近日,腾讯微信出现大面积故障,国内多个省份的用户无法登录微信,即使登录上去也无法与服务器取得连接。微信团队在第一时间表示故障原因是“服务器基础网络故障”。因数据中心服务器网络故障导致的事故这些年似乎一直在纠缠着这些互联网服务巨头们,亚马逊、谷歌、苹果iCloud、Salesforce、Rackspace等无一幸免。这让数据中心安全问题再次成为焦点。
为防止网络恶意行为对数据中心造成的严重损害,下一代智能防火墙的讨论似乎更为热烈,广泛见诸于媒体或专家的讨论,依靠访问控制防御来获得安全性也成了安全厂商们未来发力的方向。而对传统数据中心架构带来的安全性问题却往往被忽视了,大数据、云计算、虚拟化已成了现有数据中心的绊脚石。
传统数据中心显颓势
我们正处于一个大数据的时代,据统计80%-90%的数据都是近两年产生的,而到2015年,全球的IP流量将会翻四倍,在线人数也将冲击30亿人大关。这让目前数据中心的集中流量从数据中心出口逐渐转向数据中心内数据交换,数据中心转型压力明显增大。
第一,在传统的STP的架构中,这些流量都会涌向上层汇聚,既增加了时延,又对网络汇聚层造成了压力。
第二,网络节点的爆发式增长增加了流量负载压力。传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量,并在以太网中使用STP来确保无环,优化客户端到服务器的路径和支持连接冗余。
由于STP需要阻塞掉冗余的设备端口和链路,在实际网络规划时,从转发性能、利用率、可靠性等方面考虑,会尽可能控制STP网络范围。一般情况下STP的网络规模不会超过100台交换机。
云服务因其能提供丰富的个性化产品,云主机的弹性扩容和实现灵活动态的分布式部署而备受企业青睐。现在租用云服务的企业越来越多,云服务导致一个网段内实际所需要承受的机器数量和具体流量都倍增。有业内专家称Hadoop可将20个节点扩展为42000个节点。此时,原有的STP不能再适应分布式的应用程序架构相关的服务器到服务器的超大容量通信需求。数据中心的超大网络集群让网络成为比IO更大的瓶颈。
第三,现有基于以太网的STP对于虚拟化迁移需求造成障碍。作为云计算的核心技术之一,服务器虚拟化已经得到越来越广泛的应用。虚拟化从根本上改变了数据中心网络架构的需求。最重要的一点就是,虚拟化引入了虚拟机动态迁移技术。从而要求网络支持大范围的二层域。STP虽可以很好地支持客户端-服务器应用程序及其流量,但是只是支持在同一网段的服务器到服务器的横向通信。
虚拟机迁移要求虚拟机迁移前后的IP和MAC地址不变,这就需要虚拟机迁移前后的网络处于同一个二层域内部。由于客户要求虚拟机迁移的范围越来越大,甚至是跨越不同地域、不同机房之间的迁移,所以使得数据中心二层网络的范围越来越大。为此,大二层网络便成为数据中心安全建设的另一重要课题。
TRILL与SPB各领风骚
对于集群处理的应用越来越多,传统的基于STP备份设备和链路方案已经不能满足数据中心规模、带宽的需求,且虚拟化技术部署带来的虚拟机的迁移问题也成为必须要考虑的问题。
必须要有一种新技术的出现,来解决当前数据中心的网络扩展问题,大二层网络因其拓扑稳定、高可用和可扩展性的特点成为了业界新的关注点。
供应商在数据中心大二层网络优化设计方面似乎集中到了两个阵营:一些厂商支持IETF的TRILL协议,一些厂商则支持IEEE的SPB协议。
首先要说的是透明协议。其是IETF推荐的连接层网络标准,简称TRILL,还没发布标准化版本。TRILL具有很高的重要性,因为大型数据中心开始利用FC通道等新技术将存储传输和IP传输融合到以太网链接上,而标准的STP将不再适合融合网络或超大型数据中心的扩展,这就需要透明协议来支持了。
思科是TRILL阵营里最为强有力地支持者了。FabricPath 是TRILL 正式标准化之前,Cisco 推向市场的“Pre-Standard”技术, 基本内容与TRILL 相同, 增加了“基于会话的MAC 地址学习”、“Vpc+”和“多 重拓扑”等高级功能。FabricPath 架构与TRILL 完全兼容,Cisco 承诺 FabricPath 平台将全面支持TRILL 协议,TRILL 正式标准化之后,通过软件升级,现有FabricPath 设备能够与标准的TRILL 交换机互联互通。当前市场上经常可见的Nexus 7000板卡便支持FabricPath。
