新一代金融云计算网络架构设计.pptx

1、新一代金融云计算网络架构设计议题议题方案设计方案总结Wei Hang现有金融应用移植到常规公有云平台的挑战现有金融应用移植到常规公有云平台的挑战，不可能能象移动、游戏业务那样统一化到一种虚机运行环境，这就需要企业云平台对于包括物理机、小机、不同的虚机平台以及Docker等都能提供很好的支持3 金融应用迁移到云计算环境中能否，包括安全合规、性能、服务质量等等，特别是正在大力发展的大数据、分布式业务 未来的企业云平台不可能单一的委托在公有云平台上，也不应当是一个封闭孤立的私有云，而应当是一个 传统公有云服务提供的基础架构容器为单一模式应用定制，不符合Wei Hang 全企业广度的多厂商异构的资源协

2、调和部署 需要有配合IT治理的深度服务内容 要与整体IT运维和管理系统整合和定制化现有的构造云平台的总体架构现有的构造云平台的总体架构IT AdminsIT Operations合作伙伴生态系统合作伙伴生态系统End UsersEnd Users自服务门户自服务门户云服务提供商混合云混合云Cisco Whiptail其他云其他云其他云Wei Hang应对挑战的关键在于应对挑战的关键在于的模式和的模式和的实现的实现其他云而而和和设计的关键则在设计的关键则在适于企业特点的资源承载容器的实现，这样适于企业特点的资源承载容器的实现，这样的容器由的容器由的构造方式决定的构造方式决定Wei Hang云服务

3、控制的构架思路云服务控制的构架思路Wei Hang现有的云服务控制系统的网络容器难以适应发展需要现有的云服务控制系统的网络容器难以适应发展需要7基础架构团队基础架构团队（云服务部署者）（云服务部署者）应用人员应用人员（云服务使用者）（云服务使用者）应用分层应用逻辑关系应用服务质量应用安全要求 两个团队，两个语言传统数据中心部署周期长、数据中心结构定制化，矛盾不突出但企业云租户要求的、和，这就对云系统管理员提出了Wei Hang业内的应对：把应用对网络的复杂需求抽象化业内的应对：把应用对网络的复杂需求抽象化通过抽象实现策略与基础架构解耦，云管理员对策略调整时无须关心底层架构通过抽象实现策略与基础

4、架构解耦，云管理员对策略调整时无须关心底层架构8只需直观的把应用对网络的需求抽象化为“组和组之间的”通信需求各类的网络要求都可以被表达为“组和组之间的不同策略所有的表达都与底层的具体实现“无关”将应用对网络的需求从网络的底层实现中抽象出来每个租户在实现自己的应用需求时无须考虑底层网络的具体配置和实现应用对网络的需求抽象出来应用对网络的需求抽象出来网络策略基于组实现网络策略基于组实现且包含丰富的内容且包含丰富的内容管理员可自我定制管理员可自我定制抽象化的网络策略抽象化的网络策略Low level/Detailed DesignGroup AGroup CService A consumes se

5、rvice B and Service CGroup BGroup AGroup COperator/AdminGroup AGroup CAbstract Application APIOpenStack TenantGroup BQoSWei Hang类型类型 I IL2L3L3类型类型 IIIILBL2L3L3类型类型 IIIIIIFWL2L3L3LBL2L3FWLBLBPublic ZonePrivateZone 1L2L3FWLBPrivateZone N类型类型 V VL3L2类型类型 IVIVL2L3FWLBLBFWProtectedProtectedBack-EndBack-E

6、ndProtectedProtectedFront-EndFront-EndL2L3类型类型 V VI IL2L3L3FW传统云服务控制对提供的是传统云服务控制对提供的是“传统网络容器传统网络容器”的服务的服务构建新的构建新的 irtual irtual rivate rivate loud(loud()过程复杂，不具备运维敏捷性过程复杂，不具备运维敏捷性?Wei Hang业内最新的发展认为应提供全新的业内最新的发展认为应提供全新的“云网络容器云网络容器”构建新租户网络更加构建新租户网络更加，运维更为，运维更为 把应用需求，管理员无须关心网络通信的细节，关注的是应用需求Wei Hang“组策略

