1、第 PAGE13 頁 共 NUMPAGES13 頁SDN 技術(shù)路線選擇和 SDN 規(guī)劃初期重點SDN 技術(shù)路線選擇和 SDN 規(guī)劃初期重點計算、存儲當前已經(jīng)在做云化的落地，但是光有存儲和計算的云化，不是一個完整的云解決方案。如果要做到云化、服務(wù)化，把 SDN 帶進去會不會是一個比較好的選擇？在 SDN 技術(shù)路線的選型上又應(yīng)該如何選擇？規(guī)劃 SDN 網(wǎng)絡(luò)應(yīng)該注意哪些？ 1、企業(yè)為什么需要上 SDN，能給帶來什么好處？近年來，隨著數(shù)據(jù)中心云化的加速，云作為最新的基礎(chǔ)設(shè)施形態(tài)開始被行業(yè)認同并接納。但在云環(huán)境下，傳統(tǒng)網(wǎng)絡(luò)技術(shù)架構(gòu)受到了挑戰(zhàn)：一方面虛擬化思想的出現(xiàn)，顛覆了原有的數(shù)據(jù)中心網(wǎng)絡(luò)模型，使得傳統(tǒng)

2、網(wǎng)絡(luò)技術(shù)已不足以適配云環(huán)境下產(chǎn)生的新場景，如虛擬機的出現(xiàn)要求網(wǎng)絡(luò)顆粒度從物理機細化到了虛擬機級別；另一方面面向互聯(lián)網(wǎng)的創(chuàng)新業(yè)務(wù)的快速發(fā)展，也會對網(wǎng)絡(luò)的性能、彈性等特性提出更高的要求。軟件定義網(wǎng)絡(luò)（SDN）技術(shù)通過分布式架構(gòu)理念，將網(wǎng)絡(luò)中數(shù)據(jù)平面與控制平面相分離，從而實現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺，其與云網(wǎng)絡(luò)發(fā)展趨勢相契合，是實現(xiàn)云網(wǎng)絡(luò)服務(wù)的有效支撐技術(shù)。2、SDN 架構(gòu)與傳統(tǒng)的架構(gòu)相比有哪些優(yōu)勢，尤其是成本這一塊？SDN 并不能降低網(wǎng)絡(luò)設(shè)備采購成本。SDN 價值主要是使企業(yè)可以應(yīng)對上云后所產(chǎn)生的靈活多變的網(wǎng)絡(luò)需求，提升運維效率和網(wǎng)絡(luò)的穩(wěn)定性。如果不與云平臺對接

3、，上 SDN 也沒有意義了。當然也存在一些對接風險問題，這就需要企業(yè)根據(jù)自身情況進行評估。3、如何根據(jù)不同的場景選擇 SDN 的技術(shù)路線及廠商？SDN 發(fā)展多年，已較為成熟，各家廠商基本上都能夠覆蓋當前的企業(yè)場景需求。重要的還是后期支持能力，響應(yīng)的敏捷度，以及價格。4、硬件 SDN 與軟件 SDN 分別指什么？硬件與軟件 SDN 的優(yōu)劣勢分別是什么？SDN 方案分為硬件和軟件兩大類。硬件 SDN 是采用專用的硬件交換設(shè)備與控制器來實現(xiàn)相關(guān)的網(wǎng)絡(luò)功能，控制器對硬件設(shè)備進行策略以及流表的下發(fā)，來實現(xiàn)網(wǎng)絡(luò)相關(guān)的功能。它的優(yōu)點是性能強，比較穩(wěn)定，缺點是不靈活且組網(wǎng)成本很高。而在軟件 SDN 的解決方案

