CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案-云網(wǎng)一體化設(shè)計(jì)指南

DOCPROPERTYPartNumberDOCPROPERTY"Product&ProjectName"CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案DOCPROPERTYDocumentName設(shè)計(jì)指南（云網(wǎng)一體化）目錄TOC\h\z\t"標(biāo)題1,1,標(biāo)題2,2,標(biāo)題3,3,標(biāo)題4,4,標(biāo)題5,5,標(biāo)題7,1,標(biāo)題8,2,標(biāo)題9,3,Heading1NoNumber,1,Appendixheading1,1,Appendixheading2,2,Appendixheading3,3,Appendixheading4,4,Appendixheading5,5,Heading1,1,Heading2,2,Heading3,3,Heading4,4,Heading5,5,Heading7,1,Heading8,2,Heading9,3"1云網(wǎng)一體化場(chǎng)景概述 11.1云網(wǎng)一體化的由來 11.2云網(wǎng)一體化簡(jiǎn)介 21.3Overlay網(wǎng)絡(luò)類型和對(duì)比 52設(shè)計(jì)云網(wǎng)一體化類型的數(shù)據(jù)數(shù)據(jù)中心 102.1業(yè)務(wù)模型與概念 102.1.1常見概念解釋 102.1.2FusionSphere和開源OpenStack業(yè)務(wù)模型簡(jiǎn)介 132.1.3控制器業(yè)務(wù)模型簡(jiǎn)介 152.2業(yè)務(wù)規(guī)劃設(shè)計(jì)流程和原則 162.3云網(wǎng)一體化方案說明 202.3.1云網(wǎng)一體化方案架構(gòu) 202.3.2云網(wǎng)出口業(yè)務(wù) 22FusionCloud多出口業(yè)務(wù) 22OpenStack外部網(wǎng)絡(luò)業(yè)務(wù) 252.3.3云網(wǎng)DHCP業(yè)務(wù) 262.3.4云網(wǎng)VAS業(yè)務(wù) 29FWaaS業(yè)務(wù) 29VPNaaS業(yè)務(wù) 31LBaaS業(yè)務(wù) 332.3.5云網(wǎng)裸機(jī)業(yè)務(wù) 352.4業(yè)務(wù)發(fā)放流程 382.5業(yè)務(wù)下發(fā)時(shí)的自動(dòng)化交互過程 403附：OpenStack入門 423.1什么是OpenStack 423.2OpenStack的主要模型 423.3OpenStack中的Neutron 443.4FusionSphere 46A參考圖片 48云網(wǎng)一體化場(chǎng)景概述\o""1.1云網(wǎng)一體化的由來\o""1.2云網(wǎng)一體化簡(jiǎn)介\o""1.3Overlay網(wǎng)絡(luò)類型和對(duì)比云網(wǎng)一體化的由來傳統(tǒng)數(shù)據(jù)中心的挑戰(zhàn)傳統(tǒng)數(shù)據(jù)中心遇到了以下幾個(gè)困境：困境一：業(yè)務(wù)部署效率低。新業(yè)務(wù)上線時(shí)，需要大量規(guī)劃、配置、測(cè)試、老業(yè)務(wù)影響評(píng)估等，部署時(shí)長(zhǎng)無法滿足新業(yè)務(wù)要求。困境二：資源利用率低。很多系統(tǒng)獨(dú)立占用資源池，形成煙囪式資源利用形態(tài)，當(dāng)一個(gè)系統(tǒng)資源使用率低時(shí)，其他系統(tǒng)無法使用此資源池中多余的資源。困境三：運(yùn)維管理復(fù)雜。數(shù)據(jù)中心中多樣化業(yè)務(wù)疊加運(yùn)行，當(dāng)某一業(yè)務(wù)故障時(shí)，很難快速發(fā)現(xiàn)并隔離故障。SDN和云計(jì)算可以來解決傳統(tǒng)數(shù)據(jù)中心的上述困境。云化數(shù)據(jù)中心具有業(yè)務(wù)自動(dòng)化、彈性資源池、精細(xì)化運(yùn)維三個(gè)典型特征。SDN是用來支撐ICT實(shí)現(xiàn)云計(jì)算的關(guān)鍵技術(shù)。目前軟件定義計(jì)算（虛擬服務(wù)器）、軟件定義存儲(chǔ)（分布式存儲(chǔ)）已經(jīng)具備，因此呼喚網(wǎng)絡(luò)層面也必須實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)，從而實(shí)現(xiàn)敏捷網(wǎng)絡(luò)的目標(biāo)。云計(jì)算的分類云主要分為私有云、公有云、混合云三類：私有云是單個(gè)企業(yè)的一種專用云基礎(chǔ)架構(gòu)，其基礎(chǔ)設(shè)施的定制化程度較高，突顯了企業(yè)自身的業(yè)務(wù)特點(diǎn)。很多中小型企業(yè)無法自己建設(shè)具有一定規(guī)模的云，因此轉(zhuǎn)而向云服務(wù)提供商租用相關(guān)的基礎(chǔ)設(shè)施和資源，從而迅速構(gòu)建自己的虛擬數(shù)據(jù)中心，這就是公有云。企業(yè)的一部分基礎(chǔ)設(shè)施在公有云上，另一部分在私有云上，這兩種云通過某種形式互通，實(shí)現(xiàn)應(yīng)用可移植、數(shù)據(jù)可遷移等，這就是混合云。REF_table1715225310109\r\h表1-1中總結(jié)了公有云和私有云之間的區(qū)別。云分類關(guān)鍵區(qū)別安全/合規(guī)資源使用基礎(chǔ)設(shè)施服務(wù)器規(guī)模使用者私有云企業(yè)自建自用嚴(yán)格較粗放、以不計(jì)費(fèi)居多靈活、可定制100~3K大型企業(yè)公有云服務(wù)于公眾較弱按使用量計(jì)費(fèi)標(biāo)準(zhǔn)化一般大于10K中小型企業(yè)云數(shù)據(jù)中心的行業(yè)訴求當(dāng)企業(yè)的網(wǎng)絡(luò)部門和IT部門已經(jīng)有機(jī)結(jié)合，并具備一定技術(shù)實(shí)力，則可以考慮部署云網(wǎng)一體化方式的云化數(shù)據(jù)中心。REF_table39631393169\r\h表1-2中總結(jié)了三個(gè)典型行業(yè)對(duì)云數(shù)據(jù)中心的訴求和業(yè)務(wù)場(chǎng)景。項(xiàng)目政企/金融運(yùn)營(yíng)商互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景IT計(jì)算池化、EDC云化機(jī)架出租、IDC云化、NFVI電信云物理機(jī)/虛擬機(jī)/VPC出租、提供IaaS/PaaS業(yè)務(wù)網(wǎng)絡(luò)核心訴求1.提升新業(yè)務(wù)TTM2.部署復(fù)雜業(yè)務(wù)，降低CAPEX3.業(yè)務(wù)可靠性保障，多活數(shù)據(jù)中心部署1.利用率：多數(shù)據(jù)中心網(wǎng)絡(luò)資源整合2.標(biāo)準(zhǔn)化：多廠商Fabric互通、多廠商VAS兼容3.網(wǎng)絡(luò)質(zhì)量：跨廣域質(zhì)量保證1.大規(guī)模服務(wù)器部署（10萬+）2.SLA服務(wù)：租戶級(jí)粒度、實(shí)時(shí)網(wǎng)絡(luò)質(zhì)量感知、主動(dòng)運(yùn)維3.新業(yè)務(wù)快速部署、網(wǎng)絡(luò)支持業(yè)務(wù)彈性擴(kuò)展云網(wǎng)一體化簡(jiǎn)介華為CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案中的云網(wǎng)一體化方案，其邏輯分層架構(gòu)如下圖所示。