第213期 / July 5, 2015

產業觀察

分享到臉書!分享到維特!分享到噗浪!分享到Google+!分享到微博!轉寄友人友善列印

軟體定義網路v2.0 – Cisco ACI

作者/葉源泉

[發表日期:2015/7/5]



淺談傳統資料中心的架構

過去十年來的client-server的架構需求下,資料中心網路被設計與定義成三階層。



所謂的三層式架構是指,核心層、匯集層與存取層,分別進一步的說明這三層的功能。
‧「核心層」=「網路核心」,是所有資料中心設備的總匯集連結點,是由一部高效能高可靠性的交換器來連結所有網路設備,包括網路元件、安全防護以及伺服器等設備。
‧「匯集層」是匯集一系列的交換器,負責把存取交換器連結匯聚到核心交換器。在中大型資料中心網路中通常會有此設計,至於小型資料中心則因規模過小而不一定有配置這個階層。
‧「存取層」它們提供伺服器接入網路的管道,然後以dual home的線路備援方式向上連接至匯集層,這些存取交換器通常因部署的位置又稱為“Top-of-Rack”(機櫃頂端)或“End-of-Row”(機櫃尾端)。

而這三層式網路基礎架構的資料中心,提供了網際網路的各種服務與應用,從 Web 1.0、Web 2.0、部落格(Blog)、微網誌(Micro Blogging)到社交網路的興起。然而,如今卻有三項重要趨勢正改變著資料中心網路的建構模式,第一個是虛擬化技術導入讓資料中心的“東西向”資料流的限制,第二個則是實體的二層多路徑“南北向” 資料流的挑戰,第三個則是彈性化部署。而網路流量之所以會有南北與東西向之分,主要是以應用服務為中心的思考概念。傳統伺服器接收到一個連線需求,隨即直接回應用戶,稱之南北向資料流。以“Big Data – Hadoop平台”的應用情境為例,一個連線需求可能會先分散到多台伺服器執行運算,此即為東西向流量,最後才透過南北向回應給終端用戶。而資料中心為了因應“雲”時代的『虛擬化』、『二層多路徑』與『彈性化』要求,又要降低設備和營運支出,減少雜亂和複雜度,更要有效地使用共用的網路資源,同時確保服務的連續性,將是資料中心目前最立即需要面對的難題。

軟體定義網路源由與興起

最近幾年以來,經常聽到SDDC(software defined data center)這個名詞被提出來討論,隨著許多軟硬體公司舉辦研討會、電信業者與系統整合商積極推展,開始運用當中的關鍵概念,來建構所謂軟體定義式(Software Defined)的各種應用,並且推出對應的軟硬體解決方案,因此有些人也喊出「軟體定義一切」、「軟體併吞了儲存與網路」等口號。

以軟體定義網路(SDN)來看,它顛覆過去以來的網路架構的佈建思維,並改變傳統網路架構的控制模式,從分散式轉為集中控管架構,使網路設備的軟硬體趨於標準化及統一化。使得網路設備不再是主角,取而代之的是以軟體為主的控制器(Controller),控制器為控制各種網路元件的關鍵,大幅提升網路運作的彈性與簡化部署,降低營運管理成本,將可能成為新一代網路技術發展的方向。

影響軟體定義網路發展的兩大組織

目前在推動SDN應用的兩大組織,開放網路基金會(Open Networking Foundation,ONF),負責制定OpenFlow的標準,以及由Linux基金會發展的OpenDaylight專案。

其中的ONF開放網路基金會(ONF,Open Networking Foundation)於2011年成立,由德國電信、Facebook、Google、微軟、Verizon、Yahoo等6家用戶端公司發起,迄今已經有超過150個成員,並接手OpenFlow技術的制定,共同推廣OpenFlow技術。幾乎你所有想得到的網路設備廠商、硬體晶片廠商、伺服器虛擬化軟體公司、大型網站業者與國家級電信,都加入了這個基金會,到了2014年底,ONF發布OpenFlow Switch規格1.5版。

而OpenDaylight是在2013年成立的開放原始碼專案,主要由Arista、Big Switch、Brocade、Cisco、Citrix、Ericsson、HP、IBM、Juniper、NEC與Red Hat,等13家設備提供商發起,包括現在成員也增加到40多個,OpenDaylight在2014年2月釋出第一版的開源SDN框架Hydrogen的設計規格,共分成3種不同的開放版本分別是基礎、虛擬化以及服務供應商,免費供企業用戶、服務供應商、設備廠商及研究單位使用。

