CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案-云網(wǎng)一體化設計指南

1、 DOCPROPERTY PartNumber DOCPROPERTY Product&Project Name CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設計指南（云網(wǎng)一體化）目 錄 TOC h z t 標題 1,1,標題 2,2,標題 3,3, 標題 4,4, 標題 5,5, 標題 7,1, 標題 8,2, 標題 9,3, Heading1 No Number,1,Appendix heading 1,1,Appendix heading 2,2,Appendix heading 3,3,Appendix heading 4,4,Appe

2、ndix heading 5,5, Heading 1,1,Heading 2,2,Heading 3,3, Heading 4,4, Heading 5,5, Heading 7,1,Heading 8,2,Heading 9,3 HYPERLINK l _Toc55052870 1 云網(wǎng)一體化場景概述 PAGEREF _Toc55052870 h 1 HYPERLINK l _Toc55052871 1.1 云網(wǎng)一體化的由來 PAGEREF _Toc55052871 h 1 HYPERLINK l _Toc55052872 1.2 云網(wǎng)一體化簡介 PAGEREF _Toc55052872

3、h 2 HYPERLINK l _Toc55052873 1.3 Overlay網(wǎng)絡類型和對比 PAGEREF _Toc55052873 h 5 HYPERLINK l _Toc55052874 2 設計云網(wǎng)一體化類型的數(shù)據(jù)數(shù)據(jù)中心 PAGEREF _Toc55052874 h 10 HYPERLINK l _Toc55052875 2.1 業(yè)務模型與概念 PAGEREF _Toc55052875 h 10 HYPERLINK l _Toc55052876 2.1.1 常見概念解釋 PAGEREF _Toc55052876 h 10 HYPERLINK l _Toc55052877 2.1.2

4、 FusionSphere和開源OpenStack業(yè)務模型簡介 PAGEREF _Toc55052877 h 13 HYPERLINK l _Toc55052878 2.1.3 控制器業(yè)務模型簡介 PAGEREF _Toc55052878 h 15 HYPERLINK l _Toc55052879 2.2 業(yè)務規(guī)劃設計流程和原則 PAGEREF _Toc55052879 h 16 HYPERLINK l _Toc55052880 2.3 云網(wǎng)一體化方案說明 PAGEREF _Toc55052880 h 20 HYPERLINK l _Toc55052881 2.3.1 云網(wǎng)一體化方案架構 PA

5、GEREF _Toc55052881 h 20 HYPERLINK l _Toc55052882 2.3.2 云網(wǎng)出口業(yè)務 PAGEREF _Toc55052882 h 22 HYPERLINK l _Toc55052883 FusionCloud多出口業(yè)務 PAGEREF _Toc55052883 h 22 HYPERLINK l _Toc55052884 OpenStack外部網(wǎng)絡業(yè)務 PAGEREF _Toc55052884 h 25 HYPERLINK l _Toc55052885 2.3.3 云網(wǎng)DHCP業(yè)務 PAGEREF _Toc55052885 h 26 HYPERLINK l

6、 _Toc55052886 2.3.4 云網(wǎng)VAS業(yè)務 PAGEREF _Toc55052886 h 29 HYPERLINK l _Toc55052887 FWaaS業(yè)務 PAGEREF _Toc55052887 h 29 HYPERLINK l _Toc55052888 VPNaaS業(yè)務 PAGEREF _Toc55052888 h 31 HYPERLINK l _Toc55052889 LBaaS業(yè)務 PAGEREF _Toc55052889 h 33 HYPERLINK l _Toc55052890 2.3.5 云網(wǎng)裸機業(yè)務 PAGEREF _Toc55052890 h 35 HYPE

7、RLINK l _Toc55052891 2.4 業(yè)務發(fā)放流程 PAGEREF _Toc55052891 h 38 HYPERLINK l _Toc55052892 2.5 業(yè)務下發(fā)時的自動化交互過程 PAGEREF _Toc55052892 h 40 HYPERLINK l _Toc55052893 3 附：OpenStack入門 PAGEREF _Toc55052893 h 42 HYPERLINK l _Toc55052894 3.1 什么是OpenStack PAGEREF _Toc55052894 h 42 HYPERLINK l _Toc55052895 3.2 OpenStack

8、的主要模型 PAGEREF _Toc55052895 h 42 HYPERLINK l _Toc55052896 3.3 OpenStack中的Neutron PAGEREF _Toc55052896 h 44 HYPERLINK l _Toc55052897 3.4 FusionSphere PAGEREF _Toc55052897 h 46 HYPERLINK l _Toc55052898 A 參考圖片 PAGEREF _Toc55052898 h 48云網(wǎng)一體化場景概述 HYPERLINK l _ZH-CN_TOPIC_0192837663 o 1.1 云網(wǎng)一體化的由來 HYPERLIN

9、K l _ZH-CN_TOPIC_0192837728 o 1.2 云網(wǎng)一體化簡介 HYPERLINK l _ZH-CN_TOPIC_0192837685 o 1.3 Overlay網(wǎng)絡類型和對比云網(wǎng)一體化的由來傳統(tǒng)數(shù)據(jù)中心的挑戰(zhàn)傳統(tǒng)數(shù)據(jù)中心遇到了以下幾個困境：困境一：業(yè)務部署效率低。新業(yè)務上線時，需要大量規(guī)劃、配置、測試、老業(yè)務影響評估等，部署時長無法滿足新業(yè)務要求。困境二：資源利用率低。很多系統(tǒng)獨立占用資源池，形成煙囪式資源利用形態(tài)，當一個系統(tǒng)資源使用率低時，其他系統(tǒng)無法使用此資源池中多余的資源。困境三：運維管理復雜。數(shù)據(jù)中心中多樣化業(yè)務疊加運行，當某一業(yè)務故障時，很難快速發(fā)現(xiàn)并隔離故障。