7、组策略”抽象化后与基础架构解耦，更反映租户应用需求抽象化后与基础架构解耦，更反映租户应用需求更适于云计算平台的需要更适于云计算平台的需要 根据不同租户需求（抽象化的组策略）因而：即配合不同租户、不同业务类型构造不同种类容器，并且还能够快速上线、敏捷部署、简化运维、提高资源利用效率的场合 而传统网络容器则只是比传统网络多了网络虚拟化功能而已，只适合数据中心的非云租户类的应用资源灵活放置、快速上线、高效复用资源灵活放置、快速上线、高效复用Wei Hang“组策略组策略”抽象化的条件抽象化的条件1 1：“组策略组策略”的云服务控制层的云服务控制层OpenStackOpenStack的的，一些商用化云

8、服务控制系统，比如，一些商用化云服务控制系统，比如12https:/wiki.openstack.org/wiki/GroupBasedPolicyCisco UCS Director(Formally Cloupia)Wei Hang“组策略组策略”抽象化的条件抽象化的条件2 2：“原生原生GBPGBP网络网络”13https:/wiki.opendaylight.org/view/Group_Policy:MainDesigned by Big Switch,Cisco,IBM,Juniper,Midokura,Nuage Networks,One ConvergenceCisco ACI

9、ALU NuageWei Hang开箱即用的开箱即用的UCS DirectorUCS Director 开箱即用（Out-of-the-Box）免编程 固定云系统软硬件配置，包括原生GBP网络（ACI）和传统网络“自定义工作流”或“自定义应用容器”使用自带或第三方门户14GBPNetworkTasksStorageTasksVirtualServerTasksPhysicalServerTasksAnd MoreAPIsSDKsetc.1500+Overall TasksOut-of-the-Box(UCSD 5.3)1234NOrchestration WorkflowUCSDirector

10、14183Tasks for GBP Network(ACI)Out-of-the-Box(UCSD 5.3)Wei Hang开源的云服务控制系统：开源的云服务控制系统：OpenStackOpenStack15月度参与企业累计开发人口Wei HangOpenStack GBPOpenStack GBP同时支持同时支持和和16Group PolicyNeutron DriverNeutronAny Existing Plugins and ML2 DriversNative Driver12把Group Based策略转换为以传统的Neutron API方式的调用，这样可以支持现存的几乎所有Ne

11、utron Plugin和ML2 Driver现有现有OpenStack支持的支持的所有传统网络所有传统网络12实现对已经支持Group Based策略的基础架构的调度，包括OpenDaylight，OVS，Cisco ACI,Nuage Networks,和One Convergence等等原生支持原生支持GBP的网络的网络ACIWei Hang两种两种GBPGBP云服务控制系统的比较云服务控制系统的比较17支持支持GBP的开源系统的开源系统支持支持GBP的商用系统的商用系统典型代表典型代表OpenStack GBPCisco UCS DirectorGBP支持支持是是是是代码开源代码开源是

12、是否否工程开放性工程开放性中中开源代码在工程中必须定制，影响了跨厂商兼容性中中通过丰富的北向API和对第三方的标准协议提供更工程化的开放性编程定制化编程定制化强强中中多厂商支持多厂商支持强强中中固定的系统搭配方案系统稳定性系统稳定性不稳定不稳定Bug、安全漏洞较多，版本碎片化稳定稳定厂商成熟的互操作搭配和服务保证使用便利性使用便利性复杂复杂，需要大量二次开发，需要大量二次开发成熟产品，开箱即用成熟产品，开箱即用服务服务无无靠多家第三方和二次开发商，服务协调难度大有有统一厂商服务功能功能差差社区版功能简单，需要大量定制开发丰富丰富功能完整丰富，包括Bare Metal、L4-7功能等等适用行业举