軟體定義網路架構與推行

SDN架構如下圖所示共分為三個階層,包括基礎架構層(Infrastructure Layer)、控制層(Control Layer)以及應用服務層(Application Layer)。設備層由 “SDN交換器” 設備所組成,主要負責資料層封包的轉送,依據SDN交換設備本身所儲存的規則來決定封包的轉送路徑,在控制層實現集中式控管後,SDN交換設備仍可保有原本網路線速(Line Rate)的運行速度。




控制層為SDN網路的核心,此控制器是由各個控制模組與溝通介面Southbound API與Northbound API所組成。透過Southbound API也就是Open Flow協議來掌握基礎架構層內的設備網路狀態以及基於政策所定義的封包傳輸路徑。透過Northbound API可實現SDN應用服務邏輯的部分,藉由第三方廠商的產品相互兼容,建構具共通性且多元化的軟體技術平台來提供應用服務層所需要的網路資源管理與視覺化介面管理…等等。

回顧過去兩年以來,市場上的幾家電信設備大廠所提出的SDN解決方案,絕大部分只強調南向接口上支持OpenFlow 1.0或1.3的標準,但是還有一些廠商除了支援標準的OpenFlow之外,同時擁有自己的私有協議接口或者是IETF協議的變種,比如ONEPK, XMPP與RESTful接口…等等。而這些屬於南向接口的OpenFlow(或私有協議)的主要功能是用來控制網路交換機的轉發平面。單單從技術的角度來看,OpenFlow所謂的控制轉發分離架構對於支撐業務服務的需求與實現難度非常高。舉例來說,在目前OpenFlow的規範架構下,無法量化各種業務服務資料流的抖動(jitter) & 延遲(latency) & 封包遺失,從維運面與管理面的角度來看,此概念性的架構雖然具有高彈性部署與集中化管理的種種優勢,但本身卻蘊含了額外的風險和成本。

以應用為中心的基礎架構-思科的ACI

現今的資料中心所面臨的挑戰和以往有很大的不同,在客戶需求快速變化下,面臨到的主要挑戰是如何在快速變化的客戶需求與資料中心的容量間取得平衡。建設新的資料中心與優化均是需要長時間規劃與大量金錢投資的工程。以建設一個資料中心為例,此過程中會先進行規劃範圍、與廠商討論新技術的導入然後進行採購,經歷這些過程到開始營運需要至少一年到一年半的時間,另外,客戶的需求變化比以前加快許多,如果無法即時提供,則可能流失掉新的客戶甚至於現有的客戶。但營運者卻很難準確預估一年後的市場需求,而這些挑戰無疑地增加了資料中心營運的風險及成本。

思科從客戶端COO & CIO的角度看到五大問題『降低運營成本、提升彈性調度靈活性、增加網路基礎架構應用服務連接及可量測管理』。為了落實客戶的需求,思科開發出一個新的架構“Application Centric Infrastructure - ACI”,它從根本上簡化、優化並加快了整體應用服務部署的生命週期。

思科ACI 架構模式是基於交換矩陣的概念。此概念設計可用於支持新出現的應用服務要求,同時為現有的架構提供維護遷移路徑。此關鍵技術的核心價值是“資料中心在提供各種應用服務前,可與業務單位共同研討,業務與服務提供之間採用相互關聯的動態和靈活方式”。這網路基礎設備上,可根據業務服務需求來確定如何運行網路策略和邏輯拓樸。ACI的架構緊密結合軟體和硬體的組合,落實客戶端COO & CIO的所要解決的五大問題,從而提供目前市場上其他解決方案無法提供的優勢。



首先我們要來研究一下ACI的組成架構。此架構共有三個基本單元:
1).網路策略模型:即將網路裝置按容器式的結構劃分以及描述設備連接情況的組織原則
2).APIC(應用基礎設備控制器/即SDN中的控制器):提供所有配置策略的管理和信息匯集處理
3).ACI應用基礎設備架構:即組成ACI的所有物理和虛擬網路設備的抽象概念。

一.網路策略模型

ACI策略模型採用一種基於“GBP-Group based policy”概念的網路連接配置方法。舉例來說,想像我們要為資料中心部署典型的三層網路應用服務,該服務可能包含前端網頁層、中端應用層以及後端資料庫層;同時我們還要將該服務與外部網路進行連接。通過此概念,我們可以直接定義該服務所需要的網路連接配置策略。如下圖所示:



