計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)，奠定了當(dāng)今云計(jì)算格局的三足鼎立之勢(shì)。

計(jì)算通過(guò)虛擬化CPU、Disk、Memory等硬件來(lái)獲得高效的應(yīng)用;存儲(chǔ)通過(guò)諸如Glusterfs、Ceph等分布式文件系統(tǒng)，提供了眾多特性的功能。而相對(duì)于，計(jì)算和存儲(chǔ)兩方面的成熟與穩(wěn)定，網(wǎng)絡(luò)一直以其在穩(wěn)定、效率、設(shè)計(jì)等方面，而備受人們愛(ài)之、痛之。

隨著物聯(lián)網(wǎng)和云計(jì)算的蓬勃發(fā)展，網(wǎng)絡(luò)作為信息傳輸?shù)臉蛄?，其地位和重要性只?huì)愈加凸顯。從另一種角度而言，鑒于Neutron的整個(gè)生態(tài)環(huán)境。這里我們將扼要淺析OpenStack Neutron中的那些前沿技術(shù)，或者說(shuō)是非主流技術(shù)，從某種角度而言，它們代表了虛擬網(wǎng)絡(luò)服務(wù)的一些發(fā)展趨勢(shì)。

一、OpenvSwitchOVN項(xiàng)目

OVS團(tuán)隊(duì)于2015年1月推出了C語(yǔ)言?xún)A向的OVN項(xiàng)目，由VMWARE公司主導(dǎo)，旨在提高基于OpenvSwitch的OpenStack網(wǎng)絡(luò)方案的擴(kuò)展性和易用性。

OVN體系架構(gòu)，如下圖所示：

該項(xiàng)目用于給OVS這款在OpenStack項(xiàng)目中廣泛使用的虛擬交換機(jī)引入一個(gè)輕量級(jí)的控制平面，即類(lèi)似于SDN控制器，致力于提高基于OVS的OpenStack網(wǎng)絡(luò)方案的擴(kuò)展性和易用性，同時(shí)也為分布式路由等走捷徑似的轉(zhuǎn)發(fā)提供了可能性。

OpenvSwitch OVN項(xiàng)目將租戶(hù)的概念引入了OVS，正式向neutron方向發(fā)展。提供對(duì)L2/L3網(wǎng)絡(luò)虛擬化的支持。從目前的趨勢(shì)來(lái)看，neutron及 openstack最好的歸宿就是將精力集中于微內(nèi)核，提供北向REST API建立生態(tài)圈，擴(kuò)展的Service實(shí)現(xiàn)可以由第三方公司自己來(lái)做。

點(diǎn)擊參看更加詳盡的PDF資料。

二、SDN Controller

典型的，SDN控制器的核心是實(shí)現(xiàn)集中控制平面(注：難道分布式控制不好嗎，為什么很多人一直在強(qiáng)調(diào)集中控制呢，這不是與SDN東西向擴(kuò)展理念背道而馳嗎?大家如何看待呢!)和數(shù)據(jù)轉(zhuǎn)發(fā)平面的相分離。這里強(qiáng)調(diào)兩個(gè)，控制器和交換機(jī)的接口——我們叫做南向接口;另一個(gè)是往上的北向接口。

SDN的核心理念有三個(gè)，第一個(gè)控制和轉(zhuǎn)發(fā)分離，第二個(gè)集中控制，第三個(gè)開(kāi)放的API——網(wǎng)絡(luò)可編程。

OpenStack平臺(tái)中應(yīng)用的SDN技術(shù)已經(jīng)成為了云環(huán)境中的網(wǎng)絡(luò)支柱，OpenStack的Neutron本身作為一個(gè)SDN網(wǎng)絡(luò)控制系統(tǒng)，在網(wǎng)絡(luò)配置方面提供了一種自服務(wù)能力，用戶(hù)可以創(chuàng)建自己的網(wǎng)絡(luò)并控制流量，實(shí)現(xiàn)連接服務(wù)器和設(shè)備到一個(gè)或多個(gè)網(wǎng)絡(luò)。基于Neutron的SDN技術(shù)，OpenStack網(wǎng)絡(luò)實(shí)現(xiàn)了一個(gè)可擴(kuò)展的框架，并能部署和管理多種網(wǎng)絡(luò)服務(wù)，如入侵檢測(cè)系統(tǒng)(IDS)，負(fù)載均衡，防火墻和虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)等。

