2016年6月2日,“2016全球sdnfv技術大會”進入了第二天。作為連續舉辦三屆的sdn/nfv技術與産業盛會,本屆大會着眼于sdn/nfv的實踐應用與部署,從sdn/nfv在營運商網絡、企業網、雲資料中心、測試解決方案等多個場景的應用出發,深入解析産業部署現狀及面臨的挑戰與發展趨勢。
雲杉網絡創始人兼ceo 亓亞烜
于2011年成立的雲杉網絡是一個非常年輕的公司,但是其緊跟sdn發展趨勢,并與網絡安全相結合,此次,雲杉網絡創始人兼ceo亓亞烜所帶來的主題演講就關乎于此,題為“用sdn打造安全可控的雲資料中心網絡”。實際上,雲杉網絡的創世團隊就主要來自于清華大學和國際上著名的網絡廠商,是以,可以說雲杉網絡是具有sdn的基因的,現在雲杉網絡的核心産品是雲杉nsp網絡服務平台,能為企業資料中心提供網絡虛拟化、網絡安全和網絡監控等軟體定義網絡的服務。那麼近期雲杉網絡又在sdn方面有那些新的實踐呢,讓我們一起來聽一下亓亞烜的介紹。
以下為演講實錄:(以下内容根據現場速記整理,未經發言嘉賓确認,僅供參考,謝絕轉載。)
亓亞烜:大家好,我是最早在清華大學做openflow相關的研究,說說年頭,從openflow第一個(英)開始到今年差不多10年了,從一開始接觸openflow,到今天這個會場上這麼多高品質的讨論,其實我是蠻感觸的。因為最早的時候,比如說2006,2007年的時候我們做openflow,就是純學術圈的做法,怎麼能夠在那麼多元組的情況下能夠把包快速的比對,快速的扔出晶片,後來到了2009,2010年的時候,這時候美國已經開始有了sdn的初創公司,(英)他們把openflow做了商業化,也開發了(英),同年也出現了很多sdn的公司,我們作為一個從高校出來的創業團隊,在2001年底成立了中國第一家sdn的軟體公司。在這個過程中,可以看到,2011年,2012年的時候,其實那時候召開一次sdn大會,人數是這麼多的,那時候為什麼有這麼多人呢?裡邊可能有一半是學生,是博士生。
後來在2012,2013,2014年這幾年裡邊可能看到有各式各樣的sdn大會在中國和美國召開,我在中國看到的情況人數一開始越來越多,但是後來越來越少,曾經有一次sdn的大會,我看會場可能坐了不到一半人,基本上是廠商,在這個過程中大家也都有一些疑問,一個産業能否成熟,他從最早的openflow引來這麼多的質疑,到後來谷歌開始用了,但是沒有使用者,這是很大的問題。到了今天可以其實在座的諸位裡邊很多就是使用者,一會我可以看到大家都會來分享自己使用sdn的經驗。到了今天sdn才真正的開始落地,開始成熟地這是一個非常好的機遇。我也有幸見證并且參與了整個過去10年裡邊sdn的前前後後。
那麼今天,我來講講雲杉網絡在sdn裡面的一些小小的貢獻。我們主要,因為我是來自清華大學網絡安全實驗室,我們另外的創始人,也都是做防火牆和網絡安全出身的。我們最早把sdn的技術用在安全領域中,我們在2011年也發表過一系列的論文。openflow最早的論文也是要解決校園網的安全問題。通過網絡的靈活排程,來解決(英)的問題等等。其實到了今天,10年過去了,這個網絡本身的管道的排程和路徑的排程,其實已經比較成熟了,已經有各種各樣的協定,可以看到,這個後面的這個灰色的部分,包括vswitch,這些東西都是當年讨論的熱點,但是在今天其實這些東西都已經成熟了。