4、中，網(wǎng)絡(luò)的功能是通過軟件層面的 Linu_ 協(xié)議棧以及相關(guān)的虛擬交換機技術(shù)實現(xiàn)的。它的優(yōu)點可以避免對硬件網(wǎng)絡(luò)設(shè)備的過度依賴，同時降低了組網(wǎng)的成本，但是軟件方案的缺點也比較明顯，主要表現(xiàn)在網(wǎng)絡(luò)的穩(wěn)定性、性能和可擴展性不如硬件方案。5、軟件和硬件 SDN，在性能上會有多大的差異，對于后期運維管理而言，會有什么區(qū)別？之前對 ovs+v_lan 方案的性能進行過測試，在無任何加速手段的情況下，極限性能只能跑到 3g 多一點，瓶頸出在對 v_lan 報頭的解封裝上面，只能在服務(wù)器中進行軟卸載，導致性能感人。但是有許多加速的手段，一是采用 dpdk 進行軟件加速，單對 vm 極限速率可提升到近 5g，3

5、對即可打滿；還有就是在服務(wù)器上配置具備 v_lan 解封裝能力的網(wǎng)卡，也能夠打滿萬兆網(wǎng)卡，提升能力比 dpdk更強，但這還是依賴了硬件能力。另外軟件 SDN 性能與方案架構(gòu)也有關(guān)系，比如分布式路由性能要強于集中路由。對后期管理而言，軟件方案對物理網(wǎng)絡(luò)設(shè)備沒有太大影響，主要都是通過 openflow 流表實現(xiàn)；硬件方案網(wǎng)絡(luò)設(shè)備上配置較復雜，在上面實現(xiàn) v_lan 能力，服務(wù)器上依然通過流表實現(xiàn) VLAN。如果自己長期維護，穩(wěn)定性上硬件要強于軟件，但是難度上也高于軟件。6、軟件 SDN 是否符合金融業(yè)對網(wǎng)絡(luò)架構(gòu)中隔離性的要求？隨著 SDN 在各個測試環(huán)境的落地和實施，通過實踐經(jīng)驗和壓力測試過程，連

6、接外部關(guān)聯(lián)的防火墻，蜜罐，內(nèi)部軟防火墻等等設(shè)備后，SDN 已經(jīng)符合目前要求的等保標準和生產(chǎn)標準。SDN 的軟防火墻已經(jīng)和硬防火墻有同等防御能力和共功能。而且目前新建數(shù)據(jù)中心網(wǎng)絡(luò)多部署 SDN 網(wǎng)絡(luò)結(jié)構(gòu)。7、軟件 SDN 使用普通服務(wù)器進行網(wǎng)絡(luò)控制，這部分服務(wù)器由系統(tǒng)工程師還是網(wǎng)絡(luò)工程師來進行規(guī)劃和維護工作比較好？SDN 設(shè)備部署和基礎(chǔ)環(huán)境管理是網(wǎng)絡(luò)管理員責任，包括交換機，防火墻，蜜罐，放滲透設(shè)備等。軟路由和防火墻策略關(guān)系等業(yè)務(wù)網(wǎng)絡(luò)連接特性和訪問關(guān)系，由運維人員負責處理。8、企業(yè)當前網(wǎng)絡(luò)結(jié)構(gòu)較復雜，如何能夠快速切換到全 SDN 解決方案？從傳統(tǒng)網(wǎng)絡(luò)切換到 SDN 網(wǎng)絡(luò)需要詳細規(guī)劃業(yè)務(wù)網(wǎng)絡(luò)部署情況

7、和互聯(lián)情況。先規(guī)劃出網(wǎng)絡(luò)區(qū)域、網(wǎng)絡(luò)物理層級、各個業(yè)務(wù)的互聯(lián)情況、外聯(lián)情況、數(shù)據(jù)過強和蜜罐位置。完成上面需求分析p 后，規(guī)劃新的 SDN部署過程和 ip 網(wǎng)段等的分配方式和分類。9、規(guī)劃 SDN 網(wǎng)絡(luò)時，應(yīng)該提前考慮和規(guī)劃好什么內(nèi)容？一般從大到小開始規(guī)劃，首先 SDN 網(wǎng)絡(luò)定位是新建數(shù)據(jù)中心內(nèi)的 SDN，還是傳統(tǒng)網(wǎng)絡(luò)搬遷到同址的SDN，IP 地址規(guī)劃和新老網(wǎng)互通方式。接著是定位 sdn 的整體容災(zāi)架構(gòu)，是同城雙中心二層打通的 SDN還是三層獨立的 SDN 網(wǎng)絡(luò)。接著是 fabric 的部署模式，一般取決于 az 域或者服務(wù)器規(guī)模和成本考慮。fabric 整體的收斂比，互聯(lián)帶寬大小，v_lan 互

