1、何為云計算平臺

說到云計算平臺，不得不提開放平臺。去年以來，開放平臺這個字眼可謂是炙手可熱。自Facebook、Apple將開放平臺的成功演繹至極致，中國互聯(lián)網(wǎng)界便掀起了一股“開放潮”，新浪、百度、淘寶、360、人人、騰訊等互聯(lián)網(wǎng)巨頭，甚至是當當和京東等電子商務巨頭，都放言“逐鹿”開放平臺。

開放平臺有三層含義：

應用平臺，為用戶提供應用的統(tǒng)一入口，如Apple、Google、騰訊WebQQ的Appstore。

商務平臺，為第三方開發(fā)者提供統(tǒng)一的商務接口，減少和不同平臺接口之間的商務溝通成本。

云計算平臺，通過技術能力的開放，為第三方應用提供實時可伸縮的計算資源、海量用戶運維和客服、信息安全等后臺支持和應用托管，可以在整個平臺實現(xiàn)第三方應用的單一實例，如Google的GAE、Amazon的EC2、騰訊的opensns.qq.com。

無疑，這三者中，云計算平臺才能真正解決第三方開發(fā)者面臨海量用戶的諸多挑戰(zhàn)，對第三方開發(fā)者有著莫大的吸引力，可以實現(xiàn)互聯(lián)網(wǎng)巨頭們寡頭經(jīng)濟和長尾經(jīng)濟兩手硬的如意算盤，被視為未來互聯(lián)網(wǎng)的制勝利器。因此，各互聯(lián)網(wǎng)巨頭也不惜投入巨資建設云計算平臺爭奪市場。據(jù)互聯(lián)網(wǎng)公開的資料，騰訊的云計算平臺 opensns.qq.com開始建設僅4個月就取得出人意料的收獲：

已有108多款第三方應用跑在騰訊云計算平臺上；

4個月應用總安裝次數(shù)超過3億次；

日活躍用戶總數(shù)達到2千5百萬，最高同時在線用戶超過400萬；

有三款應用平均日登錄超過千萬，超過10款應用平均日登錄過百萬；

單個游戲月度分成收入超過1000萬；

2、VLAN和IP規(guī)劃面臨挑戰(zhàn)

那么，和原有僅支撐內部應用的數(shù)據(jù)中心相比，云計算平臺的數(shù)據(jù)中心會面臨什么樣的新挑戰(zhàn)？

顯然，由于云計算平臺的核心是諸多第三方應用的托管，業(yè)務隔離是首當其沖的要解決問題，否則無法確保第三方應用及數(shù)據(jù)的安全性。

從網(wǎng)絡的角度，業(yè)務隔離必須要從接入層能夠將各業(yè)務的服務器分開。網(wǎng)絡大師們不暇思索的給出了解決方案：VLAN。

不料，問題馬上來了。VLAN的規(guī)模如何確定，IP網(wǎng)絡劃分按照什么粒度進行？

云計算平臺是典型的長尾經(jīng)濟商業(yè)模式，這也就意味著托管的應用數(shù)量龐大，大部分應用的規(guī)模較小，但誰也無法預知一覺醒來哪個應用的用戶數(shù)量會暴漲，因此計算資源的伸縮性要求很大。

如果VLAN和IP網(wǎng)絡的粒度較粗，由于大部分應用規(guī)模較小，這會帶來IP地址等資源的巨大浪費。

如果VLAN和IP網(wǎng)絡的粒度較細，意味著當應用長大時會分割在不同的VLAN和網(wǎng)絡中，如果涉及HA、虛機遷移等特殊需求還可能需要將業(yè)務進行跨 VLAN和網(wǎng)絡的整合和遷移，這會招致業(yè)務部門的不滿。更糟糕的是，服務器虛擬化技術發(fā)展很快，當服務器虛擬化1：4的時候，意味著網(wǎng)絡設備硬件端口規(guī)模不變的情況下網(wǎng)絡容量變成原來的4倍，如果服務器虛擬化在1：4的基礎上進一步變成1：10網(wǎng)絡容量就會猛增為最初的10倍，很輕易就會擊穿VLAN和 IP網(wǎng)絡的規(guī)劃，應用也將被迫進行的跨VLAN和IP網(wǎng)絡的遷移，應用的中斷將不可避免。

可是VLAN和IP網(wǎng)絡的粒度放大到什么程度才合適那？似乎暫時沒有答案。長尾應用和服務器虛擬化的發(fā)展很難準確預知。

網(wǎng)絡大師們總是追求完美的，希望應用盡可能避免遷移，于是，另一個方案出臺了。

網(wǎng)絡大師們現(xiàn)在不劃分細顆粒的VLAN和IP網(wǎng)絡了，干脆創(chuàng)建一個大VLAN，應用的隔離通過PVLAN進行，這樣IP網(wǎng)絡的劃分問題也迎刃而解了。似乎一切都完美了。