(英)這邊也有各個廠商提出了一系列的(英),我們都可以用了,其實作在最熱火的是什麼呢?其實聽到資料的這塊我很想聽他分享一下,可是時間不夠,我接着講這塊的創新的點,因為我們也在這裡邊找到了真正的價值所在,在2011年的時候,當時(英)這家公司,他們說到了一個詞,就是說,(英),是以就網絡虛拟化這一個(英),我們讨論了好多好多年,裡邊讨論了各種各樣的協定。但是呢,到了今天,網絡虛拟化,我看至少進的會上很少有人在談了。我們今天會議上讨論的都是安全,都是應用,都是廣域網的東西,在這裡邊我們雲杉主要專注的是網絡安全和監控這方面的東西,我們用到了openflow,用到了sdn,也用到了很多資料分析的東西,今天分享給大家。
到了2016年别的不用說了,因為使用者越來越多了,是以這個時候是大家來開發sdn應用的時候,而不是讨論底下的基礎怎麼建設的問題了。sdn的應用場景,大的應用場景其實我看就是兩個,這兩個場景裡邊已經比較成熟,或者說有很多的廠商已經進來了。一個就是資料中心内部的,還有一個資料中心之間的dci,或者是sdn1這邊的東西,雲杉主要是在dcn這邊解決資料中心網絡的安全可控的問題。那問題在哪兒?dcn裡邊,以前業務都是一個一個的,煙囪式的獨立的業務,這個時候給每個業務安裝上防火牆就好了。現在就可以保證業務之間的邊界是明确的。可是發展到現在這個時候,你會發現dcn裡面可能隻有一個業務,裡面還有很多很多多租戶的東西。他需要多大的防火牆能防護住他?他對防火牆的要求還是像以前,還是要按需的提供整個dcn的邊界的防護,這是一個問題。
cloud裡面有多租戶的問題,這些租戶之間怎麼去保護,是裡面布滿防火牆呢?這些防火牆是不是影響到cloud本身的運作,這些問題怎麼去解決,這都是以前在傳統的業務中沒有出現的問題。第二個問題,就是同樣是業務多元化了,資料中心多元化了之後,會發現這個網絡的拓撲結構是至少這樣,甚至會更複雜,怎麼做監控?是說以前,剛才張總也提到(英)可以到處做(英),他會需要多少的分流器去做?當然現在也有很多的(英)方式,但是面臨這樣的一個架構,我們怎麼去把它做的更好?怎麼能夠看清楚整個雲裡邊的所有的流量的特性?是以現在不叫采樣,現在叫全流量分析,怎麼做到這一點?如果你不做到這一點,你就分不清裡面租戶的應用,你就無法解決運維的問題。雲杉我們的産品相對簡單純粹,我們的産品是什麼呢?是一個網絡的服務的平台,這個平台就建構在标準的x86的伺服器,以及現在很多廠商都可以提供的sdn的交換機上,隻要你支援基本的openflow,我們都可以建構這個平台,這個平台本身他的結構是一個雲化的結構,可以無限的拓展,這個平台裡面的核心技術是什麼呢?這是雲占自己這麼多年積累的deepflow的東西,deepflow是什麼呢?就是不光有每一個流的統計資訊,同時還有這個流的應用的資訊,同時還有這個流的很多的動态資訊,這些資訊的采集和分析處理,我們是用底層的雲計算來完成的,同時這裡邊有一系列的算法和硬體加速的東西在裡邊。有了這個東西之後,上層的安全和監控基本上就是,對着一堆流一堆資料做開發了,是以這是一個大資料的根基的東西,我們讓使用者能夠控制全網的流量。
