基于SDN的虚拟私有云网络技术要求.pdf

版权声明 本 研究报告 版权属于中国通信标准化协会，并受法律保护。转载、摘编或利用其它方式使用本 研究报告 文字或者观点的，应注明“来源：中国通信标准化协会”。违反上述声明者，本协会将追究其相关法律责任。 研究报告要点 虚拟私有云 （ Virtual Private Cloud， VPC） 通过构建虚拟化网络来满足云计算服务中租户流量隔离、虚拟机部署 和 迁移 等功能 ， 以及安全策略实施对网络提出的灵活性、安全性的要求。 SDN架构及其相关技术为 VPC的实现提供了解决途径，能够实现网络高度虚拟化和灵活管控的需求。 本文首先重点介绍 了 VPC的服务需求，并介 绍了未 SDN化的 VPC和基于 SDN的 VPC的差异 ，接着 分析了 基于 SDN的 VPC标准化现状，之后依次从架构、功能、实现方案等方面进行了 阐述 ， 最后给 出了针对基于 SDN的 VPC行业标准未来发展 的 建议。 网 络与业务能力技术工作委员会（ TC3） 网络总体工作组（ WG1） 研究 单位： 中国联合网络通信集团有限公司，北京邮电大学 项目参加 人： 徐雷、郭玉华、刘江、贾宝军、熊微、黄韬、杨帆、谢人超 完成日期： 2018年 8月 29日 目录 1.范围 . 1 2.规范性引述文件 . 1 3.缩略语 . 1 4. 虚拟私有云网络 研究背景 . 2 4.1 VPC 的服务需求 . 2 4.2 基于 SDN 的 VPC 概述 . 3 4.2.1 VPC 概述 . 3 4.2.2 基于 SDN 实现的 VPC 概述 . 4 4.3 基于 SDN 的 VPC 标准化分析 . 5 4.3.1 VPC 标准化分析 . 5 4.3.2 SDN 标准化分析 . 5 5. 基于 SDN 的虚拟私有云网络功能分析 . 6 5.1 VPC 技术定义 . 6 5.2 VPC 架构 . 8 6. 基于 SDN 的虚拟私有云网络实现方式 . 12 7. 基于 SDN 的虚拟私有云未来研究方向 . 17 附录：现有 VPC 实现方案 . 18 附录一： AmazonVPC 方案 . 18 附录二：惠普 Helion 托管的 VPC . 21 附录三：圣何赛 SJC 企业虚拟私有云平台 . 22 1 基于 SDN 的虚拟私有云 网络 技术要求 1.范围 本研究报告对虚拟私有云网络 的 研究背景和挑战、架构、功能、现有实现方案、和基于 SDN的虚拟私有云网络实现方式等进行了研究，并对未来相关标准立项进行展望 ， 其中 不涉及计算资源和存储资源 。 本报告用于指导各类组织开展虚拟私有云网络规划和建设。 2.规范性引述文件 下列文件对于本文件的应用是必 不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 （ 1） ONF： TS-024 (2015)： OpenFlow Switch Specication v1.4.1 TS-023(2015)： OpenFlow Switch Specication v1.3.5 TR-502(2014)： SDN architecture v1.0 （ 2） ETSI： gs_NFV002v010201p： Architectural Framework 3.缩略语 下列缩略语适用于本 研究报告。 ACL Access Control List 访问控制列表 API Application Programming Interface 应用程序编程接口 ARP Address Resolution Protocol 地址解析协议 AWS Amazon Web Services 亚马逊网络服务系统 BGP Border Gateway Protocol 边界网关协议 CIDR Classless Inter-Domain Routing 无类别域间路由 DHCP Dynamic Host Configuration Protocol 动态主机配置协议 ECMP Equal-CostMultipathRouting 等价路由 IaaS Infrastructure as a Service 基础设施即服务 IDC Internet Data Center 互联网数据中心 IFMAP The Interface for Metadata Access Points 元数据接入点接口 MP-BGP Multiprotocol Extensions for BGP-4 BGP-4的多协议扩展 MPLSoverGRE Network Virtualization using Generic Routing Encapsulation and MPLS 利用 MPLS, GRE实现网络虚拟化 MPLSoverUDP