邏輯分層層次說明業(yè)務(wù)呈現(xiàn)/協(xié)同層支持對(duì)接社區(qū)或第三方商業(yè)OpenStack云平臺(tái)+第三方云管理平臺(tái)。支持對(duì)接華為FusionSphere云平臺(tái)+華為ManageOne云管理平臺(tái)。用戶的操作界面一般在云管理平臺(tái)上。網(wǎng)絡(luò)控制層控制器北向與OpenStackNeutron對(duì)接，實(shí)現(xiàn)云平臺(tái)業(yè)務(wù)模型參數(shù)向控制器的下發(fā)?？刂破髂舷蛑С諳penFlow/OVSDB/Netconf/SNMP等接口，統(tǒng)一管理控制物理和虛擬網(wǎng)絡(luò)，完成網(wǎng)絡(luò)配置的自動(dòng)化下發(fā)。SecoManager納管華為防火墻，提供L4~L7策略業(yè)務(wù)發(fā)放。FabricInsight提供流量數(shù)據(jù)采集、網(wǎng)絡(luò)故障分析功能。網(wǎng)絡(luò)服務(wù)層由物理設(shè)備組成的Spine-Leaf基礎(chǔ)物理組網(wǎng)（常見的有華為CloudEngine系列交換機(jī)、NGFW、vNGFW、LB等），用以承載VXLANOverlay網(wǎng)絡(luò)，并由物理或虛擬設(shè)備提供VAS服務(wù)。計(jì)算接入層虛擬化服務(wù)器：虛擬機(jī)的上線信息由云平臺(tái)通知給控制器。物理服務(wù)器：通過L2BR接入到VXLAN網(wǎng)絡(luò)，通過控制器界面來發(fā)放接入配置，云平臺(tái)不感知。裸金屬服務(wù)器：一般形成一個(gè)裸金屬服務(wù)器池；由云平臺(tái)觸發(fā)裸金屬服務(wù)器的端到端上線過程。交互接口圖中序號(hào)接口兩端接口說明1控制器<->云平臺(tái)控制器提供插件部署在云平臺(tái)上，從而完成云平臺(tái)與控制器提的對(duì)接?？刂破魈嵬ㄟ^RESTful（控制器北向開放的接口）和RESTConf接口（控制器調(diào)用的接口）與云平臺(tái)對(duì)接，接收云平臺(tái)下發(fā)的網(wǎng)絡(luò)業(yè)務(wù)指令。2云平臺(tái)<->VMM云平臺(tái)與VMM間接口，控制流不經(jīng)過控制器提傳遞。3SecoManager<->防火墻SNMP：用于SecoManager發(fā)現(xiàn)和獲取防火墻的信息。NETCONF：用于SecoManager向防火墻下發(fā)配置。4FabricInsight<->物理交換機(jī)SNMP：用于FabricInsight發(fā)現(xiàn)和獲取物理交換機(jī)的信息。NETCONF：用于FabricInsight與物理交換機(jī)進(jìn)行流鏡像同步。gRPC：FabricInsight獲取交換機(jī)CPU、RAM利用率。Netstream：交換機(jī)通過Netstream上送指定流分析結(jié)果。5控制器提<->物理交換機(jī)SNMP：用于控制器提發(fā)現(xiàn)和獲取物理交換機(jī)的信息。NETCONF：用于控制器提向物理交換機(jī)下發(fā)配置。OpenFlow：主要在運(yùn)維層面提供路徑探測(cè)等功能。7LB<->云平臺(tái)LB提供補(bǔ)丁部署在云平臺(tái)上，同時(shí)本身部署相應(yīng)的插件，兩者通過RESTFul接口對(duì)接，從而使云平臺(tái)納管LB設(shè)備，并向LB設(shè)備下發(fā)配置?？刂破魈嵩谠破脚_(tái)上的插件和LB在云平臺(tái)上的插件會(huì)交互信息，由控制器提告訴LB流量應(yīng)該攜帶哪一個(gè)VLAN標(biāo)簽進(jìn)入到Fabric網(wǎng)絡(luò)中。Overlay網(wǎng)絡(luò)類型和對(duì)比在VXLAN網(wǎng)絡(luò)中，根據(jù)承擔(dān)Overlay邊緣設(shè)備（VXLANNVE）屬性的不同，又可以分為NetworkOverlay、HostOverlay、HybridOverlay三種網(wǎng)絡(luò)類型。CloudFabric解決方案推薦使用NetworkOverlay類型的VXLAN網(wǎng)絡(luò)。NetworkOverlay：所有NVE全部由物理交換機(jī)承擔(dān)。HostOverlay：所有NVE全部由vSwitch承擔(dān)。HybridOverlay：NVE一部分部署在物理交換機(jī)上，另一部分部署在vSwitch上。NetworkOverlayNetworkOverlay的特點(diǎn)是VXLAN隧道的兩個(gè)端點(diǎn)全部是物理交換機(jī)。其中，NetworkOverlay有分為集中式和分布式兩類，如REF_fig8698510132617\r\h圖1-2所示。集中式NetworkOverlay中，Leaf作為VXLAN的L2網(wǎng)關(guān)、Spine或BorderLeaf作為VXLAN的L3網(wǎng)關(guān)。分布式NetworkOverlay中，Leaf同時(shí)作為VXLAN的L2和L3網(wǎng)關(guān)，Spine僅作為IP流量高速轉(zhuǎn)發(fā)節(jié)點(diǎn)，不處理VXLAN報(bào)文。HostOverlayHostOverlay的特點(diǎn)是VXLAN隧道的兩個(gè)端點(diǎn)全部是虛擬交換機(jī)，而虛擬交換機(jī)部署在服務(wù)器上，如REF_fig235116393285\r\h圖1-3所示。數(shù)據(jù)中心內(nèi)部的東西向流量在虛擬交換機(jī)之間通過VXLAN隧道轉(zhuǎn)發(fā)；南北向流量在虛擬交換機(jī)與虛擬路由器之間轉(zhuǎn)發(fā)，作為L(zhǎng)eaf和Spine的物理交換機(jī)僅作IP報(bào)文的高速轉(zhuǎn)發(fā)，不處理VXLAN報(bào)文。HybridOverlayHybridOverlay的特點(diǎn)是VXLAN隧道的端點(diǎn)既可以是虛擬交換機(jī)也可以是物理交換機(jī)，因此也稱為混合Overlay，如REF_fig15493114712388\r\h圖1-4所示，混合Overlay常見的是分布式的。數(shù)據(jù)中心內(nèi)部的東西向流量在虛擬交換機(jī)和物理Leaf交換機(jī)之間通過VXLAN隧道轉(zhuǎn)發(fā)；南北向流量在虛擬交換機(jī)/Leaf物理交換機(jī)與Spine/Edge之間通過VXLAN隧道轉(zhuǎn)發(fā)。網(wǎng)絡(luò)類型對(duì)比REF_table1630754271220\r\h表1-3中對(duì)NetworkOverlay、HostOverlay和HybridOverlay三種類型的網(wǎng)絡(luò)特點(diǎn)進(jìn)行了對(duì)比。對(duì)比項(xiàng)NetworkOverlayHostOverlayHybridOverlayNVE硬件交換機(jī)vSwitch硬件交換機(jī)vSwitchVXLANL3GW硬件交換機(jī)（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）vSwitch（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）硬件交換機(jī)和vSwitch（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）接入服務(wù)器類型虛擬化服務(wù)器、物理服務(wù)器虛擬化服務(wù)器虛擬化服務(wù)器、物理服務(wù)器接入L4~L7類型硬件L4~L7軟件L4~L7（X86物理服務(wù)器）軟件L4~L7（SRIOV接入）軟件L4~L7（vSwitch接入）硬件L4~L7X86物理服務(wù)器軟件L4~L7SRIOV虛擬化軟件L4~L7軟件L4~L7（vSwitch接入）控制面設(shè)備L2/L3自學(xué)習(xí)設(shè)備間L2通過頭端復(fù)制廣播自學(xué)習(xí)可支持控制面上收控制器（特指ARP/ND及路由。