【正文】 的增加低，不涉及硬件改造低，單實例性能較差，通常以部署多個網(wǎng)關(guān)的水平擴展方式提升網(wǎng)關(guān)容量，但總體上性能（包括時延、抖動等）難以與硬件網(wǎng)關(guān)相當?shù)?，通過軟件、鏡像方式發(fā)布新版本提升功能；通過虛擬機資源分配更改、部署多臺網(wǎng)關(guān)提升性能Overlay網(wǎng)關(guān)部署方式的對比如上表所示。專用硬件網(wǎng)關(guān)和軟件網(wǎng)關(guān)各有優(yōu)劣，與軟件網(wǎng)關(guān)相比，專用硬件網(wǎng)關(guān)的設(shè)備成本、改造難度，以及部署后的能力升級的難度都更大，但提供的性能也更高。云資源池SDN網(wǎng)關(guān)須根據(jù)業(yè)務(wù)功能需求、性能要求、現(xiàn)網(wǎng)環(huán)境綜合考慮軟件或硬件網(wǎng)關(guān)方案。如對網(wǎng)關(guān)流量需求不大應(yīng)選擇軟件SDN網(wǎng)關(guān)，如規(guī)劃期內(nèi)存在網(wǎng)關(guān)流量需求較大（吞吐量大于20Gbps）等特殊需求的資源池可靈活選擇軟件或硬件SDN網(wǎng)關(guān)。對于存在物理服務(wù)器接入Overlay網(wǎng)絡(luò)需求的場景，通過L2網(wǎng)關(guān)實現(xiàn)物理服務(wù)器的接入。 計算虛擬化對接在云資源池場景， 絕大多數(shù)流量由虛擬機發(fā)起與終結(jié)，如何解決與計算虛擬化（即虛擬機）間的協(xié)同是SDN部署與應(yīng)用的重要問題之一。NVE作為隧道起始點，是SDN網(wǎng)絡(luò)的最邊緣，其部署位置與計算虛擬化有著密切關(guān)系。，NVE主要存在三類部署方式：對于硬件設(shè)備作為NVE，需要較高的硬件成本，對計算虛擬化接口開放要求較低，計算虛擬化對接性能高，在帶寬、時延、丟包率方面具有顯著優(yōu)勢。對于嵌入Hypervisor作為NVE，無需專用硬件，對計算虛擬化接口開放依賴程度高，對接性能一般低于基于硬件設(shè)備的對接，高于基于虛擬機NVE的對接。對于虛擬機作為NVE，無需專用硬件，對計算虛擬化接口開放要求較低，但計算虛擬化對接性能較低。由于NVE作為Overlay網(wǎng)絡(luò)的入口，底層計算虛擬化的兼容方式的選擇天然地取決于NVE的實現(xiàn)方式。，現(xiàn)階段云資源池的SDN建設(shè)應(yīng)以基于軟件的NVE部署為主，對應(yīng)地，SDN對底層計算虛擬化的兼容方案也必須根據(jù)NVE的實現(xiàn)進行選擇。同一套Overlay SDN方案可能采取不同的NVE實現(xiàn)方式支持多種計算虛擬化環(huán)境，在部署資源池SDN時需注意根據(jù)資源池目前或未來規(guī)劃中所需支持的計算虛擬化類型，以具體考慮SDN對底層計算虛擬化的兼容方案，避免Overlay SDN引入后，難以滿足計算虛擬化的兼容要求。云資源池SDN方案應(yīng)具備對接規(guī)劃期內(nèi)資源池Hypervisor能力，原則上采用軟件NVE方式。應(yīng)謹慎評估現(xiàn)網(wǎng)及規(guī)劃期內(nèi)流量需求，并充分考慮采用軟件NVE方式帶來的性能損耗。 云管理平臺對接方案 對接目標云管理平臺構(gòu)建于服務(wù)器、存儲、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施及操作系統(tǒng)、中間件、數(shù)據(jù)庫等基礎(chǔ)軟件之上，依據(jù)策略實現(xiàn)自動化的統(tǒng)一管理、調(diào)度、編排與監(jiān)控。云資源池SDN的部署需考慮與上層云管理平臺的對接以實現(xiàn)以下目標：對計算、網(wǎng)絡(luò)、存儲資源的統(tǒng)一管理，實現(xiàn)網(wǎng)絡(luò)資源和其他資源的協(xié)同控制和資源調(diào)度，提升資源部署效率和自動化水平。