一家瞄向Nicira的中国SDN厂商到底干了哪些事?

在SDN阵营,Open vSwitch(OVS)在SDN领域光芒四射,这一由Nicira(被VMware以12.6亿美元收购)支持的项目,不依赖于硬件,用软件的方式实现SDN,独树一帜。在国内,同样有一家做软件SDN方案的公司,它就是云杉网络,成立四年他着着实实做了不少事。

SDN炙手可热,三年前是SDN引发的资本热,例如VMware收购Nicira,Juniper收购Contrail,Cisco收购Insieme,Brocade收购Vyatta等等,如今到了开花结果的时候,SDN应用与落地变得炙手可热!

在大大小小的云或网络的大会及论坛上,我们经常看到运营商、互联网厂商及云服务商的影子,他们身边围了很多人,交流的正是SDN的部署与应用。因为不管是运营商、互联网厂商还是云服务商,他们都是尝鲜SDN的人,也可以称作是第一个吃螃蟹的人。

所以,有了可参考的范本,国内企业开始纷纷效仿加快IT网络创新。当然,SDN应用与落地炙手可热的背后是技术的成熟,SDN产品方案经得起验证。

在SDN阵营,传统网络设备厂商仍然占据半壁江山,一方面是传统网络设备厂商也在随SDN技术革新而变,不想被后来者颠覆,所以不论是加入ONF还是OpenDaylight,谈的较多的是新的网络协议或标准。另一方面,路由交换设备仍然是数据中心网络里的主角,网络的变化也不容易隔断和硬件的关系。

但有例外,例如Open vSwitch(OVS)在SDN领域光芒四射,这一由Nicira(被VMware以12.6亿美元收购)支持的项目,不依赖于硬件,用软件的方式实现SDN,独树一帜。

在国内,同样有一家做软件SDN方案的公司,它就是云杉网络,利用Overlay技术实现软件定义网络正是云杉研究的主要方向。

在国内做软件SDN的提供商寥寥无几,随着数据中心SDN网络需求的不断攀升和软件SDN方案的应用增多,云杉网络开始走向台前。

我们不妨看一看一家向Nicira看齐的中国本土的软件SDN解决方案提供商到底做了哪些事。

一家瞄向Nicira的中国SDN厂商到底干了哪些事?

云杉网络CTO张天鹏

云杉网络CTO张天鹏在接受ZD至顶网采访时表示,“云杉成立并在SDN领域的定位是以业务和云的运营为目标为IT增值。”近日,云杉网络全新发布基于SDN的网络服务平台(Network Service Platform)——2Cloud NSP,正是体现了云杉起初的承诺。

为云而生解决虚拟网络大规模部署问题

作为一个SDN解决方案,网络虚拟化(NV)可谓标配,并且这项技术在业内也已逐渐成熟,但是它同样伴随着两个问题,网络规模和网络服务的细粒度问题。

不过,2Cloud NSP解决了这两大难题,答案是L3 VxLAN Fabric、分布式逻辑交换机和微分段(Micro Segmentation)。

张天鹏指出,“对Overlay来讲在Linux内核中做VxLAN性能会比较差,在无需绑定硬件网络设备的情况下,云杉把VxLAN卸载到ToR交换机上,以通用和开放的网络硬件支撑超大规模逻辑网络。所以意味着在用户内网东西向需要40G或80G的性能的时候,能轻而易举达到。”2Cloud NSP利用通用盒式Spine交换机构建大规模L3 Fabric,可接入10K万兆端口物理设备,连接异构及跨地域的计算、存储、安全资源。利用成熟的VxLAN Bridging ToR交换机卸载vSwitch网络负载,实现高性能二层逻辑网络。

一家瞄向Nicira的中国SDN厂商到底干了哪些事?

