3.3.2 服務鍊
網絡服務可能由源端、目的端和一組中間互連 VNF構成,這些 VNF用于處理從源端到目的端的資料流。我們通常稱其為服務鍊(中央)。VNF的這種連結可能産生于許多場景中,例如,基于網絡服務 [ 該服務根據虛拟化網絡功能轉發圖(VNF-FG,VirtualizedNetworkFunctionForwardingGraph)進行設計 ] 的連結、基于使用者政策/服務的連結。可以在服務鍊中定義若幹種 VNF,服務鍊包括 3.1.3節中定義的主機和中間盒VNF。
中間盒可以改變資料流量。例如,防火牆可以丢棄資料分組,或者應用網關可以根據流量類型更改路徑。NAT功能可以對資料分組進行修改。是以,對于每個資料分組來說,服務鍊取代了用于實作互聯功能的傳統布線,但它不一定能支配所有 VF上的端到端流量。
服務鍊不是一種新概念。多年來,我們一直将服務提供商網絡中的功能聯系在一起,現有架構面臨的挑戰是這些鍊是靜态的,并由裝置間安裝的實體線纜來決定。目前的關鍵差別是這些鍊可以在軟體中進行定義,并使用 NFVI内的 SDN功能來實作。它支援服務的按需部署,在這種部署場景中,需要實作多個功能實體之間互聯以提供端到端服務。例如,考慮将安全服務引入企業VPN或将 VPN擴充到雲服務提供商。目前,存在着 AT&TFlexware和 Netbond服務支援的兩項功能。
圖 3.8描繪了可以通過一系列實體功能來定義的服務鍊執行個體。
圖3.8實體服務鍊
當這些功能成為 NFVI上的虛拟功能(VF)時,它們之間的連接配接可以在軟體中進行定義,并由 SDN基礎設施進行控制。NFVI上的服務鍊如圖 3.9所示,我們将在第 4章中對其進行詳細介紹。
圖3.9NFVI上的服務鍊
服務鍊需要功能實體之間的連接配接,這些功能實體可以分布在不同網段和不同伺服器上,甚至可以位于不同實體位置。為了在功能之間提供下一跳連接配接,需要用到疊加網絡。傳統的以太網、MPLS和 IP網絡提供了服務提供商網絡的基礎單層網絡,它可以基于靜态配置和IP靜态尋址建構。為了将兩個或多個 VNF連接配接在一起,我們需要使用可以實時定義的 VNF虛拟位址,以及一種能夠在單層網絡頂部來引導或封裝流量的方法。這有助于将網絡服務與單層網絡基礎架構分離開來。傳統上,疊加可以采用通用路由封裝(GRE,GenericRoutingEncapsulation)或加密 IPSec隧道完成,但這些需要顯式配置,一般通過 CLI代碼來實作。像 MPLS這樣的 VPN技術提供了一種支援采用諸如 BGP這樣的路由協定進行隧道傳輸的方法,但即使這樣,傳統上仍需要對這些協定進行顯式配置。在 SDN環境中,這需要通過集中式 SDN控制器進行實時執行個體化。MPLS仍然是一種極富吸引力的疊加技術,因為它依賴于動态路由協定,該協定充分考慮到彈性架構的 建立問題。VNF可以成對進行部署,具有雙主機或主—備配置。在這種配置中,我們可以采用快速恢複和分段路由(Segment Routing)技術。