10、SDN和云計算可以來解決傳統(tǒng)數(shù)據(jù)中心的上述困境。云化數(shù)據(jù)中心具有業(yè)務自動化、彈性資源池、精細化運維三個典型特征。SDN是用來支撐ICT實現(xiàn)云計算的關鍵技術。目前軟件定義計算（虛擬服務器）、軟件定義存儲（分布式存儲）已經(jīng)具備，因此呼喚網(wǎng)絡層面也必須實現(xiàn)軟件定義網(wǎng)絡，從而實現(xiàn)敏捷網(wǎng)絡的目標。云計算的分類云主要分為私有云、公有云、混合云三類：私有云是單個企業(yè)的一種專用云基礎架構，其基礎設施的定制化程度較高，突顯了企業(yè)自身的業(yè)務特點。很多中小型企業(yè)無法自己建設具有一定規(guī)模的云，因此轉而向云服務提供商租用相關的基礎設施和資源，從而迅速構建自己的虛擬數(shù)據(jù)中心，這就是公有云。企業(yè)的一部分基礎設施在公有云上，

11、另一部分在私有云上，這兩種云通過某種形式互通，實現(xiàn)應用可移植、數(shù)據(jù)可遷移等，這就是混合云。REF _table1715225310109 r h表1-1中總結了公有云和私有云之間的區(qū)別。公有云和私有云的簡要對比云分類關鍵區(qū)別安全/合規(guī)資源使用基礎設施服務器規(guī)模使用者私有云企業(yè)自建自用嚴格較粗放、以不計費居多靈活、可定制1003K大型企業(yè)公有云服務于公眾較弱按使用量計費標準化一般大于10K中小型企業(yè)云數(shù)據(jù)中心的行業(yè)訴求當企業(yè)的網(wǎng)絡部門和IT部門已經(jīng)有機結合，并具備一定技術實力，則可以考慮部署云網(wǎng)一體化方式的云化數(shù)據(jù)中心。REF _table39631393169 r h表1-2中總結了三個典型行

12、業(yè)對云數(shù)據(jù)中心的訴求和業(yè)務場景。典型行業(yè)對云數(shù)據(jù)中心的訴求項目政企/金融運營商互聯(lián)網(wǎng)業(yè)務場景IT計算池化、EDC云化機架出租、IDC云化、NFVI電信云物理機/虛擬機/VPC出租、提供IaaS/PaaS業(yè)務網(wǎng)絡核心訴求1. 提升新業(yè)務TTM2. 部署復雜業(yè)務，降低CAPEX3. 業(yè)務可靠性保障，多活數(shù)據(jù)中心部署1. 利用率：多數(shù)據(jù)中心網(wǎng)絡資源整合2. 標準化：多廠商Fabric互通、多廠商VAS兼容3. 網(wǎng)絡質(zhì)量： 跨廣域質(zhì)量保證1. 大規(guī)模服務器部署（10萬+）2. SLA服務：租戶級粒度、實時網(wǎng)絡質(zhì)量感知、主動運維3. 新業(yè)務快速部署、網(wǎng)絡支持業(yè)務彈性擴展云網(wǎng)一體化簡介華為CloudFab

13、ric云數(shù)據(jù)中心網(wǎng)解決方案中的云網(wǎng)一體化方案，其邏輯分層架構如下圖所示。云網(wǎng)一體化邏輯分層架構示意圖邏輯分層層次說明業(yè)務呈現(xiàn)/協(xié)同層支持對接社區(qū)或第三方商業(yè)OpenStack云平臺+第三方云管理平臺。支持對接華為FusionSphere云平臺+華為ManageOne云管理平臺。用戶的操作界面一般在云管理平臺上。網(wǎng)絡控制層控制器北向與OpenStack Neutron對接，實現(xiàn)云平臺業(yè)務模型參數(shù)向控制器的下發(fā)?？刂破髂舷蛑С諳penFlow/OVSDB/Netconf/SNMP等接口，統(tǒng)一管理控制物理和虛擬網(wǎng)絡，完成網(wǎng)絡配置的自動化下發(fā)。SecoManager納管華為防火墻，提供L4L7策略業(yè)務

14、發(fā)放。FabricInsight提供流量數(shù)據(jù)采集、網(wǎng)絡故障分析功能。網(wǎng)絡服務層由物理設備組成的Spine-Leaf基礎物理組網(wǎng)（常見的有華為CloudEngine系列交換機、NGFW、vNGFW、LB等），用以承載VXLAN Overlay網(wǎng)絡，并由物理或虛擬設備提供VAS服務。計算接入層虛擬化服務器：虛擬機的上線信息由云平臺通知給控制器。物理服務器：通過L2BR接入到VXLAN網(wǎng)絡，通過控制器界面來發(fā)放接入配置，云平臺不感知。裸金屬服務器：一般形成一個裸金屬服務器池；由云平臺觸發(fā)裸金屬服務器的端到端上線過程。交互接口圖中序號接口兩端接口說明1控制器云平臺控制器提供插件部署在云平臺上，從而完成

15、云平臺與控制器提的對接?？刂破魈嵬ㄟ^RESTful（控制器北向開放的接口）和RESTConf接口（控制器調(diào)用的接口）與云平臺對接，接收云平臺下發(fā)的網(wǎng)絡業(yè)務指令。2云平臺VMM云平臺與VMM間接口，控制流不經(jīng)過控制器提傳遞。3SecoManager防火墻SNMP：用于SecoManager發(fā)現(xiàn)和獲取防火墻的信息。NETCONF：用于SecoManager向防火墻下發(fā)配置。4FabricInsight物理交換機SNMP：用于FabricInsight發(fā)現(xiàn)和獲取物理交換機的信息。NETCONF：用于FabricInsight與物理交換機進行流鏡像同步。gRPC：FabricInsight獲取交換機C

