打通计算与网络隔阂 云就绪网络使IT更轻

　　云的基本特征是动态、弹性、灵活，按需计算，这要求云计算的基础架构也具备动态、弹性和灵活的特征。云计算基础架构的核心——数据中心也应满足这一要求。H3C数据中心拓展部部长王宏亮认为，从目前的技术来说，IT基础架构中服务器和存储这两大基本部分从性能与虚拟化特性等方面来看相对比较完善，相对来说网络部分面临的挑战更大，有可能成为云计算应用的瓶颈。

　　网络作为企业IT整个支撑的部门，需要做到坚实有力。而在诸如虚拟化等技术引入之后，这种稳定又要如何保证?同时众多企业IT基础设备都包罗太多，如何通过云进行简化，从源头保证IT更轻?近日，ZDNet采访到王宏亮，他向我们分享了云计算的建设模式和网络架构应作出的改变。

　　1. 做为云计算基础架构的重要支撑，网络应该聚焦在哪些环节以帮助企业提高工作效率，节约成本，降低能耗?这些环节与传统的IT网络基础架构相比发生了哪些变化?

　　云计算在建设模式上，与传统的IT建设模式存在较大的差异，如下图所示：

　　· 传统的IT建设模式：一般都是业务驱动，自顶向下的方式，需要上业务系统的时候，申请立项—>预算审批—>方案设计—>招投标采购—>部署上线。如此下去，企业的IT系统会形成很多彼此孤立的“烟囱”，基础设施(计算、存储、网络)的利用率低下，运维管理成本高。而且业务上线的周期长，不能适应企业业务的快速调整。

　　· 云计算建设模式：云计算建设时常采用自底向上的方式，首先利用虚拟化或集群技术构建基础IT资源池(计算、存储、网络)，对IT资源进行整合，提高利用率。用户或业务部门需要部署业务系统时，通过自助门户向IT运维部门申请资源，IT运维部门通过云计算运营管理平台(Cloud OS)对资源池内的资源进行分配与调度，最后以服务的方式交付给用户或业务部门。此种模式下，资源池的构建与上层的业务应用是松耦合的关系，有业务上线需求时可以快速分配出基础IT资源来支撑业务的部署上线。

　　网络是云计算的核心承载平台，无论是云服务的构建、云服务的备份、云服务的推送均离不开网络。网络健壮与否直接影响租户业务的连续，网络安全与否直接影响租户业务的信息安全，网络传输质量的好坏直接影响到用户的使用效果。

　　在云计算系统构架内，根据网络互联功能的差异能，可以将云计算网络分为以下三个层次：

　　1）. 云内互联：主要用于云数据中心内服务器、存储基础IT资源间的互联，完成计算、存储资源池的构建，满足云运营管理平台通过网络实现各资源的编排、调度与交付。引外还需要根据各租户、各业务系统的不同互访需求，实现网络层的资源隔离与安全访问控制。

　　2）. 云间互联：主要用于多个云数据中心间的横向互联，实现多个资源池横向整合，云服务、数据的备份，同时满足云运营管理平台实现跨数据中心资源的编排、调度、迁移、集群等。

　　3）. 云端互联：主要用于云数据中心与用户终端间的纵向互联，实现云服务的推送、呈现，满足用户对云计算资源的使用与管理。

　　在云计算环境下，这三个层面的互联网络与传统“数据中心网络”、“城域网络”、“广域/局域网络”相比，存大较大的差异，传统的技术与设备面临着新的挑战与革命。

　　2. 为了满足云计算基础架构效力提升的要求，网络架构、技术等需要在哪些方面做出改变?

