@ fnii.cn

登录邮箱

董振江 基于SDN的软件定义云数据中心

发表日期:2015年12月10日      共浏览 673 次      编辑:


各位专家下午好,我介绍一下我们团队的数据中心。因为本来是讲未来网络的,对未来网络的影响大家讲的很多,现在SDN落地最好的地方是数据中心,我们讲一下我们对数据中心的思考。

大概介绍两个部分,第一个部分是用户的要求怎么做数据中心,提出来怎样的挑战。第二个是我们提一下中心结合我们的实践结合我们对SDN的认识,提出我们认为数据中心应该怎么做的思路。有什么不对的请大家指导。

我们中兴通讯提了MICT,这里面几点大家非常清楚了。第一个是连接,连接是逐年倍增的速度在做。第二个影响变化是各种丰富的业务出来,特别是跟视频业务出来以后对网络影响很大。刚刚刘院长说了现在的高清相关的业务对网络提出更多的压力和要求。还有就是业务的提供现在明确的就是有数据提供另一个是安全。基于这样我们如何考虑?现在在电信运营商里面非常清楚的就是一定要去基于SDNNFV做数据中心。亚马逊等等的公司都在做,第一个要云化,第二个统一管理,第三个向外提供服务。这种就是已经是在重构这个网络的时候,我总结几点要求,一个是自己定义,虽然我自己没有见这个云,但是我自己的设施,能够完全的自我管理,第二个就是因为像我们很多公司有跨域的,本地的去管理,还有一个是保障,第三个是怎么提高效率的问题,包括网络、路由器包括安全的都是相关的要求。总得来说总结为四大方面的要求。第一个是关于高效可靠,你要提高电信的可靠性包括资源的超脱了原来的限制的需求。第二个是跨域的问题,第三个安全可信,不但传统的安全要解决,还有新的安全,怎么解决端到端的安全。要求用户自己定义。安全可靠还有一点是我们未来要有可信的保证,不但要有安全保证还有可信保证。最后一个这种业务的提供甚至要让用户也做。

要去做云的东西怎么实现?软件定义的数据中心,我们提出来下面几个理念。一个就是高效可靠,第二个要求足够多的弹性。第三个安全,安全也包括了传统的安全和自身的安全,另外一个构建可信的体系。第四个就是开放共赢,一定要有自己的定义,自己有第三方加入到这里,我们认为这四个领域都要定义,最后可以构建软件定义的数据中心。

我提出来一个我们中兴通讯拿了一个用户驱动的数据中心。第一个是在管理方面,在各种应用上都要总体考虑因素。那么真正在做的时候我们集中在下面四点,第一个是软件定义的网络,第二个软件定义计算,第三个安全。首先看一下要求,组网的要求来看,对不同的要求有的是小型化共有云私有云,第二个有的已经建了小的DC,能不能把客户端架构在一个云里面,第三种就比较大,我们分两种,包括层三和层二都有不同的方式统一在一个方案里解决,现在我结合这个说一下我们的一些想法。

