面向云計算的數(shù)據(jù)中心網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計研究

◆應(yīng)建軍

（浙江浙能天工信息科技有限公司 浙江 310000）

1 引言

從廣義上來說，云計算是一個計算資源池，其通過自動化軟件實現(xiàn)對資源的控制，屬于分布式計算的一個分支。云計算不是一門單純的技術(shù)，而是一個網(wǎng)絡(luò)應(yīng)用概念。云計算概念自2006年提出以來，引領(lǐng)了互聯(lián)網(wǎng)的第三次技術(shù)革命。近年來，云計算成為全球各大信息技術(shù)企業(yè)轉(zhuǎn)型和戰(zhàn)略布局的重點。與傳統(tǒng)的數(shù)據(jù)中心相比較，面向云計算的數(shù)據(jù)中心網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計需要考慮云計算的可擴展性、高靈活性、高性價比和網(wǎng)絡(luò)的安全穩(wěn)定性。只有在這些方面取得突破，才能使數(shù)據(jù)中心提供強大的網(wǎng)絡(luò)服務(wù)。

2 面向云計算的數(shù)據(jù)中心網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計原則

（1）可擴展性

面向云計算的數(shù)據(jù)中心網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計時首先要考慮其可擴展性。云計算本身屬于一個資源集合的范疇。當(dāng)大量用戶需要訪問云端的應(yīng)用時，數(shù)據(jù)中心的網(wǎng)絡(luò)支撐體系能夠快速增加，這有效避免了網(wǎng)絡(luò)阻塞現(xiàn)象的發(fā)生。同時結(jié)構(gòu)設(shè)計還需支持網(wǎng)絡(luò)的動態(tài)擴展，在原有設(shè)備不停機的狀態(tài)下對網(wǎng)絡(luò)設(shè)備進行擴容，并且不影響數(shù)據(jù)中心網(wǎng)絡(luò)的正常運行。

（2）可靠性

云計算數(shù)據(jù)中心匯聚了大量的應(yīng)用和數(shù)據(jù)，影響面較廣，對網(wǎng)絡(luò)可靠性和穩(wěn)定性要求較高。當(dāng)設(shè)備或者管理控制軟件發(fā)生故障時，云計算可以通過虛擬化技術(shù)，實現(xiàn)網(wǎng)絡(luò)的自動切換，保證云計算數(shù)據(jù)中心的可靠性。

（3）安全性

網(wǎng)絡(luò)安全越來越受到重視，面向云計算的數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境一般較為復(fù)雜，鏈路較多，目標(biāo)較大，易受到不法分子的攻擊。數(shù)據(jù)中心必須完善自身的網(wǎng)絡(luò)安全管理制度，做好網(wǎng)絡(luò)安全的頂層設(shè)計并嚴(yán)格執(zhí)行，才能提供更加優(yōu)質(zhì)的云計算服務(wù)。

（4）高效性

云計算數(shù)據(jù)中心的日常網(wǎng)絡(luò)吞吐量較大，對網(wǎng)絡(luò)的傳輸速率要求較高，這就要求數(shù)據(jù)中心在進行網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計時，需充分考慮合適的網(wǎng)絡(luò)調(diào)度算法和協(xié)議，以確保其在較長的運行時間中保持高效性。

（5）標(biāo)準(zhǔn)化

云計算數(shù)據(jù)中心網(wǎng)絡(luò)體系結(jié)構(gòu)中的物理設(shè)備均安裝在機房中，這就要求數(shù)據(jù)中心的物理設(shè)備亦需要實現(xiàn)標(biāo)準(zhǔn)化和模塊化，物理設(shè)備之間盡量能采用相同的通信協(xié)議，具有較高的兼容性，保障云計算數(shù)據(jù)中心的快速擴展能力。

