近年來,作為管道的網(wǎng)絡(luò)和新上市終端大部分都已經(jīng)支持IPv6,瓶頸在IPv6環(huán)境中缺少應(yīng)用,導(dǎo)致實際的IPv6流量占比一直沒有起來。數(shù)據(jù)中心作為承載應(yīng)用的基礎(chǔ)設(shè)施架構(gòu),由于虛擬化,容器的大量使用,導(dǎo)致對IP地址的消耗過大,許多數(shù)據(jù)中心已經(jīng)被迫開始采用IPv6,新型的云化網(wǎng)絡(luò)IPv6該如何部署,華為CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案試圖給大家一些啟示。
1、CloudFabric IPv6之初始階段:高起點,超寬演進(jìn)能力
數(shù)據(jù)中心的應(yīng)用日新月異,服務(wù)器的生命周期一般為3到5年,網(wǎng)絡(luò)設(shè)備的壽命一般為8到10年,因此數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)設(shè)計一般要考慮適度的超前性,支撐不同接口速率的服務(wù)器同時接入網(wǎng)絡(luò),適應(yīng)業(yè)務(wù)演進(jìn)過程IPv4和IPv6不同流量占比情況,從而保持業(yè)務(wù)的持續(xù)性和穩(wěn)定性。
CloudFabric基礎(chǔ)網(wǎng)絡(luò)方面,華為重點發(fā)展IPv6的超寬演進(jìn)能力,華為CloudEngine數(shù)據(jù)中心交換機支持容量高達(dá)36端口密度且全面支持IPv6的100GE功能線卡,實現(xiàn)數(shù)據(jù)中心內(nèi)部核心高效互聯(lián)互通;在服務(wù)器接入層面,支持25GE的CE6860和CE6865盒式交換機,支持32和64固定端口CE8850和4插槽的CE8860的100GE端口交換機,華為現(xiàn)有交換機的服務(wù)器的接入能力從千兆萬兆25GE直至到100GE,均已支持IPv6功能,可以有效支撐現(xiàn)網(wǎng)IPv4向IPv6網(wǎng)絡(luò)的平滑演進(jìn)。
華為在硬件平臺、軟件平臺、光模塊、標(biāo)準(zhǔn)等方面有大量的技術(shù)的儲備,華為NE路由器IPv6早就已經(jīng)規(guī)模商用,在CloudEngine交換機設(shè)計之初就是和NE路由器共平臺設(shè)計,產(chǎn)品硬件就同時具備IPv4與IPv6的能力,而統(tǒng)一的軟件平臺VRP也全面支持IPv6控制與管理協(xié)議;在標(biāo)準(zhǔn)方面,華為在IETF IPv6領(lǐng)域新增工作組文稿上已經(jīng)領(lǐng)先業(yè)界,成為貢獻(xiàn)最大的廠商,并主導(dǎo)了IPv6過渡、組播、安全等標(biāo)準(zhǔn)。
早在2013年華為CloudEngine數(shù)據(jù)中心系列交換第一個版本某交通大學(xué)IPv6局點,就已經(jīng)對如何在基礎(chǔ)網(wǎng)絡(luò)層面從傳統(tǒng)的IPv4網(wǎng)絡(luò)平滑地遷移到終極的IPv6網(wǎng)絡(luò)進(jìn)行了認(rèn)證部署,在這一階段積累了在IPv4和IPv6不同占比流量下各種表項分配比例,形成了最佳實踐數(shù)據(jù)。華為CloudFabric具備多種IPv4向IPv6的遷移技術(shù),如雙棧、IPv6 Over IPv4手動/GRE隧道,IPv6 Provider Edge等,是最早一批在數(shù)據(jù)中心交換機形態(tài)上全面實現(xiàn)IPv6過渡技術(shù)并獲得了IPv6 Ready認(rèn)證的廠商。
2、CloudFabric IPv6之發(fā)展階段:很全面,極簡部署能力
數(shù)據(jù)中心是用戶的生產(chǎn)網(wǎng),存放著核心數(shù)據(jù),對外提供形形色色的各類服務(wù),數(shù)據(jù)中心的IPv6演進(jìn)應(yīng)該是伴隨著業(yè)務(wù)的改造逐步進(jìn)行的了,數(shù)據(jù)中心最終目標(biāo)是提供全面的IPv6業(yè)務(wù),但是演進(jìn)過程中提供IPv4/IPv6雙棧的對外全面服務(wù)是基本要求。雙棧數(shù)據(jù)中心遵循“IPv4的用戶訪問IPv4的應(yīng)用,IPv6的用戶訪問IPv6的應(yīng)用”原則,基于穩(wěn)定性和安全隔離考慮,需要將應(yīng)用系統(tǒng)服務(wù)器區(qū)和用戶接入?yún)^(qū)按照”維持現(xiàn)有IPv4環(huán)境、隔離新建IPv6環(huán)境”原則建設(shè),業(yè)務(wù)有序平穩(wěn)逐步向IPv6遷移。華為CloudFabric云數(shù)據(jù)中心網(wǎng)基于IPv6 VxLAN的SDN自動化部署方案主要包括如下圖兩種模式。