13、例适用行业举例大型运营商大型运营商大型互联网企业大型互联网企业大型银行进行自研云系统的试点测试大型银行进行自研云系统的试点测试企业中小规模的生产业务云计算系统企业中小规模的生产业务云计算系统一般企业要求快速投产的云计算系统一般企业要求快速投产的云计算系统Wei Hang云基础资源中的网络架构思路云基础资源中的网络架构思路其他云理论上任何网络都可以支持基于理论上任何网络都可以支持基于GBP的云服务的云服务控制层，但要想更好的发挥控制层，但要想更好的发挥GBP网络容器的优网络容器的优势，则势，则Wei Hang为什么需要新一代网络架构为什么需要新一代网络架构传统架构的问题：传统架构的问题：19软件

14、灵活性硬件性能和管理硬件性能效率和灵活性集中控管应用策略和GBPOpenFlow ProtocolWei Hang传统网络架构的问题：传统网络架构的问题：片面提高硬件性能却片面提高硬件性能却 按传统企业数据中心构架云数据中心难以实现云计算所需的按传统企业数据中心构架云数据中心难以实现云计算所需的“可扩展的二层环境可扩展的二层环境”传统的大二层技术（生成树、传统的大二层技术（生成树、TRILLTRILL、VXLANVXLAN等）存在多种弊病等）存在多种弊病20VLAN组组1L3L2VLAN组组2VLAN组组3Wei HangNG FabricNG Fabric形成动态可横向扩展的资源融合架构形成

15、动态可横向扩展的资源融合架构21 需要一种全新的下一代需要一种全新的下一代FabricFabric技术（技术（NG FabricNG Fabric），改善现有的大二层技术），改善现有的大二层技术 增强的增强的TRILLTRILL 增强的增强的VXLANVXLAN 实现云计算资源池所需的按需弹性扩展，但没有二层广播、组播和单播洪泛等问题实现云计算资源池所需的按需弹性扩展，但没有二层广播、组播和单播洪泛等问题Wei HangNG FabricNG Fabric消除云之间的资源竖井（混合云）消除云之间的资源竖井（混合云）221.将二层网络以及相应的网络到公有云，使用2.按需自动将VM按目标运营商网络

16、环境进行3.在公有云环境下，并且继承企业原有的安全策略4.按需5.按需自动将VM的格式和驱动转换回私有云内6.提供给用户在多个云之间，形成多云混合7.自动进行1.计算负载弹性延展到不同的云，且保持企业策略全局一致2.自动进行VM格式和驱动转换，提高灵活性3.按需收回计算量，高效经济4.提供多云选择，实现Wei Hang传统主机传统主机OverlayOverlay架构的问题：架构的问题：重视资源虚拟化却重视资源虚拟化却No SQLMPP DatabasesHadoop79%Source:Gartner http:/ HangNG FabricNG Fabric软硬件混合的软硬件混合的Overla

17、yOverlay技术解决问题技术解决问题一方面采用一方面采用，另一方面，另一方面2479%Source:Gartner http:/ SQLMPP DatabasesHadoop基于网络硬件的基于网络硬件的OverlayOverlay技术技术保持硬件网络的保持硬件网络的提供虚拟网络的提供虚拟网络的10.1.1.0 to 192.168.1.0 deny TCP 44510.1.2.0 to 192.168.1.0 deny TCP 44510.1.3.0 to 192.168.1.0 deny TCP 44510.1.3.0 to 192.168.5.0 deny TCP 44510.1.1.

18、0 to 192.168.1.0 permit TCP 808010.1.2.0 to 192.168.1.0 permit TCP 808010.1.3.0 to 192.168.1.0 permit TCP 808010.1.3.0 to 192.168.5.0 permit TCP 8080deny allWeb EPG to App EPG:deny TCP 445permit TCP 8080deny allWei Hang应用的可视化：应用的可视化：传统网络虚拟化技术遮蔽了应用的可视化传统网络虚拟化技术遮蔽了应用的可视化25Wei Hang应用的可视化：应用的可视化：NG Fabr