3 網(wǎng)絡(luò)體系結(jié)構(gòu)的設(shè)計要點

（1）網(wǎng)絡(luò)體系結(jié)構(gòu)的拓?fù)湓O(shè)計

傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)一般采用三層網(wǎng)絡(luò)結(jié)構(gòu)，即核心層、匯聚層和接入層。這種結(jié)構(gòu)的網(wǎng)絡(luò)一旦出現(xiàn)核心層設(shè)備故障，有可能引起整個網(wǎng)絡(luò)的癱瘓。該網(wǎng)絡(luò)的可擴展性不足，一旦核心層和匯聚層設(shè)備端口不足，則難易擴展，同時在網(wǎng)絡(luò)流量增大時，沒有有效的應(yīng)對策略。面向云計算的數(shù)據(jù)中心網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)可以考慮FatTree 模式，采用型號相同的可編程交換機或者不同品牌參數(shù)接近、使用同種通信協(xié)議的可編程交換機，組成一種更大的交換網(wǎng)絡(luò)，使網(wǎng)絡(luò)的健壯性和可擴展性得到增加。這樣的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)同樣包含核心層、匯聚層和接入層，并且能夠確保每臺服務(wù)器上的網(wǎng)口可以以網(wǎng)絡(luò)上的最大帶寬進行數(shù)據(jù)的傳輸，而不受到傳統(tǒng)數(shù)據(jù)中心單網(wǎng)口鏈路網(wǎng)絡(luò)瓶頸的影響，其更適合每個應(yīng)用網(wǎng)絡(luò)流量波動較大的云計算數(shù)據(jù)中心。

（2）云計算網(wǎng)絡(luò)的構(gòu)建與管控機制

云計算數(shù)據(jù)中心的單臺物理服務(wù)器通常需要為多臺虛擬服務(wù)器提供運行環(huán)境。云計算網(wǎng)絡(luò)需要在物理服務(wù)器發(fā)生故障時，為虛擬服務(wù)器提供專門的遷移網(wǎng)絡(luò)。通常來說，云計算數(shù)據(jù)中心需要提供一種底層網(wǎng)絡(luò)的控制機制，對云計算數(shù)據(jù)中心的網(wǎng)絡(luò)進行分割，實現(xiàn)不同的虛擬網(wǎng)絡(luò)為不同的上層應(yīng)用或者虛擬機內(nèi)部管理提供可靠的網(wǎng)絡(luò)支持。一般將云計算數(shù)據(jù)中心的虛擬網(wǎng)絡(luò)劃分為應(yīng)用系統(tǒng)網(wǎng)絡(luò)、遷移網(wǎng)絡(luò)、數(shù)據(jù)存儲網(wǎng)絡(luò)和物理連接網(wǎng)絡(luò)。這里的物理連接網(wǎng)絡(luò)是指物理服務(wù)器與網(wǎng)絡(luò)硬件設(shè)備之間真實的物理鏈路。應(yīng)用系統(tǒng)網(wǎng)絡(luò)主要用于為云計算數(shù)據(jù)中心對外應(yīng)用提供網(wǎng)絡(luò)支持。而遷移網(wǎng)絡(luò)主要針對物理服務(wù)器發(fā)生故障時，為云計算網(wǎng)絡(luò)中的虛擬機提供遷移所用。此外還有數(shù)據(jù)存儲網(wǎng)絡(luò)，其主要用于與存儲設(shè)備相連接。當(dāng)然若云計算數(shù)據(jù)存儲采用分布式存儲模式，最好也使用單獨的存儲虛擬網(wǎng)絡(luò)，以達到最佳效果。