SDN技術(shù)在云計(jì)算中的核心作用不言而喻，鑒于當(dāng)前業(yè)界SDN控制器如此繁多，這里，我們僅羅列出與openstack Neutron相關(guān)聯(lián)的開(kāi)源控制器來(lái)。

主要有：OpenContrail、ONOS、Floodlight、Ryu、OpenDaylight項(xiàng)目等，它們都有各自的特點(diǎn)。關(guān)于這些控制器的具體講解，不在本文范疇內(nèi)，請(qǐng)按需Google之。

值得注意的是，SDN中除了大名鼎鼎的OpenFlow協(xié)議之外，還有用于解決控制平面路由及計(jì)算的Routeflow協(xié)議。

三、Neutron DVR

相比較于其他一些前沿的非主流技術(shù)，DVR(分布式虛擬路由)應(yīng)該算是玩家們所耳熟的一個(gè)項(xiàng)目了。為什么說(shuō)是耳熟，而非能手呢。即在于，大部分人是通過(guò)看理論資料來(lái)認(rèn)識(shí)它的，從實(shí)踐角度參與的人可真不多。

從實(shí)用主義角度而言，它也是一種非主流技術(shù)，且顯得太過(guò)于復(fù)雜。但由于，DVR本身作為社區(qū)為Neutron開(kāi)發(fā)的一個(gè)子項(xiàng)目，這里，我們不能不提及。

需要特別指出的是，由于DVR是三層的路由轉(zhuǎn)換服務(wù)，所以?xún)H適用于VXLAN、GRE等網(wǎng)絡(luò)模式場(chǎng)景中，而VLAN等并不適用。

DVR的核心作用是，通過(guò)Neutron的東西向橫向流量擴(kuò)展，將L3-Agent同時(shí)分布于網(wǎng)絡(luò)節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)上，減輕網(wǎng)絡(luò)節(jié)點(diǎn)的L3性能瓶頸/流量集中，實(shí)現(xiàn)負(fù)載均衡等。并通過(guò)其他第三方軟件，來(lái)實(shí)現(xiàn)L3 Agent的高可用。

當(dāng)某個(gè)租戶(hù)建立了一個(gè)路由的時(shí)候，如果某臺(tái)主機(jī)上存在其路由所連接子網(wǎng)的虛機(jī)，那么這臺(tái)主機(jī)上就會(huì)建立一個(gè)路由。所有的東西向流量都會(huì)由這個(gè)路由進(jìn)行轉(zhuǎn)發(fā)而不是通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行轉(zhuǎn)發(fā)。如果虛擬機(jī)有浮動(dòng)IP的話，所有的南北向流量也會(huì)由這個(gè)路由器進(jìn)行轉(zhuǎn)發(fā)而不是由網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行轉(zhuǎn)發(fā)。只有沒(méi)有浮動(dòng)IP的虛機(jī)訪問(wèn)外網(wǎng)的時(shí)候，會(huì)通過(guò)SNAT走網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行轉(zhuǎn)發(fā)。

通過(guò)使用 DVR，三層的轉(zhuǎn)發(fā)和 NAT 功能都會(huì)被分布到計(jì)算節(jié)點(diǎn)上，這意味著計(jì)算節(jié)點(diǎn)也有了網(wǎng)絡(luò)節(jié)點(diǎn)的功能。但是，DVR 依然不能消除集中式的 Virtual Router，這是為了節(jié)省寶貴的 IPV4 公網(wǎng)地址，所以依然將 SNAT 放在網(wǎng)絡(luò)節(jié)點(diǎn)上提供。這樣，計(jì)算和網(wǎng)絡(luò)節(jié)點(diǎn)就看起來(lái)如下：

網(wǎng)絡(luò)節(jié)點(diǎn)：提供南-北 SNAT，即在不使用浮動(dòng) IP 時(shí)，虛機(jī)訪問(wèn)外網(wǎng)的網(wǎng)絡(luò)得經(jīng)過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)。也就是說(shuō)，網(wǎng)絡(luò)節(jié)點(diǎn)依然必須走傳統(tǒng)的 HA 解決方法，比如 VRRP 和PeaceMaker。

