網絡虛拟化-雲計算-虛拟網絡基礎架構-軟體定義網絡(SDN)-控制器

雲概述

雲計算涉及通過網絡連接配接的大量計算機，這些網絡可以實體地位于任何地方。提供商嚴重依賴虛拟化來提供其雲計算服務。雲計算可以通過更有效地使用資源來降低營運成本。雲計算解決了各種資料管理問題：

• 支援随時随地通路組織資料
• 通過僅訂閱所需的服務來簡化組織的IT營運
• 消除或減少對現場IT裝置，維護和管理的需求
• 降低裝置，能源，實體工廠要求和人員教育訓練需求的成本
• 快速響應不斷增長的資料量要求

雲計算及其“按需付費”模型使組織可以将計算和存儲費用更多地視為一種實用工具，而不必投資基礎架構。資本支出轉換為營運支出。

雲服務

雲服務有多種選擇，可以滿足客戶需求。美國國家标準技術研究院（NIST）在其特殊出版物800-145中定義的三種主要雲計算服務如下：

• 軟體即服務（SaaS） -雲提供商負責通路通過Internet傳遞的應用程式和服務，例如電子郵件，通信和Office 365。除了有限的特定于使用者的應用程式設定外，使用者不管理雲服務的任何方面。使用者隻需要提供他們的資料。
• 平台即服務（PaaS） -雲提供商負責向使用者提供對用于傳遞應用程式的開發工具和服務的通路權限。這些使用者通常是程式員，并且可以控制雲提供商的應用程式托管環境的配置設定。
• 基礎架構即服務（IaaS） -雲提供商負責為IT經理提供對網絡裝置，虛拟化網絡服務和支援網絡基礎架構的通路權限。使用此雲服務使IT經理可以部署和運作軟體代碼，其中包括作業系統和應用程式。

雲服務提供商已經擴充了該模型，進而也為每個雲計算服務（ITaaS）提供了IT支援，如圖所示。對于企業而言，ITaaS可以擴充網絡的功能，而無需投資新的基礎架構，教育訓練新的人員或許可新的軟體。這些服務可按需提供，并且經濟地傳遞到世界上任何地方的任何裝置，而不會影響安全性或功能。

雲模型

• 公有雲 -公有雲中提供的基于雲的應用程式和服務可用于一般人群。服務可以是免費的，也可以按使用付費的模式提供，例如為線上存儲付費。公共雲使用Internet提供服務。
• 私有雲 -私有雲中提供的基于雲的應用程式和服務旨在用于特定組織或實體，例如政府。可以使用組織的專用網絡來建立私有雲，盡管建構和維護成本可能很高。私有雲還可以由具有嚴格通路安全性的外部組織來管理。
• 混合雲 -混合雲由兩個或多個雲組成（例如：部分私有，部分公共），其中每個部分仍然是一個單獨的對象，但是兩者都使用單個架構連接配接。混合雲上的個人将能夠基于使用者通路權限對各種服務進行通路。
• 社群雲 -建立社群雲以供特定社群專用。公共雲和社群雲之間的差異是為社群定制的功能需求。例如，醫療保健組織必須遵守要求特殊認證和機密性的政策和法律（例如，HIPAA）。

雲計算與資料中心

資料中心和雲計算的術語經常被錯誤地使用。這些是資料中心和雲計算的正确定義：

• 資料中心：通常是由内部IT部門營運或租用的異地資料存儲和處理設施。

• 雲計算：通常是一種場外服務，可按需通路共享的可配置計算資源池。可以以最少的管理工作量快速配置和釋放這些資源。

  資料中心是滿足雲計算服務的計算，網絡和存儲需求的實體設施。雲服務提供商使用資料中心托管其雲服務和基于雲的資源。

資料中心可以占用建築物的一個房間，一個或多個樓層或整個建築物。資料中心的建構和維護通常非常昂貴。是以，隻有大型組織才能使用私有資料中心來存儲其資料并向使用者提供服務。負擔不起維護自己的私有資料中心的小型組織可以通過從雲中的大型資料中心組織租用伺服器和存儲服務來降低總體擁有成本。