8、聯(lián)方式，vpc 規(guī)劃，分布式網(wǎng)關(guān)集中式網(wǎng)關(guān)。如果涉及傳統(tǒng)業(yè)務(wù)搬遷，提前考慮搬遷計劃和方案。underlay 的部署模式，SDN 控制器是通過帶內(nèi)管理還是帶外管理。也要考慮模塊距離長度的問題，防火墻的部署模式，負載均衡設(shè)備的部署模式，安全隔離方案南北向和東西向是否都需要隔離，東西向是否需要服務(wù)鏈引流到防火墻，服務(wù)鏈的匹配能力是否兼容現(xiàn)有網(wǎng)絡(luò)尤其是負載均衡的 vs。從大的層面來看，與云平臺采用什么模式對接、業(yè)務(wù)分布及網(wǎng)絡(luò)規(guī)劃如何、怎樣與傳統(tǒng)區(qū)域互通等等。從小層面來看，防火墻、負載均衡的接入方式，業(yè)務(wù)網(wǎng)、數(shù)據(jù)網(wǎng)、管理網(wǎng)及帶外如何規(guī)劃，每張網(wǎng)絡(luò)上都跑什么樣的數(shù)據(jù)，Qos 策略如何設(shè)計能夠滿足業(yè)務(wù)需求，

9、ACL 安全控制規(guī)劃等等。10、不同廠商的 SDN 是否可以實現(xiàn)對接，對接前需要準備什么內(nèi)容？現(xiàn)在主流廠商 SDN 產(chǎn)品一般來說不建議跨廠商納管，在早期 SDN 經(jīng)常講白牌交換機，和 openflow 統(tǒng)一管理，但其實現(xiàn)在主流方案都不是這樣實現(xiàn)了。一般都是同廠商來實現(xiàn)比較合適，版本升級簡單，功能更全面。不同廠商 SDN 一般之間三層隔離打通，物理和邏輯上是獨立的 SDN，這樣比較好一些。或者可以找一些相應(yīng)的云管廠商在多個 SDN 控制器上封裝一層面向客戶，就是一個大的 SDN 控制器。11、銀行傳統(tǒng)數(shù)據(jù)中心升級改造，SDN 如何兼顧傳統(tǒng)數(shù)據(jù)中心，消除掉不納管不搭橋不監(jiān)控現(xiàn)象，是否有較優(yōu)的過渡解

10、決方案？可以在同城雙中心先搭建好跨中心端到端 v_lan 的兩個 SDN fabric，在這兩個 fabric 上增加 leaf，用border leaf 與傳統(tǒng)網(wǎng)絡(luò)各個區(qū)域的核心三層和二層打通，然后把 leaf 按照搬遷計劃部署到相應(yīng)服務(wù)器附近新布線，服務(wù)器 ip 和位置不動，只換接入線纜讓其接入 SDN 網(wǎng)絡(luò)，一般盡量相同網(wǎng)段一批搬遷，然后再遷移網(wǎng)關(guān)從傳統(tǒng)核心到 SDN 分布式網(wǎng)關(guān)，這樣逐步搬遷就可以完成，民生銀行數(shù)據(jù)中心就是采用這種方案完成傳統(tǒng)網(wǎng)絡(luò)向 SDN 網(wǎng)絡(luò)升級。12、雙活數(shù)據(jù)中心的架構(gòu)模式下，大二層的意義是什么？是做大二層的 IAAS 層面資靈活調(diào)配，還是做基于應(yīng)用彈性部署的 3