計(jì)算節(jié)點(diǎn)：提供南-北 DNAT，即外網(wǎng)訪問(wèn)虛機(jī)的網(wǎng)絡(luò)流量得經(jīng)過(guò)計(jì)算節(jié)點(diǎn);以及東-西轉(zhuǎn)發(fā)，即虛機(jī)之間的網(wǎng)絡(luò)經(jīng)過(guò)計(jì)算節(jié)點(diǎn)。因?yàn)樗杏?jì)算節(jié)點(diǎn)的參與，這部分的網(wǎng)絡(luò)負(fù)載也就自然地被均衡了。

點(diǎn)擊參看更加詳盡的DVR資料。

#p#

四、Dragonflow

Dragonflow作為Neutron最新的子項(xiàng)目之一，由華為以色列技術(shù)團(tuán)隊(duì)提出，于2015年開(kāi)始提交代碼，目前已經(jīng)成為OpenStack的孵化項(xiàng)目。

Dragonflow和DVR，倒是像一對(duì)近親。從設(shè)計(jì)和理念等角度而言，都與DVR極為相似，可以說(shuō)，Dragonflow是DVR的升級(jí)版或補(bǔ)充版。

Dragonflow的設(shè)計(jì)比較符合一個(gè)標(biāo)準(zhǔn)的Neutron擴(kuò)展，通過(guò)Plugin來(lái)實(shí)現(xiàn)API，通過(guò)L2 Agent和L3 Agent分別實(shí)現(xiàn)功能。

在Dragonflow模式中，Service的實(shí)現(xiàn)方式是一樣的(service plugin)。它把Network節(jié)點(diǎn)由單純的網(wǎng)絡(luò)節(jié)點(diǎn)(走SNAT流量)改成了Neutron Controller Agent。Neutron Controller Agent相當(dāng)于傳統(tǒng)SDN方案的網(wǎng)絡(luò)控制器，更準(zhǔn)確的說(shuō)是三層的SDN控制器。計(jì)算節(jié)點(diǎn)上跑的還是L2 Agent。在原來(lái)DVR的模式下，網(wǎng)絡(luò)節(jié)點(diǎn)要跑L3 Agent，現(xiàn)在就不需要了。Dragonflow改成了純粹用OpenFLow去控制三層流量的方式。

Dragonflow實(shí)現(xiàn)了Neutron的L3 Service API，還為Neutron提供了分布式虛擬路由器功能。從設(shè)計(jì)理念上講，Dragonflow使用的是可插入式無(wú)狀態(tài)化輕量級(jí)SDN控制器，實(shí)現(xiàn)了租戶(hù)子網(wǎng)間(東-西)流量的完全分布化，避開(kāi)了網(wǎng)絡(luò)節(jié)點(diǎn)，減小了故障域，避免單點(diǎn)故障。

按照Dragonflow的設(shè)計(jì)理念，它可以提升OpenStack Neutron L3的可擴(kuò)展性、性能和可靠性。它可以支持?jǐn)?shù)千個(gè)計(jì)算節(jié)點(diǎn)，為實(shí)現(xiàn)動(dòng)態(tài)增長(zhǎng)而保持控制器的無(wú)狀態(tài)化，沒(méi)有中央瓶頸，通過(guò)避免使用iptables和命名空間減少計(jì)算節(jié)點(diǎn)開(kāi)銷(xiāo)。

點(diǎn)擊參看更加詳盡的dragonflow資料。

五、OpenContrail

OpenContrail是由瞻博網(wǎng)絡(luò)公司開(kāi)源的網(wǎng)絡(luò)虛擬化和智能化解決方案，包含所有用于創(chuàng)建虛擬覆蓋網(wǎng)絡(luò)的組件：SDN控制器、vRouter 和分析引擎。當(dāng)進(jìn)行網(wǎng)絡(luò)配置時(shí)，Contrail是連接物理網(wǎng)絡(luò)與虛擬環(huán)境、配置底層服務(wù)、減少時(shí)間、降低成本和風(fēng)險(xiǎn)的一種簡(jiǎn)便方法。

和VMware NSX相似的是，OpenContrail對(duì)通用路由封裝(GRE)或虛擬可擴(kuò)展局域網(wǎng)(VXLAN)技術(shù)提供了技術(shù)支撐。另一方面，OpenContrail也和NSX方案一樣能夠控制網(wǎng)絡(luò)設(shè)備硬件。兩個(gè)平臺(tái)方案的根本區(qū)別在于兩者與編排系統(tǒng)的連接方式。OpenContrail 被設(shè)計(jì)為能夠在OpenStack云管理平臺(tái)上工作，而NSX是和Vmware的云自動(dòng)化中心(vCAC)相連。