雲計算與虛拟化

術語“雲計算”和“虛拟化”通常可以互換使用；但是，它們的含義不同。虛拟化是雲計算的基礎。沒有它，就不可能實作雲計算，因為它是最廣泛實施的。

虛拟化将作業系統（OS）與硬體分開。各種提供商都提供了可以根據需要動态配置伺服器的虛拟雲服務。例如，Amazon Web Services（AWS）為客戶提供了一種簡單的方式來動态配置其所需的計算資源。這些伺服器虛拟化執行個體是按需建立的。如圖所示，網絡管理者可以從AWS管理控制台部署各種服務，包括虛拟機，Web應用程式，虛拟伺服器以及與IoT裝置的連接配接。

專用伺服器

要完全了解虛拟化，首先必須了解伺服器技術的一些曆史。曆史上，企業伺服器由安裝在特定硬體上的伺服器作業系統（例如Windows Server或Linux Server）組成，如圖所示。伺服器的所有RAM，處理能力和硬碟驅動器空間都專用于所提供的服務（例如，Web，電子郵件服務等）。

此配置的主要問題是，當元件發生故障時，此伺服器提供的服務将不可用。這被稱為單點故障。另一個問題是專用伺服器未得到充分利用。專用伺服器通常長時間閑置，直到需要傳遞它們提供的特定服務為止。這些伺服器浪費了能源，占用的空間比所提供的服務數量所保證的要多。這稱為伺服器蔓延。

伺服器虛拟化

伺服器虛拟化利用空閑資源并整合了所需伺服器的數量。這也允許在單個硬體平台上存在多個作業系統。

例如，在圖中，之前的八個專用伺服器已使用管理程式整合為兩個伺服器，以支援作業系統的多個虛拟執行個體。

虛拟化的使用通常包括備援以防止單點故障。備援可以以不同的方式實作。如果虛拟機管理程式發生故障，則可以在另一個虛拟機管理程式上重新啟動VM。同樣，同一台VM可以同時在兩個虛拟機管理程式上運作，在它們之間複制RAM和CPU指令。如果一個虛拟機監控程式發生故障，則VM會繼續在另一虛拟機監控程式上運作。在VM上運作的服務也是虛拟的，可以根據需要動态安裝或解除安裝。

系統管理程式是在實體硬體之上添加抽象層的程式，固件或硬體。抽象層用于建立虛拟機，這些虛拟機可以通路實體機的所有硬體，例如CPU，記憶體，磁盤控制器和NIC。這些虛拟機均運作完整的獨立作業系統。通過虛拟化，企業現在可以合并所需的伺服器數量。例如，将100台實體伺服器整合為使用管理程式的10台實體伺服器之上的虛拟機的情況并不少見。

虛拟化的優勢

虛拟化的一大優勢是總體上降低了成本：

• 所需裝置更少 -虛拟化支援伺服器整合，這需要更少的實體伺服器，更少的網絡裝置和更少的支援基礎架構。這也意味着更低的維護成本。
• 消耗的能源更少 -整合伺服器可以降低每月的電源和散熱成本。減少的消耗量有助于企業實作較小的碳足迹。
• 所需空間更少 -通過虛拟化進行伺服器整合可減少資料中心的總體占地面積。更少的伺服器，網絡裝置和機架減少了所需的占地面積。

虛拟化的其他好處：

• 簡化原型制作 -在隔離的網絡上運作的獨立實驗室可以快速建立，用于測試和原型化網絡部署。如果出錯，管理者可以簡單地恢複到以前的版本。測試環境可以線上，但與最終使用者隔離。測試完成後，可以将伺服器和系統部署到最終使用者。

