/ 中存储网

我们需要以服务为中心的NFV管理

2014-11-26 00:00:00 来源:微信

NFV是通过x86服务器上的虚拟化技术实现网络功能,初期主要是用于对性能要求不高场景,来降低组网成本并使网络结构更灵活。随着SDN的迅速发展,NFV可以无缝应用到SDN提出的控制平台和数据平面的架构中。在ETSI组织的推动下,越来越多的厂商(惠普、思科、华三通信、NEC等)支持NFV标准,NFV在运营商、在企业网数据中心,甚至在云中都被赋予了很高的期望。针对NFV的标准架构,各厂商都定制了相应的管理软件。

华三通信也推出NFV产品,该篇文章将着重介绍由H3C iMC(智能管理中心)网管平台实现的NFV Manager(下文简称NFVM)软件(如图1所示)。通过对全局资源的虚拟化来构建资源池,着重考虑IT领域对NFV的可移植性、可持续性、性能优化、弹性伸缩、容灾恢复、安全控制、绿色节能等强烈需求,提供了与传统物理网络融合,以网络功能和应用服务为中心的NFV管理和编排解决方案。

图1 NFVM架构图

一、iMC NFV服务

NFV与传统的网络设备的本质区别是其对外提供虚拟网络功能服务,用户不需要关心硬件设备载体,只使用自己申请的服务即可。

基于NFV的网络通常具有多层架构,iMC可以为不同层次要求的用户提供不同级别的NFV服务。iMC提供的服务自下向上包括:基础设施虚拟化、定制网络功能、服务编排平台和融合拓扑等,下面就这四个方面进行详细的介绍。

NFVIaaS

iMC有全面的虚拟化管理能力,能够兼容VMWare、Hyper-V、Xen、KVM、CVM(华三通信自主研发的虚拟化系统)等行业内流行的虚拟化环境。同时作为业界领先的网络管理系统,iMC可以统一管理华三、思科、HP等多厂商的网络设备。通过资源池化,将计算、存储、网络等基础设施抽象成CPU、内存、I/O、带宽、IP、V(x)LAN等基础设施构件,以全局管理的视角对外提供基础设施服务,称之为iMC NFVIaaS(NFV Infrastructure as a Service)。

VNFaaS

NFV的核心是提供网络功能服务,在虚拟化资源基础之上,iMC可以根据用户对网络功能的各种需求去定制VNF(虚拟网络功能设备),提供包含不同功能类型(FW或者LB等)、不同性能指标(吞吐量或连接数等)、不同稳定级别(单机或HA等)的模板供选择。这样的VNF服务,可以是一个路由器虚拟机,也可以是多个虚拟机堆叠,还可以将一个VNF切片分给不同的租户共享,称之为iMC VNFaaS(VNF as a Service)。

VNF-FGaaS

很多时候用户不仅要创建单个网络功能,最终还需要是一个网络功能的集合-网络服务。例如在用户的vDC(虚拟数据中心)中,虚拟机与外界通信要考虑负载和安全,首先经过vLB来提供虚IP服务进行负载分担,然后通过vFW的域间策略服务进行访问控制,最后通过vRouter的VPN服务与外界通信。iMC提供了VNF的编排平台,为用户提供上述的个性化的网络服务。这种平台编排能力称为VNPaaS(Virtual Network Platform as a Service)。iMC同时提供了默认网络服务模板,构建多种虚拟数据中心的场景,用户可以直接部署使用,这种称为VNF-FGaaS(VNF Forwarding Graph as a Service,所谓转发图是NFV的术语,构建多个VNF,同时包含VNF之间的转发路径,所以称之为FG,一个网络服务可能由一个或多个FG组成)。

COaaS/TOPOaaS

iMC提供的编排独特之处是融合传统物理设备和NFV,在iMC编排的网络服务中,可以打通从客户端到传统基础物理网络,再到NFV虚拟数据中心的链路,同时对整条链路的物理和虚拟设备进行资源分配和网络配置,这种方式称为COaaS(Converged Orchestration as a Service)。而基于统一编排生成的实际网络拓扑、业务拓扑(如VxLAN)、逻辑拓扑(如路径转发图),为从网络物理连线到网络隔离到流导向的多级融合拓扑,这种方式称为TOPOaaS(Topology as a Service)。

图2 路径转发图逻辑拓扑

服务需要屏蔽底层的实现,租户在进行资源申请时,无须关心资源的具体位置(甚至是一个企业使用多运营商提供的资源),iMC会根据资源池的容量和性能,根据租户的要求为租户自动选择一个最优的位置部署资源。在IT管理员的视角,需要掌控一切,iMC为管理员提供了多角度的视图和拓扑展示,让管理员了解资源分布的详情以及资源池整体的分布、统计和预测。在服务部署方面,iMC提供了自动匹配和手工干预两种方式,灵活的满足不同管理员对配置操作的不同要求。