2010年博科推出Brocade One统一战略,One架构采用TRILL,此后博科发布了一系列综合性产品组合和开放式架构解决方案进一步夯实Brocade one策略。
锐捷也提出针对TRILL标准的自身技术理念,锐捷RG-12000系列、RG-S6200核心和接入产品全线支持FCoE,采用超大缓存设计,基于100G平台设计,采用802.1Qbg VEPA标准支持数据中心虚拟化特性,实现硬件芯片支持TRILL协议。
神州数码网络的CVSF方案中,通过标准TRILL L2MP技术构建超大型的数据中心网络架构,来保证和其他厂商设备良好的兼容性。
SPB是透明协议的一个强有力对的竞争对手,它一个待定的IEEE标准,基于IS-IS协议,旨在成为一种支持2层协议多路径技术的标准方法。与竞争协议不同的是,SPB向下兼容,所以它不需要升级硬件就能够与标准以太网和互联网协议(IP)互操作。但是SPB并不是目前应用最广泛的协议。
Avaya是支持SPB的最大网络供应商。Avaya利用IS-IS的通用性,对三层虚拟路由与转发(VRF)例程也加以扩展和分发。在不同虚拟网络之间实现选择性路由。另外,网络间路由提供了单独网络之间通信流量的高效率、高度细化控制。
阿尔卡特朗讯也是SPB阵营的主力,提出了应用流畅网络(Application Fluent Network),该架构基于弹性架构,可自动控制网络,使其动态适用于应用、用户和当前设备,以提供高品质的用户体验并简化操作。
当然,有些厂商在TRILL和SPB两方都下了赌注,比如:HP和华为。HP的数据中心策略是提倡融合基础设施。其中网络部分称之为FlexNetwork,包括FlexFabric、FlexCampus、FlexBranch和FlexManagement。同HP一样,华为计划扩展和桥接SPB和TRILL的功能,对于基于路由器的TRILL和SPB技术来实现数据中心简化与互联都会支持。
SDN改变整个网络世界
经过三、四年的发展,用户已经了解了SPB和TRILL,但我们目前还没有杀手级的应用迫使用户在这方面转型。在锐捷网络有限公司产品营销部数据中心产品经理蒋波看来,国内用户在大二层的应用还在培育期。现在SDN的出现,会使大二层的应用深入人心。
SDN是一种新兴的控制与转发分离并直接可编程的网络架构,可以解决很多传统的网络遇到虚拟化环境带来的问题。SDN可以帮助数据中心将环境转移到更接近云,通过将网络带到与虚拟化基础设施的其他方面同等的地位。博科公司最近的一份调查显示,目前完全不打算评估和应用SDN的公司要比正在使用SDN的公司多出一个百分点。这一比例恰恰和目前使用结构化网络的公司比例一致。
SDN在技术发展方面,笔者个人相信其确有发展的前途。去年,VMware公司宣布将以近十二点六亿美元的价格收购网络虚拟化软件供应商Nicira公司,以弥补VMware公司云计算虚拟化战略中一个重要的缺陷,提升该公司的软件定义网络(SDN)产品。思科去年向Insieme Networks注资一亿美金,显然是想在SDN项目上大做文章。
目前来看,SDN存在两种标准,一是OpenFlow协议,标准化工作是由ONF组织进行维护与发展,很多厂商已经推出支持OpenFlow的交换机与Controller,不少大型企业用户也开始尝试使用。另外则是I2RS(Interface to the Routing System)协议,由IETF制定的标准,在目前传统网络设备的路由及转发系统基础上开放新的接口来与外部控制层通信,外部控制层通过设备反馈的事件、拓扑变化、流量统计等信息来动态地下发路由状态、策略等到各个设备上去。
不仅云环境能从SDN中获益,SDN也能让公司网络实现即时的重构,想象一下吧,如果在会议室中接入一个多媒体密集型设备,网络就能轻松地适应突然出现的新负载,而不会影响整栋大楼的其他网络流量。或者灾难发生时重新搭建蜂窝网络,在最关键的时间和位置为用户提供网络连接。毫无疑问这就是为什么IDG预言SDN价值将在2016年达到200万美元的原因。