• 更快的伺服器配置 -建立虛拟伺服器比配置實體伺服器快得多。

  增加伺服器正常運作時間 -大多數伺服器虛拟化平台現在提供進階備援容錯功能，例如實時遷移，存儲遷移，高可用性和分布式資源排程。

• 改進的災難恢複 -虛拟化提供了先進的業務連續性解決方案。它提供了硬體抽象功能，是以恢複站點不再需要具有與生産環境中的硬體相同的硬體。大多數企業伺服器虛拟化平台還具有可在災難發生之前幫助測試和自動化故障轉移的軟體。
• 傳統支援 -虛拟化可以延長作業系統和應用程式的壽命，為組織提供更多時間遷移到較新的解決方案。

抽象層

為了幫助解釋虛拟化的工作原理，它有助于在計算機體系結構中使用抽象層。計算機系統由以下抽象層組成，如圖所示：

• 服務
• 作業系統
• 固件
• 硬體

  

  在這些抽象層的每一層，某些類型的程式設計代碼都用作下一層與上一層之間的接口。例如，C程式設計語言通常用于對通路硬體的固件進行程式設計。

圖中顯示了一個虛拟化示例。系統管理程式安裝在固件和作業系統之間。系統管理程式可以支援多個作業系統執行個體。

二類管理程式

二類虛拟機管理程式是用于建立和運作VM執行個體的軟體。系統管理程式在其上支援一個或多個VM的計算機是一台主機。第2類管理程式也稱為托管管理程式。這是因為系統管理程式安裝在現有OS（例如macOS，Windows或Linux）的頂部。然後，将一個或多個其他OS執行個體安裝在虛拟機管理程式的頂部，如圖所示。

Type 2虛拟機管理程式在消費者和嘗試虛拟化的組織中非常受歡迎。常見的2類管理程式包括：

• VMware workstation
• Oracle VM

一類管理程式

類型1管理程式也稱為“裸機”方法，因為管理程式直接安裝在硬體上。類型1虛拟機管理程式通常用于企業伺服器和資料中心網絡裝置。

對于類型1虛拟機管理程式，虛拟機管理程式直接安裝在伺服器或網絡硬體上。然後，在虛拟機管理程式上安裝OS執行個體，如圖所示。類型1虛拟機管理程式可以直接通路硬體資源。是以，它們比托管體系結構更有效。Type 1虛拟機管理程式改善了可伸縮性，性能和健壯性。

在虛拟機監控程式上安裝VM

安裝類型1虛拟機管理程式并重新開機伺服器後，僅顯示基本資訊，例如OS版本，RAM數量和IP位址。無法從該螢幕建立OS執行個體。第1類管理程式需要一個“管理控制台”來管理管理程式。管理軟體用于使用同一管理程式管理多個伺服器。管理控制台可以自動整合伺服器，并根據需要打開或關閉伺服器電源。

例如，假設圖中的伺服器1的資源不足。為了使更多資源可用，網絡管理者使用管理控制台将Windows執行個體移至伺服器2上的管理程式。還可以使用将自動觸發移動的門檻值對管理控制台進行程式設計。

管理控制台可從硬體故障中恢複。如果伺服器元件發生故障，管理控制台會自動将VM移至另一台伺服器。圖中顯示了Cisco統一計算系統（UCS）管理器的管理控制台。Cisco UCS Manager控制多個伺服器并管理數千個VM的資源。

一些管理控制台還允許伺服器過度配置設定。過度配置設定是指安裝多個OS執行個體，但是它們的記憶體配置設定超過了伺服器擁有的記憶體總量。例如，一台伺服器具有16 GB的RAM，但是管理者建立了四個OS執行個體，每個執行個體配置設定了10 GB的RAM。這種類型的過度配置設定是一種常見的做法，因為所有四個OS執行個體很少在任何時刻都需要完整的10 GB RAM。