二、 云中的NFV服务

随着云计算的迅速发展,越来越多的人不再自己购买硬件,搭建机房,而是选择在云中申请服务,NFV则是云中数据中心网络功能的虚拟提供者。

NFV服务在云端

iMC不但为IT管理员提供了专业的NFV管理平台,同时也为租户提供了申请云端资源的平台。

在以往的传统项目中,基于Openstack的框架提供PlugIn,iMC将用户的vDC请求(VM、vFW、vLB、vDB、vDisk等)转化为实际的物理设备资源。通过对物理防火墙和负载均衡器进行切片,实现租户间的资源隔离,多租户共享一台物理设备,但是仿佛拥有各自独有的vDC。NFV的出现让真正的网络功能虚拟化成为可能,通过对原有的PlugIn的扩展,可以根据租户需求,提供物理和虚拟的网络服务。

基于iMC的虚拟化兼容能力,PlugIn可以将用户需求部署到不同的Hypervisor上,支持了客户的差异化的基础设施环境。而多厂商设备的适配能力,使得云端的网络设备可以多样化。

总体来说,iMC的云服务系统,可以基于混杂的网络设备和虚拟化环境为租户提供VNF和PNF(Physical Network Function)服务。同时,通过APMaaS(Application Monitor as a Service),iMC为租户提供基于应用的全方位的服务监控能力,租户可以查看服务健康状态,并进行相应的资源申请和调整。

云端安全

在云端租户的背后是iMC一整套用户访问框架来支撑租户的安全控制。安全控制分为两个层次,一个是租户对iMC的登录和功能进行权限控制,另一个是对租户的网络进行保护和隔离。iMC针对不同业务提供个性化的租户门户,而这些租户门户的用户帐号都由iMC统管理,如统一的进行认证、鉴权、加密和审批,确保不同角色的用户有权访问自己的服务和资源。

与租户门户对应的就是iMC传统的IT操作员平台,同样的控制机制,并且可以与远端的Radius或LDAP联动进行登录认证,真正的实现了远程和本地统一的功能权限、数据范围、接入控制、审批流程、角色分组一系列的安全切片和保护。同时给租户分配不同的网络,通过V(x)LAN实现underlay和overlay网络下的二层隔离。基于用户的需求,定制NFV网络功能(FW、LB和路由服务),配置ACL、虚IP、VPN来实现网络的三层隔离,借助SDN,对租户的流进行转向控制,实现真正的网络级切片,全面的给租户一个完全私有的vDC。

三、全局NFV控制

目前NFV的应用场景最多的一种是运营商网络,例如vMBS(Mobile Base Station)、vCDN(Content Delivery Networks)、vHE(Home Enviroment)等;另外一种就是云端(数据中心),例如vRouter、vFW、vLB等。无论是哪一种场景,传统网络与NFV的融合都是不可避免的。为了帮助IT管理员解决这个管理难题,iMC新增了了全局NFV控制功能,IT管理员可以基于全局拓扑、查看端到端的服务链、进行逐点监控、基于全局进行调整。

iMC的服务健康管理组件有强大的集成能力,将iMC的性能、告警、应用、NQA(Network Quality Analyzer)等监控能力编排成一个服务健康实例,监控端到端的网络抖动、时延、丢包,监控应用的进程级别的负载状态以及租户网络的性能和告警,汇总后进行服务评估。然后通过在iMC策略控制中心注册事件,实时汇报服务的健康级别。在策略控制中心中,配置事件与动作的对应关系,事件被促发时,进行相应的动作下发。

iMC的智能配置中心和资源自动化管理则提供了对应的动作配置模板,这个模板可以根据目前服务状态分析根因并进行整网调整,例如如果某条路由链路因流量压力过大,需要进行负载分担,其原因可能是VNF的CPU过高,需要增加VM进行弹性扩展;也可能是某台服务器过于闲置,要进行VNF迁移后的服务器休眠来完成绿色节能,而迁移的同时又伴随着一系列的网络配置修改以保证流量的正常转发;或者是上述所有动作的集合体,这些动作都要求保证时序,并与服务健康的级别对应,能实时查看配置结果和撤销回滚,实现真正的自动化部署,而这一切的背后都是iMC RAM(资源自动化管理)的自动编排和生命周期管理的支撑。

四、结束语

iMC作为全局网络管理系统,将NFV融入到传统网络中,同时可提供整体资源池化,融合编排,端到端监控,租户隔离等服务。同时iMC还可以对VNF进行管理。可以说,iMC NFV Manager 是一款基于iMC平台框架和强大网络功能的全面的NFV管理系统,实现了Overlay网络下的NFV的编排和管理,把用户从复杂的网络维护中解脱出来,专注于上层业务,轻松地享用SDN和NFV带来的更简单便利的网络服务。

转载自:http://mp.weixin.qq.com/s__biz=MjM5NzQ5NTM2MA==&mid=201881522&idx=3&sn=9f291e2683ff1d816d2dd29315aa3ede&scene=1&from=singlemessage&isappinstalled=0#rd