開放面向租戶的自服務(wù)能力，實現(xiàn)對租戶資源的自主配置和管理，減輕網(wǎng)絡(luò)管理員的運維壓力，提供更好的按需服務(wù)和管理靈活性。抽象網(wǎng)絡(luò)資源，形成典型網(wǎng)絡(luò)模板和業(yè)務(wù)編排流程此外，提升部署效率，降低運維難度。SDN和云管理平臺的對接也是實現(xiàn)異構(gòu)SDN方案互通的重要途徑。 對接方案SDN方案與云管理平臺的對接主要有兩種方式，方式一由SDN控制器通過南向協(xié)議控制NVE等網(wǎng)元，實現(xiàn)網(wǎng)絡(luò)的抽象及具體網(wǎng)絡(luò)控制功能，云管理平臺通過調(diào)用SDN控制器開放的API實現(xiàn)對接。方式二則是在云管理平臺中新增SDN控制的模塊，在管理平臺層面直接實現(xiàn)網(wǎng)絡(luò)抽象和網(wǎng)絡(luò)控制等SDN控制器功能，該模塊通過南向協(xié)議控制NVE和網(wǎng)關(guān)等網(wǎng)元。兩種對接方式如下圖所示。圖 55云管理平臺與SDN對接的方式與方式二相比，對接方式一更具備可行性：目前現(xiàn)網(wǎng)云資源池管理平臺采取自主研發(fā)方式，較難在短時間內(nèi)實現(xiàn)可用于現(xiàn)網(wǎng)的SDN控制器組件，而對接方式一僅需在云管理平臺實現(xiàn)對接插件，開發(fā)量較小，適合快速實現(xiàn)對接目的。不同的SDN廠商方案可能需要實現(xiàn)獨立的對接。對于多種SDN方案的對接，方式二將極大加重云管理平臺的負載，云管理平臺的可擴展性嚴重受限。而方式一僅需實現(xiàn)輕負載的插件，提供更好的擴展能力。業(yè)界主流的數(shù)據(jù)中心商用SDN方案內(nèi)部較為封閉，普遍采用廠商專用的（可能基于開放協(xié)議定制化）南向協(xié)議，而僅通過控制器北向API實現(xiàn)能力開放。業(yè)界開放性現(xiàn)狀使得方式一更具有現(xiàn)實可行性。因此，云資源池SDN與云管理平臺的對接應(yīng)優(yōu)先采取“管理平臺通過插件對接SDN控制器”的方式。 實施建議在開源云管理平臺中，OpenStack已經(jīng)全面超越其他開源云平臺，成為全球最大、影響力最高、發(fā)展最迅速、產(chǎn)業(yè)覆蓋最廣的開源項目，未來極有可能成為開放云平臺的全球事實標準。另一方面，目前主流的SDN控制器普遍提供了OpenStack Neutron插件。因此，在暫未對接的SDN方案中，優(yōu)先考慮使用OpenStack適配層實現(xiàn)與云管理平臺的對接?，F(xiàn)階段，應(yīng)堅持在單一集群中部署單廠商的SDN解決方案，并通過方式一實現(xiàn)與云管理平臺的對接，結(jié)合現(xiàn)網(wǎng)運維經(jīng)驗，進一步抽象網(wǎng)絡(luò)資源形成典型網(wǎng)絡(luò)模板和業(yè)務(wù)編排流程?；赟DN的租戶網(wǎng)絡(luò)配置自服務(wù)則根據(jù)現(xiàn)網(wǎng)需要具體考慮，對于確有開放網(wǎng)絡(luò)配置自服務(wù)需要的場景，應(yīng)注意網(wǎng)絡(luò)配置權(quán)限的合理劃分，并配合建立自服務(wù)使用規(guī)范和相應(yīng)的日志監(jiān)控等措施，減低因用戶誤配置對網(wǎng)絡(luò)整體產(chǎn)生嚴重影響的可能?，F(xiàn)階段異廠家SDN實現(xiàn)互通的方案尚需驗證，集團公司將組織專題開展相關(guān)工作，各省在實際建設(shè)中應(yīng)避免引入多廠家SDN互通的場景。 云資源池NFV2017年集團將進行vFW和vLB的統(tǒng)一試點，待試點結(jié)論明確后再進行規(guī)模應(yīng)用。 防火墻防火墻是云資源池內(nèi)重要的網(wǎng)絡(luò)服務(wù)，根據(jù)特定防護需求，防火墻通過流量的訪問控制、流速控制、惡意代碼過濾等技術(shù)手段實現(xiàn)云資源池內(nèi)租戶網(wǎng)絡(luò)的安全防護?