網絡虛拟化的複雜性

伺服器虛拟化對伺服器使用者隐藏了伺服器資源，例如實體伺服器，處理器和作業系統的數量和身份。如果資料中心正在使用傳統的網絡體系結構，則這種做法可能會産生問題。

例如，必須将VM使用的虛拟LAN（VLAN）配置設定給與運作管理程式的實體伺服器相同的交換機端口。但是，VM是可移動的，并且網絡管理者必須能夠添加，删除和更改網絡資源和配置檔案。對于傳統的網絡交換機，此過程将是手動的，并且非常耗時。

另一個問題是流量與傳統的用戶端-伺服器模型有很大的不同。通常，資料中心在虛拟伺服器（例如，圖中所示的UCS伺服器）之間交換大量流量。這些流量稱為東西向流量，其位置和強度會随時間而變化。南北流量發生在分布層和核心層之間，通常是發往異地位置的流量，例如另一個資料中心，其他雲提供商或網際網路。

該圖說明了在虛拟伺服器之間交換的資料中心中的南北向和東西向流量。該圖顯示了分支拓撲。頂部是标記為異地的雲。從異地分支是在核心層的兩個防火牆路由器。路由器在分布層通過備援鍊路分支到兩個Nexus交換機。異地，路由器和交換機被标記為南北流量。從分布層交換機分支出的是在接入層具有備援鍊路的四個Nexus交換機。每個通路層交換機都有三個連結，分别連接配接到獨立的UCS伺服器。在拓撲的底部，水準向左和向右移動的箭頭标記為東西向交通。

動态變化的流量需要靈活的網絡資源管理方法。現有的網絡基礎架構可以通過使用單個流的服務品質（QoS）和安全級别配置來響應與流管理有關的變化需求。但是，在使用多供應商裝置的大型企業中，每次啟用新的VM時，必要的重新配置都會非常耗時。

網絡基礎架構也可以從虛拟化中受益。網絡功能可以虛拟化。每個網絡裝置都可以劃分為多個作為獨立裝置運作的虛拟裝置。示例包括子接口，虛拟接口，VLAN和路由表。虛拟路由稱為虛拟路由和轉發（VRF）。

網絡如何虛拟化？

軟體定義的網絡(SDN)

控制平面和資料平面

網絡裝置包含以下平面：

• 控制平面 -通常被視為裝置的大腦。它用于制定轉發決策。控制平面包含第2層和第3層路由轉發機制，例如路由協定鄰居表和拓撲表，IPv4和IPv6路由表，STP和ARP表。發送到控制平面的資訊由CPU處理。
• 資料平面 -也稱為轉發平面，該平面通常是連接配接裝置上各種網絡端口的交換結構。每個裝置的資料平面用于轉發流量。路由器和交換機使用來自控制平面的資訊将傳入流量轉發出适當的出口接口。資料平面中的資訊通常由特殊的資料平面處理器處理，而不會涉及CPU。

第3層交換機上的本地控制與SDN中的集中控制器之間的差別：

• 該圖說明了思科快速轉發（CEF）如何使用控制平面和資料平面來處理資料包。

  CEF是一項進階的第3層IP交換技術​​，使資料包轉發可以在資料平面進行而無需咨詢控制平面。在CEF中，控制平面的路由表會在資料平面中預填充CEF轉發資訊庫（FIB）表。控制平面的ARP表會預先填充鄰接表。然後，資料平面根據FIB和鄰接表中包含的資訊直接轉發資料包，而無需在控制平面中查詢該資訊。

  

• SDN基本上是控制平面和資料平面的分離。如圖所示，控制平面功能已從每個裝置中删除，并由集中控制器執行。集中控制器将控制平面功能傳達給每個裝置。現在，每個裝置都可以專注于轉發資料，而集中控制器則可以管理資料流，提高安全性并提供其他服務。

  