利用通用网络硬件支撑大规模逻辑网络

所以,解决了软件性能损耗和网络规模扩展问题,云杉对用户在vSwitch端简化,同时又提供了一个高效的高性能网络。

当然,这还不够,实现Scale Out,还需要有分布式架构和技术。2Cloud NSP带来的是分布式的虚拟交换机(DVS)、分布式的路由器(DVR)和分布式的控制器。

DVS想必不用多说,这是由VMware提出的概念,还有思科开发的Nexus 1000V也是和ESX的vSwitch同类的产品。云杉DSR同样如同OpenStack和NSX的实现原理一样。自此,一个分布式的二层、三层网络就打通了,张天鹏说。

如果把SDN网络从下到上分为三个层面,那么DVS就是第一层,DVR是第二层,第三层就是云杉在一些运营商项目中碰到的服务链(Service Chain)需求,这是业务驱动的必须要解决的一个问题。但是,这一层实现的厂商并不多,张天鹏说。

这个难点在于,现有业务通常都有网络服务,比如异构防火墙,以及所谓Service Chain的功能,但在Virtual Network中,这些功能的添加都变得非常困难。不过,2Cloud NSP把它们串了起来,从而保护了重点业务,这也是下面具体再展开的问题。

一家瞄向Nicira的中国SDN厂商到底干了哪些事?

分布式服务保障网络高性能,消除流量热点。分布式逻辑交换机(DVS)以及VxLAN Bridging ToR交换机卸载vSwitch网络负载,保障二层网络的高性能和稳定性。分布式虚拟网关(DVG)实现跨二层东西向流量无需汇聚到一个瓶颈点,配合分布式虚拟路由器(DVR)实现多跳网络间路由信息的动态发布。分布式虚拟防火墙(DFW)让流量在最靠近源发端的未知即可实施防护。

继续说到分布式,2Cloud NSP的SDN控制器是分布式的集群,张天鹏表示,“在一个云里我们有一个主备的控制器,这个控制器主要维护网络最核心的配置。另外,云杉在所有的计算节点,包括ToR交换机里面都会放一个Agent,等于在每一个点分布了很多小的控制器。”

当然,如果把一个云的集群做得很大,这里面最难的不是上面的Fabric如何构建,而是怎么样维护整个网络状态的一致性。张天鹏举例说,如果一个虚拟机重启,那么那个OVS的Port可能会变成另外一个,它的Vlan、QoS设置也就消失了。但是如果让控制器去轮循,假设有2000台或2万台服务器,那么控制器肯定难以应对。所以,云杉SDN设计的理念是把更多的智能往边缘去放,让边缘的Agent去发现,当虚拟机无论发生迁移还是重启等,都可以保证状态的一致性。

具体实现的细节是以主动和被动结合的方式,除了Agent主动轮循外,同时OVS也会主动的把事件报上来,Agent再去查,相当于最短一两秒钟就可以把整个状态达到一致性,云平台只需要当一个“甩手掌柜”。

除了用ToR对Overlay进行Offloading提升性能和采用分布式网络外,2Cloud NSP的微分段还能做到以流为粒度划分安全域以对Service Chain的云端实现。这也是下面要谈到的重点,正如上文所说,张天鹏把它定义为DVS和DVR上面的第三层,确是实现的一个难点,云杉到底是如何做到的?

云端构建服务链 安全引流

用张天鹏的话说,他原先觉得整个云平台上线之后碰到最多的就是机器宕机、稳定性等问题,但其实这方面很少发生,经常遇到的是用户中了木马,却找不出安全源头。所以,从业务层面来说,用户希望把安全做到内网去。比如两个虚拟机同处一个二层网络,当某一虚拟机去访问另一虚拟机时,有必要把这个流截获到一个防火墙,处理完之后再扔到相应的数据库去。

这其中,微分段发挥很大作用,“这时,一套业务系统其实无论在二层还是三层已经不重要了,在管理这个资源时完全按照它的逻辑属性划分。”张天鹏说。

利用微分段的细粒度流量控制能力,负载均衡、企业级虚拟防火墙、UTM以及Web应用防火墙等网络和安全服务均能够按业务进行负载分摊,彻底消除流量热点。2Cloud NSP可在同一子网内构建服务链透明接入,实现安全防护。

一家瞄向Nicira的中国SDN厂商到底干了哪些事?