19、icNG Fabric软硬一体软硬一体OverlayOverlay技术提供了透过技术提供了透过OverlayOverlay层直达硬件的可视化层直达硬件的可视化HYPERVISORHYPERVISORHYPERVISORHEALTH SCORELATENCYDROP COUNTVISIBILITYVMsPhysicalApplication Delivery ControllerFirewall96%Microsecond(s)Packets Dropped525 73PayloadIPeVXLANiVTEPVNIDFlagsPolicyGroup应用标识和测量标识Wei Hang应用的可视化：

20、应用的可视化：基于应用的健康分值的进行自动化资源调整基于应用的健康分值的进行自动化资源调整HEALTH SCORELATENCYDROP COUNTVISIBILITYVMsPhysicalApplication Delivery ControllerFirewall2752%Microsecond(s)Packets Dropped10350 96%525 168Wei Hang应用的可视化：应用的可视化：应用级故障定位和云租户视角管理应用级故障定位和云租户视角管理Wei Hang基础架构团队基础架构团队（云服务部署者）（云服务部署者）两个团队，两个语言 应用需求到基础架构部署 基础架构对应

21、用需求应用人员应用人员（云服务使用者）（云服务使用者）应用分层应用分层应用逻辑关系应用逻辑关系应用服务质量应用服务质量应用安全要求应用安全要求?传统传统SDNSDN网络控制的问题：不支持面向应用策略的网络配置网络控制的问题：不支持面向应用策略的网络配置SLAQoSSecurityLoadBalancingAPPLICATION NETWORK PROFILEWei HangSLAQoSSecurityLoadBalancingAPPLICATION NETWORK PROFILEHYPERVISORHYPERVISORHYPERVISOR采用采用“应用策略架构控制器应用策略架构控制器”（API

22、CAPIC）：应用策略天生就是组策略（）：应用策略天生就是组策略（GBPGBP）Wei Hang软件灵活性硬件性能硬件性能效率和灵活性OpenFlow Protocol集中控管云应用视角新一代云计算的网络架构总结新一代云计算的网络架构总结ComputeComputeStorageStorageServicesServicesL2,L2,L3L3ComputeComputeStorageStorageServicesServicesSpine Spine SwitchesSwitchesL2,L2,L3L3Leaf Leaf SwitchesSwitchesWei HangUnderlayUnd

23、erlay新一代网络架构的实现：采用第二代新一代网络架构的实现：采用第二代SDNSDN技术技术32ControllerPolicy CPFabric CPPHYPHYPHYPHYPHYPHYPHYPHYControllerPolicy CPFabric CP软硬结合一体化软硬结合一体化OverlayOverlayOpenFlowOVSDBNetConf开放的网络协议开放的策略协议第一代第一代SDN硬硬VTEPVTEP软软VTEPVTEP硬硬VTEPVTEP软软VTEPVTEP：导致控制器集群机制复杂，稳定性下降；顾此失彼导致Policy CP功能单一，没有组策略能力：整体性能和服务质量受影响；

24、无法提供关联可视化，运维风险高：功能不一致（比如网关、策略执行）；依赖Host Overlay（性能差，与系统版本高度耦合，难以维护）第二代第二代SDN：控制器只负责策略，NG Fabric自带Fabric控制能力，因而可靠性高，策略功能丰富（支持GBP）：性能高，服务质量好，上下关联可视化，易于运维管理和故障诊断：功能全局一致（比如网关一体化、统一策略）；不依赖Host Overlay（性能高，与系统类型完全解耦，易于维护）Wei Hang第二代第二代SDNSDN技术的两种实现形态技术的两种实现形态，如：Cisco VTS/BGP/EVPN，OpenDL/OpFlex 定制，但需要，如：缺少

25、GBP（需要另行开发）、健康可视、网络管理、可靠性、安全性和性能优化等，运维和稳定性高度依赖开发团队33，如：Cisco ACI,阿朗Nuage,OneConvergence，带有丰富GBP网络容器、健康可视化、网络管理、服务质量、安全性、可靠性优化等功能 基本，提供丰富的实现SDN 商用，运维有高度专业化团队OTTOTT运营商运营商金融金融企业企业Wei HangACIACI兼顾开源系统的兼顾开源系统的，商用系统的，商用系统的34传统开源系统传统开源系统传统商用系统传统商用系统ACI代码代码开源私有开源和私有结合OpenDL，GBP，Device Package等开源，iNXOS内置协议协议