網絡虛拟化技術

十多年前，VMware開發了一種虛拟化技術，使主機作業系統能夠支援一個或多個用戶端作業系統。現在，大多數虛拟化技術都基于該技術。專用伺服器到虛拟伺服器的轉換已被接受，并正在資料中心和企業網絡中快速實施。

已經開發出兩種主要的網絡體系結構來支援網絡虛拟化：

• 軟體定義網絡（SDN） -虛拟化網絡的網絡體系結構，為網絡管理和管理提供了一種新方法，旨在簡化和簡化管理過程。

• 思科以應用為中心的基礎架構（ACI） -一種專用于內建雲計算和資料中心管理的硬體解決方案。

  SDN的元件可能包括以下内容：

• OpenFlow-這種方法是由斯坦福大學開發的，用于管理路由器，交換機，無線接入點和控制器之間的流量。OpenFlow協定是建構SDN解決方案的基本要素。搜尋OpenFlow和開放網絡基金會以擷取更多資訊。
• OpenStack-這種方法是一種虛拟化和編排平台，旨在建構可擴充的雲環境并提供IaaS解決方案。OpenStack通常與Cisco ACI一起使用。網絡中的編排是指自動配置網絡元件（例如伺服器，儲存設備，交換機，路由器和應用程式）的過程。搜尋OpenStack以擷取更多資訊。
• 其他元件 -其他元件包括路由系統接口（I2RS），大量連結的透明互連（TRILL），Cisco FabricPath（FP）和IEEE 802.1aq最短路徑橋接（SPB）。

傳統和SDN架構

在傳統的路由器或交換機體系結構中，控制平面和資料平面功能發生在同一裝置中。路由決策和資料包轉發是裝置作業系統的責任。在SDN中，控制平面的管理已移至集中式SDN控制器。該圖比較了傳統架構和SDN架構。

SDN控制器是一個邏輯實體，使網絡管理者可以管理和訓示交換機和路由器的資料平面應如何處理網絡流量。它協調，中介并促進了應用程式和網絡元素之間的通信。

完整的SDN架構如圖所示。請注意在SDN架構内使用應用程式程式設計接口（API）。API是一組标準化的請求，它們定義了應用程式從另一個應用程式請求服務的正确方式。SDN控制器使用北向API與上遊應用程式進行通信。這些API可幫助網絡管理者調整流量并部署服務。SDN控制器還使用向南的API定義下遊交換機和路由器上資料平面的行為。OpenFlow是最初廣泛使用的南向API。

控制器

SDN控制器和操作

SDN控制器定義集中式控制平面與各個路由器和交換機上的資料平面之間的資料流。

每個通過網絡的流都必須首先獲得SDN控制器的許可，該SDN控制器根據網絡政策驗證是否允許通信。如果控制器允許流，它将為該流計算一條路由，并在該路徑上的每個交換機中為該流添加一個條目。

所有複雜功能均由控制器執行。控制器填充流表。交換機管理流表。在圖中，SDN控制器使用OpenFlow協定與與OpenFlow相容的交換機進行通信。該協定使用傳輸層安全性（TLS）來通過網絡安全地發送控制平面通信。每個OpenFlow交換機都連接配接到其他OpenFlow交換機。它們還可以連接配接到作為包流一部分的最終使用者裝置。

在每個交換機中，使用以硬體或固件實作的一系清單來管理通過交換機的資料包流。對于交換機而言，流是與流表中的特定條目比對的一系列資料包。

上圖中顯示的三種表類型如下：

• 流表 -此表将傳入的資料包與特定流進行比對，并指定要在資料包上執行的功能。可能有多個以流水線方式運作的流表。
• 組表 -流表可以将流定向到組表，這可能會觸發影響一個或多個流的各種操作
• 計量表 -該表觸發流上與性能相關的各種操作，包括對流量進行速率限制的能力。