Network Virtualization using UDP and MPLS 利用 MPLS, UDP实现网络虚拟化 NAT Network Address Translation 网络地址转换 NETCONF Network Configuration Protocol 网络配置协议 NFV Network Function Virtualization 网络功能虚拟化 2 NVGRE Network Virtualization using Generic Routing Encapsulation 利用 GRE实现网络虚拟化 OF-CONFIG The OpenFlow Management and Configuration Protocol OpenFlow管理配置协议 OVSDB Open vSwitch Database management protocol 软件交换机管理协议 QoS Quality of Service 服务质量 SDN Software Defined Network 软件定义网络 SOA Service-Oriented Architecture 面向服务的体系结构 VLAN Virtual Local Area Network 虚拟局域网 VM Virtual Machine 虚拟机 VPN Virtual Private Network 虚拟专用网络 VPC Virtual Private Cloud 虚拟私有云 VPS Virtual Private Service 虚拟私有服务 VXLAN Virtual Extensible LAN 虚拟可扩展局域网 XMPP Extensible Messaging and Presence Protocol 基于 XML的开放式即时通讯协议 4. 虚拟私有云网络研究背景 4.1 VPC 的服务需求 VPC 的服务 需求主要有以下几点： 用户网络隔离：不同用户的 VPC 网络之间相互隔离，保证用户的安全性。 用户的主机资源 池化 ：用户的主机包括虚拟机和物理机资源，这些主机资源在一个 VPC 内，保证了用户 资源的互通性。 同一个 VPC 内可划分子网： VPC 内部，用户可以根据自己的使用需要，划分不同的子网，并可以对 IP 地址进行自由规划。 为用户提供 Internet 访问功能：用户可以通过地址绑定或者 NAT 方式访问 Internet。 为用户提供 DHCP 服务：支持 DHCP server 功能，用户主机自动获取 IP 地址。 防火墙服务：提供虚拟或者物理防火墙，用户可以选择是否使用防火墙。 QoS 服务：根据用户业务流量优先级进行流量调度处理，对用户主机进行限速。 提供统计服务：对用户主机的网络流量进行统计，提供统计数据以及相关 的数据分析功能。 提供网络冗余功能：提供端口冗余、网关冗余、路由冗余、 VPN 冗余等高可用性功能。 允许虚拟机迁移：用户虚拟机可以自由迁移，并且迁移后网络策略自动跟随。 提供远程 VPN 接入功能：允许用户的私有网络和 VPC 网络互通，形成统一的网络资源池。 3 4.2 基于 SDN 的 VPC 概述 4.2.1 VPC 概述 云计算的大规模运营，给传统网络架构和传统应用部署都带来了挑战， 而 新一代网络 可以支撑这种巨型的计算服务， 但是 不论是技术革新还是架构变化，都需要服务于云计算的核心要求 ，即 动态、弹性、灵活，并实现网络部署的简捷 化。云计算平台中，虚拟机在物理服务器之间进行迁移，为了避免虚拟机迁移后路由的震荡和修改网络规划，迁移通常只在二层域进行，因此云计算平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。在传统的数据中心网络中，都是通过 STP+VRRP 的方式进行网络拓扑设计，但由于 STP+VRRP 的设计和维护都比较复杂，这种设计在很大程度上阻碍了其二层域的扩大，随着服务器的数量和网络设备的增多，这种网络设计方式将会变得无法实施。同时，虚拟机的迁移对网络的可用性要求也非常高，在 STP+VRRP 的组网中，如果链路出现故障， 其收敛时间都在秒级，增加了应用系统迁移的限制。通过分析云计算对传统网络基础架构带来的挑战，可以从两个方面来应对。一是通过构建高性能、高可靠的网络，从而 应对 云计算给网络带来的压力；二是通过构建虚拟化网络来满足云计算中由于虚拟机部署、迁移 、以及安全策略实施对网络提出的灵活性、安全性的要求。针对后一种方式，业界提出虚拟私有云概念（ VPC， Virtual Private Cloud） 。 VPC 的 主要思想是把原有的物理网络作为底层的网络通路，在此之上构建一层虚拟的网络，用来承载用户的业务数据 ， 从而 解决用户之间的隔离 问题以及用户业务对底层承载网络的相互影响问题 。