查看原文
其他

城商行 SDN 选型、设计及运维难点解读

twt社区 twt企业IT社区 2022-07-03
【摘要】传统网络技术已不足以适配云环境下产生的新场景。而几年前兴起的SDN以其对网络灵活自主的控制能力和与云的天然耦合性,当下已经被越来越多的银行业机构作为网络变革的方向。本文梳理了银行应用SDN常遇到的一些普遍性问题,供大家参考。

【整理者】袁航,专注于云平台的研发、建设、运维工作,以及金融SDN评测和金融云SDN组网。内容由多位银行领域的专家、社区会员分享。


一、软件SDN与硬件SDN的对比和选用

典型问题:1.软件和硬件SDN,在性能上会有多大的差异,对于后期运维管理而言,会有什么区别?2.在城商行规模的网络架构中,软件SDN还是硬件SDN组网更适合部署?


答:

性能差距主要是因为软件SDN的网络数据处理全部是由物理计算节点完成,而硬件SDN的网络数据处理大部分是在SDN交换机上完成的。相对于物理机来说,交换机无疑在数据处理上更有优势,不会与业务虚拟机争夺计算力,更符合其网络设备的角色定位。

我们之前简单做过一些测试,单拿对VxLAN包的解封装这一项来说,如果没有物理机上没有安装支持VxLAN解封装的网卡,软件SDN在物理机侧万兆网络最多能跑到30%左右,而硬件SDN则能无压力打满。

对城商行来说,数据中心运维人力上不如大中银行,因此生产上采用硬件SDN比较好,稳定性会更好。(@yuanruxu)

城商行规模的网络架构中,硬件SDN更好一些。硬件SDN不挑服务器,软件SDN对服务器虚拟化有一定要求;硬件方案的性能比软件好;行业经验,之前一些大行大保险公司采用软件SDN方案,出现过无法接受的性能瓶颈和故障。(@Huawei_DCN_solu )


二、SDN控制器高可用能力

典型问题:1.对于多Region的支持,SDN控制器的高可用是如何实现的?2.SDN控制器集群的故障检测和故障处理的流程是什么?


答:

控制器高可用和多region的支持应该是两个层面的问题,多region的对接是控制器架构上实现的问题,并非高可用。一些硬件SDN方案的控制器是可直接管理多个region的;至于软件SDN方案,要考虑其稳定性和性能问题。

控制器故障后对现有网络通信不会有影响,可以做到不丢包。至于恰好在故障切换过程中新建的流表,我感觉如果真的这么赶巧的话,是无法新建流表的,这个时候变动的节点应该是无法通信的,直到控制器切换动作完成之后,才能有新的流表下发下来。(@yuanruxu)


三、SDN在银行的应用架构设计

1.针对金融行业SDN如何和现有架构融合?


答:

在上SDN的过程中,金融行业数据中心分区分块的整体网络架构是不会改变的。即便不新建,只是改造,改变的只是单个区域内的网络部署方式,不会对其它没有上SDN的区域产生影响。改造的话工作量也是看具体需求,当前区域有没有上云,采用硬件SDN还是软件SDN,防火墙负载均衡怎样管理,需求不同改动量也是不一样的。

上SDN投入和风险是有的,除了设备资金的投入外,运维人员的技能升级也是不能少的,比如VxLAN、openflow、L2vpn等知识是之前的传统数据中心网络运维很少用到的。收益的话就是网络的性能和稳定性的提升,运维的自动化,以及对业务需求的敏捷支持,这也要看企业当前对这方面的需求是否强烈以及未来的技术规划。(@yuanruxu)

金融行业的SDN一般都是部署在数据中心的某一/多个分区,这并不影响传统网络的分区架构!大多数金融机构都是在数据中心新建一个分区部署SDN网络,一般是从测试分区最先引入。分区引入SDN后无需更改现网架构,原有网络分区设备也无需更换。生产引入SDN之后,能够对业务快速上线有很大的帮助!如果要说风险的话,从技术上来说SDN使用VxLAN作为底层协议的,比传统的VLAN协议更先进可靠!(VxLAN的二层广播域比VLAN小的多)。如果上了SDN之后,需要网络运维管理人员对SDN的相关技术有一定的了解,并且能够灵活的操作SDN控制器。(@Huawei_DCN_solu )

不管是开发测试,还是生产,直接新建SDN功能区,和传统网络用border-leaf连起来就行。讨论生产网络如何迁移上SDN云环境的方案,是关键步骤。(@duncan521)

2.SDN可以节约银行网络设备平台成本,但是与openstack对接带来的收益可能不如风险更明显,大家如何考虑?