當(dāng)前未合入主線，可POC測(cè)試）可支持設(shè)備間通過BGP-EVPN同步vSwitch通過openflow將ARP/ND上報(bào)控制器，控制器L2/L3學(xué)習(xí)vSwitch間通過控制器下發(fā)流表同步硬件設(shè)備L2/L3本地自學(xué)習(xí)，硬件設(shè)備間通過BGP-EVPN同步vSwitch通過OpenFlow將ARP/ND上報(bào)控制器，控制器L2/L3學(xué)習(xí)，vSwitch間通過控制器下發(fā)流表同步硬件NVE和vSwitchNVE之間通過控制器的BGP-EVPN同步轉(zhuǎn)發(fā)性能不占用服務(wù)器CPU資源，硬件設(shè)備轉(zhuǎn)發(fā)性能高VXLAN處理占用服務(wù)器CPU資源，性能受CPU影響大硬件部分不占用服務(wù)器CPU資源，軟件部分VXLAN處理占用服務(wù)器資源虛擬機(jī)規(guī)格VPC數(shù)量受限于TORVRF和路由規(guī)格同一VPC虛機(jī)數(shù)量受限于TOR表項(xiàng)規(guī)格僅受限于控制器的能力海量VPC，海量虛機(jī)海量VPC，海量虛機(jī)同一VPC虛機(jī)數(shù)量受限于TOR表項(xiàng)規(guī)格適用場(chǎng)景適用于對(duì)轉(zhuǎn)發(fā)性能、運(yùn)維、安全等有很高要求的私有云用戶適用于虛擬化服務(wù)器/物理服務(wù)器同時(shí)接入SDN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)互聯(lián)互通適用于僅虛擬化服務(wù)器接入適用于租戶規(guī)模超大的用戶網(wǎng)絡(luò)內(nèi)有多個(gè)廠商網(wǎng)絡(luò)設(shè)備，需要VXLAN與硬件網(wǎng)絡(luò)設(shè)備解耦適用于虛擬化服務(wù)器/物理服務(wù)器同時(shí)接入SDN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)互聯(lián)互通對(duì)硬件成本敏感，強(qiáng)調(diào)網(wǎng)絡(luò)利舊，需要VXLAN與硬件網(wǎng)絡(luò)設(shè)備解耦設(shè)計(jì)云網(wǎng)一體化類型的數(shù)據(jù)數(shù)據(jù)中心\o""2.1業(yè)務(wù)模型與概念\o""2.2業(yè)務(wù)規(guī)劃設(shè)計(jì)流程和原則\o""2.3云網(wǎng)一體化方案說明\o""2.4業(yè)務(wù)發(fā)放流程\o""2.5業(yè)務(wù)下發(fā)時(shí)的自動(dòng)化交互過程業(yè)務(wù)模型與概念常見概念解釋DC、POD和AZDC：DataCenter，數(shù)據(jù)中心。DC是物理概念，是指在一個(gè)物理空間（比如機(jī)房）內(nèi)實(shí)現(xiàn)信息的集中處理、存儲(chǔ)、傳輸、交換和管理。服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)設(shè)備是DC的關(guān)鍵設(shè)備，供電、制冷、消防、監(jiān)控等基礎(chǔ)設(shè)施是DC的關(guān)鍵配套。POD：PointofDelivery，分發(fā)點(diǎn)。為了便于DC的資源池化操作，可將一個(gè)DC劃分為一或多個(gè)物理分區(qū)，每個(gè)物理分區(qū)就稱為一個(gè)POD，如REF_fig1613653163115\r\h圖2-1所示。由此可見，POD也是物理概念，是DC的基本部署單元，一臺(tái)物理設(shè)備只能屬于一個(gè)POD。AZ：AvailabilityZone，可用區(qū)域。AZ是一個(gè)計(jì)算側(cè)的邏輯概念，代表了一個(gè)故障隔離區(qū)域。比如一些主機(jī)共用了一套電源和網(wǎng)絡(luò)設(shè)施，當(dāng)這套設(shè)施出現(xiàn)故障時(shí)，這部分資源就全部不可用了。在規(guī)劃時(shí)，AZ與DC可按實(shí)際部署情況靈活映射。例如在大規(guī)模公有云中，一個(gè)AZ可包含多個(gè)DC；在中小規(guī)模私有云中，一個(gè)DC內(nèi)可設(shè)置多套獨(dú)立的AZ；也可將一個(gè)DC規(guī)劃為一個(gè)AZ，這時(shí)DC與AZ是等同的。VDC和TenantVDC：VirtualDataCenter，虛擬數(shù)據(jù)中心。VDC是一個(gè)組織可使用資源的集合，一般包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源。Tenant：租戶，由系統(tǒng)管理員創(chuàng)建和分配。租戶是一個(gè)VDC的實(shí)際擁有者和管理者，不同VDC對(duì)應(yīng)不同的租戶，如REF_fig13103105818379\r\h圖2-2所示。在公有云場(chǎng)景，系統(tǒng)管理員可以定義VDC并為VDC分配管理員，只有該VDC的管理員才可管理該VDC下的資源。在私有云場(chǎng)景，VDC可以靈活定義，分配給一個(gè)業(yè)務(wù)/應(yīng)用/部門。系統(tǒng)管理員可以通過VDC對(duì)企業(yè)內(nèi)的不同業(yè)務(wù)/應(yīng)用/部門進(jìn)行不同等級(jí)的資源配額管理。VPCVPC：VirtualPrivateCloud，虛擬私有云?；谖锢砭W(wǎng)絡(luò)中抽象出來的邏輯網(wǎng)元，并根據(jù)業(yè)務(wù)的實(shí)際情況，編排這些邏輯網(wǎng)元，從而形成一個(gè)虛擬的網(wǎng)絡(luò)。不同VPC之間是邏輯上隔離的，但是都共用一套物理網(wǎng)絡(luò)，從而實(shí)現(xiàn)了物理網(wǎng)絡(luò)資源資源池化以后的共享問題?？梢詫PC理解為一種“容器”，VPC中提供了vRouter、Subnet、vFW、vLB等邏輯元素，租戶可以根據(jù)自己的需要，在一定的規(guī)則下靈活組合這些元素，例如需要幾個(gè)網(wǎng)段，每個(gè)網(wǎng)段中接入多少臺(tái)VM，VM流量需要配置什么樣的安全策略和負(fù)載策略等，典型部署方式如REF_fig102649805318\r\h圖2-3所示。VPC有以下特點(diǎn)：VPC使用VDC中的資源，一個(gè)VPC只能屬于一個(gè)VDC，而一個(gè)VDC可包含多個(gè)VPC。每個(gè)VPC為一個(gè)安全域，對(duì)應(yīng)于一個(gè)業(yè)務(wù)/應(yīng)用/部門。VPC提供隔離的虛擬機(jī)和網(wǎng)絡(luò)環(huán)境，滿足不同業(yè)務(wù)/部門的網(wǎng)絡(luò)隔離要求。每個(gè)VPC可提供豐富的獨(dú)立業(yè)務(wù)，例如vFW、vLB、安全組、EIP、IPsecVPN、NAT等。VPC可提供直聯(lián)網(wǎng)絡(luò)、路由網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)等多種組網(wǎng)模式。VPC中常見的元素有以下幾種：vRouter：作為業(yè)務(wù)子網(wǎng)的網(wǎng)關(guān)，用于子網(wǎng)間的三層互通。一個(gè)VPC只能有一個(gè)vRouterNetwork：定義為一個(gè)二層網(wǎng)絡(luò)，通常只含一個(gè)Subnet，在Share模式下可包含多個(gè)Subnet。（Share模式映射到交換機(jī)上為一個(gè)接口下啟用多個(gè)從IP，用于劃分不同網(wǎng)段，例如多個(gè)小型租戶共用一個(gè)VLAN的場(chǎng)景）注：FusionSphere模型不支持Share模式，開源的OpenStack模型中是呈現(xiàn)此元素的。