温水青蛙 2018-11-16
多年的婚姻已让两人配合得十分默契,以前的林工还要解释为什么加班要这么长时间,生怕妻子胡思乱想,现在打个招呼就可以了。
“一遍遍地和她解释其实也挺好,”林工的心里有些怀念从前,“现在的日子越过越平淡了,真希望哪天不加班给她一个大惊喜。”
然而时间不容他多想,网络升级的一道道步骤已经浮现在他眼前。流量分离-断网-上设备-链路测试-流量测试-系统健康检查-试运行,每个步骤都会花费大量时间,如果出现故障,所有人都会非常紧张,要不要进行系统回滚。
作为区政务信息中心工程师,林工多年来任劳任怨,信息中心的规模在他的手下逐步扩大。为了保障网络链路安全,避免外部入侵,出口区串联了大量的安全设备,包括防火墙、IPD、IDS、负载均衡等设备。这样的部署方式,在安全上有比较大的保障,但也造成了构架与管理的复杂。一旦出现问题,就需要大量时间进行排查,不仅耗费了时间,也对网络速率也会造成影响。
市场上解决方案如此之多,难道就没有一套能解决加班的解决方案吗?
当然有!戴尔易安信软件定义网络解决方案让数据中心网络更简单!
现代数据中心内,虚拟化、云计算和大数据等新兴应用有着广泛应用,客户机/服务器计算模式向云计算模式的转变,使得数据中心内部(东西流量)和外部(南北流量)的流量模型以及跨数据中心的流量模型发生了巨大的变化。
SDN(软件定义网络)是一个新兴的网络体系架构,在这种体系架构中网络的控制平面与数据(转发)平面分离,并且控制平面可编程化。之前网络设备的控制平面和与个体网络设备紧耦合,将控制平面迁移到可访问的计算设备上,使得网络平台可为应用系统和网络服务被逻辑抽象出来,形成一个逻辑或者虚拟的实体。为了改善这一状况,拟采用新型的SDN(软件定义网络)技术来部署数据中心出口区域网络,将安全设备的连接方式由传统的串联方式改造为旁入方式。
我们看到在虚拟化的基础架构中,SDN架构和传统网络架构的各项对比如下:
通过软件定义网络能够像服务器系统的软硬件解耦合和虚拟化一样带来如下的好处:
Big Switch产品的体系架构是典型的控制器+开放式网络交换机,其方案分为两套:Big Cloud Fabric(BCF)和Big Monitoring Fabric(BMF)。BCF用于网络自动化,BMF用于DMZ与网络可视化。
BMF是BigSwitch SDN网络安全组网架构的解决方案。BMF有Out-of-band和Inline两种工作模式。Out-of-band模式,实现了生产网络流量的全面可见性,BMF可筛选流量,选择性地将流量推送给多个流量监控工具(安全监控,性能监控等)。
如下图:中蓝色部分为BCF,BCF左侧的为Inline BMF,实现数据中心入口处的流量安全,BCF右侧为Out-of-Band BMF,实现BCF(或者其它生产网络)的流量可视化。
BMF Inline主要面向的场景是在DMZ区域部署服务链,以实现数据中心入口处的流量策略。与Out-of-Band需要额外TAP/SPAN把流量引到带外不同,Inline直接将开放式网络交换机串在外网和数据中心入口设备之间,通过BMF Controller识别某些流量并执行服务链的引流,当然也可以把这台开放式网络交换机也把流量SPAN到BMF Out-of-Band上去,进行更进一步的分析与审计。
BMF动态服务链是将用户DC出口的网络功能设备加入服务链。可灵活增加/减少链条上的功能设备,调整流量的流经顺序,按需筛选流量推送到链条的功能设备上。同时可轻松解决传统网络数据中心出口Active-Standby,实现Active-Active架构。如上图所示,传统的数据中心链路从外网的非信任区域到内网的信任区域,一般会经过防火墙,IPS,Web Proxy等设备,这些设备昂贵,配置复杂,而且设备串联在一条数据链路上,单点故障就会造成数据链路中断。
>>>>