值得注意的是，OpenContrail通過(guò)一種分布式哈希表(DHT)NoSQL方式來(lái)訪問(wèn)數(shù)據(jù)庫(kù)以防止單點(diǎn)失敗。

OpenContrail系統(tǒng)由兩個(gè)主要部件組成：OpenContrail控制器和OpenContrail虛擬路由器

OpenContrailvRouter(虛擬路由器)是一個(gè)轉(zhuǎn)發(fā)平面(或者是分布部署的路由器)，運(yùn)行在虛擬服務(wù)器的hypervisor，將一個(gè)數(shù)據(jù)中心的物理路由器和交換機(jī)擴(kuò)展成一個(gè)虛擬的overlay網(wǎng)絡(luò)，OpenContrail虛擬路由器從概念上和開(kāi)源的OVS很像，但是他會(huì)提供路由以及更高層的服務(wù)(使用vRouter替代vSwitch)。

OpenContrail控制器提供了系統(tǒng)的邏輯集中控制平面和管理平面，并且協(xié)調(diào)管理vRouter。該控制器是一個(gè)邏輯上集中但是物理上分布的SDN控制器，為虛擬網(wǎng)絡(luò)提供管理、控制和分析功能。

點(diǎn)擊參看更詳盡的OpenContrail資料。

六、Midonet

MidoNet項(xiàng)目由日本Midokura公司開(kāi)源，MidoNet是一款網(wǎng)絡(luò)虛擬化軟件，其基于底層物理設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化，具有分布式、分散、多層次的特點(diǎn)。主要作為OpenStack系統(tǒng)中的默認(rèn)網(wǎng)絡(luò)組件，提供虛擬網(wǎng)絡(luò)解決方案，為云平臺(tái)如OpenStack服務(wù)。MidoNet是類(lèi)似于 OpenContrail, Neutron DVR, DragonFlow, OVN的SDN產(chǎn)品

Midonet網(wǎng)絡(luò)解決方案，實(shí)現(xiàn)了很多企業(yè)級(jí)的特性，比如BGP的支持、Tunnel Zone、DoS抵御隔離的支持等。

Midonet充分借助了已有成熟的分布式軟件降低自己本身的復(fù)雜性，而且只使用了OpenvSwitch的Datapath模塊，使轉(zhuǎn)發(fā)和控制更加靈活，不失為一個(gè)好的設(shè)計(jì)。但是其企業(yè)級(jí)服務(wù)還需要定制，對(duì)社區(qū)的部分高級(jí)功能也支持有限，這也是它的缺點(diǎn)。

Midokura沒(méi)有開(kāi)源MidoNet GUI部分的代碼。而GUI將作為企業(yè)版MidoNet的一部分。企業(yè)版MidoNet(MEM，Midokura Enterprise MidoNet)包括了MidoNet管理工具和集成了VMware的vSphere技術(shù)及第三方管理工具，此外還包括OpenStack發(fā)行認(rèn)證等服務(wù)和支持等。

點(diǎn)擊參看更詳盡的資料。

七、結(jié)語(yǔ)

基于眾所周知的原因，在生產(chǎn)環(huán)境上，基于上訴技術(shù)的使用，大多仍處于研究階段。

眾多的廠商舉著擁抱開(kāi)源、擁抱OpenStack的旗幟，同時(shí)提供自己的產(chǎn)品，進(jìn)行盈利。一方面因?yàn)槔娴姆制?，?dǎo)致了Neutron的發(fā)展顯得相對(duì)混亂，遲滯了其規(guī)范化、協(xié)調(diào)發(fā)展。另一方面，通過(guò)提供開(kāi)源或商用產(chǎn)品，也為OpenStack的虛擬網(wǎng)絡(luò)服務(wù)，提供了更多的選擇和發(fā)展。

作者簡(jiǎn)介：

徐超：2015——至今，任職于九州云信息科技有限公司(上海)，從事OpenStack相關(guān)工作。個(gè)人傾向于研究OpenStack、SDN和Docker。

原文鏈接：http://www.sdnlab.com/13691.html