；贜FV技術(shù)的防火墻（vFW）基于通用X86服務(wù)器和軟件提供防火墻服務(wù)，與傳統(tǒng)的軟硬件一體化防火墻設(shè)備相比，具有部署靈活度、多租戶支持能力、負載均衡能力靈活擴展方面的優(yōu)勢。 建設(shè)目標vFW的部署應(yīng)實現(xiàn)以下目標：6. 提供功能完善的安全防護，防火墻功能應(yīng)滿足云資源池場景常用的訪問控制、狀態(tài)檢測、流速控制等功能；防火墻性能應(yīng)滿足云資源池業(yè)務(wù)容量、性能要求；可靠性方面支持鏈路故障切換、網(wǎng)元故障切換。7. 為云資源池的防火墻服務(wù)提供集中化的配置管理入口，無需登錄逐個設(shè)備（實例）進行配置管理。8. 實現(xiàn)多租戶支持能力，包括各業(yè)務(wù)的防火墻資源的隔離、配置管理的分權(quán)分域及自服務(wù)。9. 實現(xiàn)防火墻能力的彈性調(diào)配，可根據(jù)安全防護需求及業(yè)務(wù)容量的變化進行防火墻能力的彈性擴展或縮減。 部署方案vFW部署方案如下：10. 防火墻功能實例是為業(yè)務(wù)流量提供安全防護能力的載體，應(yīng)基于X86架構(gòu)硬件和軟件實現(xiàn)，以虛擬機形式運行在標準的X86服務(wù)器上。11. 防火墻服務(wù)管理節(jié)點負責為防火墻提供統(tǒng)一配置管理入口，一般獨立于防火墻功能實例，應(yīng)基于標準X86架構(gòu)硬件和軟件實現(xiàn)。12. vFW功能要求如下：13. 一、基礎(chǔ)安全能力支持基于源/目的地址與地址段、端口、協(xié)議、時間的訪問控制。支持狀態(tài)檢測與監(jiān)控；支持流量限速與通過Session數(shù)限制；支持統(tǒng)一安全策略配置管理與集中監(jiān)控；支持統(tǒng)一日志統(tǒng)計與審計；支持安全事件告警。14. 二、擴展安全能力支持QoS保障；支持應(yīng)用層協(xié)議識別與安全控制；支持惡意代碼過濾；支持非法字符和低信用度網(wǎng)站URL過濾；支持租戶層級的安全策略配置管理與監(jiān)控，支持租戶安全策略的統(tǒng)一協(xié)調(diào)。15. 此外，對于云數(shù)據(jù)中心出口的防火墻資源池還需具備路由、NAT和VPN等網(wǎng)絡(luò)功能。 負載均衡負載均衡是云資源池內(nèi)主要的L47服務(wù)之一，服務(wù)器負載均衡通過提供相同或相似服務(wù)的多臺服務(wù)器組成一個群組，服務(wù)器群組前部署負載均衡設(shè)備，根據(jù)負載均衡策略將用戶請求在服務(wù)器群組中分發(fā)，給用戶提供服務(wù)，并維護服務(wù)器可用性?；贜FV技術(shù)的負載均衡（vLB）基于通用X86服務(wù)器和軟件提供負載均衡服務(wù)，與傳統(tǒng)的軟硬件一體化負載均衡設(shè)備相比，具有部署靈活度、多租戶支持能力、負載均衡能力靈活擴展方面的優(yōu)勢。 建設(shè)目標vLB的部署應(yīng)實現(xiàn)以下目標：提供功能完善的負載均衡服務(wù)，負載均衡功能應(yīng)滿足云資源池場景常用的L47負載均衡算法、健康檢查、會話保持等功能；負載均衡性能應(yīng)滿足云資源池業(yè)務(wù)容量、性能要求；可靠性方面支持鏈路故障切換、網(wǎng)元故障切換。為云資源池的負載均衡服務(wù)提供集中化的配置管理入口，無需登錄逐個設(shè)備（實例）進行配置管理。實現(xiàn)多租戶支持能力，包括各業(yè)務(wù)的負載均衡資源的隔離、配置管理的分權(quán)分域及自服務(wù)。實現(xiàn)負載均衡能力的彈性調(diào)配，可根據(jù)負載均衡需求及業(yè)務(wù)容量的變化進行負載均衡能力的彈性擴展或縮減。 部署方案vLB部署方案如下：(VIPshanchu)圖 56 vLB部署方案負載均衡功能實例是為業(yè)務(wù)流量提供負載均衡能力的載體，應(yīng)基于X86架構(gòu)硬件和軟件實現(xiàn)，以虛擬機形式運行在標準的X86服務(wù)器上。負載均衡服務(wù)管理節(jié)點負責為負載均衡提供統(tǒng)一配置管理入口，一般獨立于負載均衡功能實例，應(yīng)基于標準X86架構(gòu)硬件和軟件實現(xiàn)。