如果要向现有网络中割接一台网络设备(防火墙,IPS或Web Proxy等),一般情况下,会花费几个小时的时间。割接工作一般是在晚上或凌晨业务非繁忙时间,如果割接不成功,需要回退,准备再一次的割接。如果采用BMF动态服务链,那么防火墙,IPS或WebProxy等网络设备是旁路部署在BMF控制器上,任何一台网络设备的故障不会造成数据链路的中断;同时配置工作在BMF控制器上完成,不影响原有网络设备和数据链路的正常工作,然后按计划推送配置和网络策略给这些网络设备,整个割接工作只需要几分钟。
由于配置、自动化以及大部分故障排除工作均通过控制器完成,因此在配置新物理容量或新逻辑应用程序的过程中所用的管理控制台数量大幅减少。得益于此,可以节省大量的时间、降低错误率并简化自动化设计。
在规划和部署网络设备时,我们常遇到从入口的防火墙,到IPS, Web Proxy等设备,需要采用同样带宽和类型的网络端口,比如都是千兆或万兆,才能互联互通。如果采用BMF动态服务链,情况就不一样了,这些网络设备即使网络端口带宽和类型不一样,也能通过在BMF控制器上面配置使设备间互联互通。
不仅如此,在防火墙,IPS和Web Proxy都是HA成对配置的情况下,BMF控制器能打通从Untrusted到Trusted区域,让前端网络设备到后端网络设备建立起跨设备的Port Channel,这样的好处是HA成对配置的防火墙,IPS和Web Proxy设备实现了链路的负载均衡,充分利用了链路带宽,提升网络质量的同时,节省了成本。
>>>>
那么BMF控制器这么重要,它要是宕机!后果会很严重?其实不然。BMF控制器即使停止工作,数据链路上的这些设备,也会按照BMF控制器停止工作前推送的配置和网络策略继续正常工作。当BMF控制器恢复正常后,又可以配置和推送新的网络策略。当然,想要让BMF成对配置也是完全没有问题的。且BMF控制器不占用生产IP地址,仅使用网管IP,在安全上非常有保障。
上图是BMF Out-of-Band模式,实现生产网络流量的全面可见性,BMF可筛选流量,选择性地将流量推送给多个流量监控工具(安全监控,性能监控等)。 一些OpenFlow白盒组成一个Monitoring Fabric,两侧分别连接生产网络和第三方的网络可视化软件,BMF Controller通过OpenFlow对生产网络产生的Tap/SPAN流量部署一些策略,如过滤、聚合、分流等等,然后再有针对性地转发给网络可视化软件,以提高网络可视化软件的处理效率。
实际上,这些功能传统的NPB(Network Packet Broker)就可以实现,不过传统NPB都是一些专用的Chassis,这些Chassis虽然功能和性能强大,但是价格昂贵而且可扩展性较差。BMF Out-of-Band的思路就是通过OpenFlow Fabric来替换掉Chassis,通过Controller的灵活控制来实现类似的NPB功能,优点是可以降低成本、提高可扩展性。
BMF Out-of-Band实际上就是通过OpenFlow来Match特定的流量,然后通过Drop、Output、Group等Action在不同的interface间执行过滤、引流、聚合等策略。当前,前提是首先在BMF Controller上实现定义好交换机端口的角色,以及Fabric的拓扑。
除了部署监控策略以外,BMF Controller本身也提供了一些数据的可视化,比如主机追踪,子网追踪,TAP分析,sFlow数据采集,SNMP监测等。同时也支持引流到第三方专业网络可视化视化软件。
戴尔易安信的开放网络(Open Networking)战略,从底层的通用商用芯片,到基于开放标准的硬件和支持采用任意一种网络操作系统,可选的SDN/NVO控制器,配以标准业务流程和自动化工具,组成了完整的SDN开放网络。
目前,戴尔易安信已在支持开放网络的数据中心交换机(以ON结尾命名的交换机),现拥有完整1GbE到100GbE开放式网络交换机产品线,开发并广泛应用SDN,构建一个开放网络时代的全新架构。
软件定义网络(SDN)是已经成熟的网络新技术。我们通过数据中心的SDN方案实现数据中心的快速部署,敏捷运维,规模扩展。我们通过SDN方案实现了数据中心出口的安全服务链整合,化解了传统解决方案的限制,实现了以SDN为中心运营带来的简便性。
点击“阅读原文”了解更多数字化转型方案!