Subnet：用于二層廣播域的隔離，對(duì)應(yīng)于一個(gè)子網(wǎng)網(wǎng)段。同一VPC內(nèi)不同Subnet的三層網(wǎng)關(guān)，都在同一個(gè)vRouter上。同一Subnet內(nèi)默認(rèn)互通；不同Subnet間默認(rèn)互通，也可通過配置安全組進(jìn)行隔離vFW：作為VPC的邊界，除了可提供外部訪問VPC內(nèi)的安全訪問控制，還可提供外部訪問VPC內(nèi)的接入服務(wù)，可提供的特性有：FW、EIP、SNAT、IPsecVPN等。vLB：用于對(duì)外提供內(nèi)部服務(wù)器間的負(fù)載均衡能力，一個(gè)vLB可以帶多個(gè)監(jiān)聽器，用戶可給不同業(yè)務(wù)申請(qǐng)不同的監(jiān)聽器。FusionSphere和開源OpenStack業(yè)務(wù)模型簡(jiǎn)介FusionSphere業(yè)務(wù)模型簡(jiǎn)介FusionSphere是華為公司的云平臺(tái)，基于開源OpenStack來開發(fā)，并在此基礎(chǔ)上進(jìn)行了商業(yè)加強(qiáng)，因此很多基本概念與開源OpenStack是類似的。FusionSphere業(yè)務(wù)模型的內(nèi)部映射關(guān)系如REF_fig83319569487\r\h圖2-4所示。POD是物理單元，比如可將一個(gè)Fabric網(wǎng)絡(luò)視為一個(gè)POD，作為承載業(yè)務(wù)的基本部署單元，一套資源可部署在一個(gè)或多個(gè)POD內(nèi)，而一個(gè)POD也可承載多套資源。VDC是資源單元，于租戶對(duì)應(yīng)。VDC支持跨POD部署，租戶以VDC為粒度進(jìn)行資源租用。一個(gè)VDC中可以有多個(gè)VPC。VPC是業(yè)務(wù)單元，VPC支持跨POD部署，同一租戶的不同VPC也可部署在不同POD內(nèi)。一個(gè)VPC對(duì)應(yīng)一個(gè)vRouter，一個(gè)vRouter在交換機(jī)上就表現(xiàn)為一個(gè)VRF。vRouter是VPC中的一個(gè)邏輯單元，與vLB、vFW之間是1:1的關(guān)系；一個(gè)vRouter可以連接多個(gè)Subnet，一個(gè)Subnet可連接多臺(tái)VM。上述業(yè)務(wù)模型之間的典型部署關(guān)系如REF_fig17910163694911\r\h圖2-5所示。開源OpenStack業(yè)務(wù)模型簡(jiǎn)介OpenStack的業(yè)務(wù)模型和FusionSphere的業(yè)務(wù)關(guān)系有少量的不同，開源OpenStack業(yè)務(wù)模型的內(nèi)部映射關(guān)系如REF_fig46031415135219\r\h圖2-6所示。OpenStack內(nèi)部的業(yè)務(wù)模型和部署關(guān)系中，重點(diǎn)介紹一下POD和Project。POD是物理單元，比如可將一個(gè)Fabric網(wǎng)絡(luò)視為一個(gè)POD。作為承載業(yè)務(wù)的基本部署單元，一套資源可部署在一或多個(gè)POD內(nèi)，而一個(gè)POD也可承載多套資源。Project是資源單元，對(duì)應(yīng)于租戶。Project支持跨POD部署，租戶以Project為粒度進(jìn)行資源租用。在Project中，以vRouter為核心部署不同的業(yè)務(wù)單元。業(yè)務(wù)單元可跨POD部署，同一租戶的不同業(yè)務(wù)單元也可部署在不同POD內(nèi)。一個(gè)Project中可以包含多個(gè)vRoute，一個(gè)vRouter可以連接多個(gè)Network，一個(gè)Network可以連接多個(gè)Subnet（類似于一個(gè)VLAN三層接口可以配置SecondaryIP地址），一個(gè)Subnet可連接多臺(tái)VM。上述業(yè)務(wù)模型之間的典型部署關(guān)系如REF_fig856861356\r\h圖2-7所示?？刂破鳂I(yè)務(wù)模型簡(jiǎn)介如REF_fig389192618715\r\h圖2-8所示，控制器的基本業(yè)務(wù)模型中包含了Tenant、VPC、LogicRouter、LogicSwitch、LogicFW和LogicLB。在控制器中，管理員可以將一定數(shù)量的VPC授權(quán)給Tenant（租戶）使用，并授權(quán)LogicRouter、LogicSwitch、LogicFW和LogicLB的使用限額。其中，LogicRouter、LogicSwitch、LogicFW和LogicLB就提供了FaaS（FabricAsaService），即將網(wǎng)絡(luò)抽象成了多種服務(wù)?？刂破髦卸x的LogicRouter對(duì)應(yīng)云平臺(tái)的vRouter；LogicSwitch對(duì)應(yīng)云平臺(tái)的Network/Subnet；LogicFW和LogicLB分別對(duì)應(yīng)云平臺(tái)的vFW和vLB。控制器中定義logicalport標(biāo)識(shí)物理機(jī)交換機(jī)上的邏輯接口；EndPort是用來模擬鏈接到LogicSwitch上的邏輯接入點(diǎn)，可以是VM，也可以是物理服務(wù)器或第三方設(shè)備，可以配置EndPort的接入信息。REF_table174901038131210\r\h表2-1中針對(duì)FusionSphere、開源OpenStack和控制器的業(yè)務(wù)模型，從資源管理層、邏輯組織層、網(wǎng)絡(luò)實(shí)體層、計(jì)算實(shí)體層進(jìn)行對(duì)比。資源管理層：本層將數(shù)據(jù)中心資源以租戶粒度進(jìn)行分配，并指定相應(yīng)的租戶管理員，是基本的資源單元。邏輯組織層：本層是網(wǎng)絡(luò)和計(jì)算實(shí)體的邏輯組織，是基本的業(yè)務(wù)單元，各業(yè)務(wù)單元之間的網(wǎng)絡(luò)是安全隔離的。網(wǎng)絡(luò)實(shí)體層：一個(gè)業(yè)務(wù)單元中包含的各種網(wǎng)絡(luò)實(shí)體在本層予以呈現(xiàn)。計(jì)算實(shí)體層：一個(gè)業(yè)務(wù)單元中包含的所有計(jì)算實(shí)體在本層予以呈現(xiàn)。項(xiàng)目資源管理層邏輯組織層網(wǎng)絡(luò)實(shí)體層計(jì)算實(shí)體層OpenStackProject/Tenant無ExternalNetworkvRouterNetwork/SubnetvFW/vLBVMFusionSphereVDC/TenantVPCExternalNetworkvRouterSubnetvFW/vLBVM控制器TenantVPCExternalNetworkLogicRouterLogicSwitchLogicFW/LogicLBEndPort業(yè)務(wù)規(guī)劃設(shè)計(jì)流程和原則業(yè)務(wù)規(guī)劃的一般流程網(wǎng)絡(luò)管理員先基于業(yè)務(wù)特點(diǎn)，劃分物理網(wǎng)絡(luò)的分區(qū)，并進(jìn)行分區(qū)內(nèi)物理網(wǎng)絡(luò)的設(shè)計(jì)。典型的網(wǎng)絡(luò)分區(qū)劃分如REF_fig1959175616260\r\h圖2-9所示，分為業(yè)務(wù)區(qū)、核心互聯(lián)區(qū)、DMZ區(qū)、出口區(qū)等。