在多數的應用服務需求下,我們可以先透過映射的方式將各個服務屬性歸類,然後再與虛擬網路或實體網路進行關聯配置。透過這簡易的連網服務過程中,應用服務的管理者,將可以採用自助方式快速提供客戶所需的應用服務,而不再需要考慮網路層級的聯通問題。

二.APIC_應用基礎設備控制器

ACI的策略是經用APIC進行配置。它們為所有的服務提供配置策略以及任何有關於網路架構連接、管理、監控以及故障排除的策略,正如軟體定義網路的觀點“集中管理與單一平台的策略實行”。但需要注意的是,APIC並非只用於轉發或查詢之用。實際上,一旦在APIC中配置某種服務,此服務是可以移動的,而這種的移動性也不會影響任何功能。



三.ACI應用基礎設備架構

ACI採用矩陣方式構連,也是網路架構的物理與虛擬設備的集合,它支援包括查詢、轉發與策略實行等在內的所有數據平面(Data Plane)功能的處理。而構建出符合資料中心所需各類型服務的網路架構核心即是思科最新推出的Nexus 9000系列旗艦版的資料中心交換器。這些交換器根據用途可分成“Spine”與“Leaf”兩種角色,並具備可橫向擴展的網路連接、高性能轉發與多樣化的彈性部署。



從ACI的網路部署設計角度來看,所有的設備都是連接至Leaf 交換器,而能夠連接至Spine交換器的設備只有Leaf交換器。ACI平台的網路架構是基於採用IPv4路由選擇作為其“底層”的網路協議,並加上新一代虛擬網路的架構平台技術“VxLAN“作為服務之間的封裝隧道,從而能夠在整個ACI架構中達到L2與L3網路之間的點對點間的橋接或路由選擇。

ACI架構與虛擬平台的整合

在資料中心的業務服務需求下,除了實體網路與服務的構連外,還有虛擬網路(vSwitch)與網路功能虛擬化(NFV)的互聯需求。在思科創造新的資料中心網路構連慨念“ACI”的基礎架構下,已經將這些需求與未來的趨勢考量其中。因此ACI可以整合不同管理平台中的vSwitch,無論是透過vCenter運行的VMware,或是透過SCVMM的Windows Server 2012 R2,或者是透過OpenStack管理的OVS,只要在APCI中安裝“這些原廠的擴充套件”即可統一控制網路服務。除了實體與虛擬網路的整合,APCI還可以與L4-7的網路服務提供商的設備間進行相互協調、自動化控制以及網路鏈路的連接;而設備互聯間的網路策略也隨之向下延伸至這些網路服務,這樣一來,網路服務管理員無需對每
台設備進行單獨管理。因此,可以說ACI超越了思科Nexus 9000平台;更超越了現今Openflow架構下的SDN網路,並且涵括了與目前市場上佔有率較高的虛擬化平台與L4-7的網路服務商的整合。

ACI量化業務服務的指標

新世代的資料中心 – ACI網路架構下,除了快速轉送各種業務服務的封包之外,還提供以端對端服務的健康評分。在導入ACI後的業務服務部署,服務管理者若需要對其監督的業務,獲知其運行的具體狀況以及實現用戶預期使用此服務的程度,可透過專屬的網頁輸入“health scores”,服務管理員就能深入、細緻地衡量服務的健康度。這個分數是由多種因素所演算出來的,例如端口錯誤或VM佔用ESX主機過多的CPU資源…等等。



結論

思科在全球資料中心的基礎網路市佔率高達65%,因此透過服務管理者在管理現代資料中心網路基礎架構時遇到的一些問題的回饋以及從高階經理人“COO & CIO”的角度看到五大問題『降低運營成本、提升彈性調度靈活性、增加網路基礎架構應用程序連接及可量測管理等方面』,而開發出一種全新的基礎架構,以求盡可能降低運營成本、提升業務服務交付速度、橫跨實體和虛擬IT資產、支持多虛擬機管理平台和實現互通性。思科推出這個新世代的架構模式除了為網路產業帶來了寶貴的技術創新之外,更發現此基礎網路構連架構比現有部署的網路更容易控制和管理。

就整體資料中心導入ACI的綜效來看,短期投資的成本會高於現有的架構,但以長期來看,ACI作為新一代資料中心的基礎網路架構,在營運成本與服務提供成本等多方面來看,將會大幅度低於現有的部署架構,並能符合推動資料中心多樣化服務繼續向前發展的基石。(本文轉載自2015年六月號資安人月刊)

參考資料
1. Wikipedia
2. Cisco官方資料