11月25日,深信服云計算架構師Eason在信服云《云集技術學社》系列直播課上進行了《軟件SDN技術原理》的分享,繼上周介紹了SDN技術發展與應用后,Eason本周又詳細介紹了SDN架構、OpenFlow相關技術和網絡虛擬化相關技術。以下是他分享內容摘要,想要了解更多可以關注“深信服科技”公眾號觀看直播回放。
看點一:SDN架構
SDN的整體架構是一個比較清晰的層次結構。一個SDN架構通常分成三個平面。
第一個是管理平面,它的作用是負責處理來自用戶的請求,并轉換為內部網絡配置,通過北向接口(NBI)下發到控制平面。常見的云管理平面有OpenStack、NSX、Sangfor Cloud Platform等。另外,管理平面也可以基于開放平臺構建用戶自己的云管理平臺。
第二個是控制平面,由SDN控制軟件構成,負責將內部網絡配置轉換成數據平面可理解的語義。控制平面北向通過NBI和應用層對接,南向可通過標準化協議(例如OpenFlow的一些協議)與數據平面通信。
第三個是數據平面,主要為轉發設備,根據控制平面的控制邏輯進行轉發和處理數據。
這三個平面之間通過兩種類型的接口進行通信,一個是北向接口,負責管理平面和控制平面之間的通信,一個是南向接口,負責數據平面和控制平面之間的通信。
通過這樣的分層結構,用戶就可以將一些用戶請求轉化成數據平面可以實現的數據轉發邏輯,從而通過軟件的方式來集中式的管理數據平面的網絡轉發設備。通過這些接口,數據平面也同樣可以把統計數據、行為數據等上報給控制平面或者上報給管理平面,讓管理平面或者用戶可以拿到這些數據做更多的處理。
看點二:OpenFlow相關技術
談到SDN就不得不談OpenFlow相關技術,因為OpenFlow是SDN誕生后的第一個開源協議。數據平面有一個比較著名的實現叫做OVS。OVS包括3個主要模塊:運行在內核態的datapath,以及運行在用戶態的vswitchd和ovsdb-server。
第一個是Datapath,是負責數據轉發的內核模塊,屬于快路(fast path)轉發。該模塊從網絡接口收取數據報文,并根據報文頭部匹配流表(Flow table)中的流表項,如果成功則直接轉發,否則將報文遞交到vswitchd處理。內核模塊在初始化和端口綁定的時候會注冊回調函數,從而接管端口的報文處理。
第二個是vswitchd,vswitchd是一個用戶態守護進程,是本地OVS的管理和控制服務,屬于慢路(slowpath)轉發,可以處理內核模塊未匹配的報文。vswitchd通過unix socket和ovsdb交互,并通過netlink和內核模塊交互。vswitchd北向通過OpenFlow協議與控制平面對接。
第三個模塊是ovsdb-server,ovsdb是OVS的數據庫,用于保存OVS的配置信息。ovsdb-server對外提供RPC接口。
OVS工作依賴的核心數據結構是Flow table。Flow table是存儲Flow的數據結構,Datapath根據Flowtable進行數據轉發。Flow Table里面有一些字段,OVS通過將這些字段與數據報文進行匹配,并執行相應的動作就實現了報文轉發。
在OVS里面,流表的核心處理流程是報文依次匹配多張表,并執行相應的指令。其中的單表也有對應的匹配流程。當一個報文進來的時候,它就會找到滿足匹配條件的優先級最高的表項,接下來會執行指令動作,然后發送匹配數據和動作指令到下一張表。下一張表收到報文和指令后,會緊接著做后續的處理,直到整個流水線都運行完畢后,就會將報文從某一個端口輸出或者是丟棄。通過這樣的一個流程,OVS就完成了一次報文轉發。
而在控制平面,也有一個開源實現叫做OVN(Open Virtual Network)。通常情況下,OVN分為四個模塊。
第一個是Northbound DB,它接收并存儲來自云管平臺(CMS,Cloud Management System)的邏輯網絡配置(邏輯交換機、路由器、ACL等)信息,目前基于ovsdb-server實現。它有兩個客戶端:OVN/CMS插件,ovn-northd。
第二個是ovn-northd,它是集中式控制器,同時連接Northbound DB和SouthboundDB,并負責把云管平臺寫入Northbound DB的基于傳統網絡概念的邏輯網絡配置轉換成Southbound DB的數據表。