11、 層負載更加便于管理？哪一種更代表趨勢？二層打通會增加虛擬機的漂移范圍，做跨中心的大二層一般是有兩個原因，一是兩個中心 A 和 B 資利用率極不平衡，所以需要虛擬機的跨中心漂移來對中心資進行再平衡，降低其中一個中心的資負載；二是客戶提出明確需求，云平臺支持跨中心的虛擬機漂移，以滿足特殊業(yè)務(wù)需求。跨中心大二層的打通不會帶來管理上的便捷，只會增加管理復雜性，一旦出現(xiàn)故障，由于傳輸線路過長，將極難定位問題。另外跨中心大二層打通會使邏輯上的東西流量變?yōu)閷嵸|(zhì)上的南北流量，會增加核心以及骨干的負擔，增加專線資消耗。雖然目前不會出現(xiàn)廣播風暴的問題，但在無硬需求場景的情況下，不建議做跨中心大二層。以上純屬個人

12、看法，也請大家討論。這個問題我的經(jīng)驗是這樣的：一般多個數(shù)據(jù)中心之間是否打通二層最關(guān)鍵是取決于數(shù)據(jù)庫的容災(zāi)切換方式。一般銀行數(shù)據(jù)中心重要系統(tǒng)的數(shù)據(jù)庫還是主備架構(gòu)，主數(shù)據(jù)所在同機房使用操作系統(tǒng) HA 或者數(shù)據(jù)庫層的同步技術(shù)實現(xiàn)同機房容災(zāi)確保 rto 時間較小。在同城災(zāi)備機房的備庫，使用存儲同步技術(shù)保證備庫數(shù)據(jù)一致性。在異地災(zāi)備機房的備庫使用存儲異步或者數(shù)據(jù)庫層異步技術(shù)保證數(shù)據(jù)庫一致性。當主庫所在機房發(fā)生災(zāi)難需要切換到同城容災(zāi)機房的備庫的時候，有兩種方式實現(xiàn)容災(zāi)。1.在 app 使用ip 地址訪問數(shù)據(jù)庫的場景下，最快速的切換方式是把備庫的 ip 地址改為主庫相同的地址，避免更改大量 app 服務(wù)器的

13、配置加快切換速度。2.在 app 使用 dns 域名訪問數(shù)據(jù)庫的場景下，只需要更改 dns 的a 記錄解析即可完成切換。第一種切換方式是傳統(tǒng)比較常用的方式，使用這種方式的前提的同城雙中心需要二層打通部署相同網(wǎng)段，這樣才支持跨數(shù)據(jù)中心修改成相同的 ip 地址。第二種切換方式不需要二層打通，主備庫 ip 可以不同網(wǎng)段，當然 dns 改造和 GSLB 是必須的。所以一般是否需要打通大二層主要取決于數(shù)據(jù)庫容災(zāi)切換的方式，sdn 同理，建議傳統(tǒng)同城數(shù)據(jù)中心是大二層架構(gòu)的可以直接搭建同樣打通二層的 sdn，如果使用 dns 或者負載均衡掛在數(shù)據(jù)庫并且已完成dns 改造和 gslb 方案的可以搭建三層隔離的

14、 sdn 網(wǎng)絡(luò)，當然從先進性和運維角度后者是未來的主流趨勢。這個問題需要從以下兩個方面來考慮：一、首先得搞清楚二層打通的目的是什么？一般來講二層打通的目的主要有以下幾個：2.跨數(shù)據(jù)中心數(shù)據(jù)庫集群（HA 或者 AA）對于 1、3 來講，其實 SDN 技術(shù)本身有一個優(yōu)勢，就是通過隧道技術(shù)解決二層跨地域問題，也就是說通過 SDN 的隧道技術(shù)完全可以實現(xiàn)以上所述的幾個功能。但是，有一點是需要注意的，就是如果數(shù)據(jù)庫集群采用的是跨中心的 RAC，那么雙中心之間的 RAC 心跳是非常重要的（一致性緩存塊兒的傳遞、鎖信息的傳遞），從穩(wěn)定性、延時、帶寬等各個方面需要一個全面的評估。二、從技術(shù)成熟性和復雜度來講，