无需修改网络,在南北向和东西向流量中轻松加入网络服务链:各类服务节点可动态组合成三层或二层服务链,快速便捷地部署于任意两个微分段之间,透明插入业务网络,提供专业的网络和安全防护能力。透明接入实现了无需改动现有业务的网络配置,轻松集成网络服务。

当然,云杉本身不做安全,在其眼里,专业的公司做专业的事。云杉做的是“引流模型”,也就是它把安全厂商提供的NFV产品串起来,通过引流的方式给它做动态的调度。

通俗的理解云杉的做法,比如在OpenStack里面有很多计算节点,当两个虚拟机之间需要给它们中间串入一个安全的策略时,这时候2Cloud NSP会在里面放一个Agent。虚拟机本来流量是自然通的,加了Agent以后它会通过Openflow流表来做控制,就是相当于流量一出门发现这个策略是需要做安全时,“出门左拐”就引到相应的安全节点,处理完之后再把这个流量扔到它要去的地方。

解放网络运维细粒度监控云状态

还有一件事情在SDN厂商中很少做,不过云杉做了,并且很有价值,它就是运维监控,解决的问题是提高云的生产效率,提供SLA保障。

“原来的IT系统业务里面的网络划分非常清晰,但是在云里面,云的网络、数据中心的网络和租户的网络混在一起,对于运维者来讲想要了解这时的网络里面到底发生了什么并不容易。”张天鹏说。

云杉网络自主研发了深度流探测(DFI,Deep Flow Inspection)技术,它覆盖虚拟和物理交换设备,运行于虚拟交换机内核层面,高效无损地统计公网和私有网络流量。依据流量数据绘制流量拓扑,可按流量模型等条件过滤出特定流量,用于深入分析租户业务。

云杉网络提供了一套系统去分析这个复杂的网络状况,张天鹏补充道,“这里不光是网络,云杉还把像KVM节点里面的虚拟化CPU负载、IO等信息全部融合在一起,并做到物理拓扑和逻辑的映射。”

这套系统刚开始面向运维人员,做的也是解放运维精力,但未来一定是面向直接客户的。“按理说用户其实对自己的业务是最了解的,但运行在别人的云里面就不见得了,主要问题其实对基础网络根本不了解。”张天鹏说,云杉要把基础网络和用户本身业务做结合。

这套网络运维系统将是一套大数据分析平台,利用大数据流式计算技术,实时展现用户业务的当前状态。相比其它网络探针,DFI直接在虚拟服务器出口进行统计,用户的所有内网流量也能纳入分析并可视化展现,分析获得热点链路和热点业务等特征。该流量数据能够通过专业安全厂商的安全分析引擎进行安全威胁攻击的分析,从而为云平台的管理者和用户提供便捷的运维服务。

一家瞄向Nicira的中国SDN厂商到底干了哪些事?

倡导开放,云杉2Cloud NSP网络及安全主要合作伙伴

小结

所以,看得出不管是网络虚拟化、NFV还是网络运维,云杉针对用户可能面对的每一个需求都做了细致入微的考虑。并且,2Cloud NSP的推出,技术亮点颇多,分布式二层、三层网络,微分段,Service Chain透明接入,DFI深度流检测等都让用户轻松上云。

当然,对于云用户来说,一个生态体系建设必不可少,也就是在一个生态体系中把用户需要的有价值的东西融合在一起。值得称赞的是,经过四年多的发展,云杉已经构建了一个混合云的生态圈,在这个生态圈中涵盖了软硬件厂商、应用服务商、数据中心以及云服务商,大大小小的包括几十家合作伙伴,从而实现开放共赢共建云生态。

从另一方面来说,云杉仍是SDN领域的初创公司,尤其将自己定位为从软件着手研究SDN这个门槛不低的行当,我们如果将SDN视为整个IT基础架构体系中的“小产品”,但面对的却是大需求,所以云杉走的路实属不易。选择SDN,就意味着云杉选择了一条艰苦的路,因为赢得订单,不是靠嘴皮子,而是真本事。

欣喜的是,从技术上来讲如今云杉的SDN拿出手并不跌份,在很多领域他还走出了领先与创新之路。你要问这个由来自清华、Juniper、华为等形成骨干的中国SDN软件公司四年的时间里干了那些事?他还真着着实实做了不少事。正是因为实力不俗的产品,云杉将其SDN应用到了IDC、电信、金融等众多行业用户,并且能聚拢一批业界有影响力的合作伙伴。

开文讲到云杉瞄向Nicira,但是要说云杉会成为中国的Nicira甚至超越Nicira,谁又说得准呢?毕竟在中国这个云、互联网等蓬勃发展的市场中,有的是机会!

来源:ZD至顶网网络频道

0赞

好文章,需要你的鼓励

2016

01/26

09:52

分享

点赞

邮件订阅
白皮书