大云网新技术云计算正文

SDN技术及其在云计算中的应用

2014-09-26 11:32:14 大云网　点击量：评论 (0)

1 SDN提出的背景及其概念　　近几年，随着移动互联网、电子商务、大数据等服务的兴起和发展，以及虚拟化、云计算技术的快速发展，传统网络技术及架构已经越来越不能满足快速配置、按需调用、自动负载均衡的要求。

5.SDN的应用和展望

　　5.1 IBM SDN VE在Openstack中的应用

　　IBM SDN VE KVM版提供了OpenStack Neutron插件，所以使用KVM作为hypervisor的基于OpenStack的云计算解决方案可以使用IBM SDN VE作为网络虚拟化方案以提供极大的网络灵活性和自动化。

图8 IBM SDN VE在OpenStack中的应用框图

　　通过本方案，结合OpenStack的Neutron部件，用户可以直接在Web Portal中进行创建多层网络应用的操作。用户对创建或者修改虚拟网络的操作通过Neutron插件对DOVE管理控制台(DMC)北向API的调用而反映到SDN VE环境中。这时DMC经过一系列的对虚拟网络的配置、策略控制和向各个相关虚拟交换机分发策略来实施这些用户操作，从而达到以软件获取网络能力的目标。

　　由于SDN VE提供了完善统一的日志信息和统计信息，可以通过这些信息根据网络使用量等数据实现“按需付费”。

　　叠加层网络实现过程简介

　　在每个KVM中，都有一个DOVE代理进程，这个代理进程直接侦听分布式连通性服务(DCS)，同时也负责创建独立的桥接接口，这个桥接接口最终会显示给virt-manager或者虚拟机管理器。每个VM都可以创建1个或者多个虚拟网络接口，这些虚拟网络接口将VM与虚拟交换机相连接。

　　同一KVM内的VM之间需要通信时，只需要根据流表在这台KVM上的虚拟交换机内进行数据交换。不同KVM上的VM之间需要通信时，则会由虚拟交换机将从VM虚拟网络接口上收到的网络包进行VxLAN封装，封装后的包在底层IP网络上发送给目标VM所在的KVM，经过VxLAN的解封装，最终由源VM发出的网络包被交换到目标VM上。

　　如果VM要和遗留在底层网络上的物理机进行通信，则可以将VxLAN包发送到DOVE网关，由网关进行解封装并且发送到目标主机。物理机到VM的通信可以由相反的过程完成。

　　DOVE网关也用于叠加层网段中的广播。从叠加层网络的设计可以了解到分布于不同KVM中的同网段VM之间要实现广播必须借助于一些特别的设计。分布式连通性服务(DCS)保持了一个VM的地址表，通过这张地址表可以了解到某一叠加层网段内所有VM所对应的KVM。当网段内某一VM发出广播包时，DOVE网关会将这个广播包转发到所有需要的KVM中。

　　创建多层网络应用

　　用户可以通过OpenStack的用户界面向Neutron部件发出创建新网段的指令，这个指令由IBM SDN VE KVM版OpenStack Neutron插件转发到DOVE管理控制台(DMC)，DOVE管理控制台向各个虚拟交换机分发策略，以创建这个网段。

　　用户创建多个这样的网段，然后通过OpenStack将各个VM和诸如路由器、防火墙等应用器件连接到各个网段，可以快速创建出一个多层网络应用。

图9 用户在OpenStack上创建多层网络应用

5.2 SDN在网络安全等方面的应用展望

　　SDN不但提供了快速的网络部署，用户可以快速部署自己的多层应用网络拓扑，还可以获取丰富的作为虚拟应用器件运行的网络服务，而这些网络服务都是可以按照“按需付费”的方式提供给用户在线订购。

　　比较典型的如网络安全服务、入侵检测、垃圾邮件过滤及负载均衡等。

图10 SDN网络安全服务

　　图10示意了IBM的一种网络安全服务的部署模型。Security Service组件提供了网络安全服务，它可以检测流经它2个网络接口的流量并且检测到威胁的连接将之断开从而保护目标VM。

　　当用户订购了该服务之后，SDN的控制器就会向虚拟交换机发送配置更新，将指定的VM的流量导向该安全服务应用器件。比如原先外部流量是直接流向VM的，用户订购服务之后就会先流向安全服务应用器件，经过安全过滤之后再流向VM。这种服务同样可以保护来自环境内部其它VM的威胁。

　　总之，有了SDN这种可以由软件定义而获取的网络能力之后，将会有更多的应用值得展望，这种由软件控制快速改变网络结构的能力的确是当前云计算非常需要的能力。有了这种能力，用户可以快速部署应用的网络结构，订购虚拟网络设备和服务，实现“按需付费”。