16、PU、RAM利用率。Netstream：交換機通過Netstream上送指定流 分析結果。5控制器提物理交換機SNMP：用于控制器提發(fā)現(xiàn)和獲取物理交換機的信息。NETCONF：用于控制器提向物理交換機下發(fā)配置。OpenFlow：主要在運維層面提供路徑探測等功能。7LB云平臺LB提供補丁部署在云平臺上，同時本身部署相應的插件，兩者通過RESTFul接口對接，從而使云平臺納管LB設備，并向LB設備下發(fā)配置?？刂破魈嵩谠破脚_上的插件和LB在云平臺上的插件會交互信息，由控制器提告訴LB流量應該攜帶哪一個VLAN標簽進入到Fabric網(wǎng)絡中。Overlay網(wǎng)絡類型和對比在VXLAN網(wǎng)絡中，根據(jù)承擔Ove

17、rlay邊緣設備（VXLAN NVE）屬性的不同，又可以分為Network Overlay、Host Overlay、Hybrid Overlay三種網(wǎng)絡類型。CloudFabric解決方案推薦使用Network Overlay類型的VXLAN網(wǎng)絡。Network Overlay：所有NVE全部由物理交換機承擔。Host Overlay：所有NVE全部由vSwitch承擔。Hybrid Overlay：NVE一部分部署在物理交換機上，另一部分部署在vSwitch上。Network OverlayNetwork Overlay的特點是VXLAN隧道的兩個端點全部是物理交換機。其中，Network

18、 Overlay有分為集中式和分布式兩類，如REF _fig8698510132617 r h圖1-2所示。集中式Network Overlay中，Leaf作為VXLAN的L2網(wǎng)關、Spine或Border Leaf作為VXLAN的L3網(wǎng)關。分布式Network Overlay中，Leaf同時作為VXLAN的L2和L3網(wǎng)關，Spine僅作為IP流量高速轉發(fā)節(jié)點，不處理VXLAN報文。Network Overlay及其集中式和分布式示意圖Host OverlayHost Overlay的特點是VXLAN隧道的兩個端點全部是虛擬交換機，而虛擬交換機部署在服務器上，如REF _fig23511639

19、3285 r h圖1-3所示。數(shù)據(jù)中心內(nèi)部的東西向流量在虛擬交換機之間通過VXLAN隧道轉發(fā)；南北向流量在虛擬交換機與虛擬路由器之間轉發(fā)，作為Leaf和Spine的物理交換機僅作IP報文的高速轉發(fā)，不處理VXLAN報文。Host Overlay示意圖Hybrid OverlayHybrid Overlay的特點是VXLAN隧道的端點既可以是虛擬交換機也可以是物理交換機，因此也稱為混合Overlay，如REF _fig15493114712388 r h圖1-4所示，混合Overlay常見的是分布式的。數(shù)據(jù)中心內(nèi)部的東西向流量在虛擬交換機和物理Leaf交換機之間通過VXLAN隧道轉發(fā)；南北向流量

20、在虛擬交換機/Leaf物理交換機與Spine/Edge之間通過VXLAN隧道轉發(fā)。Hybrid Overlay示意圖網(wǎng)絡類型對比REF _table1630754271220 r h表1-3中對Network Overlay、Host Overlay和Hybrid Overlay三種類型的網(wǎng)絡特點進行了對比。Network Overlay、Host Overlay和Hybrid Overlay對比說明對比項Network OverlayHost OverlayHybrid OverlayNVE硬件交換機vSwitch硬件交換機vSwitchVXLAN L3 GW硬件交換機（分布式部署，根據(jù)VM

21、上線位置相應的部署）vSwitch（分布式部署，根據(jù)VM上線位置相應的部署）硬件交換機和vSwitch（分布式部署，根據(jù)VM上線位置相應的部署）接入服務器類型虛擬化服務器、物理服務器虛擬化服務器虛擬化服務器、物理服務器接入L4L7類型硬件L4L7軟件L4L7（X86物理服務器）軟件L4L7（SRIOV接入）軟件L4L7（vSwitch接入）硬件L4L7X86物理服務器軟件L4L7SRIOV虛擬化軟件L4L7軟件L4L7（vSwitch接入）控制面設備L2/L3自學習設備間L2通過頭端復制廣播自學習可支持控制面上收控制器（特指ARP/ND及路由。當前未合入主線，可POC測試）可支持設備間通過BG

22、P-EVPN同步vSwitch通過openflow將ARP/ND上報控制器，控制器L2/L3學習vSwitch間通過控制器下發(fā)流表同步硬件設備L2/L3本地自學習，硬件設備間通過BGP-EVPN同步vSwitch通過OpenFlow將ARP/ND上報控制器，控制器L2/L3學習，vSwitch間通過控制器下發(fā)流表同步硬件NVE和vSwitch NVE之間通過控制器的BGP-EVPN同步轉發(fā)性能不占用服務器CPU資源，硬件設備轉發(fā)性能高VXLAN處理占用服務器CPU資源，性能受CPU影響大硬件部分不占用服務器CPU資源，軟件部分VXLAN處理占用服務器資源虛擬機規(guī)格VPC數(shù)量受限于TOR VRF

23、和路由規(guī)格同一VPC虛機數(shù)量受限于TOR表項規(guī)格僅受限于控制器的能力海量VPC，海量虛機海量VPC，海量虛機同一VPC虛機數(shù)量受限于TOR表項規(guī)格適用場景適用于對轉發(fā)性能、運維、安全等有很高要求的私有云用戶適用于虛擬化服務器/物理服務器同時接入SDN網(wǎng)絡與傳統(tǒng)網(wǎng)絡互聯(lián)互通適用于僅虛擬化服務器接入適用于租戶規(guī)模超大的用戶網(wǎng)絡內(nèi)有多個廠商網(wǎng)絡設備，需要VXLAN與硬件網(wǎng)絡設備解耦適用于虛擬化服務器/物理服務器同時接入SDN網(wǎng)絡與傳統(tǒng)網(wǎng)絡互聯(lián)互通對硬件成本敏感，強調(diào)網(wǎng)絡利舊，需要VXLAN與硬件網(wǎng)絡設備解耦設計云網(wǎng)一體化類型的數(shù)據(jù)數(shù)據(jù)中心 HYPERLINK l _ZH-CN_TOPIC_01928