注：在CloudFabric解決方案中，物理網(wǎng)絡(luò)的分區(qū)設(shè)計(jì)一般建議與控制器中的Fabric相對(duì)應(yīng)，控制器編排界面中的Fabric是指一組位于同一VXLAN路由域內(nèi)的網(wǎng)絡(luò)設(shè)備，組網(wǎng)上通常采用Spine-Leaf架構(gòu)，F(xiàn)abric內(nèi)所有業(yè)務(wù)可共用相同的出口網(wǎng)絡(luò)資源和L4-L7網(wǎng)絡(luò)資源；基于以上原則，建議網(wǎng)絡(luò)分區(qū)的按控制器中的Fabric定義范疇進(jìn)行設(shè)計(jì)，也支持將多個(gè)Fabric屬性相同的分區(qū)劃分為一個(gè)Fabric。被控制器納管的網(wǎng)絡(luò)分區(qū)推薦采用各種Leaf角色相互解耦的組網(wǎng)方式，并部署分布式VXLAN網(wǎng)關(guān)。系統(tǒng)管理員進(jìn)行VDC的規(guī)劃設(shè)計(jì)，這個(gè)階段主要是基于業(yè)務(wù)的種類和需求來規(guī)劃。對(duì)企業(yè)私有云來說，首先區(qū)分網(wǎng)絡(luò)中需要部署多少種業(yè)務(wù)，對(duì)應(yīng)于多少個(gè)邏輯相互隔離的網(wǎng)絡(luò)。有業(yè)務(wù)相關(guān)性的網(wǎng)絡(luò)放到同一個(gè)VDC中，沒有相關(guān)性的放到不同的VDC中，如REF_fig9162813173614\r\h圖2-10所示。系統(tǒng)管理員再創(chuàng)建具體的租戶管理員賬號(hào)，并分配資源給該租戶。租戶管理員根據(jù)被分配到的資源進(jìn)行自己VPC網(wǎng)絡(luò)的設(shè)計(jì)和配置，可以根據(jù)業(yè)務(wù)需求對(duì)VPC中提供的邏輯元素進(jìn)行組合、編排，如REF_fig1624418190403\r\h圖2-11所示。VDC和VPC的規(guī)劃原則公有云場(chǎng)景中，VDC和VPC的規(guī)劃原則如下。VDC規(guī)劃要求：一個(gè)Fabric可部署多個(gè)VDC，單個(gè)VDC不能跨Fabric部署。單個(gè)VDC的網(wǎng)絡(luò)資源必須被分配在一個(gè)Fabric內(nèi)，相應(yīng)的計(jì)算和存儲(chǔ)資源需要被分配到一個(gè)AZ內(nèi)。VPC規(guī)劃要求：組建VPC的資源范疇只能是VDC的子集，因此VPC在多租戶場(chǎng)景下也只能部署在一個(gè)Fabric內(nèi)，不能跨Fabric部署。租戶內(nèi)部網(wǎng)絡(luò)自行規(guī)劃，租戶間IP地址可重疊。私有云場(chǎng)景中，VDC和VPC的規(guī)劃原則如下。VDC規(guī)劃要求：一個(gè)Fabric可部署多個(gè)VDC，單個(gè)VDC可以跨Fabric部署。在選擇VDC資源部署時(shí)可以包含多個(gè)AZ。VPC規(guī)劃要求：同一個(gè)VPC的所有計(jì)算和網(wǎng)絡(luò)資源需要發(fā)放到同一個(gè)Fabric中，但同一個(gè)VDC中的不同VPC可以屬于不同的Fabric。全網(wǎng)IP地址統(tǒng)一規(guī)劃，所有VDC內(nèi)IP地址無重疊。在公有云和私有云中，對(duì)VDC和VPC的規(guī)劃設(shè)計(jì)原則有所區(qū)別，參見REF_table16281149142712\r\h表2-2。場(chǎng)景VDC規(guī)劃指導(dǎo)VPC規(guī)劃指導(dǎo)Fabric劃分原則VDC劃分原則業(yè)務(wù)要求VPC部署原則公有云按性能等級(jí)按增值服務(wù)能力按資源容量每租戶一個(gè)VDC業(yè)務(wù)內(nèi)部互訪無須安全控制每業(yè)務(wù)一個(gè)VPCVPC內(nèi)部子網(wǎng)間默認(rèn)互通業(yè)務(wù)內(nèi)部互訪需要安全控制，但要求較低每業(yè)務(wù)一個(gè)VPCVPC內(nèi)部子網(wǎng)間默認(rèn)互通VPC內(nèi)部子網(wǎng)互訪通過安全組隔離業(yè)務(wù)分層部署，內(nèi)部互訪有較高安全控制要求每業(yè)務(wù)多個(gè)VPCVPC之間互訪通過防火墻控制私有云按安全等級(jí)按部門按業(yè)務(wù)類別每部門一個(gè)VDC規(guī)模大、部署復(fù)雜的業(yè)務(wù)單獨(dú)劃分為一個(gè)VDC多業(yè)務(wù)混合部署的Fabric業(yè)務(wù)要求請(qǐng)參考公有云VPC部署原則請(qǐng)參考公有云單個(gè)業(yè)務(wù)或業(yè)務(wù)某一層體量較大，需要占用獨(dú)立的Fabric業(yè)務(wù)與外部的東西向流量大，默認(rèn)無須安全控制業(yè)務(wù)與外部的南北向流量需要安全控制每個(gè)業(yè)務(wù)或業(yè)務(wù)某一層（如APP或DB），一個(gè)VPC占用一個(gè)Fabric東西向流量默認(rèn)互通，可按需配置安全組進(jìn)行隔離南北向流量須通過防火墻控制業(yè)務(wù)與外部的東西、南北向流量均需要安全控制每個(gè)業(yè)務(wù)或業(yè)務(wù)某一層（如Web），一個(gè)VPC占用一個(gè)Fabric東西/南北向流量均須通過防火墻控制云網(wǎng)一體化方案說明本章介紹云網(wǎng)一體化方案方案組件架構(gòu)，組件功能及關(guān)鍵業(yè)務(wù)流程。云網(wǎng)一體化方案架構(gòu)如REF_fig1133079101711\r\h圖2-14所示，云網(wǎng)一體化方案：支持對(duì)接開源OpenStack、RedhatOpenSack10、和華為FusionCloud（不支持ACGBPPluginDriver）。對(duì)接開源/RedhatOpenStack支持Networkoverlay和Hybridoverlay組網(wǎng)。對(duì)接FusionCloud私有云場(chǎng)景支持NetworkOverlay組網(wǎng)。NFVI電信云場(chǎng)景支持HybridOverlay組網(wǎng)。組件說明ACML2DriverACML2Driver主要實(shí)現(xiàn)NeutronML2定義標(biāo)準(zhǔn)接口，感知neutronport事件，調(diào)用控制器北向RESTAPI實(shí)現(xiàn)物理機(jī)、虛擬機(jī)對(duì)應(yīng)TOR側(cè)的網(wǎng)絡(luò)配置。ACVPNDriverACVPNDriver感知用戶通過云平臺(tái)發(fā)放的VPN服務(wù)，調(diào)用控制器北向API下發(fā)ServiceLeaf與防火墻的互聯(lián)配置，控制器調(diào)用SecoManager北向API將VPN配置下發(fā)的華為防火墻（注：僅限華為防火墻）。ACL3pluginACL3plugin感知NeutronvRouter，network、EIP、SNAT相關(guān)事件，調(diào)用控制器北向API動(dòng)態(tài)下發(fā)對(duì)應(yīng)配置。ACFWaaSpluginACFWaaSplugin感知云平臺(tái)下發(fā)的防火墻業(yè)務(wù)，調(diào)用控制器北向API配置ServiceLeaf與防火墻間的互聯(lián)配置，控制器調(diào)用SecoManage將具體配置下發(fā)到華為防火墻（注：僅限華為防火墻）。ACQoSPluginACQoSplugin感知云平臺(tái)下發(fā)的QoS業(yè)務(wù)（端口限速、DSCPRemark），調(diào)用控制器北向API下發(fā)QoS配置。GBPACDriverACGBPDriver遵從開源GBP北向接口，感知GBP業(yè)務(wù)下發(fā)調(diào)用控制器下發(fā)微分段策略到TOR（注：要求微分段基線款型設(shè)備）。CE1800V替代開源OVS，作為VXLAN的VTEP提供VM接入功能，支持分布式防火墻。3rdLBaaSPlugin3rdLBaaSPluing由負(fù)載均衡廠商提供，納管負(fù)載均衡設(shè)備，發(fā)放LBaaS業(yè)務(wù)到設(shè)備。