答:

从现有的银行网络分区的架构来看,SDN并不能降低网络设备采购成本。SDN价值主要是使企业可以应对上云后所产生的灵活多变的网络需求,提升运维效率和网络的稳定性。如果不与云平台对接,上SDN也没有意义了。当然也存在你说的对接风险问题,这就需要企业根据自身情况进行评估。(@yuanruxu)

从长远来看,数据中心大部分业务区都能通过SDN实现网络共享。当前部分银行只在某个区域建设SDN,是考虑到新技术的成熟度以及应用、业务的过渡性。所以从当前来看,带来的收益并不一定很明显,但从长远来看,银行科技人员熟练掌握SDN技术之后,数据中心大部分区域都可以部署SDN,带来的收益将会非常明显。(@windfeng)

3.从传统网络架构如何迁移到SDN的网络架构?


答:

网络设备本身就支持SDN的话,从传统架构迁移到SDN,硬件成本主要是要新增SDN控制器,此外还有对接云平台、防火墙/负载均衡的开发成本,运维人员的技能学习的成本等。

在迁移的过程中,业务的连续性是会受到影响的。

双活数据中心防火墙、负载均衡的状态同步一般是由云管平台去解决,当前跨中心的场景还较少有针对业务的SDN网络案例。(@yuanruxu)

4.SDN集中式网关和分布式网关设计有哪些差异?有没有最佳实践方案?


答:

集中式网关顾名思义,有一个专门的集中节点对三层流量进行处理,虽易于维护,但有两方面的局限性:一是性能,从网流路径上来看是三层流量必须经过的一个点,会造成流量路径的增长;二是稳定性,集中网关处理性能有限,大流量场景下可能造成网络拥塞,甚至导致网络故障。当前SDN方案一般都是采用分布式网关的设计,硬件SDN方案将网关放在leaf交换机上,跨网段互访流量直接在直连的leaf交换机上完成三层转换;软件SDN方案则是把网关放在各物理节点的软件交换机上,流量在出物理节点的时候已经完成了三层转换。(@yuanruxu)

先说一下应用情况,在银行这边SDN集中式网关部署有一家,这家是最早使用SDN的银行!其他绝大多数银行均是采用分布式硬件网关的设计方式。我们再说集中式网关和分布式网关的区别:集中式网关就是所有VM的网关集中部署,一般部署在汇聚(Spine/Border)上,这样的话汇聚交换机的可靠性就要求非常高。另外还有一个比较大的缺点:集中式方案下的同一个接入交换机(Leaf)不同网段地址的互访流量还需要到汇聚交换机那边绕一圈,而分布式方案则没有这个缺点。(@Huawei_DCN_solu)

5.SDN控制器耦合问题和两地三中心技术优劣势?


答:

网络厂商给出的SDN方案,控制器和设备都是紧耦合的。理论上来讲可以通过开源SDN控制器去管理多厂商设备进行组件fabric,但强烈不推荐,这样的话对接工作量大,且风险较高,不稳定,得不偿失。SDN的优势是网络控制灵活、管理简单,但要说在两地三中心的场景下还有什么其他优势的话,好像还没有什么特殊的东西。除非跨中心的骨干网络SDN化,或者多中心全部由SDN控制器纳管,做成一张网,不然和传统网络也差不多。(@yuanruxu)

SDN本质上是网络控制和管理,不会影响原有网络架构。目前SDN控制器厂商基本都是管理自家的设备,主要在于控制器和设备之间的接口比较多,各自的设计理念有细微差别,产品配套上就会耦合。开源SDN可用于实验性质的项目,在维护性、可靠性和演进性上能力不足。从实质上来看,当前SDN并不会改变网络架构,只是让网络控制和管理变得更容易一些。(@Huawei_DCN_solu)

6.SDN实践中,关于controller控制器与各个网络设备的管理流量是通过业务网络还是额外的带外管理网络走?


答:

不同的网流最好是分开,针对SDN控制起来流量可单分一个控制网,云平台的管理流量和SDN的管理流量从这个网来走。与其它网络平面可进行逻辑或者物理上的隔离。(@yuanruxu)


四、SDN网络运维管理

典型问题:1.采用SDN后,是不是VMware管理员和网络管理员的工作内容有明确的区分?2.SDN网络流量可视化如何更好地实现应用故障诊断?


答:

一般计算资源分配和网络开通是两个流程,所以VMWare管理员和网络管理员的工作边界和之前应该是一样的。

网络监控有两个层面,一个层面是对网络流量统计、分析工具,可看到网络的实时流量、时延、丢包、抖动等情况;另一个层面就是数据包监控,这种可以在业务出现问题的情况下进行数据包的溯源操作,找出故障原因。(@yuanruxu)


 资料/文章推荐:

  • 某大型银行SDN与OpenStack云平台对接的实践经验

    http://www.talkwithtrend.com/Document/detail/tid/420535

  • 某银行应用Overlay技术VxLAN实践与应用场景

    http://www.talkwithtrend.com/Article/245011


欢迎关注社区 "软件定义网络"技术主题 ,将会不断更新优质资料、文章。地址:

http://www.talkwithtrend.com/Topic/98447


下载 twt 社区客户端 APP


长按识别二维码即可下载

或到应用商店搜索“twt”


长按二维码关注公众号

*本公众号所发布内容仅代表作者观点,不代表社区立场

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存