24、37662 o 2.1 業(yè)務模型與概念 HYPERLINK l _ZH-CN_TOPIC_0192837680 o 2.2 業(yè)務規(guī)劃設計流程和原則 HYPERLINK l _ZH-CN_TOPIC_0192837688 o 2.3 云網(wǎng)一體化方案說明 HYPERLINK l _ZH-CN_TOPIC_0192837737 o 2.4 業(yè)務發(fā)放流程 HYPERLINK l _ZH-CN_TOPIC_0192837723 o 2.5 業(yè)務下發(fā)時的自動化交互過程業(yè)務模型與概念常見概念解釋DC、POD和AZDC：Data Center，數(shù)據(jù)中心。DC是物理概念，是指在一個物理空間（比如機房）內(nèi)實現(xiàn)信息

25、的集中處理、存儲、傳輸、交換和管理。服務器、存儲和網(wǎng)絡設備是DC的關鍵設備，供電、制冷、消防、監(jiān)控等基礎設施是DC的關鍵配套。POD：Point of Delivery，分發(fā)點。為了便于DC的資源池化操作，可將一個DC劃分為一或多個物理分區(qū)，每個物理分區(qū)就稱為一個POD，如REF _fig1613653163115 r h圖2-1所示。由此可見，POD也是物理概念，是DC的基本部署單元，一臺物理設備只能屬于一個POD。DC和POD示意圖AZ：Availability Zone，可用區(qū)域。AZ是一個計算側的邏輯概念，代表了一個故障隔離區(qū)域。比如一些主機共用了一套電源和網(wǎng)絡設施，當這套設施出現(xiàn)故障

26、時，這部分資源就全部不可用了。在規(guī)劃時，AZ與DC可按實際部署情況靈活映射。例如在大規(guī)模公有云中，一個AZ可包含多個DC；在中小規(guī)模私有云中，一個DC內(nèi)可設置多套獨立的AZ；也可將一個DC規(guī)劃為一個AZ，這時DC與AZ是等同的。VDC和TenantVDC：Virtual Data Center，虛擬數(shù)據(jù)中心。VDC是一個組織可使用資源的集合，一般包括計算、存儲和網(wǎng)絡資源。Tenant：租戶，由系統(tǒng)管理員創(chuàng)建和分配。租戶是一個VDC的實際擁有者和管理者，不同VDC對應不同的租戶，如REF _fig13103105818379 r h圖2-2所示。在公有云場景，系統(tǒng)管理員可以定義VDC并為VDC分

27、配管理員，只有該VDC的管理員才可管理該VDC下的資源。在私有云場景，VDC可以靈活定義，分配給一個業(yè)務/應用/部門。系統(tǒng)管理員可以通過VDC對企業(yè)內(nèi)的不同業(yè)務/應用/部門進行不同等級的資源配額管理。VDC和Tenant示意圖VPCVPC：Virtual Private Cloud，虛擬私有云?；谖锢砭W(wǎng)絡中抽象出來的邏輯網(wǎng)元，并根據(jù)業(yè)務的實際情況，編排這些邏輯網(wǎng)元，從而形成一個虛擬的網(wǎng)絡。不同VPC之間是邏輯上隔離的，但是都共用一套物理網(wǎng)絡，從而實現(xiàn)了物理網(wǎng)絡資源資源池化以后的共享問題?？梢詫PC理解為一種“容器”，VPC中提供了vRouter、Subnet、vFW、vLB等邏輯元素，租戶

28、可以根據(jù)自己的需要，在一定的規(guī)則下靈活組合這些元素，例如需要幾個網(wǎng)段，每個網(wǎng)段中接入多少臺VM，VM流量需要配置什么樣的安全策略和負載策略等，典型部署方式如REF _fig102649805318 r h圖2-3所示。VPC和VPC內(nèi)部邏輯元素示意圖VPC有以下特點：VPC使用VDC中的資源，一個VPC只能屬于一個VDC，而一個VDC可包含多個VPC。每個VPC為一個安全域，對應于一個業(yè)務/應用/部門。VPC提供隔離的虛擬機和網(wǎng)絡環(huán)境，滿足不同業(yè)務/部門的網(wǎng)絡隔離要求。每個VPC可提供豐富的獨立業(yè)務，例如vFW、vLB、安全組、EIP、IPsec VPN、NAT等。VPC可提供直聯(lián)網(wǎng)絡、路由網(wǎng)

29、絡和內(nèi)部網(wǎng)絡等多種組網(wǎng)模式。VPC中常見的元素有以下幾種：vRouter：作為業(yè)務子網(wǎng)的網(wǎng)關，用于子網(wǎng)間的三層互通。一個VPC只能有一個vRouterNetwork：定義為一個二層網(wǎng)絡，通常只含一個Subnet，在Share模式下可包含多個Subnet。（Share模式映射到交換機上為一個接口下啟用多個從IP，用于劃分不同網(wǎng)段，例如多個小型租戶共用一個VLAN的場景）注：FusionSphere模型不支持Share模式，開源的OpenStack模型中是呈現(xiàn)此元素的。Subnet：用于二層廣播域的隔離，對應于一個子網(wǎng)網(wǎng)段。同一VPC內(nèi)不同Subnet的三層網(wǎng)關，都在同一個vRouter上。同一S

30、ubnet內(nèi)默認互通；不同Subnet間默認互通，也可通過配置安全組進行隔離vFW：作為VPC的邊界，除了可提供外部訪問VPC內(nèi)的安全訪問控制，還可提供外部訪問VPC內(nèi)的接入服務，可提供的特性有：FW、EIP、SNAT、IPsec VPN等。vLB：用于對外提供內(nèi)部服務器間的負載均衡能力，一個vLB可以帶多個監(jiān)聽器，用戶可給不同業(yè)務申請不同的監(jiān)聽器。FusionSphere和開源OpenStack業(yè)務模型簡介FusionSphere業(yè)務模型簡介FusionSphere是華為公司的云平臺，基于開源OpenStack來開發(fā)，并在此基礎上進行了商業(yè)加強，因此很多基本概念與開源OpenStack是類似