　　从目前的技术来说，IT基础架构中服务器和存储这两大基本部分从性能与虚拟化特性等方面来看相对比较完善，相对来说网络部分临的挑战更大，有可能成为云计算应用的瓶颈。因此，H3C把网络摆在了云计算基础架构的核心位置。目前H3C已经推出了一整套开放云网络解决方案及系列产品，解决用户云内互联、云间互联、云-端互联等不同层次的需求，实现云计算的网络就绪。

　　打造一个云就绪的网络，需要解决几个问题：

　　1）. 集群计算，需要端口支持10GE高密接入、40/100G，单机具有10000台服务器接入能力，多机单域虚拟化，实现跨机整合，能够跨域虚拟化，实现跨数据中心整合，并支持安全虚拟化

　　2）. 虚拟计算，通过EVB，实现虚拟机感知，并实现虚拟化安全，

　　3）. 无损交换，支持CEE融合增强以太网，以及FCoE，实现数据中心 IO 融合

　　4）. 自动化管理，实现自动化配置和自动化调度

　　3.云计算网络的基础架构如何应对服务器虚拟化、存储虚拟化等虚拟化变革所带来的挑战，从而提升云计算整体的效力?

　　仅从云内互联网络看，云内互联网络云计算网络的核心，也是近年来新技术、新标准创新最为密集的地方。与传统数据中心网络相比，云计算数据中心内部互联网络面临着如下挑战：

　　· 从物理服务器互联到虚拟机的互联

　　随着服务器虚拟化的大规模部署，网络中的业务流量和服务器主机表项(ARP/MAC等)会成10~20倍的增长，这对网络设备的性能和表项规格提出了更高的要求。H3C S12500是中国国内第一款100G平台交换机，支持未来40GE和100GE以太网标准，整机可以提供576个万兆端口，提供高密度万兆接入能力;面对下一代数据中心突发流量，创新的采用了“分布式入口缓存”技术，可以实现数据200ms缓存，满足数据中心、高性能计算等网络突发流量的要求;为了满足数据中心级网络高可靠、高可用、虚拟化的要求，S12500采用创新IRF2(第二代智能弹性架构)设计，将多台高端设备虚拟化为一台逻辑设备，同时支持独立的控制引擎、检测引擎、维护引擎，为系统提供强大的控制能力和50ms的高可靠保障。

　　为了解决服务器虚拟化带来的高密度接入问题，H3C推出了新一代S5820高密万兆全线速交换机，提供48个万兆SFP+端口和4个40GE端口，而且每个40GE端口可方便扩展为4个万兆端口。同时提供前后可选风向风道，保证数据中心的高效散热。

　　服务器虚拟化之后如何网络进行对接，如何在网络层实现对虚拟机的管理与控制?将是云计算环境下网络面临的新问题。针对此问题，HP与H3C于2009年向IEEE EVB(Edge Virtual Bridging)组织提交了VEPA(Virtual Ethernet Port Aggregator)方案，此方案作为802.1Qbg标准草案立项，目前已经到Draft 2.1版本(2012年1月)，而且得到了Juniper、IBM、Qlogic、Brocade等众多厂商的支持，H3C的产品和整体方案已在泰尔试验室测试通过。

　　· 从小规模二层网络到大规模二层网络互联

　　云计算环境下，计算、存储资源通常以资源池的方式构建。池内虚拟机迁移与集群是两种典型的应用模型，这两种模型均需要二层网络的支持。随着云计算资源池的不断扩大，二层网络的范围正在逐步扩大。

　　大规模部署二层网络则带来的首要问题就是二层环路问题。针对二层环路的问题，H3C采用IRF2(第二代智能弹性架构)技术将多台网络设备虚拟化为一台，通过跨设备的链路捆绑消除网络环路，同时将这些设备作为一台统一管理、配置和使用。目前，基于增强的IRF2技术，H3C能将4台核心交换机虚拟化为1台，开创了核心设备虚拟化的新纪元，在行业内处于领先地位。

　　IRF2虚拟化技术不仅可以将多台物理设备简化成一台逻辑设备，而且使得网络各层之间的多条链路连接也变成两台逻辑设备之间的直连，因此可以将多条物理链路进行跨设备的链路聚合从而变成一台逻辑链路，这样避免了由多条链路引起的环路问题。

　　在云计算环境下，由于计算、存储资源的“池”化，并以服务器形式租赁给多租户，而租户的业务特征对云运营管理者透明的。因此网络的流量模型将变的模糊，流量的突发性也变得无法预知。针对云计算中心的突发流量，H3C交换机创新的采用了“分布式大缓存”技术。