ACI的核心元件

實際上，很少有組織願意使用SDN工具對網絡進行程式設計。但是，大多數組織希望實作網絡自動化，加速應用程式部署以及調整其IT基礎架構以更好地滿足業務需求。思科開發了以應用程式為中心的基礎架構（ACI），以實作比早期SDN方法更先進，更創新的方式。

思科ACI是用于內建雲計算和資料中心管理的硬體解決方案。在較進階别上，網絡的政策元素已從資料平面中删除。這簡化了資料中心網絡的建立方式。

這些是ACI體系結構的三個核心元件：

• 應用程式網絡配置檔案（ANP） -ANP是端點組（EPG），它們的連接配接以及定義這些連接配接的政策的集合。圖中顯示的EPG，例如VLAN，Web服務和應用程式，僅是示例。ANP通常要複雜得多。
• 應用程式政策基礎結構控制器（APIC） -APIC被認為是ACI體系結構的大腦。APIC是集中式軟體控制器，用于管理和操作可伸縮的ACI叢集結構。它旨在實作可程式設計性和集中管理。它将應用程式政策轉換為網絡程式設計。
• Cisco Nexus 9000系列交換機 -這些交換機提供了應用程式感覺的交換結構，并與APIC一起管理虛拟和實體網絡基礎架構。

  

脊葉拓撲

如圖所示，Cisco ACI架構由APIC和使用兩層書脊葉拓撲的Cisco Nexus 9000系列交換機組成。葉片開關始終附在棘刺上，但它們從未互相附接。類似地，主幹交換機僅連接配接到分支交換機和核心交換機（未顯示）。在這種兩層拓撲結構中，一切都是一跳。

網絡中的Cisco APIC和所有其他裝置實體連接配接到葉子交換機。

與SDN相比，APIC控制器不會直接操縱資料路徑。相反，APIC集中了政策定義，并根據定義的政策對葉交換機進行程式設計，以轉發流量。

SDN類型

1. 基于控制器的SDN

在這種SDN中，裝置可由裝置本身或網絡中的伺服器上運作的應用程式程式設計，如圖所示。Cisco OnePK是基于裝置的SDN的示例。它使程式員能夠使用C和Java與Python來建構應用程式，以與Cisco裝置內建并與之互動。

2. 基于控制器的SDN

如圖所示，這種類型的SDN使用一個集中控制器，該控制器了解網絡中的所有裝置。這些應用程式可以與負責管理裝置并操縱整個網絡流量的控制器進行互動。思科Open SDN控制器是OpenDaylight的商業發行版。

3. 基于政策的SDN

這種SDN類似于基于控制器的SDN，其中集中式控制器具有網絡中所有裝置的視圖，如圖所示。基于政策的SDN包括一個在更高抽象層運作的附加政策層。它使用内置的應用程式，這些應用程式通過指導的工作流程和使用者友好的GUI自動執行進階配置任務。不需要程式設計技能。Cisco APIC-EM是此類SDN的示例。

APIC-EM功能

每種類型的SDN都有其自身的功能和優勢。基于政策的SDN最強大，它提供了一種簡單的機制來控制和管理整個網絡中的政策。

Cisco APIC-EM是基于政策的SDN的示例。Cisco APIC-EM提供了用于網絡管理的單一接口，包括：

• 發現和通路裝置和主機清單，
• 檢視拓撲（如圖所示），
• 追蹤端點之間的路徑，以及
• 制定政策。

  

APIC-EM路徑跟蹤

APIC-EM路徑跟蹤工具使管理者可以輕松地可視化流量并發現任何沖突，重複或陰影的ACL條目。該工具檢查兩個末端節點之間路徑上的特定ACL，以顯示任何潛在問題。您可以看到該路徑上任何ACL允許或拒絕您的流量的位置，如圖所示。請注意，Branch-Router2如何允許所有流量。現在，網絡管理者可以根據需要進行調整，以更好地過濾流量。