31、的。FusionSphere業(yè)務模型的內(nèi)部映射關系如REF _fig83319569487 r h圖2-4所示。FusionSphere業(yè)務模型的內(nèi)部映射關系POD是物理單元，比如可將一個Fabric網(wǎng)絡視為一個POD，作為承載業(yè)務的基本部署單元，一套資源可部署在一個或多個POD內(nèi)，而一個POD也可承載多套資源。VDC是資源單元，于租戶對應。VDC支持跨POD部署，租戶以VDC為粒度進行資源租用。一個VDC中可以有多個VPC。VPC是業(yè)務單元，VPC支持跨POD部署，同一租戶的不同VPC也可部署在不同POD內(nèi)。一個VPC對應一個vRouter，一個vRouter在交換機上就表現(xiàn)為一個VRF。v

32、Router是VPC中的一個邏輯單元，與vLB、vFW之間是1:1的關系；一個vRouter可以連接多個Subnet，一個Subnet可連接多臺VM。上述業(yè)務模型之間的典型部署關系如REF _fig17910163694911 r h圖2-5所示。FusionSphere業(yè)務模型部署關系開源OpenStack業(yè)務模型簡介OpenStack的業(yè)務模型和FusionSphere的業(yè)務關系有少量的不同，開源OpenStack業(yè)務模型的內(nèi)部映射關系如REF _fig46031415135219 r h圖2-6所示。OpenStack內(nèi)部的業(yè)務模型和部署關系中，重點介紹一下POD和Project。開源O

33、penStack業(yè)務模型的內(nèi)部映射關系POD是物理單元，比如可將一個Fabric網(wǎng)絡視為一個POD。作為承載業(yè)務的基本部署單元，一套資源可部署在一或多個POD內(nèi)，而一個POD也可承載多套資源。Project是資源單元，對應于租戶。Project支持跨POD部署，租戶以Project為粒度進行資源租用。在Project中，以vRouter為核心部署不同的業(yè)務單元。業(yè)務單元可跨POD部署，同一租戶的不同業(yè)務單元也可部署在不同POD內(nèi)。一個Project中可以包含多個vRoute，一個vRouter可以連接多個Network，一個Network可以連接多個Subnet（類似于一個VLAN三層接口可以

34、配置Secondary IP地址），一個Subnet可連接多臺VM。上述業(yè)務模型之間的典型部署關系如REF _fig856861356 r h圖2-7所示。OpenStack業(yè)務模型部署關系控制器業(yè)務模型簡介如REF _fig389192618715 r h圖2-8所示，控制器的基本業(yè)務模型中包含了Tenant、VPC、Logic Router、Logic Switch、Logic FW和Logic LB。控制器的業(yè)務模型示意圖在控制器中，管理員可以將一定數(shù)量的VPC授權給Tenant（租戶）使用，并授權Logic Router、Logic Switch、Logic FW和Logic LB的使

35、用限額。其中，Logic Router、Logic Switch、Logic FW和Logic LB就提供了FaaS（Fabric As a Service），即將網(wǎng)絡抽象成了多種服務。控制器中定義的Logic Router對應云平臺的vRouter；Logic Switch對應云平臺的Network/Subnet；Logic FW和Logic LB分別對應云平臺的vFW和vLB?？刂破髦卸x logical port標識物理機交換機上的邏輯接口；End Port是用來模擬鏈接到Logic Switch上的邏輯接入點，可以是VM，也可以是物理服務器或第三方設備，可以配置EndPort的接入信息

36、。REF _table174901038131210 r h表2-1中針對FusionSphere、開源OpenStack和控制器的業(yè)務模型，從資源管理層、邏輯組織層、網(wǎng)絡實體層、計算實體層進行對比。資源管理層：本層將數(shù)據(jù)中心資源以租戶粒度進行分配，并指定相應的租戶管理員，是基本的資源單元。邏輯組織層：本層是網(wǎng)絡和計算實體的邏輯組織，是基本的業(yè)務單元，各業(yè)務單元之間的網(wǎng)絡是安全隔離的。網(wǎng)絡實體層：一個業(yè)務單元中包含的各種網(wǎng)絡實體在本層予以呈現(xiàn)。計算實體層：一個業(yè)務單元中包含的所有計算實體在本層予以呈現(xiàn)。FusionSphere、開源OpenStack和控制器之間業(yè)務模型的對比信息項目資源管理層

37、邏輯組織層網(wǎng)絡實體層計算實體層OpenStackProject/Tenant無External NetworkvRouterNetwork/SubnetvFW/vLBVMFusionSphereVDC/TenantVPCExternal NetworkvRouterSubnetvFW/vLBVM控制器TenantVPCExternal NetworkLogic RouterLogic SwitchLogic FW/Logic LBEnd Port業(yè)務規(guī)劃設計流程和原則業(yè)務規(guī)劃的一般流程網(wǎng)絡管理員先基于業(yè)務特點，劃分物理網(wǎng)絡的分區(qū)，并進行分區(qū)內(nèi)物理網(wǎng)絡的設計。典型的網(wǎng)絡分區(qū)劃分如REF _fig

38、1959175616260 r h圖2-9所示，分為業(yè)務區(qū)、核心互聯(lián)區(qū)、DMZ區(qū)、出口區(qū)等。注：在CloudFabric解決方案中，物理網(wǎng)絡的分區(qū)設計一般建議與控制器中的Fabric相對應，控制器編排界面中的Fabric是指一組位于同一VXLAN路由域內(nèi)的網(wǎng)絡設備，組網(wǎng)上通常采用Spine-Leaf架構，F(xiàn)abric內(nèi)所有業(yè)務可共用相同的出口網(wǎng)絡資源和L4-L7網(wǎng)絡資源；基于以上原則，建議網(wǎng)絡分區(qū)的按控制器中的Fabric定義范疇進行設計，也支持將多個Fabric屬性相同的分區(qū)劃分為一個Fabric。典型的物理網(wǎng)絡分區(qū)設計被控制器納管的網(wǎng)絡分區(qū)推薦采用各種Leaf角色相互解耦的組網(wǎng)方式，并部署

