城商行 SDN 选型、设计及运维难点解读
【整理者】袁航,专注于云平台的研发、建设、运维工作,以及金融SDN评测和金融云SDN组网。内容由多位银行领域的专家、社区会员分享。
一、软件SDN与硬件SDN的对比和选用
答:
性能差距主要是因为软件SDN的网络数据处理全部是由物理计算节点完成,而硬件SDN的网络数据处理大部分是在SDN交换机上完成的。相对于物理机来说,交换机无疑在数据处理上更有优势,不会与业务虚拟机争夺计算力,更符合其网络设备的角色定位。
我们之前简单做过一些测试,单拿对VxLAN包的解封装这一项来说,如果没有物理机上没有安装支持VxLAN解封装的网卡,软件SDN在物理机侧万兆网络最多能跑到30%左右,而硬件SDN则能无压力打满。
对城商行来说,数据中心运维人力上不如大中银行,因此生产上采用硬件SDN比较好,稳定性会更好。(@yuanruxu)
城商行规模的网络架构中,硬件SDN更好一些。硬件SDN不挑服务器,软件SDN对服务器虚拟化有一定要求;硬件方案的性能比软件好;行业经验,之前一些大行大保险公司采用软件SDN方案,出现过无法接受的性能瓶颈和故障。(@Huawei_DCN_solu )
二、SDN控制器高可用能力
答:
控制器高可用和多region的支持应该是两个层面的问题,多region的对接是控制器架构上实现的问题,并非高可用。一些硬件SDN方案的控制器是可直接管理多个region的;至于软件SDN方案,要考虑其稳定性和性能问题。
控制器故障后对现有网络通信不会有影响,可以做到不丢包。至于恰好在故障切换过程中新建的流表,我感觉如果真的这么赶巧的话,是无法新建流表的,这个时候变动的节点应该是无法通信的,直到控制器切换动作完成之后,才能有新的流表下发下来。(@yuanruxu)
三、SDN在银行的应用架构设计
答:
在上SDN的过程中,金融行业数据中心分区分块的整体网络架构是不会改变的。即便不新建,只是改造,改变的只是单个区域内的网络部署方式,不会对其它没有上SDN的区域产生影响。改造的话工作量也是看具体需求,当前区域有没有上云,采用硬件SDN还是软件SDN,防火墙负载均衡怎样管理,需求不同改动量也是不一样的。
上SDN投入和风险是有的,除了设备资金的投入外,运维人员的技能升级也是不能少的,比如VxLAN、openflow、L2vpn等知识是之前的传统数据中心网络运维很少用到的。收益的话就是网络的性能和稳定性的提升,运维的自动化,以及对业务需求的敏捷支持,这也要看企业当前对这方面的需求是否强烈以及未来的技术规划。(@yuanruxu)
金融行业的SDN一般都是部署在数据中心的某一/多个分区,这并不影响传统网络的分区架构!大多数金融机构都是在数据中心新建一个分区部署SDN网络,一般是从测试分区最先引入。分区引入SDN后无需更改现网架构,原有网络分区设备也无需更换。生产引入SDN之后,能够对业务快速上线有很大的帮助!如果要说风险的话,从技术上来说SDN使用VxLAN作为底层协议的,比传统的VLAN协议更先进可靠!(VxLAN的二层广播域比VLAN小的多)。如果上了SDN之后,需要网络运维管理人员对SDN的相关技术有一定的了解,并且能够灵活的操作SDN控制器。(@Huawei_DCN_solu )
不管是开发测试,还是生产,直接新建SDN功能区,和传统网络用border-leaf连起来就行。讨论生产网络如何迁移上SDN云环境的方案,是关键步骤。(@duncan521)
答:
从现有的银行网络分区的架构来看,SDN并不能降低网络设备采购成本。SDN价值主要是使企业可以应对上云后所产生的灵活多变的网络需求,提升运维效率和网络的稳定性。如果不与云平台对接,上SDN也没有意义了。当然也存在你说的对接风险问题,这就需要企业根据自身情况进行评估。(@yuanruxu)
从长远来看,数据中心大部分业务区都能通过SDN实现网络共享。当前部分银行只在某个区域建设SDN,是考虑到新技术的成熟度以及应用、业务的过渡性。所以从当前来看,带来的收益并不一定很明显,但从长远来看,银行科技人员熟练掌握SDN技术之后,数据中心大部分区域都可以部署SDN,带来的收益将会非常明显。(@windfeng)