　　· 从静态实体安全到动态虚拟安全

　　云计算将IT资源进行虚拟化和池化，这些资源将以服务的形式动态分配给租户使用。对于云计算网络层的安全防护，需要解决下图所示的两个问题：

　　1）. 位于同一物理服务器内的多个不同虚拟机之间的流量安全防护，此类流量有部分是直接通过vSwitch进行交互的，部署在外部网络层的防火墙策略将无法实现安全防护;

　　2）. 随着云计算中心内新租户的上线和业务变更，传统静态的防火墙部署方式已经不能满足，需要将防火墙也进行虚拟化并交付给租户使用。

　　H3C动态虚拟安全的构建主要分4个层面，一是基于VEPA或VLAN将VM流量引出并进行识别，为下一步给不同流量部署不同级别安全策略作准备;二是防火墙资源动态分配，这是动态安全最为核心的一个步骤。通过1虚多的虚拟化技术，将一台防火墙设备虚拟化为多个虚拟墙vFW，根据不同的需要动态分配;三是通过SecBlade防火墙插卡平滑扩展规格，在H3C的核心设备如S12500/S10500/S95E/S75E/S58等设备上都能插上防火墙业务模块，满足虚拟防火墙数量和性能平滑扩展，实现大规模的运营;四是防火墙资源池统一管理，虚拟化的防火墙资源池能够在防火墙管理平台上进行可视化的统一管理和操作。

　　· 从孤立管理到智能联动管理

　　为保证网络、安全资源能够被云计算运营平台良好的调度与管理，要求网络及安全设备、管理平台提供开放的API接口，云计算运营管理平台(CloudOS)能够通过API接口实现对网络资源的调度及管理。

　　H3C iMC网络管理平台将云计算网络资源封装成两类服务，可供云运营管理平台进行调用：

　　1）. NaaS(网络即服务)：此服务将网络资源及策略封装成API接口，CloudOS在将计算、存储资源交付给租户使用时，可以调用此接口来绑定网络资源(如VLAN、带宽、安全策略等)。实现网络资源与租户的紧耦合，不同租户拥用不同的网络资源。

　　2）. CaaS(连接即服务)：此服务将计算与网络的连接封装成API接口，与第三方的计算、及虚拟化平台进行信息交互，实现虚拟机的创建、迁移时网络的感知，并在网络管理平台上实现网络及虚拟交换机的管理。

　　4.如何在云计算网络基础架构中进行有效的管理和运维来提升云计算的效力?

　　云计算数据大集中，网络、存储、计算、虚拟化等资源池化，更加需要虚拟化趋势下资源的融合管理，以及高度智能的自动化管理。

　　在网络设备领域所应用的N:1虚拟化技术，将N个网络设备虚拟化为1个网络设备，例如H3C的IRF智能弹性架构技术，要求管理系统不仅能够“由繁入简”，屏蔽内部细节，将IRF作为一个整体对外进行展示，简化管理;还要能够“由简入微”，一旦IRF中某个物理成员节点出现故障或内部连接出现问题可以准确定位。

　　云计算环境中，为了满足业务系统，要求管理系统通过自动化的调度，使得资源做到“随需而动”。为了屏蔽不同厂商、不同型号设备的差异，使IT管理员聚焦在服务本身，必须要作到对资源及业务的快速开通，即实现高度智能的自动化管理。这就要求管理系统建立一种机制，将各种资源提供的能力抽象出来，从业务的角度部署、监控和评估，帮助用户摆脱业务规划、实施、变更和监控的管理复杂性，提高服务提供者响应云服务需求的业务快速部署能力，最大限度地提高服务提供者的在基础设施建设中的投资价值。

　　随着虚拟化技术的应用，网络和服务器的边界变得模糊，还引发了新的问题，即网络及计算资源的协同调度问题。在创建虚拟机或虚拟机迁移时，VM主机能否正常运行，不仅需要在服务器上的资源合理调度，网络连接的合理调度也是必须的。打通网络、计算之间的隔阂，实现资源的融合管理和智能调度，将是实现数据中心基于业务调度，并最终实现自动化的关键。