39、分布式VXLAN網(wǎng)關。系統(tǒng)管理員進行VDC的規(guī)劃設計，這個階段主要是基于業(yè)務的種類和需求來規(guī)劃。對企業(yè)私有云來說，首先區(qū)分網(wǎng)絡中需要部署多少種業(yè)務，對應于多少個邏輯相互隔離的網(wǎng)絡。有業(yè)務相關性的網(wǎng)絡放到同一個VDC中，沒有相關性的放到不同的VDC中，如REF _fig9162813173614 r h圖2-10所示。系統(tǒng)管理員再創(chuàng)建具體的租戶管理員賬號，并分配資源給該租戶。VDC設計規(guī)劃示意圖租戶管理員根據(jù)被分配到的資源進行自己VPC網(wǎng)絡的設計和配置，可以根據(jù)業(yè)務需求對VPC中提供的邏輯元素進行組合、編排，如REF _fig1624418190403 r h圖2-11所示。租戶管理員設計VPC

40、網(wǎng)絡示意圖VDC和VPC的規(guī)劃原則公有云場景中，VDC和VPC的規(guī)劃原則如下。VDC規(guī)劃要求：一個Fabric可部署多個VDC，單個VDC不能跨Fabric部署。單個VDC的網(wǎng)絡資源必須被分配在一個Fabric內(nèi)，相應的計算和存儲資源需要被分配到一個AZ內(nèi)。VPC規(guī)劃要求：組建VPC的資源范疇只能是VDC的子集，因此VPC在多租戶場景下也只能部署在一個Fabric內(nèi)，不能跨Fabric部署。租戶內(nèi)部網(wǎng)絡自行規(guī)劃，租戶間IP地址可重疊。公有云VDC和VPC劃分示意圖私有云場景中，VDC和VPC的規(guī)劃原則如下。VDC規(guī)劃要求：一個Fabric可部署多個VDC，單個VDC可以跨Fabric部署。在選

41、擇VDC資源部署時可以包含多個AZ。VPC規(guī)劃要求：同一個VPC的所有計算和網(wǎng)絡資源需要發(fā)放到同一個Fabric中，但同一個VDC中的不同VPC可以屬于不同的Fabric。全網(wǎng)IP地址統(tǒng)一規(guī)劃，所有VDC內(nèi)IP地址無重疊。私有云VDC和VPC劃分示意圖在公有云和私有云中，對VDC和VPC的規(guī)劃設計原則有所區(qū)別，參見REF _table16281149142712 r h表2-2。公有云和私有云中的VDC和VPC規(guī)劃原則說明場景VDC規(guī)劃指導VPC規(guī)劃指導Fabric劃分原則VDC劃分原則業(yè)務要求VPC部署原則公有云按性能等級按增值服務能力按資源容量每租戶一個VDC業(yè)務內(nèi)部互訪無須安全控制每業(yè)務

42、一個VPCVPC內(nèi)部子網(wǎng)間默認互通業(yè)務內(nèi)部互訪需要安全控制，但要求較低每業(yè)務一個VPCVPC內(nèi)部子網(wǎng)間默認互通VPC內(nèi)部子網(wǎng)互訪通過安全組隔離業(yè)務分層部署，內(nèi)部互訪有較高安全控制要求每業(yè)務多個VPCVPC之間互訪通過防火墻控制私有云按安全等級按部門按業(yè)務類別每部門一個VDC規(guī)模大、部署復雜的業(yè)務單獨劃分為一個VDC多業(yè)務混合部署的Fabric業(yè)務要求請參考公有云VPC部署原則請參考公有云單個業(yè)務或業(yè)務某一層體量較大，需要占用獨立的Fabric業(yè)務與外部的東西向流量大，默認無須安全控制業(yè)務與外部的南北向流量需要安全控制每個業(yè)務或業(yè)務某一層（如APP或DB），一個VPC占用一個Fabric東西向流

43、量默認互通，可按需配置安全組進行隔離南北向流量須通過防火墻控制業(yè)務與外部的東西、南北向流量均需要安全控制每個業(yè)務或業(yè)務某一層（如Web），一個VPC占用一個Fabric東西/南北向流量均須通過防火墻控制云網(wǎng)一體化方案說明本章介紹云網(wǎng)一體化方案方案組件架構，組件功能及關鍵業(yè)務流程。云網(wǎng)一體化方案架構如REF _fig1133079101711 r h圖2-14所示，云網(wǎng)一體化方案：支持對接開源OpenStack、Redhat OpenSack 10、和華為FusionCloud（不支持 AC GBP Plugin Driver）。對接開源/Redhat OpenStack支持Network ov

44、erlay和Hybrid overlay組網(wǎng)。對接FusionCloud私有云場景支持Network Overlay組網(wǎng)。NFVI電信云場景支持Hybrid Overlay組網(wǎng)。云網(wǎng)一體化方案架構示意圖云網(wǎng)一體化方案架構說明組件說明AC ML2 DriverAC ML2 Driver主要實現(xiàn)Neutron ML2定義標準接口，感知neutron port事件，調(diào)用控制器北向REST API實現(xiàn)物理機、虛擬機對應TOR側的網(wǎng)絡配置。AC VPN DriverAC VPN Driver感知用戶通過云平臺發(fā)放的VPN服務，調(diào)用控制器北向API下發(fā)Service Leaf與防火墻的互聯(lián)配置，控制器調(diào)用

