由、數據中心負載均衡和資源管理等方面的部署與運營都積累了豐富的經驗。

2) 超大規模網絡部署。目前，SDN的應用部署主要集中在校園網、企業網和數據中心，但在超大規模的網絡部署與應用方面比較缺乏經驗；傳統的超大規模網絡針對異構環境、超高性能、超高可擴展性、海量數據傳輸以及區域之間的動態路由都是限制超大規模網絡發展的瓶頸，而基于SDN技術構建的超大規模網絡則完全不會存在由于以上問題導致的發展瓶頸，所以SDN在超大規模網絡建設上還需要進一步研究、部署與實驗，同時積累在超大規模網絡建設的經驗[10]。

5 結束語

SDN技術是目前最為熱門的網絡技術，而運營商也應該以嶄新的眼光來看待基于SDN的網絡基礎設施及產品解決方案。SDN可以為運營商建立一張更高效、更有成本效益的網絡；采用通用硬件平臺運行各種網絡組件，從而可以使業務創建與傳輸更便捷、更高效。預計在2015年會有一部分運營商對現網進行改造升級，而在兩年后，廣泛的運營商才會基于SDN技術對現網進行大量的升級改造。隨著時間的發展，SDN技術將會更加成熟、穩定，也將必然對現有的網絡技術產生深遠的影響。

參考文獻

[1]鄧光青.軟件定義網絡技術剖析[EB/OL].(2013-07-21)[2015-02-02].http://wenku.baidu.com/link?url=zlw12-tZVfTnTK1QS6IldiAvML2kHw_t0GcnZk_DQ7D7xamL6 oHzCWwklKCGdiDF7ADvAQ7kAZe0hoUWcRxOKmDA x19sOyHA0_s-DnDX9dW

[2]在“下一代網絡”熱潮中,中國SDN(軟件定義網絡)會怎么走？[EB/OL].(2012-11-07)[2015-02-02].http://www.36kr.com/p/166812.html

[3]雷葆華.SDN核心技術剖析和實戰指南[EB/OL].(2013-10-11)[2015-02-02].http://book.51cto.com/art/201310/412685.htm

[4]張朝昆,崔勇,唐 ,等.軟件定義網絡(SDN)研究進展[EB/OL].(2015-04-19)[2015-04-20].http://www.jos.org.cn/1000-9825/4701.html

[5]SDN控制器及北向接口技術初探[EB/OL].(2013-12-16)[2015-02-02].http://network.chinabyte.com/99/12807099.shtml

[6]SDN南向接口和北向接口區別[EB/OL].[2015-02-02].http://www.sxt.cn/u/324/blog/4518

[7]黃允松.SDN這個革命性的東西[EB/OL].[2015-02-02].http://www.infoq.com/cn/articles/richard-on-cloud-sdn/

[8]甘泉.混合云的構建及其對企業的幫助[EB/OL].[2015-02-02].http://www.csdn.net/article/2014-04-24/2819483-IaaS-QingCloud

[9]林源.青云(Qing Cloud)的SDN實踐[EB/O L].[2015-02-02].http://www.cnw.com.cn/live/htm2014/20140702_305092.shtml

[10]左青云,陳鳴,趙廣松,等.基于OpenFlow的SDN技術研究[EB/OL].[2015-02-02].http://wenku.baidu.com/link?url=S BvnYeR0bD6FPjzG5KT9QL9Kw961ocqWqBO0f5jdJldR xksRTvdkHkeGj4iXuClHPxAA7RXP2YCBGTwaNOFcW 04cERNb7lxv1dwORh3cHVi