26、开放私有开放OpFlex、BGP/OSPF、LLDP等编程定制化编程定制化可定制不可定制可定制基于策略的SDN定制编程能力系统稳定性系统稳定性不稳定Bug、安全漏洞多，版本碎片化稳定厂商保证稳定厂商保证使用便利性使用便利性需要二次开发成熟产品，系统集成成熟产品，系统集成服务服务无靠第三方和二次开发商有厂商服务有思科服务功能功能基本一般面向开发者的通用版本丰富厂商根据目标用户已做优化丰富比如应用到底层的健康关联分析典型例子典型例子OpenFlow SDNIBM大机系统ACI，互联网（商用产品为主，靠开放协议集成的开放系统）新一代网络架构的实现新一代网络架构的实现Wei HangOpen REST

27、 APIs Support Integration With Any SoftwareOpFlex:Open Fabric Attached Device API Supports Integration with Any Network Device Automation Enterprise MonitoringSystemsManagementOrchestrationFrameworksOVMHypervisor ManagementApplicationsOpenflow,3rd party switches,商用化的商用化的ACIACI同样具备开放性和完善的生态同样具备开放性和完善

28、的生态Wei Hang 全企业广度的多厂商异构的资源协调和部署 需要有配合IT治理的深度服务内容 要与整体IT运维和管理系统整合和定制化设计思路总结设计思路总结IT AdminsIT Operations合作伙伴生态系统合作伙伴生态系统End UsersEnd Users自服务门户自服务门户云服务提供商混合云混合云Cisco Whiptail其他云其他云其他云网络容器：网络容器：，与底层架构解耦，与底层架构解耦系统选型：系统选型：或或：弹性延展，稳定可靠：弹性延展，稳定可靠：兼顾软件灵活性和硬件性能，实现管理可视化：兼顾软件灵活性和硬件性能，实现管理可视化：基于应用策略需求的原生：基于应用策略

29、需求的原生GBP实现方式：开源定制或成熟商用的实现方式：开源定制或成熟商用的议题议题架构思路方案总结Wei Hang金融系统云计算的总体发展方案金融系统云计算的总体发展方案 优先云化资源弹性需求较高的部分优先云化资源弹性需求较高的部分 全渠道 互联网业务 大数据智能 虚拟化计算（Application/Web Server）保持一些资源需求固定的业务不变保持一些资源需求固定的业务不变 大机、Core Banking数据库、云化的资源云化的资源需要云化网络作为基础平台 非云化的资源非云化的资源也能在云化的网络上得到更稳定的二层、更优质的服务质量、更可视化的管理以及基于应用策略的自动化等好处38W

30、ei Hang 全企业广度的多厂商异构的资源协调和部署 需要有配合IT治理的深度服务内容 要与整体IT运维和管理系统整合和定制化云化部分所推荐的宏观架构云化部分所推荐的宏观架构IT AdminsIT Operations合作伙伴生态系统合作伙伴生态系统End UsersEnd Users自服务门户自服务门户云服务提供商混合云混合云Cisco Whiptail其他云其他云其他云定制化基础服务：KeyStone,Nova,Glance,Cinder,Swift,GBP/Neutron.定制化编排和服务展示：云服务编排,云服务资源健康检查、管理和诊断,Wei Hang云化网络的建设：云化网络的建设：

31、不仅仅为云提供支撑，目标是为整个数据中心提供服务不仅仅为云提供支撑，目标是为整个数据中心提供服务其他云 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID41Cisco Confidential云化的网络：云化的网络：“以网络为中心以网络为中心”和和“以应用为中心以应用为中心”以应用策略为中心以应用策略为中心以网络策略为中心以网络策略为中心 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID42Cisco Confidential企业的网络云化演进路线企业的网络云