45、SecoManager北向API將VPN配置下發(fā)的華為防火墻（注：僅限華為防火墻）。AC L3 pluginAC L3 plugin感知Neutron vRouter，network、EIP、SNAT相關事件，調(diào)用控制器北向API動態(tài)下發(fā)對應配置。AC FWaaS pluginAC FWaaS plugin感知云平臺下發(fā)的防火墻業(yè)務，調(diào)用控制器北向API配置Service Leaf與防火墻間的互聯(lián)配置，控制器調(diào)用SecoManage將具體配置下發(fā)到華為防火墻（注：僅限華為防火墻）。AC QoS PluginAC QoS plugin感知云平臺下發(fā)的QoS業(yè)務（端口限速、DSCP Remark）

46、，調(diào)用控制器北向API下發(fā)QoS配置。GBP AC DriverAC GBP Driver遵從開源GBP北向接口，感知GBP業(yè)務下發(fā)調(diào)用控制器下發(fā)微分段策略到TOR（注：要求微分段基線款型設備）。CE1800V替代開源OVS，作為VXLAN的VTEP提供VM接入功能，支持分布式防火墻。3rd LBaaS Plugin3rd LBaaS Pluing由負載均衡廠商提供，納管負載均衡設備，發(fā)放LBaaS業(yè)務到設備。AC L3 Plugin和ML2 Driver感知LB業(yè)務對于Port事件，下發(fā)層次化綁定配置。云網(wǎng)出口業(yè)務開源/Redhat OpenStack的vRouter只支持關聯(lián)1個外部網(wǎng)絡（

47、即1個Internet出口），用于EIP、SNAT及VPaaS服務。FusionCloud的VPC（對應開源OpenStack的vRouter）支持三個出口（外部網(wǎng)絡）：Internet出口用于EIP、SNAT、DNAT及VPNaaS服務公共服務出口用于訪問FusionCloud內(nèi)部提供公共服務器（NTP服務器）路由直通出口用于與私有云之外網(wǎng)絡互通，如傳統(tǒng)網(wǎng)絡FusionCloud多出口業(yè)務多出口業(yè)務模型網(wǎng)絡管理員通過控制器創(chuàng)建Internet網(wǎng)關、路由直通網(wǎng)關和公共服務外部網(wǎng)關，指定對應的Border Leaf設備組，以確定物理出口位置。FusionCloud的租戶VPC默認關聯(lián)一個公共服務

48、外部網(wǎng)絡，公共服務外部網(wǎng)絡由計算管理員創(chuàng)建，租戶不感知；租戶可以顯式創(chuàng)建路由直通網(wǎng)絡和Internet外部網(wǎng)絡。FusionCloud上的外部網(wǎng)絡（公共服務、路由直通、Internet）通過名稱匹配與控制器上的外部網(wǎng)關建立關聯(lián)關系。FusionCloud多出口業(yè)務模型示意圖IPv4多出口業(yè)務流程路由直通出口，由租戶通過顯式發(fā)放路由直通外部網(wǎng)絡并關聯(lián)VPC的方式來觸發(fā)控制器下發(fā)對應的業(yè)務。路由直通業(yè)務發(fā)放流程如下圖所示。IPv4路由直通出口業(yè)務下發(fā)流程公共服務出口是租戶創(chuàng)建VM時，由控制器插件隱式調(diào)用FusionCloud的EIP接口，觸發(fā)控制器下發(fā)對應NAT、路由配置到防火墻和Service

49、Leaf。Internet出口通過租戶為VM創(chuàng)建EIP、SNAT、DNAT業(yè)務，控制器根據(jù)EIP、SNAT、DNAT所在的Network名稱，匹配對應Internet外部網(wǎng)關，下發(fā)對應NAT、路由策略到防火墻和Service Leaf。Internet出口業(yè)務發(fā)放流程如下圖所示。IPv4 Internet出口業(yè)務下發(fā)流程IPv6多出口業(yè)務流程IPv6的路由直通出口業(yè)務流程與IPv4一致。路由直通業(yè)務發(fā)放流程如下圖所示。IPv6路由直通出口業(yè)務下發(fā)流程IPv6場景下，由于FusionCloud無EIP、NAT業(yè)務流程，無法通過EIP、NAT流程觸發(fā)控制器下發(fā)Internet和公共服務出口業(yè)務，I

50、Pv6的公共服務出口由控制器插件在租戶創(chuàng)建/更新VPC時隱式編排公共服務出口；Internet出口，則有租戶顯式關聯(lián)Internet外部網(wǎng)絡實現(xiàn)。Internet業(yè)務發(fā)放流程如下圖所示。IPv6 Internet出口業(yè)務下發(fā)流程OpenStack外部網(wǎng)絡業(yè)務開源和Redhat OpenStack的vRouter只能關聯(lián)一個外部網(wǎng)絡，用于發(fā)放EIP、SNAT和VPNaaS Service業(yè)務。開源OpenStack和Redhat OpenStack的vRouter只有一個Internet出口，通過外部網(wǎng)絡的名稱與控制器上創(chuàng)建的外部網(wǎng)關來進行關聯(lián)，模型對象如下圖所示。開源和Redhat OpenS

51、tack外部網(wǎng)絡業(yè)務模型示意開源OpenStack Internet IPv4出口業(yè)務流程：開源OpenStack外部網(wǎng)絡出口物理位置（Border）由網(wǎng)絡管理員通過控制器發(fā)放外部網(wǎng)關指定；計算管理員通過OpenStack的Internet外部網(wǎng)絡名稱與控制器上的外部網(wǎng)關名稱關聯(lián)。開源OpenStack Internet IPv4出口業(yè)務流程開源OpenStack IPv6 Internet出口業(yè)務流程：開源OpenStack在IPv6場景下，支持IPv6的NAT、EIP功能，所有Internet出口通過顯式地創(chuàng)建外部網(wǎng)絡，并關聯(lián)router來實現(xiàn)，其流程如下圖所示。開源OpenStack I