15、我覺得二層打通技術(shù)更復雜，要求更高；SDN 技術(shù)從成熟度上來講缺乏足夠的實戰(zhàn)場景來發(fā)現(xiàn)其中的一些 BUG，或許使用過程當中會面臨很多意想不到 BUG 的困擾。綜上所述，這個問題首先是要看整體技術(shù)架構(gòu)，然后通過技術(shù)架構(gòu)的優(yōu)化來實現(xiàn)取長補短（比如說，我可以用 SDN 實現(xiàn)應(yīng)用的漂移以及負載的平衡，但是數(shù)據(jù)庫我可以采用主備模式降低風險，提高硬件配置降低復制帶來的 RPO 風險等）。這個問題要分開來看：一、從技術(shù)發(fā)展趨勢上看1.SDN 技術(shù)從 2022 年被提出已經(jīng)經(jīng)歷了 10 多年的發(fā)展，技術(shù)逐漸成熟，用戶量也再逐年上升，尤其在運營商層面；2.其核心就是一種數(shù)據(jù)平面與控制分離、軟件可編程的新型網(wǎng)絡(luò)體

16、系架構(gòu)，消除了頂層基礎(chǔ)架構(gòu)的兼容性限制，其實可以理解成為網(wǎng)絡(luò)虛擬化的一種；3.對于運維人員只需要關(guān)注控制即可，轉(zhuǎn)發(fā)層甚至是傻瓜交換機都可以。所以從技術(shù)角度看的確增加了數(shù)據(jù)中心的靈活性和彈性。二、從實際困難出發(fā)1.國內(nèi)掌握 SDN 神髓的個人或者服務(wù)商不多，存在較高的技術(shù)壁壘；2.整體運維成本高，對運維人員的開技術(shù)要求過高；3.初期投入成本不低，需要各種設(shè)備的聯(lián)調(diào)測試；4.場景化應(yīng)用有待普及。所以對于成熟的數(shù)據(jù)中心更傾向于穩(wěn)定，試錯盡量放在測試環(huán)境或者非核心的小環(huán)境。多活數(shù)據(jù)中心都上了 sdn 用 v_lan 了，實現(xiàn)了二層網(wǎng)絡(luò)在三層擴展，那二層打通的意義也不大了吧，IAAS層的飄移也可以通過

17、V_LAN 實現(xiàn)了。這時您的數(shù)據(jù)中心應(yīng)該也不會有傳統(tǒng)的集中式數(shù)據(jù)庫了吧，HA高可用什么的也不會有了，分布式應(yīng)用和分布式數(shù)據(jù)庫都基本以這些為主了，那更沒必要再引入大二層了，增加管理的復雜性。多數(shù)據(jù)中心情況下，SDN 網(wǎng)絡(luò)是否要上大二層，筆者認為主要取決于應(yīng)用場景。對于部分電信應(yīng)用場景來說，大二層非常有必要，因為有些電信應(yīng)用場景需要保持 IP 和 MAC 地址不變，而且要支持跨數(shù)據(jù)中心的遷移，在這種情況下沒有大二層根本行不通。對于絕大部分互聯(lián)網(wǎng)應(yīng)用場景和金融應(yīng)用場景來說，大二層沒有必要，互聯(lián)網(wǎng)應(yīng)用有很多技術(shù)可以實現(xiàn)跨數(shù)據(jù)中心的流量分發(fā)和集群多活（如負載均衡+域名智能解析），服務(wù)器實例不需要在跨數(shù)據(jù)中心進行遷移。這種情況下，其實沒必要上大二層。在多數(shù)據(jù)中心上大二層技術(shù)的好處是支持的場景更多，對于部分用戶的應(yīng)用來說不需要改造，上云更簡單方便。但是對于建設(shè)和運維來說，肯定會更復雜，由于涉及多數(shù)據(jù)中心，多數(shù)據(jù)中心之間的大二層網(wǎng)絡(luò)如何打通，這在業(yè)界也是一個難題。如果采用點對點 mesh 的方式，即