32、化演进路线网络策略网络策略网络策略网络策略网络策略网络策略应用策略应用策略：传统N2kN7k或或：DCNM/VTS：Enhanced FabricPath/VxLAN：高性能N9k：VTS/NSO：Enhanced VxLAN：高性能N9k：APIC：ACI(Enhanced VxLAN)：高性能N9k：APIC：ACI(Enhanced VxLAN)传统产品传统产品SDN高性能高性能SDNACISDNACISDN硬件升级硬件升级软件升级软件升级*应用梳理应用梳理 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID43Cisco

33、 Confidential某银行的云计算网络设计路线某银行的云计算网络设计路线 按照的要求进行分区的重新归并 归并后对弹性需求较多的生产区Extranet接入1Extranet接入2安全控制安全控制安全控制安全控制Extranet1Extranet2主机生产业务B安全控制安全控制生产业务A前置3安全控制生产业务C安全控制前置2安全控制安全控制办公业务安全控制网管1安全控制广域网区核心骨干网分行2分行1主网银备网银安全控制安全控制InternetInternet安全控制灾备中心安全控制网管2安全控制前置1安全控制高速交换核心安全控制安全控制Extranet1Extranet2外联接入区生产核心区

34、（传统）生产核心区（传统）网管办公区网管办公区广域网区分行2分行1安全控制安全控制InternetInternet网银区高速交换核心多中心前置1生产业务B安全控制安全控制安全控制安全控制生产业务C前置2前置3办公业务网管1承载网广域模块安全控制主网银备网银Extranet接入1Extranet接入2网管2主机生产业务A生产核心区（开放）生产核心区（开放）安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID44Cisco Confidential某银行的技术路

35、线具体规划某银行的技术路线具体规划使用使用到ACI NG Fabric，包括服务器灵活摆放弹性扩容、稳定可靠性大二层、应用高性能高服务质量、虚机网络统一管理、上层到底层关联分析可视化、策略化运维管理、自动化运维管理、兼顾开源与商用化优势等等，比如关联分析是Overlay/Underlay而非应用/Underlay在以上ACI中在租户切片上的应用策略控制服务挑选历史负担轻、要求敏捷性高的现有应用，比如：优先迁移有应用架构重构需求的应用共用同一个共用同一个Fabric，可以同时共存，可以同时共存且通过核心层三层互连，平滑迁移且通过核心层三层互连，平滑迁移 2006 Cisco Systems,In

36、c.All rights reserved.Presentation_ID45Cisco Confidential该银行开放平台生产业务区的整体物理架构该银行开放平台生产业务区的整体物理架构SAN MDS 9500FC/FCoE/IP StorageNexus 9500Nexus 7700其他分区其他分区/WAN/WANdVSwitch/AVCVirtual MachineUnified ComputingAPICSAN/iSCSI/Nexus 9300Nexus 9300 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID46

37、Cisco Confidential另一种云网络建设方式另一种云网络建设方式安全控制安全控制Extranet1Extranet2外联接入区生产核心区（传统）生产核心区（传统）网管办公区网管办公区广域网区分行2分行1安全控制安全控制InternetInternet网银区高速交换核心多中心前置1生产业务B安全控制安全控制安全控制安全控制生产业务C前置2前置3办公业务网管1承载网广域模块安全控制主网银备网银Extranet接入1Extranet接入2网管2主机生产业务A生产核心区（开放）生产核心区（开放）安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制保持现网不变，与现网通过

38、三层高速核心互连云分区内，为其他需要弹性资源的功能区（IP可达即可）未来考虑将下一代SDN 2006 Cisco Systems,Inc.All rights reserved.Presentation_ID47Cisco Confidential云服务控制层的设计云服务控制层的设计定制化基础服务：KeyStone,Nova,Glance,Cinder,Swift,GBP/Neutron.定制化编排和服务展示：云服务编排,云服务资源健康检查、管理和诊断,2006 Cisco Systems,Inc.All rights reserved.Presentation_ID48Cisco Confi