ACL3Plugin和ML2Driver感知LB業(yè)務(wù)對(duì)于Port事件，下發(fā)層次化綁定配置。云網(wǎng)出口業(yè)務(wù)開源/RedhatOpenStack的vRouter只支持關(guān)聯(lián)1個(gè)外部網(wǎng)絡(luò)（即1個(gè)Internet出口），用于EIP、SNAT及VPaaS服務(wù)。FusionCloud的VPC（對(duì)應(yīng)開源OpenStack的vRouter）支持三個(gè)出口（外部網(wǎng)絡(luò)）：Internet出口用于EIP、SNAT、DNAT及VPNaaS服務(wù)公共服務(wù)出口用于訪問FusionCloud內(nèi)部提供公共服務(wù)器（NTP服務(wù)器）路由直通出口用于與私有云之外網(wǎng)絡(luò)互通，如傳統(tǒng)網(wǎng)絡(luò)FusionCloud多出口業(yè)務(wù)多出口業(yè)務(wù)模型網(wǎng)絡(luò)管理員通過控制器創(chuàng)建Internet網(wǎng)關(guān)、路由直通網(wǎng)關(guān)和公共服務(wù)外部網(wǎng)關(guān)，指定對(duì)應(yīng)的BorderLeaf設(shè)備組，以確定物理出口位置。FusionCloud的租戶VPC默認(rèn)關(guān)聯(lián)一個(gè)公共服務(wù)外部網(wǎng)絡(luò)，公共服務(wù)外部網(wǎng)絡(luò)由計(jì)算管理員創(chuàng)建，租戶不感知；租戶可以顯式創(chuàng)建路由直通網(wǎng)絡(luò)和Internet外部網(wǎng)絡(luò)。FusionCloud上的外部網(wǎng)絡(luò)（公共服務(wù)、路由直通、Internet）通過名稱匹配與控制器上的外部網(wǎng)關(guān)建立關(guān)聯(lián)關(guān)系。IPv4多出口業(yè)務(wù)流程路由直通出口，由租戶通過顯式發(fā)放路由直通外部網(wǎng)絡(luò)并關(guān)聯(lián)VPC的方式來觸發(fā)控制器下發(fā)對(duì)應(yīng)的業(yè)務(wù)。路由直通業(yè)務(wù)發(fā)放流程如下圖所示。公共服務(wù)出口是租戶創(chuàng)建VM時(shí)，由控制器插件隱式調(diào)用FusionCloud的EIP接口，觸發(fā)控制器下發(fā)對(duì)應(yīng)NAT、路由配置到防火墻和ServiceLeaf。Internet出口通過租戶為VM創(chuàng)建EIP、SNAT、DNAT業(yè)務(wù)，控制器根據(jù)EIP、SNAT、DNAT所在的Network名稱，匹配對(duì)應(yīng)Internet外部網(wǎng)關(guān)，下發(fā)對(duì)應(yīng)NAT、路由策略到防火墻和ServiceLeaf。Internet出口業(yè)務(wù)發(fā)放流程如下圖所示。IPv6多出口業(yè)務(wù)流程IPv6的路由直通出口業(yè)務(wù)流程與IPv4一致。路由直通業(yè)務(wù)發(fā)放流程如下圖所示。IPv6場(chǎng)景下，由于FusionCloud無EIP、NAT業(yè)務(wù)流程，無法通過EIP、NAT流程觸發(fā)控制器下發(fā)Internet和公共服務(wù)出口業(yè)務(wù)，IPv6的公共服務(wù)出口由控制器插件在租戶創(chuàng)建/更新VPC時(shí)隱式編排公共服務(wù)出口；Internet出口，則有租戶顯式關(guān)聯(lián)Internet外部網(wǎng)絡(luò)實(shí)現(xiàn)。Internet業(yè)務(wù)發(fā)放流程如下圖所示。OpenStack外部網(wǎng)絡(luò)業(yè)務(wù)開源和RedhatOpenStack的vRouter只能關(guān)聯(lián)一個(gè)外部網(wǎng)絡(luò)，用于發(fā)放EIP、SNAT和VPNaaSService業(yè)務(wù)。開源OpenStack和RedhatOpenStack的vRouter只有一個(gè)Internet出口，通過外部網(wǎng)絡(luò)的名稱與控制器上創(chuàng)建的外部網(wǎng)關(guān)來進(jìn)行關(guān)聯(lián)，模型對(duì)象如下圖所示。開源OpenStackInternetIPv4出口業(yè)務(wù)流程：開源OpenStack外部網(wǎng)絡(luò)出口物理位置（Border）由網(wǎng)絡(luò)管理員通過控制器發(fā)放外部網(wǎng)關(guān)指定；計(jì)算管理員通過OpenStack的Internet外部網(wǎng)絡(luò)名稱與控制器上的外部網(wǎng)關(guān)名稱關(guān)聯(lián)。開源OpenStackIPv6Internet出口業(yè)務(wù)流程：開源OpenStack在IPv6場(chǎng)景下，支持IPv6的NAT、EIP功能，所有Internet出口通過顯式地創(chuàng)建外部網(wǎng)絡(luò)，并關(guān)聯(lián)router來實(shí)現(xiàn)，其流程如下圖所示。云網(wǎng)DHCP業(yè)務(wù)FusionCloud配套云網(wǎng)場(chǎng)景下，F(xiàn)usionCloudType2場(chǎng)景只支持有狀態(tài)的DHCPv6，DHCPv6服務(wù)器由FusionCloud提供；即VM通過DHCPv6協(xié)議獲取VM的IP、DNS、NTP等信息。組件控制面架構(gòu)DHCPServer由FusionCloud提供，通過FusionCloud的DHCPagent納管，如REF_fig6204191019376\r\h圖2-23所示。ACL3plugin感知VPC、Network事件，調(diào)用控制器創(chuàng)建LogicalRouter和LogicalSwitch。ACML2Driver感知DHCPport和VMport的上線事件，調(diào)用控制器下發(fā)端口的VLAN到VXLAN的映射配置。DHCPv6/v4業(yè)務(wù)下發(fā)流程DHCPv4和DHCPv6的業(yè)務(wù)流程，差別點(diǎn)在于DHCPv6時(shí)，創(chuàng)建分布式網(wǎng)關(guān)時(shí)，需要設(shè)置網(wǎng)關(guān)的managedflag和otherflag屬性，用于通過RS/RA協(xié)議告訴VM需要通過有狀態(tài)的DHCP協(xié)議來獲取IP地址、DNS、NTP等其他配置。VM獲取IPv6地址流程VM獲取IPv6地址的流程如REF_fig12994112219347\r\h圖2-25所示。VM發(fā)放RouterSolicitation報(bào)文。GW回復(fù)RouterAdvertisement報(bào)文，設(shè)置ManagedConfigurationFlag=1、OtherConfigurationFlag=1，表示IPv6地址和其他配置信息（DNS、NTP）通過DHCP獲取。VM發(fā)送DHCPSolicit報(bào)文，請(qǐng)求IP和其他配置信息。DHCPServer通過DHCPReplay返回VM的IP地址，DNS、NTP等信息。云網(wǎng)DHCP場(chǎng)景關(guān)鍵約束私有云場(chǎng)景，只支持有狀態(tài)的DHCPv6服務(wù)，DHCPv6Server由云平臺(tái)提供。云網(wǎng)VAS業(yè)務(wù)FWaaS業(yè)務(wù)OpenStackFWaaSv1模型包括Firewall對(duì)象、Firewallpolicy和Firewallrule對(duì)象。Firewall對(duì)象與policy對(duì)象1：1關(guān)聯(lián)。Policy對(duì)象與Firewallrule對(duì)象1：N關(guān)聯(lián)。