同時,能夠把全網的流量的現在和曆史全部記錄下來。那麼在這個之上再去開發sdn的(英)會變得非常的簡單。具體的形态就是這樣,這兩個平台其實合在一起,我們最早的産品也是合在一起,但是實際上,在資料中心的部署過程中我們會發現合在一起,有很多的問題。尤其是當雲變大了之後,合在一起會出現管理上的很多問題,因為雲現在已經開始分化了,計算會有專門的資源池,然後資料庫會有專門的資源池,網絡也有專門的資源池,他就是提供專門的nfv的網絡。在雲杉提出的網絡的服務平台nfv的架構中其實看到他的本身的架構就是一個雲的架構,但是這個雲向外提供的是安全和監控的服務,而不是虛拟機和存儲的服務,這是網絡專用的雲,他可以無限可拓展,他可以按需提供服務,他的裝置就是基于标準的sdn的交換機,以及标準的x86伺服器。有了這個就可以建構一系列的應用,雲杉已經建構了很多應用,幫助使用者解決診斷的問題,解決統計分析的問題,同時我們還內建了第三方的應用,把他們的nfv放到裡邊我們可以用一個vnf,一個兩個g的防火牆提供給使用者。中間的(英)怎麼做?那麼當使用者對防火牆的性能有需求的時候,他就可以按需的購買,而不需要買一大堆硬體的盒子買在那裡,這隻是一個例子,監控什麼都是一樣的,我們把所有的網絡服務雲化了。
這幾個例子幾乎跟資料相關,我們說資料很重要,它到底怎麼解決問題?我想舉的第一個例子,就是(英),就是給雲裡面的每一個業務,都能提供一個按需所要的防火牆,mps等等這樣的服務,但是僅僅提供這樣的服務就ok了嗎?資料本身的流量如何随着業務的變化而變化?這是關鍵問題,而不僅僅隻是給他提供一個(英),我舉一個真實的案例,在一個大型的(英)他是跑網際網路視訊的業務的,他有三百多業務系統,每一個業務系統的分支他并不知道,哪個業務系統那時候會怎麼樣,他一開始用三百個業務系統過一個大型的防火牆,但是當個别的業務系統的峰值很高的時候這個防火牆會承載不住,防火牆會間歇系統性的降低吞吐,會影響其他三百個業務,這時候這樣的問題怎麼解決,最後的解決方法把防火牆撤了,如果撤掉防火牆,這是不合規的,如果出了問題,這是資料中心的it運維者會受到很大的挑戰。
我們怎麼解決的?我們把防火牆的能力放在一個資料中心裡面,搭建了一個由數十台伺服器以及幾台交換機構成的一個東西,平時這些伺服器也可以做别的用途,你可以跑雲,可以做别的事兒,但是有别的大的事兒的時候,你可以按需向這個平台裡面增加伺服器,就可以有新的(英),向上呈現出來的是一個從2g到200g,甚至我們可以做到300多g,目前可以做到300多個的單一防火牆的吞吐能力,是以有了這個之後,這個(英)才變得可用,否則他隻是一個紙面上的東西,他不能承受真實業務系統的壓力。
第二個,我們可以做到對不管是南北流量和東西流量,我們都可以做到非常高性能的分析,這是怎麼做到的呢?這裡邊其實是包分類的問題,是一個計算幾何的問題,他通過在x86裡面插入一段代碼,以及用到(英)的機制,我們可以做到,比現有的net(英)的開源版本快一百倍的性能。可以做幾百g的流量的資訊采集,有了流量資訊采集之後,就可以解決很多很多很有意思的問題。比如說我們曾經幫着使用者解決這麼一個問題,在一個雲裡邊,他用大概五千多個虛拟機,這個虛拟機裡邊,經常因為某些虛拟機中木馬,導緻機器不正常,當他中木馬的時候,他會發起dos攻擊,當他開始發作的時候,他的行為有可能影響到(英)。這時候,網管人員就非常疼痛,我已知我的5千個虛拟機裡面有若幹個木馬,我怎麼能把它抓出來,這個問題大家都可以想想怎麼去回答這個問題,一個最直接的選擇,我給每一個主機上裝上防木馬的軟體不就好了嗎?