39、dential云服务控制系统演进路线云服务控制系统演进路线传统网络容器传统网络容器GBP网络容器网络容器VMware等虚拟化平台传统纯软件化网络容器无云服务控制系统OpenStack功能发展完全成熟，逐步取代商用化功能用户掌控云服务控制的全部代码，完全根据需求定制计算计算虚拟化虚拟化GBP商用化系统商用化系统OpenStack GBP+GBP商用化系统商用化系统OpenStackGBP云试点云试点异构云异构云全自主化全自主化GBP网络容器网络容器GBP网络容器网络容器商用系统和OpenStack融合基于统一的GBP策略OpenStack作为服务控制主体OpenStack不支持的特性（L4-7层

40、、物理服务器部署等）使用商用化补充采用商用化云服务控制实现GBP的网络容器例：UCS Director/CloupiaWei Hang云服务控制层的整体架构（网络视角）云服务控制层的整体架构（网络视角）Group Policy3rd Party DriverAPIC Native Driver用户自定义门户：用户自定义门户：最终用户门户，租户运维门户，厂商提供的厂商提供的OpenStackOpenStack运维门户（或运维门户（或APIAPI）：）：云服务编排设置,云服务资源健康检查、管理和诊断,VMwaredvSwtichKVMOVSKVMOVSL4-7层设备LocalVLAN/VXLANL

41、ocalVLAN/VXLANLocalVLAN/VXLANLocalVLANWei Hang用户视角的云网络容器和用户视角的云网络容器和ACIACI底层实现的对应关系底层实现的对应关系采用ACI内的实现采用，也称为该租户的一个VPC（Virtual Private Cloud）采用ACI的，是共同网络策略的集合对应ACI的，在ACI内可以做到跨网络组，甚至可以跨网络容器，与基础架构解耦就是EPG内的，只不过ACI的End Point更加广义，不仅包括虚机，也包括不同平台的虚机、物理机、小机等等。实际一个机器的不同接口或子接口可以作为不同End Point看待用户视角的云网络容器模型用户视角的云

42、网络容器模型ACI在网络层面的实现方式在网络层面的实现方式：安全域内为应用单独设置的虚拟网：安全域内为应用单独设置的虚拟网：网络容器内具备相同策略：网络容器内具备相同策略的云主机集合，可包含多个子网的云主机集合，可包含多个子网：IP网络的网络的Subnet，利用，利用IP网关实现路由互连网关实现路由互连：云内的计算单元，虚机是常见形式，可跨多个网络组：云内的计算单元，虚机是常见形式，可跨多个网络组：租户内设定的可由防火墙隔离的区域：租户内设定的可由防火墙隔离的区域采用ACI的实现，安全域之间的访问需要通过防火墙等安全机制Wei Hang设计实现设计实现1 1：云管理员快速创建租户和网络容器：云

43、管理员快速创建租户和网络容器包括创建租户、包括创建租户、VPCVPC、DomainDomain、SubnetSubnet和策略和策略2、APIC Group Driver操作操作APIC控制器将管理员绘控制器将管理员绘制的网络容器设置在制的网络容器设置在ACI上上1、根据需求，云管理员在、根据需求，云管理员在Portal快速方便的绘制新的网络容器快速方便的绘制新的网络容器3、管理员可灵活改变基础架构属性，比如包含的、管理员可灵活改变基础架构属性，比如包含的子网和网关等，网络容器不变（即基础架构解耦）子网和网关等，网络容器不变（即基础架构解耦）Wei Hang设计实现设计实现2 2：云用户创建并

44、配置云主机：云用户创建并配置云主机3、APIC通过通过OpFlex Proxy（Leaf内）来控制内）来控制OpFlex Agent（Hypervisor内），后者操作内），后者操作OVS把对把对应虚机按网络容器要求打应虚机按网络容器要求打VLAN或或VXLAN标记（标记标记（标记只有本地意义，可复用）只有本地意义，可复用）4、ACI Fabric ToR正确理解边缘所打的正确理解边缘所打的VLAN/VXLAN标记，映射到已经设好的标记，映射到已经设好的ACI的的EPG内，从内，从而使云主机成功加入网络容器，得到网络云服务而使云主机成功加入网络容器，得到网络云服务1、用户在、用户在Portal