還沒等網(wǎng)絡大師們喘上兩口氣，就發(fā)現(xiàn)這個方案似乎也行不通。#p#

首先，從技術角度，單個VLAN的規(guī)模是有限制的，由于大量生成樹節(jié)點的計算會對作為根節(jié)點的三層設備的CPU產生沖擊，通常一個二層網(wǎng)絡難以超過 2000臺服務器（包括虛擬機）的規(guī)模。這樣規(guī)模的網(wǎng)絡對云計算平臺來說太小，需要建設多個網(wǎng)絡模塊，整個數(shù)據(jù)中心的網(wǎng)絡結構的層次要增加，跨模塊的網(wǎng)絡性能又成為另外一個浮起的瓢。

其次，在服務器虛擬化的環(huán)境下，由于目前交換機還無法直接通過端口區(qū)分虛擬機，如果想使用PVLAN隔離虛擬機，服務器虛擬化平臺就必須支持PVLAN TRUNK，或者說母機內置的虛擬交換機必須支持PVLAN TRUNK。目前業(yè)界僅Cisco的Nexus1000v可以支持，但限于vmware平臺，而更受互聯(lián)網(wǎng)行業(yè)青睞的開源解決方案尚無蹤影。

前一個問題，即將出臺的IETF的Trill標準，或者現(xiàn)在業(yè)界已有的解決方案，如Cisco的Fabric Path，可以在某種程度上解決，但后一個問題，網(wǎng)絡大師們就無解了。

正當網(wǎng)絡大師們行將崩潰的時候，一根救命稻草飄然而至，那就是即將發(fā)布的IEEE的802.1Qbg、Qbh標準。不管Qbg和Qbh雙方如何爭相表明己方的優(yōu)勢，事實上兩者的最終目標是一致的，那就是要在接入交換機上通過虛擬端口的方式提供虛擬機在網(wǎng)絡端口層面上的感知。

于是，當Qbg和Qbh商用后，接入層交換機就可以使用PVLAN的手段進行業(yè)務隔離，不管是物理機還是虛擬機。

然而事情還沒結束，Qbg和Qbh并不是原有的交換機和服務器網(wǎng)卡所能支持的。交換機可以在建設數(shù)據(jù)中心時適當超前選擇hardware ready的設備，當標準出來軟件升級即可，甚至可以在原有數(shù)據(jù)中心更換接入層交換機?？墒欠掌鞯木W(wǎng)卡選擇并不是由網(wǎng)絡大師們確定的，互聯(lián)網(wǎng)企業(yè)定制的服務器要更換新型網(wǎng)卡也不是那么容易，更何況現(xiàn)存的大量服務器更換網(wǎng)卡幾乎不太可能。最重要的一點，目前沒有任何網(wǎng)絡設備廠商承諾Qbg和Qbh會有 PVLAN的特性支持，也許他們目前的重點是確保能夠成為標準之一，還顧不上這樣的細節(jié)。

終于，網(wǎng)絡大師兩眼一黑，昏倒在地。

3、VLAN+ACL卷土重來

網(wǎng)絡大師被速效救心丸救醒，因為云計算平臺正在建設中，網(wǎng)絡規(guī)劃不可缺少。

吸取了之前的經(jīng)驗和教訓，網(wǎng)絡大師們決定暫時拋開那些尚未發(fā)布的標準，立足于目前可用的技術。

于是，VLAN和IP網(wǎng)絡劃分又開始了，這次網(wǎng)絡大師們仍然決定做一個盡可能大的二層網(wǎng)絡，所不同的是，不再考慮PVLAN的隔離方式，而采用VLAN ACL的方式進行訪問控制實現(xiàn)隔離，虛擬機的母機和接入層交換機采用vlan trunk的方式連接。這樣現(xiàn)有的交換機和虛擬化平臺都可以支持，唯一需要新增加的，就是ACL管理的工具系統(tǒng)，這對于研發(fā)能力超強的互聯(lián)網(wǎng)企業(yè)，算是小菜一碟了。

還有一個對于網(wǎng)絡大師們是好消息的事情是，業(yè)界有些網(wǎng)絡設備廠商已經(jīng)開始支持基于標簽的訪問控制，比如Cisco的TrustSec，可以將訪問控制的矩陣規(guī)模極大的縮小，雖然需要新的網(wǎng)絡設備型號才能完全支持，但至少事情已經(jīng)在網(wǎng)絡大師們可控制的范圍內了。

網(wǎng)絡大師們興沖沖的帶著最新的方案去和業(yè)務部門研討，希望得到業(yè)務部門的支持，趕緊把ACL管理系統(tǒng)開發(fā)出來。

業(yè)務部門的一席話差點又讓網(wǎng)絡大師眼前一黑：“我們現(xiàn)在在服務器上用IPTables和Ptables做業(yè)務隔離，如果性能會不夠，再考慮別的方式”。