对比原来提供的 VPS（ Virtual Private Service） 服务， VPC 可以提供更加完整的虚拟网络环境，例如用户可以对网络地址空间任意配置，方便用户 和 自建的私有云进行互连 等等 。 大型企业对数据的安全性有较高的要求，倾向于选择私有云方案。但为了进一步节省投资，企业也希望将部分非核心资源放到公有云上，将系统的内部能力与外部服务资源灵活地结合在一起，因此混合云能够为企业提供更加灵活的云计算解决方案。但是，采用混合云方案仍然存在私有云与公有云间，公有云与企业内 部资源间的互操作问题。因此采用虚拟私有云方案将是一种更具优势的基础架构，它即能提供私有云的安全性，又能向用户屏蔽复杂的异构云间的互操作。 VPC 可视作私有云与公有云的结合体，它在企业已有基础设施和公有云之间构筑起了一座安全、无缝的桥梁。 VPC 可以使用 公 有云为公众服务提供计算资源，具备公共属性，但同时又是私有4 的， 这 有两个原因： 1）企业资源与云端资源通过 虚拟专用网（ Virtual Private Network， VPN） 连接，使得云端资源依然遵守企业的安全规范，具备私有云的安全优点； 2）虽然公有云为 VPC 用户分 配的资源是专有的，但是对企业来说仍然只要“按需付费”即可。 VPC 跨越公有云和私有云，为业务提供无缝的、可管理的云计算环境。私有云部署企业关键应用和数据，外部 公 有云为企业提供可扩展的计算资源。企业内部私有云与外部 公 有云通过 VPN 连接，在提供跨地域的、高效的网络访问和资源间互联的同时，使得云端资源依然遵从企业的安全规则，从而具备私有云的安全优点。内部资源和外部可利用资源的结合，最大限度地提高了成本效益，并且保持了对整体 IT 基础架构的控制。 VPC 的主要应用场景包括云端安全隔离网络、多层应用部属架构、混合云应用场 景和虚实结合部署架构。 4.2.2 基于 SDN 实现的 VPC 概述 VPC 的实现 要求网络的虚拟化和灵活管控， SDN（ Software Defined Network） 架构及相关技术的提出为这 个 问题的解决提供了途径。 SDN 是由 开放网络基金（ ONF， Open Networking Foundation）提出的一种新型网络创新架构，通过 斯坦福大学提出的 OpenFlow 及其他 相关 协议将网络设备控制面和转发面分离开来，实现网络流量的集中式 灵活控制，为网络及应用的创新提供了良好的平台。 目前， 借助 SDN 技术实现可 灵活 管 控 的 VPC，已经成为现代云数据中心的趋势。 云端安全隔离网络 ， 基于 SDN 的集中管理，可以实现快速的网络映射，为用户提供私有网络。通过在云计算资源池中为不同租户创建不同的 VPC，用 SDN 的方式为每个 VPC 划分独立的网络地址空间，控制 VPC 之间网络隔离 ， 从而在云计算资源池中把多个租户隔离起 来 ，保证租户资源的安全性。 多层应用部属架构 ， 通过 SDN 的逻辑集中控制策略创建 VPC，将 WEB 服务器和数据库服务器划分在不同的 VPC 子网中。其中， WEB 服务器所在的网络中实现互联网访问，而数据库服务器只能通过内网访问，保护数据库服务 器的安全。并能为子网添加 ACL 规则实现子网的访问控制 。 混合云应用场景 ， VPC 允许通过 Site to Site VPN 的方式在企业内部数据中心与 VPC 内私有网络之间建立通信隧道，企业用户可方便地使用云端的云主机、块存储等资源，从而实现企业的混合云架构， 这样即 降低了企业 IT 运维成本，又不用担心企业核心数据的扩散。采用 SDN 技术搭建混合云网络可大大缩短网络创建周期，提高网络业务管理的自动化程度，降低运营成本。 虚实结合部署架构 ， 将数据库服务器部署在企业侧， Web 服务器和应用服务器部署在 VPC 中，5 通过 IPsecVPN 建立隧道进行双方通信。利用 SDN 技术的软件可定义化特性，使得 VPC 中的服务器可以利用云主机的弹性扩展功能实现 Web 应用的自动缩放，同时还能保证业务数据在企业的数据中心 中 ，提高数据的安全性。 4.3 基于 SDN 的 VPC 标准化 分析 4.3.1 VPC 标准化分析 在云计算的基础架构领域， VPC 执行 了数据中心 、 交换机和路由器这三项工作， 允许用户掌控自己的虚拟专用网络，并通过安全组功能提高网络安全性。 VPC 既可以 通过公网 IP 连接到公网上，也可以通过 VPN 与传统数据中心互联，实现应用向云端的平滑演进 。 基于 现有强大功 能， VPC 对于动态资源调配 、 转发 表空间、 虚机 迁移 、 物理 与逻辑网络隔离 和 转发 路径 优化 等 问题提出了 严峻 要求 。 