45、通过通过Nova创建并配置虚机创建并配置虚机2、用户在、用户在Portal把该虚机把该虚机装入网络容器和网络组装入网络容器和网络组5、该方法可用于将任何虚拟平台和物理机装入网络容器，兑现前文、该方法可用于将任何虚拟平台和物理机装入网络容器，兑现前文所述网络策略与计算节点类型位置无关。推荐边缘采用所述网络策略与计算节点类型位置无关。推荐边缘采用VLAN标记作标记作为进入网络容器的识别，因为其封装开销小、效率高。为进入网络容器的识别，因为其封装开销小、效率高。Wei Hang设计实现设计实现3 3：网络策略的实现：网络策略的实现两级策略：第两级策略：第1 1级是网络管理视角，第级是网络管理视角，第

46、2 2级是系统管理视角级是系统管理视角：构建网络容器构建网络容器时就已经把网络视角的基本组策略建立完成了，时就已经把网络视角的基本组策略建立完成了，包括：基于组的包括：基于组的ACL、QoS、L4-7服务等等服务等等：作为网络组策略的补充，：作为网络组策略的补充，还可以从主机视角设置还可以从主机视角设置“安全组安全组”，提供以主机为单位的，提供以主机为单位的各种网络策略，在创建云主机时选用。该功能包括各种网络策略，在创建云主机时选用。该功能包括流量管流量管控、控、QoS标记、标记、ACL等，是在等，是在Hypervisor层面实现的功能层面实现的功能Wei Hang3、用户可通过、用户可通过A

47、PIC控制器或控制器或Portal对对L4-7设备策略进行集中控设备策略进行集中控管，并且管，并且APIC有动态对智能策略进行调整的功能有动态对智能策略进行调整的功能设计实现设计实现4 4：网络策略中的：网络策略中的L4-7L4-7层服务层服务54防火墙、负载均衡等智能服务设备（无论是物理还是虚拟的）可放置在，形成服务池APIC包括Cisco、F5、Citrix、Checkpoint、Palo Alto、Enbrane、RADWARE、及网络功能虚拟化版本如果没在APIC支持列表内的，在开源社区提供开发组件，实现定制化开发，ACI提供快速串接入服务链的外部接口，人工或通过定制开发实现服务串接和

48、策略管控在即将的Kilo版本中OpenStack将增加直接通过Native GBP完成服务链的定义和L4-7设备的管控10.0.0.2add server EP-1 10.0.0.2add service web-service-1 10.0.0.2 HTTP 80bind lb vserver vserver-web web-service-1unbind lb vserver vserver-web web-service-1rm service web-service-1 10.0.0.2 HTTP 80rm server EP-1 10.0.0.2VPC-0001Web组 VPC-00

49、01外部组Func:FirewallFunc:SSL offloadFunc:Load BalancerService Graph:“web-application”1、基础架构管理员构想、基础架构管理员构想L4-7层服务链条，通过管层服务链条，通过管理员理员Portal驱动第三方驱动第三方Driver（本案例为（本案例为UCSD/Cloupia）提供的工作流完成）提供的工作流完成“服务链服务链”的定义的定义2、云管理员在、云管理员在Portal的组策略中引用定义好的的组策略中引用定义好的“服务链服务链”Wei Hang设计实现设计实现5 5：云服务的对外交互：云服务的对外交互云内不同网络容器

50、之间的交互云内不同网络容器之间的交互55A的出策略的出策略B的出策略的出策略网络容器的互访可将自己对外展示的服务放到网络组策略内（图中的出策略）网络容器引用对方的出策略即可完成互连在本方视角里，对方的网络容器被充分抽象为对方的组策略，引用即可，无须关心其内部细节双方共同制定互访策略，策略分工清晰，易于自助管理策略不仅管控互访的地址，也可管控互访的方式，比如允许的应用类型、带宽、插入L4-7层服务等等双方网络容器的地址如有重叠，需通过双方的策略中引用L3或L4-7层设备来进行NAT实现互访Wei Hang设计实现设计实现5 5：云服务的对外交互（续）：云服务的对外交互（续）混合云混合云Inter