Firewallrule用例定義包括源目的IP、源目的4層端口號(hào)和協(xié)議號(hào)的安全策略。Firewall與Neutronrouter對(duì)象為1：N關(guān)系。OpenStackFWaaS業(yè)務(wù)對(duì)接架構(gòu)OpenStackFirewall對(duì)象實(shí)例化為防火墻上的vSYS（以華為防火墻為例），OpenStackFirewallpolicy對(duì)象實(shí)例化為防火墻的Policy對(duì)象，OpenStackFirewallrule實(shí)例化為防火墻上的安全ACL規(guī)則。ACFWaaSplugin遵從OpenStack社區(qū)FWaaSv1接口，負(fù)責(zé)感知OpenStackfirewall、Firewallpolicy和Firewallrule下發(fā)，調(diào)用控制器的REST接口創(chuàng)建vSYS、firewallpolicy及對(duì)應(yīng)的安全ACL規(guī)則?？刂破髫?fù)責(zé)分配vSYS與VRF的互聯(lián)VLAN&IP地址，調(diào)用SecoManager的接口創(chuàng)建vSYS，配置互聯(lián)接口的VALN&IP及路由配置。SecoManager負(fù)責(zé)防火墻設(shè)備的納管、防火墻安全策略的下發(fā)。OpenStackFWaaS業(yè)務(wù)發(fā)放流程通過OpenStackUI/CLI，發(fā)放FWaaS業(yè)務(wù)發(fā)放的典型步驟如REF_fig4477103812291\r\h圖2-28所示。云網(wǎng)FWaaS關(guān)鍵約束只支持FWaaSv1接口。FusionCloud私有云場(chǎng)景，對(duì)接我司防火墻，安全策略的IP、四層端口號(hào)支持聚合下發(fā)。VPNaaS業(yè)務(wù)如REF_fig1280491117520\r\h圖2-29所示，OpenStackVPNaaS業(yè)務(wù)模型包括VPNService對(duì)象、siteconnection對(duì)象和IPSecPolicy對(duì)象：VPNService對(duì)象定義虛擬IPSecVPN服務(wù)實(shí)例，IPSecVPN服務(wù)關(guān)聯(lián)多個(gè)siteconnection對(duì)象；Siteconnection對(duì)象定義1個(gè)VPN隧道，定義對(duì)端peer地址、本地site的私網(wǎng)地址，siteconnection關(guān)聯(lián)1個(gè)IPSecpolicy對(duì)象；IPSecPolicy對(duì)象定義IPSec隧道所需要的證書、加密算法、認(rèn)證模式。OpenStackVNPaaS業(yè)務(wù)對(duì)接架構(gòu)ACVPNaaSPlugin感知IPSecVPN服務(wù)的發(fā)放，轉(zhuǎn)換為控制器調(diào)用下發(fā)IPSecVPN業(yè)務(wù)配置到防火墻?？刂破魍?jìng)鱅PSecVPN業(yè)務(wù)配置到SecoManager，SecoManager調(diào)用設(shè)備NETCONF接口，下發(fā)IPSecVPN配置到防火墻。Siteconnection對(duì)象映射為IPSecTunnel及對(duì)應(yīng)的配置；IPSecpolicy映射為防火墻的IPSecpolicy配置。OpenStackVPNaaS業(yè)務(wù)發(fā)放流程通過OpenStackUI/CLI，發(fā)放VPNaaS業(yè)務(wù)發(fā)放的典型步驟如REF_fig747144512019\r\h圖2-31所示。云網(wǎng)VPNaaS場(chǎng)景關(guān)鍵約束不支持IPv6IPSecVPN。LBaaS業(yè)務(wù)OpenStackLBaaS模型包括Loadbalancerl對(duì)象、listener對(duì)象和pool對(duì)象。Loadbalancer對(duì)象定義虛擬LB服務(wù)實(shí)例，定義vLB所使用的VIP，Loadbalancer與多個(gè)listener關(guān)聯(lián)；listener對(duì)象定義vLB監(jiān)聽的L4端口號(hào)及協(xié)議；pool對(duì)象定義與listenser關(guān)聯(lián)后端業(yè)務(wù)member。OpenStackLBaaS業(yè)務(wù)對(duì)接架構(gòu)OpenStack的LBaaSv2插件由負(fù)載均衡廠商提供，北向感知負(fù)載均衡服務(wù)的發(fā)放，南向調(diào)用負(fù)載均衡的API下發(fā)負(fù)載均衡配置。ACML2plugin感知LB服務(wù)VIP和memberIP的對(duì)應(yīng)的port事件，下發(fā)VIP端口和self-IP對(duì)應(yīng)的層次化綁定配置。OpenStackLBaaS業(yè)務(wù)發(fā)放流程以F5為例，OpenStackLB業(yè)務(wù)發(fā)放流程如REF_fig1827101418478\r\h圖2-34所示。云網(wǎng)LBaaS關(guān)鍵約束IPv4Overlay場(chǎng)景：支持F5、Radware、深信服、FusionCloudELBIPv6Overlay場(chǎng)景：支持F5、深信服、FusionCloudELB云網(wǎng)裸機(jī)業(yè)務(wù)OpenStackIronic主要組件架構(gòu)簡(jiǎn)述如REF_fig73111288478\r\h圖2-35所示，OpenStackIronic主要組件有：Nova組件：nova-api、nova-scheduler、nova-compute提供BM的發(fā)放、回收，接口與VM的發(fā)放、回收一致。Neutron組件：提供BM發(fā)放所需的DHCP、BM對(duì)應(yīng)neutronport創(chuàng)建、刪除、更新功能。Glance組件：提供BM部署所需的操作系統(tǒng)鏡像。Ironic-API：裸機(jī)服務(wù)發(fā)放入口，通過RPC消息，監(jiān)控nova-compute發(fā)送BM業(yè)務(wù)消息，調(diào)用ironic-conductor發(fā)放BM業(yè)務(wù)。Irionic-conductor：負(fù)責(zé)調(diào)用neutrionAPI為BM發(fā)放網(wǎng)絡(luò)，調(diào)用Glance獲取操作系統(tǒng)鏡像，通過IPMIDriver控制BM通過PXE（PrebootExecutionEnvironment）部署OS。IPMIDrivers：IPMI（IntelligentPlatformManagementInterface）Driver主要由服務(wù)器廠商提供，通過服務(wù)器的IPMI網(wǎng)卡控制服務(wù)器的上下電、修改服務(wù)器的BIOS配置，查看服務(wù)器的硬件資源信息。裸機(jī)業(yè)務(wù)網(wǎng)絡(luò)平面介紹裸機(jī)發(fā)放主要包括以下4個(gè)階段，如REF_fig2096193095810\r\h圖2-36所示：注冊(cè)階段：用戶輸入服務(wù)器的IPMI管理地址、用戶名、密碼注冊(cè)服務(wù)器；Inspecting階段：Ironic通過inspecting網(wǎng)絡(luò)在服務(wù)器上部署定制OS搜集服務(wù)器的CPU、RAM、網(wǎng)卡信息；Provisioning階段：通過provisioning網(wǎng)絡(luò)在服務(wù)器上部署OS，同時(shí)掛載服務(wù)器到租戶網(wǎng)絡(luò)；Running階段：正常部署后，租戶運(yùn)行物理機(jī)。裸機(jī)發(fā)放過程中涉及到以下4個(gè)網(wǎng)絡(luò)平面：IPMI網(wǎng)絡(luò)平面：IPMIDriver控制服務(wù)器上電、下電、重啟；Underlay手工或者控制器界面預(yù)部署。