现有 VPC 标准化研究较少， 处于起步阶段，主要是为了应对各云、网服务提供商采用不同技术手段和模型自行建设的问题， 期望通过标准化 实现一定程度上的 规格 统一，为将来的互联 、 互通 、互操作奠定基础。 相关技术研究方面 已 有 初步 立项 ： IETF NVO3 工作组，针对 Overlay 技术 进行 研究， 发布 RFC 7364（ Overlay for Network Virtualization）。规范化虚拟网络在 物理 underlay 网络或者虚拟 overlay 网络 中 的使用 。 针对 BGP/MPLS IP VPNs 技术 ， 支持 重叠 IP 地址，如用户端设备既可以使用公有 IP 地址也 可以使用 私有 IP 地址，多个 VPN 使用同一个 IP 地址空间，支持重叠VPN，即一个边缘站点可以同时属于多个 VPN。 针对 BGP/MPLS Ethernet VPNs 技术 ， 采用 BGP/MPLS协议 ，在控制平面分发租户的 MAC 地址和 MPLS 标签 ，用来 和服务 实例 相关联， 允许 以可控方式建立租户之间的互连 ，实提高 多租户环境下的服务 优势。针对 代理移动 IP 技术 ， 通过 通用路由封装(Generic Routing Encapsulation， GRE)字段 ，支持多租户 环境 下 系统正常 运行 。 IETF NVO3 工作组随后分别发布了 RFC7365 和 RFC8014，这两个文件 是规范了覆盖 3 层上的虚拟网络的架构，是 对 RFC7364 进行了更深一步的研究。 4.3.2 SDN 标准化分析 SDN 技术发展过程 以网络运营商与 IT 产业为主的 ONF 组织是主要的推动者， ONF 不定期地发布技术报告与技术白皮书，制定相关的标准规范并进行组织测试。主要的研究成果为定义基本架构、6 OpenFlow 标准、配置与管理协议。将 SDN 网络架构划 分为应用层、控制层、基础设施层，改变传统网络设备的转发与控制层的行为。作为控制层标准的 OpenFlow，截至为止，已从 1.0 版升级到 1.6版。 SDN 得以顺利的推动，一方面来自通讯设备商和通讯服务运营商的配合，设备厂商和运营商希望利用 SDN 获得 API，让网络设备得以进行控制的特性，针对 IDC 和云端应用服务进行 SDN 网络的部署，同时也在寻找 SDN 在云端网络和通讯网路未来的应用发展方向，期望使用者得以获得最佳服务层级的存取行为。 Cisco 于 2012 年发布 ONE，作为 SDN 战略发展方向基础，在 IOS、 IOS-XR 和 NX-OS三大平台上提供全面的开发工具套件 onePK，允许开发人员具有发现、感知和控制网络资源的能力，从而实现应用程序和网络基础设施等功能。 Cisco ONE 架构计划兼容多项开放协议和程序语言，并分阶段在 Cisco 的软硬件设备上推出。另外， OpenFlow 也是 ONE 架构兼容的协议之一。 。 5. 基于 SDN 的虚拟私有云网络功能分析 5.1 VPC 技术定义 业界还没有对 VPC 进行准确统一的定义，都是根据自身对 VPC 技术的理解而加以阐述。 Reuven Cohen 最早在 2008 年 5 月其发表的一篇博文中提出 VPC 理念。他指出，虚拟私有服务器（ virtual private server） 是利用虚拟服务器 软件 （如微软的 Virtual Server、 VMware 的 ESX server）在一台物理服务器上创建多个相互隔离的小服务器。 在过去的几年中 ，虚拟私有服务器技术已经成为网络托管领域的事实上的方法之一。但正如所有通用的技术一样，虚拟私有服务器技术也存在许多局限性。在迁移、安全保证、调整以及计划 VPS 过程中都困难重重。因此，为了解决这一实际问题， Reuven Cohen 提出了虚拟私有云的理念 。他认为， VPC 是一种将公共计算资源（例如 EC2）划分为相互隔离的虚拟基础设施的方法。 VPC 能对远程资源和本地资源进行封装，其主要作为一个计算资源整合的桥接，使得本地资源能安全地将远程计算资源纳入其中而形成全局性的计算基础设施。 同时， Reuven Cohen 还指出， VPC 的核心是虚拟私有网络 VPN 或者虚拟局域网 VLAN，因为在这两者内部，链接是通过虚拟交换机进行编码和承载。 VPC 技术能实现虚拟机到云端以及物理机到云端的迁移，凭借从传统主机向云端的无缝迁移，只需要少许接口或者不需要接口，同时不影响服务器绩效。 Timothy Wood 在其发表的论文 The Case for Enterprise-Ready Virtual Private Cloud中指出：虚拟私有云 VPC 是云计算资源与虚拟私有网络 VPN 的融合，此种无缝融合能为用户提供一种云计算