- “業(yè)務(wù)先行“的IPv6演進(jìn)模式:租戶部署在數(shù)據(jù)中心的業(yè)務(wù)先行IPv6化,要求網(wǎng)絡(luò)設(shè)備利舊,或者說現(xiàn)有IPv4運維經(jīng)驗和工具不想太激進(jìn),在利舊物理underlay網(wǎng)絡(luò)IPv4基礎(chǔ)上平滑演進(jìn), 支持承載IPv6 Overlay業(yè)務(wù)。無論是基于WEB-APP-DB方式的層次化調(diào)用的B/S模式還是C/S模式的單層調(diào)用,對于一個上層應(yīng)用來說,IPv6涉及的不僅僅是一個操作系統(tǒng)協(xié)議棧如TCP6/UDP6的修改,而是整個應(yīng)用層對IPv6從第三層到第七層的端到端的適配,摸清楚業(yè)務(wù)系統(tǒng)適配的工作量是IPv6改造的難點和關(guān)鍵點。值得一提的是,利用IPv6 VxLAN over IPV4,不僅能夠利舊已有的IPv4數(shù)據(jù)中心網(wǎng)絡(luò)、保護(hù)大量投資,還有助于新的IPv6業(yè)務(wù)系統(tǒng)大規(guī)模擴(kuò)展。
- “網(wǎng)絡(luò)先行“的IPv6演進(jìn)模式:新建數(shù)據(jù)中心采用物理的Underlay IPv6網(wǎng)絡(luò), 承載租戶IPv4/IPv6業(yè)務(wù),對于WEB-APP-DB多層架構(gòu)的純IPv6應(yīng)用的大型服務(wù)器群由于涉及的中間虛擬化平臺,軟件種類眾多、功能豐富,應(yīng)用在WEB層實現(xiàn)IPv6前端服務(wù)、APP,DB等后端服務(wù)仍然采用IPv4是一種穩(wěn)健的過渡方式,這種混合部署的方式持續(xù)時間取決于業(yè)務(wù)IPv6改造的時間,華為CloudFabric IPv4 VxLAN over IPv6可以確保在云端應(yīng)用系統(tǒng)與用戶終端無感知的情況下,實現(xiàn)業(yè)務(wù)向IPv6網(wǎng)絡(luò)的演進(jìn)升級過程中最大程度的利舊現(xiàn)網(wǎng)服務(wù)器接入資源,給應(yīng)用系統(tǒng)的改造預(yù)留足夠的時間窗口,利于業(yè)務(wù)的平滑演進(jìn)。
華為CloudFabric云數(shù)據(jù)中心網(wǎng)絡(luò)將VxLan的物理Underlay網(wǎng)絡(luò)和邏輯的Overlay網(wǎng)絡(luò)的混合疊加組網(wǎng)在一個拓?fù)渲袑崿F(xiàn),始終遵守的客戶行為準(zhǔn)則:我可以接受一個新世界,但盡量別損失我在舊世界已經(jīng)擁有的價值,在還沒有找到IPv6合理的顯性商業(yè)盈利模式之前,盡量通過升級改造節(jié)省投資。
3、CloudFabric IPv6之加固階段:很安全,網(wǎng)安聯(lián)動能力
在IPv6的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)和SDN的自動化部署問題解決之后,數(shù)據(jù)中心的安全部署問題就日益提到重要的位置了。隨著服務(wù)器的虛擬化和網(wǎng)絡(luò)的大二層在云的部署環(huán)境中越來越普遍,傳統(tǒng)的安全邊界和可信區(qū)域逐步消失,云數(shù)據(jù)中心安全關(guān)注的焦點也從傳統(tǒng)的南北向的安全轉(zhuǎn)移到東西向安全。
微分段實現(xiàn)跨服務(wù)器東西向安全隔離由安全設(shè)備轉(zhuǎn)移到交換機: 為了明確網(wǎng)絡(luò)和安全團(tuán)隊的責(zé)任邊界,典型的數(shù)據(jù)中心業(yè)務(wù)模型南北向的安全通常由防火墻來完成,而東西向隔離承擔(dān)的角色可能包含防火墻,交換機,甚至服務(wù)器上的安全組,在交換機上實現(xiàn)比子網(wǎng)更細(xì)粒度如基于離散IP,虛擬主機名等的隔離,這個時候ACL表項規(guī)格就成為瓶頸,華為基于ACL做了大量算法優(yōu)化的微分段技術(shù)實現(xiàn)了同樣容量硬件情況下數(shù)十倍數(shù)量的隔離規(guī)格。