答:
网络设备本身就支持SDN的话,从传统架构迁移到SDN,硬件成本主要是要新增SDN控制器,此外还有对接云平台、防火墙/负载均衡的开发成本,运维人员的技能学习的成本等。
在迁移的过程中,业务的连续性是会受到影响的。
双活数据中心防火墙、负载均衡的状态同步一般是由云管平台去解决,当前跨中心的场景还较少有针对业务的SDN网络案例。(@yuanruxu)
答:
集中式网关顾名思义,有一个专门的集中节点对三层流量进行处理,虽易于维护,但有两方面的局限性:一是性能,从网流路径上来看是三层流量必须经过的一个点,会造成流量路径的增长;二是稳定性,集中网关处理性能有限,大流量场景下可能造成网络拥塞,甚至导致网络故障。当前SDN方案一般都是采用分布式网关的设计,硬件SDN方案将网关放在leaf交换机上,跨网段互访流量直接在直连的leaf交换机上完成三层转换;软件SDN方案则是把网关放在各物理节点的软件交换机上,流量在出物理节点的时候已经完成了三层转换。(@yuanruxu)
先说一下应用情况,在银行这边SDN集中式网关部署有一家,这家是最早使用SDN的银行!其他绝大多数银行均是采用分布式硬件网关的设计方式。我们再说集中式网关和分布式网关的区别:集中式网关就是所有VM的网关集中部署,一般部署在汇聚(Spine/Border)上,这样的话汇聚交换机的可靠性就要求非常高。另外还有一个比较大的缺点:集中式方案下的同一个接入交换机(Leaf)不同网段地址的互访流量还需要到汇聚交换机那边绕一圈,而分布式方案则没有这个缺点。(@Huawei_DCN_solu)
答:
网络厂商给出的SDN方案,控制器和设备都是紧耦合的。理论上来讲可以通过开源SDN控制器去管理多厂商设备进行组件fabric,但强烈不推荐,这样的话对接工作量大,且风险较高,不稳定,得不偿失。SDN的优势是网络控制灵活、管理简单,但要说在两地三中心的场景下还有什么其他优势的话,好像还没有什么特殊的东西。除非跨中心的骨干网络SDN化,或者多中心全部由SDN控制器纳管,做成一张网,不然和传统网络也差不多。(@yuanruxu)
SDN本质上是网络控制和管理,不会影响原有网络架构。目前SDN控制器厂商基本都是管理自家的设备,主要在于控制器和设备之间的接口比较多,各自的设计理念有细微差别,产品配套上就会耦合。开源SDN可用于实验性质的项目,在维护性、可靠性和演进性上能力不足。从实质上来看,当前SDN并不会改变网络架构,只是让网络控制和管理变得更容易一些。(@Huawei_DCN_solu)
答:
不同的网流最好是分开,针对SDN控制起来流量可单分一个控制网,云平台的管理流量和SDN的管理流量从这个网来走。与其它网络平面可进行逻辑或者物理上的隔离。(@yuanruxu)
四、SDN网络运维管理
答:
一般计算资源分配和网络开通是两个流程,所以VMWare管理员和网络管理员的工作边界和之前应该是一样的。
网络监控有两个层面,一个层面是对网络流量统计、分析工具,可看到网络的实时流量、时延、丢包、抖动等情况;另一个层面就是数据包监控,这种可以在业务出现问题的情况下进行数据包的溯源操作,找出故障原因。(@yuanruxu)
资料/文章推荐:
某大型银行SDN与OpenStack云平台对接的实践经验
http://www.talkwithtrend.com/Document/detail/tid/420535
某银行应用Overlay技术VxLAN实践与应用场景
http://www.talkwithtrend.com/Article/245011
欢迎关注社区 "软件定义网络"技术主题 ,将会不断更新优质资料、文章。地址:
http://www.talkwithtrend.com/Topic/98447
下载 twt 社区客户端 APP
长按识别二维码即可下载
或到应用商店搜索“twt”
长按二维码关注公众号
*本公众号所发布内容仅代表作者观点,不代表社区立场