軟件定義網(wǎng)絡(luò)，簡稱SDN 網(wǎng)絡(luò)。其在面向云計算的數(shù)據(jù)中心網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計中得到了廣泛的應(yīng)用，它的本質(zhì)是實現(xiàn)網(wǎng)絡(luò)的虛擬化。SDN 網(wǎng)絡(luò)運用OpenFlow 核心技術(shù)，將云計算數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)從控制平面中分離并且進行開放性編程，實現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)可根據(jù)實際情況靈活控制，這有效地打破了傳統(tǒng)網(wǎng)絡(luò)的封閉性。SDN 網(wǎng)絡(luò)從上到下分為應(yīng)用平面、控制平面和數(shù)據(jù)平面。應(yīng)用平面是基于軟件定義網(wǎng)絡(luò)應(yīng)用的集合，此層的用戶不需要關(guān)心數(shù)據(jù)中心的底層網(wǎng)絡(luò)結(jié)構(gòu)，只需要通過編程來部署或修改具體的應(yīng)用；控制平面是整個軟件定義網(wǎng)絡(luò)的大腦，把控著數(shù)據(jù)中心全部網(wǎng)絡(luò)的信息和狀態(tài)，并控制著整個全局網(wǎng)絡(luò)的轉(zhuǎn)發(fā)規(guī)則；數(shù)據(jù)平面是整個數(shù)據(jù)中心網(wǎng)絡(luò)的硬件支撐，其他兩個平面均建立在它之上。這些設(shè)備之間通過不同的網(wǎng)絡(luò)協(xié)議或規(guī)則組建軟件定義網(wǎng)絡(luò)的鏈路。數(shù)據(jù)平面和控制平面之間采用統(tǒng)一的軟件定義網(wǎng)絡(luò)，控制數(shù)據(jù)平面接口進行通信。在控制器將轉(zhuǎn)發(fā)規(guī)則發(fā)送到下一個轉(zhuǎn)發(fā)設(shè)備的過程中，大多使用OpenFlow 協(xié)議。應(yīng)用平面與控制平面之間的通信協(xié)議則并非完全統(tǒng)一，但需要使用軟件定義網(wǎng)絡(luò)的北向接口。各應(yīng)用系統(tǒng)的管理員可定制開放自己的網(wǎng)絡(luò)應(yīng)用。

（3）云計算中虛擬機遷移的網(wǎng)絡(luò)支撐體系結(jié)構(gòu)設(shè)計

現(xiàn)在的云計算大多數(shù)采用開源系統(tǒng)，在系統(tǒng)的2、3 層之間增加一個代理與物理交換機協(xié)同工作的機制，即模擬出多個邏輯網(wǎng)絡(luò)，讓虛擬機中的代理與可編程交換機的控制平面進行參數(shù)的同步，最終實現(xiàn)對網(wǎng)絡(luò)帶寬資源以及控制參數(shù)的實時調(diào)整。這樣的運行機制能使不同的邏輯網(wǎng)絡(luò)運行不同的網(wǎng)絡(luò)協(xié)議，可以使云計算上的每個應(yīng)用實現(xiàn)定制化的網(wǎng)絡(luò)需求。2、3 層之間代理的另一個重要功能就是實現(xiàn)云計算數(shù)據(jù)中心應(yīng)用服務(wù)器的快速遷移。通過該代理的映射，可以阻斷應(yīng)用平面和數(shù)據(jù)平面MAC 地址之間的關(guān)聯(lián)。每臺虛擬機上的代理為自己的主機提供一個地址映射表，記錄MAC 地址和IP 地址之間的映射關(guān)系。每個虛擬機的代理之間能進行實時的數(shù)據(jù)傳輸，同步MAC地址與IP 地址之間映射關(guān)系的變化。當(dāng)云計算數(shù)據(jù)中心中的某臺物理服務(wù)器增加新的虛擬機時，該代理就會在代理通信網(wǎng)絡(luò)中廣播其MAC 地址和IP 地址之間的映射關(guān)系，各代理均會更新自己的映射表。在數(shù)據(jù)中心某臺物理服務(wù)器發(fā)生故障以后，云計算控制軟件會指揮虛擬機進行宿主機的遷移。遷移完成后，其代理會同步新的映射表至其他主機代理，這樣就能加快虛擬機恢復(fù)的時間，通常在不涉及應(yīng)用數(shù)據(jù)遷移的情況下，數(shù)秒內(nèi)就能完成遷移工作。