NSH(Network Service Head)業(yè)務(wù)鏈簡化配置實現(xiàn)安全業(yè)務(wù)靈活編排:傳統(tǒng)的基于策略路由的業(yè)務(wù)鏈在多跳安全設(shè)備的情況下,需要在每一跳設(shè)備來回路徑進(jìn)行雙向策略路由引流,業(yè)務(wù)配置復(fù)雜度高,并且占用寶貴的ACL資源,CloudFabric基于VxLAN擴(kuò)展頭NSH標(biāo)準(zhǔn)協(xié)議將業(yè)務(wù)鏈的引流從控制面轉(zhuǎn)移到轉(zhuǎn)發(fā)面,節(jié)省了大量策略路由配置,同時可以和第三方安全設(shè)備標(biāo)準(zhǔn)對接。
由于安全等級保護(hù)制度對于安全設(shè)備異構(gòu)的要求,一個數(shù)據(jù)中心通常會有多個廠家的安全設(shè)備,為最大發(fā)揮他們差異化優(yōu)勢,華為CloudFabric的Agile Controller-DCN網(wǎng)絡(luò)控制器可以和華為SecoManager安全控制器聯(lián)動,也可以和第三方的其它安全控制器聯(lián)動,Agile Controller-DCN負(fù)責(zé)雙向引流策略,而差異化的安全策略配置等功能由安全控制器負(fù)責(zé)。
隨著IPv6在微分段,業(yè)務(wù)鏈,第三方VAS設(shè)備對接等安全功能實現(xiàn),CloudFabric的網(wǎng)絡(luò)和安全聯(lián)動IPv6整體方案趨向完整且逐步成熟商用。
4、CloudFabric IPv6之延伸階段:易集成,豐富生態(tài)能力
以IPv6為基礎(chǔ)的下一代互聯(lián)網(wǎng)是實現(xiàn)“端、管、云”的重要基礎(chǔ)設(shè)施,物以網(wǎng)聚是形成開放產(chǎn)業(yè)生態(tài)體系的關(guān)鍵,華為CloudFabric形成了一個以“轉(zhuǎn)發(fā)器+控制器”的Fabric級別的完備的多層次開放體系。
- 控制器豐富的北向生態(tài)能力:支持Vmware vRNI/vCenter、Microsoft SysCenter、 Mirantis、Redhat、K8S容器云;支持多DC、業(yè)務(wù)鏈等300多個北向開放API。
- 控制器異構(gòu)的南向生態(tài)能力:支持F5、A10 、CheckPoint、PaloAlto、Fortinet等第三方VAS引流對接,編排業(yè)務(wù)鏈。
- 轉(zhuǎn)發(fā)器開放易被集成:CloudEngine設(shè)備支持被Vmware NSX納管,支持與MicroSoft Azure Stack的混合云集成,支持與Puppet、Ansible第三方管理工具對接。
當(dāng)前,公有云主要提供商,CDN大型服務(wù)商,運營商都以驚人的速度加快部署IPv6,也許一個混合的多云世界很快將會出現(xiàn)。這也驅(qū)動了企業(yè)私有云加快向IPv6的演進(jìn),華為CloudFabric致力打造一個全天候多層次開放的IPv4/IPv6雙棧混合云數(shù)據(jù)中心網(wǎng)基礎(chǔ)設(shè)施架構(gòu)。
5、總結(jié)
2017年6月華為CloudFabric被Gartner評為“數(shù)據(jù)中心網(wǎng)絡(luò)挑戰(zhàn)者”,2018年3月被Forrester評為“數(shù)據(jù)中心SDN網(wǎng)絡(luò)硬件平臺領(lǐng)導(dǎo)者”。截止到2018年5月,華為Cloud Fabric云數(shù)據(jù)中心網(wǎng)解決方案,已經(jīng)服務(wù)于全球150+國家,2200+個數(shù)據(jù)中心。 其中云數(shù)據(jù)中心占比超過50%,CE12800累計全球銷售20000+臺。這表明華為云數(shù)據(jù)中心網(wǎng)絡(luò)的全球領(lǐng)先市場地位?梢哉f,華為在IPv6領(lǐng)域擁有大量的實踐經(jīng)驗,可以幫助客戶平滑過渡到IPv6網(wǎng)絡(luò),構(gòu)建超寬、極簡、 安全、開放的IPv6數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu),和我們的客戶一起自信滿滿的迎接云計算、大數(shù)據(jù),人工智能,物聯(lián)網(wǎng),5G的等各類接踵而至的數(shù)字化產(chǎn)業(yè)革命。