第三個是Southbound DB,它也是基于ovsdb-server,包含三類數據:物理網絡信息(PhysicalNetwork),它包括了所有overlay封裝的必要信息,如IP地址,支持的封裝類型等;邏輯網絡信息(Logical Network),比如邏輯交換機、路由器的拓撲、ACL、防火墻規則等;物理網絡和邏輯網絡的綁定關系信息(Binding)。這些數據由各個ovn-controller消費。
第四個是ovn-controller,它是OVN的本地控制進程,是運行在每臺主機上的本地SDN控制器。它北向通過ovsdb協議與OVN SouthboundDB通信,南向通過ovsdb協議與本地ovsdb-server通信,以及通過OpenFlow協議與ovs-vswitchd通信。
看點三:網絡虛擬化技術
了解網絡虛擬化技術首先要理解什么是虛擬網絡或者什么是Overlay。Overlay網絡是一種建立在另一個網絡之上的計算機網絡。Overlay網絡節點可以被認為是通過虛擬或邏輯鏈接相連。節點之間通過下層網絡(Underlay)中的多個物理連接實現相連。通過Overlay網絡可以實現網絡虛擬化,從而將虛擬網絡與物理網絡解耦。
虛擬網絡實現有幾種比較常見的方式:
第一個是VLAN(802.1Q),通過在物理交換機上劃分VLAN實現多個虛擬的交換機。VLAN的限制是最大只支持4096個劃分,并且Underlay網絡不支持跨三層。
第二個是VPN(虛擬專用網絡),通過隧道協議將分支或個人與總部網絡連通的技術。Underlay網絡一般用于在互聯網上分支與總部間的點對點的連接。
第三個是VXLAN,可以在三層連通的Underlay網絡上實現虛擬的二層連通性。這個二層連通性是在分布式虛擬交換機上實現的。
報文轉發流程首先是虛擬機VM1發送ARP請求虛擬機VM2(IP=192.168.5.22)的MAC地址;其次VTEP1封裝ARP請求為多播報文,并且將VNI設置為121;VTEP2收到報文后,將VTEP1和虛擬機VM1的映射關系加入VXLAN表格;VTEP2解封裝報文,提取VNI信息,并把ARP請求發送到虛擬機VM2;虛擬機VM2回復ARP請求;VTEP2根據之前學習到VTEP1和VM1的映射關系和VNI信息封裝VM2回復的ARP請求,并以單播方式發送給VTEP1;VTEP1收到來自VTEP2的報文,解封裝,提取VNI信息,并把解封后的來自VM2回復ARP請求發送給VM1。
理解網絡虛擬化技術的另一個重要的方面了解控制面的工作原理。在由控制面的情況下,主機1會將VTEP1和虛擬機VM1的映射關系上送控制器(VNI=121,VM MAC = 00:AC:AA:55:20:C1,VTEP IP = 10.0.0.163),同時主機2也會將VTEP2和虛擬機VM2的映射關系上送控制器(VNI=121,VM MAC = 00:AC:BB:77:44:C2,VTEP IP = 10.0.0.192)。控制器在聚合各主機信息后會將完整的映射關系分別同步到主機1和主機2。
通過網絡虛擬化技術,可以實現虛擬路由器。虛擬路由器實現上有兩種形態:分布式虛擬路由和集中式虛擬路由。這樣實現的好處是虛擬路由器既有分布式路由性能和擴展性方面的優勢,也有集中式路由功能服務方面的優點。
分布式虛擬路由器主要處理東西向流量,它可以在源端完成路由計算,實現物理上的一跳轉發;集中式虛擬路由器主要處理南北向流量,負責與物理網絡連通,實現集中式服務(NAT、DHCP、DNS、集中式防火墻、負載均衡)。
最后,通過網絡虛擬化技術,可以實現軟件定義防火墻。
軟件定義防火墻分成兩種,集中式防火墻和分布式防火墻。
集中式的防火墻有四個特點:第一個是中心化的管理;第二是集中式的防火墻部署在邊界節點;第三是它主要用來防護的是南北向的流量;第四是通過集中式的防火墻,可以很容易集成第三方的服務。
分布式防火墻同樣也是中心化管理,但分布式防火墻直接部署在虛擬機的網絡接口上,它主要防護東西向流量,易于水平擴展。
來自外部或者互聯網上的流量,通常會經過集中式路由或集中式的防火墻,進入內部網絡。來自內部的流量在沒有分布式防火墻之前也是通過集中式的防火墻來控制,有了分布式防火墻之后,就可以在虛擬機之間或者在主機之間直接進行防護,而不用再繞行到集中式防火墻的節點上,性能和安全性上會有很大的提升。
以上就是本期直播的主要內容,還想了解更多有關云計算相關的知識與應用嗎?敬請關注云集技術學社,信服云還將邀請更多行業大咖來分享云計算干貨。