vLB功能要求如下：服務(wù)器負載均衡：包括基于輪詢算法、基于比重、基于Hash、基于最少連接、基于源IP和基于服務(wù)器優(yōu)先級算法的服務(wù)器負載均衡健康檢查功能：基于ICMP、基于HTTP、基于DNS、基于Radius的健康檢查功能會話保持功能：基于源地址、基于Cookie、基于URL、基于HTTP Header的會話保持全局負載均衡：基于DNS重定向的全局負載均衡，基于IPAnycast的全局負載均衡其他功能：TCP連接復用、HTTP壓縮、SSL加速、會話數(shù)限制、帶寬管理、NAT運維管理功能：集中管理、用戶權(quán)限管理、日志審計等多種運維功能高可用：鏈路故障切換、網(wǎng)元故障切換 業(yè)務(wù)遷移方案云資源池場景下基于Overlay的SDN建設(shè)完成后需考慮將現(xiàn)有業(yè)務(wù)向SDN環(huán)境遷移，主要需考慮業(yè)務(wù)遷移目標、業(yè)務(wù)遷移思路和實施方案。 遷移建議云資源池完成SDN部署后，建議遵循以下規(guī)則選取向SDN環(huán)境遷移的業(yè)務(wù)：考慮到業(yè)務(wù)遷移的代價較大，新業(yè)務(wù)優(yōu)先考慮部署到SDN環(huán)境，盡量避免業(yè)務(wù)部署完成后再向SDN遷移的復雜操作及業(yè)務(wù)中斷。優(yōu)先遷移規(guī)模小的非關(guān)鍵的業(yè)務(wù)，再考慮較大規(guī)?；蜿P(guān)鍵的業(yè)務(wù)的遷移。 遷移思路業(yè)務(wù)向SDN承載遷移應(yīng)分四個階段分步遷移：l 評估階段：評估業(yè)務(wù)規(guī)模，業(yè)務(wù)對網(wǎng)絡(luò)能力的要求（帶寬、時延、安全性等），評估業(yè)務(wù)承載所需的SDN網(wǎng)絡(luò)資源。l 方案設(shè)計階段：設(shè)計業(yè)務(wù)遷移步驟，遷移方案，包括遷移失敗之后的回滾方式。l 遷移實施階段：嚴格按照遷移方案實現(xiàn)中斷式遷移或者平滑式遷移，遷移失敗后需依照方案實現(xiàn)回滾操作。l 測試觀察階段：測試遷移的業(yè)務(wù)，評估結(jié)果，編寫業(yè)務(wù)承載情況報告。圖 57業(yè)務(wù)遷移流程 遷移方案根據(jù)對現(xiàn)有業(yè)務(wù)的中斷程度，整體上可分為中斷式遷移和平滑業(yè)務(wù)遷移兩類方案：中斷式遷移中止原業(yè)務(wù)虛擬機服務(wù)，通過虛擬機鏡像方式在SDN環(huán)境重建業(yè)務(wù)虛擬機。中斷式業(yè)務(wù)遷移會導致較長時間的服務(wù)中斷。1. 安裝目標集群。2. 在目標集群部署SDN。3. 針對原集群的虛擬機制作虛擬機鏡像。4. 在目標集群基于SDN創(chuàng)建業(yè)務(wù)網(wǎng)絡(luò)。5. 在目標集群創(chuàng)建業(yè)務(wù)虛擬機（基于原業(yè)務(wù)虛擬機的鏡像文件）。6. 啟用新業(yè)務(wù)集群，完成業(yè)務(wù)遷移。中斷式的準備工作較少，基本上采用手工操作，簡單，但是繁瑣。優(yōu)點是技術(shù)約束較少，不受HYPERVISOR, CMS，SDN的約束，確實是會導致較長時間的業(yè)務(wù)中斷。而平滑式遷移有效減少遷移過程中的業(yè)務(wù)中斷，但遷移實施需要全面考慮各個方面包括物理拓撲，網(wǎng)絡(luò)規(guī)劃，路由規(guī)劃等等，此外也需滿足較多技術(shù)約束，對現(xiàn)網(wǎng)環(huán)境有特定的要求。綜合比較，資源池業(yè)務(wù)向SDN遷移一般考慮中斷式遷移；對于確實存在業(yè)務(wù)連續(xù)性要求，并且現(xiàn)網(wǎng)具備條件的情況，可考慮實施平滑式遷移。6 運維建議云資源池SDN的部署對資源池的運維提出了新的要求，建議從運維機構(gòu)、業(yè)務(wù)流程適配、運維角色定位、運維對象劃分等方面進行優(yōu)化，構(gòu)建適應(yīng)SDN特點的運維體系