但是首先第一個問題,那些使用者讓不讓你裝,那是第一個問題,因為你是多租戶的系統,那些應用不是你自己的。第二個那個軟體得适配多少個作業系統,怎麼維護?第三個,如果你的軟體出問題,這算誰的事兒?你會影響到使用者,你會占他的cpu資源,這個問題怎麼解,還有一種解法,我給每一個虛拟機或者每一個業務,都裝上一個ids這樣的東西,這又要消耗多少資源,5千個虛拟機。我們怎麼做的?因為有這樣的流量采集資訊,而且他是(英)的采集,他可以把過去一年的整個流量的統計資訊拉出來,拉出來之後,隻要一個虛拟機中木馬,他在過去一年裡邊肯定發作過,他就有他的行為印記在那裡,即使他現在不發作,我隻需要一個幾行大資料分析的指令我就可以找出那個虛拟機是有問題的。這時候你的代價就小很多了,因為木馬在發作的時候,有可能在一分鐘之内,在某些端口發了幾十個包,如果你采樣,你可能隻采一個包,那你不能認為它是木馬,大資料的作用在這裡,能讓你做海底撈針的事兒。
有了資料之後我們的存儲量是多少,我們現在标準化的産品是可以存2千一條的deepflow的資料,我們跟客戶交流,在他們的系統中和他們雲的架構中,他們是幾百個節點的服務,corver,他一年的平台是沒有問題的。是以我可以講講有了這個資料,還能解決一個什麼問題?解決一個非常好玩的問題。使用者時不時會來投訴你,我硬碟上的資料不見了,這到底是你的問題,還是我的問題,這個問題怎麼解決,你就需要把他投訴的時間點的所有的流量拿出來給他看,我們曾經解決過很多這樣的問題,一個使用者說,我的磁盤上的資料不見了,我們問他說你什麼時候不見的,他說一個禮拜前,一個禮拜,監控他看不到這麼久的資料的,我們告訴他在23點零幾分的時候有一個美國的ip,3389通路了你持續了幾分鐘,如果有,那不是資料中心的問題,這個使用者查了他自己的日志,确實是這樣的,這樣的話,使用者會覺得你的服務特别的專業,但是這個專業的背後的代價是資料的采集和分析。
是以像nsp這樣的産品,他是非常标準化的産品,他座落在你的雲或者資料中心旁邊的一組用軟體跑在x86和sdn交換機上的平台,這個平台可以無限的可拓展,他的資料量分析能力非常強,而且他裡面還有很多的nfa的功能可以幫助你。
我們的平台的合作,也是經過這麼多年,也感謝在座很多的合作夥伴以及我們的客戶,非常感謝大家,能支援雲杉的發展,在這裡面我們的硬體平台,我們跟最好的這些硬體廠商都已經建立了很好的合作關系,應用的合作夥伴更是非常豐富,有雲的合作夥伴,也有安全的合作夥伴。在管道合作夥伴這邊我們也會跟管道一起來推廣,在各行各業裡面深耕做網絡的安全和網絡的分析。
簡單總結一下就是,在2011年,過去的5年裡邊,我們談網絡虛拟化,談各種各樣的虛拟的東西,談各種各樣的協定。現在我覺得應該停止這樣的讨論了。或者說這樣的讨論,沒有太多實際價值,現在的價值是說怎麼用sdn來解決問題,sdn的應用誰來寫,誰能寫好sdn的應用,會就有未來的機會。對網絡的管理和運維如果變成對資料的管理和運維,他的參與的難度會變得很低,各行各業的專業人士都可以通過網絡的資料解決問題。當參與的人變多的時候這個産業就真正的繁榮起來,真正有大的價值,而不僅僅隻是幾個高手天天華山論劍,這個并不能代表整個産品和行業的繁榮發展,謝謝大家!
原文釋出時間為:2016年06月02日
本文作者:楊昀煦
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。