第一个单DC的解决方案,从网关解决来说动态的选择软的和硬的都支持,第二个要突破原来传统的限制,还有一个灵活的部署的问题。灵活接入的问题。需要在网络构建上要同时支持软的和硬的。第二个就是集群多DC,只要在网关一个点内部就可以全部打通,这个部署非常简单,把困难留在方案提供商,这是一个思路,第二个就是流量统一调度,因为多特别是异地多处DC尽量让流量根据业务的不同,根据业务提供的不同就近输出,还有一个在怎么保证可靠性的时候,就是虽然在异地,怎么在控制器保证安全,这是在未来建立中要考虑的。硬的DC和软的都要支持,第二个要解决大二层怎么保证迁移,这个时候对网络提出新的要求,到目前为止大部分迁移都是在一个周期迁,但是真的时候要跨域迁是对网络提出来挑战的。第三个就是在每一层考虑流量优化的问题,尽量不跨域,跨域怎么办?在多DC解决方案里面重点考虑的。第四个网络延迟的问题,现在很多不是新建一个网,原来就有了,网络定义是一定要支持平滑的适配的问题,我们在第一跳接到这里,再一个硬件上只需要有一个点接,在上面的虚拟机不需要管,后面有对应关系,尽量简化接入,这是我们目前10次方案中考虑的。还有一个就是异构的问题,随着接入的时间不一样,有VM2的,也有KVM的,现在已经屏蔽掉了。第二个是在计算这里,本来提得很多了,我说一个,现在再去做计算和存储的时候,最大的推的过程中,最大的难题就是部署的问题,要不然虚拟机太大,要不然灵活性问题,我们要把Docker引入进去,这个我们要在软件定义计算的时候要考虑的。还有一个就是一致性的管控问题。还有软件定义存储问题。在存储的时候一定要跟业务层次不同,另外要对多种接口的支持要做,这些方面重点去做的。

第四个就是我介绍软件定义安全,现在在云的数据中心里面,在用的过程中是最难的,用户疑问最多的,我们现在把安全的资源也作为一种动态的可以分配的虚拟化资源供上面分配,我们提出来一个安全控制器一层,引入这一层同时向上提出接口,包括防火墙、防病毒都可以虚拟化管理。最后实际上跟上下的打通有闭环的可信的安全防护。在安全控制器从最终的应用上来的时候,发到我们的网络控制器请求控制,这是一个心理控制层,安全策略是直接的安全设备、安全资源进行调度,同时把信息反馈上,这样的好处是本身这种调度相互隔离,另一个各种数据收集进来,可以根据实际使用情况进行动态的分析,构建数据库,实现全网的安全,强化我们云数据中心的安全。这是一个基于业务量又安全调度的定制。通过业务的编排来去实现防火墙都可以让你在上层进行调用,我们在这里不同的租户可以自己定义,不同的用户使用过程中可以根据不同情况进行调度,一个是在新的防火墙去掉以后对上面没有影响,可以动态的压进去,用户在虚机使用的过程中,迁移过程中安全相关的资源也可以同步迁移进去,让用户真正实现自我管理、自我调度,自我真正的软件自己定义。再有一个再提一下软件定义的可信云,可信跟安全不是一回事儿,可信是安全的基础。怎么做到可信呢?我们跟很多学校沟通,核心的理念就是所有的建立在可信根的基础上。首先在硬件层面上,在应用层传递可信根,每一级都保证可信性,由他做系统级的可信的安全,一个是可信链条的传递,要从物理层传,同时还有几个域的传递也要保证。第一个保证在可信链条传递的时候要云的边界也要有可信的机制保证。在上面保证可信接入的感觉,再往后终端保证特殊要求的情况下系统的真正的可信性。所有建立在可信根的基础上保证安全。就可以实现端到端,就是从端到系统侧的安全。

最后总结一下几个理念,第一个是我们认为用基于SDN的新的数据中心是非常明确的事实了。做的过程中第一个保证安全高效,资源池本身的安全可靠性怎么做,另一个部署上怎么保证灵活性。另一个在跨域调度的时候怎么保证,在这个过程中要保证业务和资源怎么结合,再一个就是安全可信,整个安全构建一定要是端到端,不能够端点去做,我们现在提出来一定要可信的做安全。再一个整个系统做好以求要构建一个完整的生态链,基于第三方做相关的服务。最后就是中兴通讯基于这样的理念我们构建了自己的完整方案,我们有软件定义的网络、计算、安全。最后简单说一下构建新一代云的中心的时候,刚刚说到第一个网络,还有一个跟安全相关的,这样对网络、IT、CT有充分的理解才能做好。这个过程中不断推进的过程中,根据用户的驱动我们进一步升级改造,我们需要跟各个单位企业标准阻止进行交流与合作,我们共同把这一个新一代的数据中心做好,谢谢!