（4）云計算數(shù)據(jù)中心網(wǎng)絡(luò)中虛擬帶寬的分配機制設(shè)計

通常來說，在云計算數(shù)據(jù)中心網(wǎng)絡(luò)中，一般運用可編程的交換機實現(xiàn)對虛擬帶寬的分配，其原理是根據(jù)代理反饋的監(jiān)測數(shù)據(jù)和應(yīng)用的實際情況，協(xié)調(diào)和分配合理的虛擬帶寬資源。在云計算數(shù)據(jù)中心的每一臺可編輯交換機上部署一個負(fù)責(zé)分配網(wǎng)絡(luò)帶寬的邏輯單元，通過代理收集每臺虛擬機每個網(wǎng)絡(luò)端口的發(fā)送速率，通過相應(yīng)的算法實現(xiàn)帶寬的增減調(diào)配，達到合理分配數(shù)據(jù)中心網(wǎng)絡(luò)帶寬，實現(xiàn)保證數(shù)據(jù)中心網(wǎng)絡(luò)平穩(wěn)的目的。

（5）云計算數(shù)據(jù)中心網(wǎng)絡(luò)訪問控制權(quán)限機制設(shè)計

云計算數(shù)據(jù)中心承載了大量的應(yīng)用服務(wù)器，其網(wǎng)絡(luò)安全應(yīng)受到格外的重視，網(wǎng)絡(luò)訪問權(quán)限宜采用最小化的原則，即點對點的開通網(wǎng)絡(luò)服務(wù)端口。對于部分需要開放公網(wǎng)訪問的服務(wù)器，必須進行網(wǎng)絡(luò)安全的漏洞掃描，符合條件后方能正式對外開放。在云計算數(shù)據(jù)中心提供的PaaS、IaaS 和SaaS 服務(wù)中，應(yīng)充分考慮相關(guān)網(wǎng)絡(luò)安全制度的制定。對于網(wǎng)絡(luò)底層設(shè)備的管理員密碼、網(wǎng)絡(luò)控制臺管理密碼等，均應(yīng)遵循專人專管的原則，防止網(wǎng)絡(luò)訪問控制權(quán)限的擴大。同時需要限制每個網(wǎng)絡(luò)管理界面管理登錄的IP，最大限度的做好云計算數(shù)據(jù)中心網(wǎng)絡(luò)訪問控制權(quán)的限制。定期在數(shù)據(jù)中心內(nèi)部開展網(wǎng)絡(luò)訪問控制權(quán)限問題的排查，盡力避免云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全事故的發(fā)生。

4 結(jié)束語

綜上所述，云計算技術(shù)的普及對于數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)體系有了更高的要求，傳統(tǒng)的樹形網(wǎng)絡(luò)結(jié)構(gòu)已不能滿足云計算技術(shù)發(fā)展的需求。隨著軟件定義網(wǎng)絡(luò)等新型網(wǎng)絡(luò)技術(shù)的興起，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)可以為每臺虛擬機提供更多的網(wǎng)絡(luò)路徑和邏輯網(wǎng)絡(luò)接口，能更好的按照各種屬性將邏輯接口區(qū)分開來，真正實現(xiàn)基于應(yīng)用的定制化網(wǎng)絡(luò)。另外網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)能根據(jù)各類云計算服務(wù)的類型為數(shù)據(jù)中心的每個應(yīng)用提供合理的網(wǎng)絡(luò)帶寬分配策略，既能避免數(shù)據(jù)中心網(wǎng)絡(luò)帶寬的浪費，也能通過集約化的控制模式，讓應(yīng)用需要大容量網(wǎng)絡(luò)帶寬時得到及時的支援。相信在技術(shù)人員的不斷努力下，面向云計算的數(shù)據(jù)中心網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計會越來越完善，從而提供更加便捷、高效、穩(wěn)定、安全的服務(wù)。