52、Pv6 Internet出口業(yè)務流程云網(wǎng)DHCP業(yè)務FusionCloud配套云網(wǎng)場景下，F(xiàn)usionCloud Type 2場景只支持有狀態(tài)的DHCPv6，DHCPv6服務器由FusionCloud提供；即VM通過DHCPv6協(xié)議獲取VM的IP、DNS、NTP等信息。組件控制面架構DHCP Server由FusionCloud提供，通過FusionCloud的DHCP agent納管，如REF _fig6204191019376 r h圖2-23所示。AC L3 plugin感知VPC、Network事件，調(diào)用控制器創(chuàng)建Logical Router和Logical Switch。AC ML2

53、 Driver感知DHCP port和VM port的上線事件，調(diào)用控制器下發(fā)端口的VLAN到VXLAN的映射配置。云網(wǎng)DHCP組件控制面架構圖DHCPv6/v4業(yè)務下發(fā)流程DHCPv4和DHCPv6的業(yè)務流程，差別點在于DHCPv6時，創(chuàng)建分布式網(wǎng)關時，需要設置網(wǎng)關的managed flag和other flag屬性，用于通過RS/RA協(xié)議告訴VM需要通過有狀態(tài)的DHCP協(xié)議來獲取IP地址、DNS、NTP等其他配置。DHCPv6/v4業(yè)務下發(fā)流程VM獲取IPv6地址流程VM獲取IPv6地址的流程如REF _fig12994112219347 r h圖2-25所示。VM獲取IPv6地址流程示意

54、圖VM發(fā)放Router Solicitation報文。GW回復Router Advertisement報文，設置Managed Configuration Flag=1、Other Configuration Flag = 1，表示IPv6地址和其他配置信息（DNS、NTP）通過DHCP獲取。VM發(fā)送DHCP Solicit報文，請求IP和其他配置信息。DHCP Server通過DHCP Replay返回VM的IP地址，DNS、NTP等信息。云網(wǎng)DHCP場景關鍵約束私有云場景，只支持有狀態(tài)的DHCPv6服務，DHCPv6 Server由云平臺提供。云網(wǎng)VAS業(yè)務FWaaS業(yè)務OpenStack

55、 FWaaS v1模型包括Firewall對象、Firewall policy和Firewall rule對象。Firewall對象與policy對象1：1關聯(lián)。Policy對象與Firewall rule對象1：N關聯(lián)。Firewall rule用例定義包括源目的IP、源目的4層端口號和協(xié)議號的安全策略。Firewall與Neutron router對象為1：N關系。OpenStack FWaaS v1模型OpenStack FWaaS業(yè)務對接架構OpenStack Firewall對象實例化為防火墻上的vSYS（以華為防火墻為例），OpenStack Firewall policy對象實例

56、化為防火墻的Policy對象，OpenStack Firewallrule實例化為防火墻上的安全ACL規(guī)則。AC FWaaS plugin遵從OpenStack社區(qū)FWaaS v1接口，負責感知OpenStack firewall、Firewall policy和Firewall rule下發(fā)，調(diào)用控制器的REST接口創(chuàng)建vSYS、firewall policy及對應的安全ACL規(guī)則?？刂破髫撠煼峙鋠SYS與VRF的互聯(lián)VLAN&IP地址，調(diào)用SecoManager的接口創(chuàng)建vSYS，配置互聯(lián)接口的VALN&IP及路由配置。SecoManager負責防火墻設備的納管、防火墻安全策略的下發(fā)。Op

57、enStack FWaaS業(yè)務對接架構OpenStack FWaaS業(yè)務發(fā)放流程通過OpenStack UI/CLI，發(fā)放FWaaS業(yè)務發(fā)放的典型步驟如REF _fig4477103812291 r h圖2-28所示。OpenStack FWaaS業(yè)務發(fā)放流程云網(wǎng)FWaaS關鍵約束只支持FWaaS v1接口。FusionCloud私有云場景，對接我司防火墻，安全策略的IP、四層端口號支持聚合下發(fā)。VPNaaS業(yè)務如REF _fig1280491117520 r h圖2-29所示，OpenStack VPNaaS業(yè)務模型包括VPN Service對象、site connection對象和IPSe

58、c Policy對象：VPN Service對象定義虛擬IPSec VPN服務實例，IPSec VPN服務關聯(lián)多個site connection對象；Site connection對象定義1個VPN隧道，定義對端peer地址、本地site的私網(wǎng)地址，site connection關聯(lián)1個IPSec policy對象；IPSec Policy對象定義IPSec隧道所需要的證書、加密算法、認證模式。OpenStack VPNaaS業(yè)務模型OpenStack VNPaaS業(yè)務對接架構AC VPNaaS Plugin感知IPSec VPN服務的發(fā)放，轉換為控制器調(diào)用下發(fā)IPSec VPN業(yè)務配置到防火

59、墻。控制器透傳IPSec VPN業(yè)務配置到SecoManager，SecoManager調(diào)用設備NETCONF接口，下發(fā)IPSec VPN配置到防火墻。Site connection對象映射為IPSec Tunnel及對應的配置；IPSec policy映射為防火墻的IPSec policy配置。OpenStack VNPaaS業(yè)務對接架構OpenStack VPNaaS業(yè)務發(fā)放流程通過OpenStack UI/CLI，發(fā)放VPNaaS業(yè)務發(fā)放的典型步驟如REF _fig747144512019 r h圖2-31所示。OpenStack VPNaaS業(yè)務發(fā)放流程云網(wǎng)VPNaaS場景關鍵約束不支

60、持IPv6 IPSec VPN。LBaaS業(yè)務OpenStack LBaaS模型包括Load balancerl對象、listener對象和pool對象。Load balancer對象定義虛擬LB服務實例，定義vLB所使用的VIP，Load balancer與多個listener關聯(lián)；listener對象定義vLB監(jiān)聽的L4端口號及協(xié)議；pool對象定義與listenser關聯(lián)后端業(yè)務member。OpenStack LBaaS模型OpenStack LBaaS業(yè)務對接架構OpenStack的LBaaS v2插件由負載均衡廠商提供，北向感知負載均衡服務的發(fā)放，南向調(diào)用負載均衡的API下發(fā)負載均