Inspectingnetwork：裸機(jī)服務(wù)Inspecting階段獲取服務(wù)器硬件規(guī)格信息（CPU、RAM、NIC）；Underlay手工或者控制器界面預(yù)部署。Provisioningnetwork：用于服務(wù)器操作系統(tǒng)安裝；ACML2插件感知Ironic-conductor調(diào)用neutron創(chuàng)建port自動(dòng)配置。Tenantnetwork：業(yè)務(wù)平面通過OpenStack發(fā)放；ACML2插件感知Ironic-conductor調(diào)用neutron創(chuàng)建port自動(dòng)配置。物理服務(wù)器包括電源管理網(wǎng)卡（IPMI-NIC）和業(yè)務(wù)網(wǎng)卡（如所示eth0），Ironic上的IPMIDriver通過IPMI網(wǎng)卡控制服務(wù)器的上電、下點(diǎn)、PXE啟動(dòng)；業(yè)務(wù)網(wǎng)卡在inspecting階段接入inspectingnetwork，操作系統(tǒng)部署階段接入provisionnetwork，完成部署后接入tenantnetwork。裸機(jī)業(yè)務(wù)對(duì)接架構(gòu)Ironic通過IPMIDrvier納管服務(wù)器，控制服務(wù)器的啟動(dòng)順序、上下電、重啟；調(diào)用neutronAPI發(fā)放provisionport和租戶網(wǎng)絡(luò)上的port。ACML2plugin感知port事件，自動(dòng)化打通provisioning網(wǎng)絡(luò)或者租戶網(wǎng)絡(luò)。Ironic裸機(jī)業(yè)務(wù)流程裸機(jī)服務(wù)發(fā)放流程如REF_fig740242811305\r\h圖2-39所示。關(guān)鍵約束Ironic裸機(jī)場(chǎng)景關(guān)鍵約束：inspectingnetwork、provisioningnetwork只支持IPv4。tenantnetwork支持IPv4或者IPv6。FusionCloudIronic特殊說明：FusionCloudIronic實(shí)現(xiàn)無專用inspectingnetwork，復(fù)用provisioningnetwork。FusionCloudIronic當(dāng)前支持Huawei系列服務(wù)器。業(yè)務(wù)發(fā)放流程總體業(yè)務(wù)流程云網(wǎng)一體化總體業(yè)務(wù)流程涉及到三個(gè)角色：系統(tǒng)管理員、租戶管理員、業(yè)務(wù)管理員，三者之間的簡(jiǎn)要業(yè)務(wù)關(guān)系如REF_fig20933103115156\r\h圖2-40所示。系統(tǒng)管理員具有整個(gè)系統(tǒng)的最高權(quán)限，往往是整個(gè)系統(tǒng)的搭建者和資產(chǎn)所有者。公有云中有很多不同的租戶，每一個(gè)租戶有一個(gè)租戶管理員，每個(gè)租戶管理員僅管轄本租戶內(nèi)部的各類資源。當(dāng)然，這些資源需要先向系統(tǒng)管理員進(jìn)行申請(qǐng)，由系統(tǒng)管理員下發(fā)給租戶管理員使用。一般來說，租戶自身有多個(gè)不同類型的應(yīng)用系統(tǒng)，例如視頻會(huì)議、網(wǎng)站、郵箱等各類應(yīng)用系統(tǒng)，每一類應(yīng)用系統(tǒng)由業(yè)務(wù)管理員負(fù)責(zé)建設(shè)開通。其中業(yè)務(wù)對(duì)網(wǎng)絡(luò)的訴求提給租戶管理員，租戶管理員則在已申請(qǐng)到的資源限額內(nèi)，規(guī)劃并編排邏輯網(wǎng)絡(luò)，給應(yīng)用系統(tǒng)使用。業(yè)務(wù)管理員可以在已經(jīng)分配到的計(jì)算資源（對(duì)應(yīng)的網(wǎng)絡(luò)已經(jīng)配置好）上安裝業(yè)務(wù)軟件等，從而對(duì)外提供服務(wù)。系統(tǒng)管理員做什么如REF_fig55552236244\r\h圖2-41所示，在整個(gè)業(yè)務(wù)配置和下發(fā)的過程中，系統(tǒng)管理員將完成以下操作：系統(tǒng)管理員先是要?jiǎng)?chuàng)建VDC，并配置好VDC中的資源池；系統(tǒng)管理員為不同的租戶創(chuàng)建不同的租戶賬號(hào)；系統(tǒng)管理員給不同的租戶分配相應(yīng)的資源配額。租戶管理員做什么如REF_fig55552236244\r\h圖2-41所示，在整個(gè)業(yè)務(wù)配置和下發(fā)的過程中，租戶管理員需要同時(shí)關(guān)注網(wǎng)絡(luò)資源和計(jì)算資料的配置。其中，配置網(wǎng)絡(luò)的主要操作有：創(chuàng)建VPC并為之命名；創(chuàng)建vRouter；創(chuàng)建Subnet并綁定到vRouter；創(chuàng)建并配置vFW；配置SNAT/EIP/IPSec等增值業(yè)務(wù)；配置安全訪問規(guī)則和策略；配置vLB業(yè)務(wù)。配置計(jì)算的主要操作內(nèi)容有：創(chuàng)建VM，分配一定的計(jì)算資源并注入系統(tǒng)；將VM與某一個(gè)Subnet網(wǎng)絡(luò)進(jìn)行綁定。業(yè)務(wù)下發(fā)時(shí)的自動(dòng)化交互過程如REF_fig1425432218264\r\h圖2-42所示，是云平臺(tái)一體化場(chǎng)景中的業(yè)務(wù)下發(fā)時(shí)系統(tǒng)中各個(gè)模塊之間的交互過程。本場(chǎng)景中業(yè)務(wù)下發(fā)的界面是云平臺(tái)，初始操作都在云平臺(tái)上進(jìn)行。租戶管理員在云平臺(tái)界面上依托Neutron提供的能力，創(chuàng)建邏輯網(wǎng)絡(luò)。租戶管理員在云平臺(tái)界面上依托NOVA提供的能力，創(chuàng)建VM，并將VM接入到指定的網(wǎng)絡(luò)中。NOVA調(diào)用Neutron的API創(chuàng)建vPort，這個(gè)vPort是VM將來要掛接到vSwitch上去的虛端口。這個(gè)虛端口中會(huì)包含HostID（即VM將來會(huì)被發(fā)放到的Host的HostID）、虛擬機(jī)的MAC/IP/VLAN信息。NOVA向選出的計(jì)算節(jié)點(diǎn)中的Host發(fā)送VM創(chuàng)建請(qǐng)求，由NOVACompute創(chuàng)建好虛擬機(jī)，并為虛擬機(jī)綁定vSwitch的接口。Neutron檢測(cè)到vSwitch上的端口狀態(tài)變化，獲取本地VLAN信息，并通過控制器安裝在Neutron中的插件，將這些信息同步給控制器?？刂破髯詣?dòng)化下發(fā)二層配置和三層配置：下發(fā)二層配置：控制器根據(jù)初始化配置時(shí)，通過LLDP發(fā)現(xiàn)的Host主機(jī)與TOR之間的連線關(guān)系，在VM上線的Host主機(jī)所連接的TOR的對(duì)應(yīng)端口上，下發(fā)VM接入配置，如VLAN與BD的映射等。下發(fā)三層配置：控制器下發(fā)VXLAN三層網(wǎng)關(guān)配置，如vBDIF、網(wǎng)關(guān)IP地址等，并關(guān)聯(lián)VRF。至此，租戶管理員在云平臺(tái)上不僅創(chuàng)建好了一個(gè)VM、配置了其資源并將其上線，同時(shí)云平臺(tái)和控制器相互配合，完成了對(duì)VM所使用的網(wǎng)絡(luò)配置的自動(dòng)化下發(fā)。這使得整個(gè)VM上線過程是自動(dòng)化的。當(dāng)根據(jù)上述流程在云平臺(tái)上完成業(yè)務(wù)發(fā)放后，部分云平臺(tái)不