CobiNet(寧波)推薦文章:
由中國信息通信研究院主辦、中國通信標準化協(xié)會支持的"OSCAR開源產(chǎn)業(yè)大會"在國家會議中心舉行。
銀行業(yè)發(fā)展論壇作為大會分論壇之一���,于22日下午召開���。
李曉楓:感謝習(xí)總,確實上云對大家來講不是一件易事����,無論你采用行業(yè)云方式還是采用自建私有云,這些都會涉及到��。我們國家的中小銀行也是規(guī)模不等的��,比如大家把城商行列為中小銀行�,有的城商行很大,典型的是北京銀行�����、上海銀行��,非常大����,所以中小銀行也有自建私有云的方式來開展上云的探討�。我們下面幾個話題都會涉及到自建私有云,首先請中國銀聯(lián)電子支付研究院SDN技術(shù)專家袁航給我們介紹金融行業(yè)SDN開源控制器技術(shù)�。過去我們是垂直分層�,水平分域��,但是如果你按互聯(lián)網(wǎng)企業(yè)���,都是大而強的網(wǎng)絡(luò)����,那就有問題�����。中國銀聯(lián)在這方面有探討���,今天將就探討的成果進行分享�,我們有請��。
以下為演講實錄:
袁航:謝謝�����,今天很高興在這里和大家一起討論中國銀聯(lián)的研究成果�。我的題目是《基于開源SDN控制器技術(shù)的研究》。私有云是在2011年開始的���,2011年10月份我們獲得國家云計算項目批準����,中國銀聯(lián)也是唯一一家入選該項目的金融機構(gòu)。2012年我們已經(jīng)開始原型試用����,自主研發(fā),生產(chǎn)云技術(shù)平臺原型建設(shè)�。2013年試點應(yīng)用,公司各部門開始推試點應(yīng)用�����。2014年規(guī)模應(yīng)用�,公司重點產(chǎn)品已經(jīng)在云平臺落地。2015年深化應(yīng)用�。2016年步入金融行業(yè)云研究�����,2017年初步建成金融云聯(lián)合研究生態(tài)�,和許多證券、保險�����、金融公司都有合作,聯(lián)合這些機構(gòu)���,針對SDN技術(shù)����,行業(yè)技術(shù)���,展開討論和研究�����?��;诖耍M建了openstack工作組����。我們是國內(nèi)最早基于開源的云計算生產(chǎn)平臺。
這張圖是我們的部署情況���,分三個云:生產(chǎn)云����,研發(fā)測試云,研究示范云�����。生產(chǎn)云主要是承擔我們業(yè)務(wù)生產(chǎn)系統(tǒng)運行����,研發(fā)測試云是我們測試項目和測試動作,我現(xiàn)在負責原型示范運維和技術(shù)儲備相關(guān)研究��。這是我們銀聯(lián)業(yè)務(wù)應(yīng)用情況��,有很多業(yè)務(wù),相對核心的業(yè)務(wù)已經(jīng)在云平臺落地���,后面兩年我們已經(jīng)開始規(guī)劃�����,包括核心業(yè)務(wù)陸續(xù)上云�����,爭取幾年后能夠完全實現(xiàn)云化���,我們也承擔外部機構(gòu)的云應(yīng)用�。
說了這么多���,一直說銀聯(lián)基于開源進行云計算研究����。2017年����,我們的關(guān)鍵技術(shù)主要在云網(wǎng)絡(luò)上進行相關(guān)突破����,我們的SDN也已經(jīng)在生產(chǎn)云上落地部署,我們采用兩種方案�。第一個,商業(yè)硬件解決是采用華為的AC方案�,開源軟件方案基于neutron來做的,openstack版本從E版到L版��。銀行業(yè)云閃付統(tǒng)一APP�,基于SDN云平臺上已經(jīng)落地。上面是大體進展�����,下面聚焦網(wǎng)絡(luò)也進行了相應(yīng)的攻關(guān)����。第一個是異構(gòu)SDN區(qū)域互聯(lián),這個成果主要是在內(nèi)部構(gòu)建一個基于多租戶跨域云資源彈性效果�,第二個是開源SDN控制器ODL軟件研究,也是今天匯報具體內(nèi)容��。第三個����,云網(wǎng)監(jiān)管平臺,針對新的SDN網(wǎng)絡(luò)架構(gòu)下�,怎么對云網(wǎng)絡(luò)進行智能運維,我們做了云網(wǎng)監(jiān)控平臺�����,本次我匯報開源SDN控制器方面的研究。
優(yōu)化點一�,可靠性優(yōu)化�����。對于硬件來說����,軟件的方案不完善地方是特別明顯的,一個是可靠性��,一個是性能��,一個是可擴展性����,我們針對這三個方面進行了相關(guān)的優(yōu)化。第一個是可靠性優(yōu)化�,實現(xiàn)分布式路由架構(gòu),打破網(wǎng)絡(luò)化節(jié)點瓶頸�����,實現(xiàn)分布式數(shù)據(jù)發(fā)放���。第二個是ARP代答�����,網(wǎng)絡(luò)異制����,一個廣播域范圍非常大,影響也會很大���,實現(xiàn)ARP代答之后���,可以消除網(wǎng)絡(luò)風(fēng)險。第三個是防火墻并聯(lián)接入方案�,我們希望防火墻并聯(lián)接入到云區(qū)域里面,而且不能把外部網(wǎng)關(guān)設(shè)在防火墻上�,也是為了保證防火墻的可靠性。為什么并聯(lián)接入�?即使不通過防火墻也能保證業(yè)務(wù)的穩(wěn)定性。
除了可靠性優(yōu)化以外���,還有性能優(yōu)化����,精簡數(shù)據(jù)傳輸路徑,首先是服務(wù)器系統(tǒng)網(wǎng)絡(luò)軟件精簡�����,有兩個OVS網(wǎng)橋����,下面有一個(英文)網(wǎng)橋��,再往下是vm�,我們希望用一層直接連接vm.網(wǎng)絡(luò)傳輸跳數(shù)減少,我們希望跨網(wǎng)端的流量不再通過網(wǎng)絡(luò)進行路由傳輸�����,直接在OVS上實現(xiàn)路由的功能�����。
我們對擴展性的優(yōu)化�����,當前我們一個云區(qū)域所包含的租戶只能在云區(qū)域里面����,如果多個云區(qū)域進行互聯(lián)打通的話�,只能通過三層路由策略來進行打通����,我們租戶可以跨區(qū)域進行資源調(diào)度與部署,這樣的話也可以大大提高我們云的可擴展性����,提高資源的靈活性。針對軟件的SDN待完善的地方����,提出我們自己的想法。
這是我們基于上述規(guī)劃之后���,基于ODL作為開源控制器�,這是網(wǎng)絡(luò)架構(gòu)圖����,上面通過ML2對接openstack.這個是基于優(yōu)化點的能力規(guī)劃,基于我們上述三個優(yōu)化點���,我們對能力進行整理�,基于開源軟件盡量減少我們的工作量,ODL原生能力已經(jīng)實現(xiàn)很多能力�����。第一個是分布式路由�,二是分布式ARP代答,天生對物理機內(nèi)部鏈路精簡���。除了ODL原生能力之外,我們基于上述三個優(yōu)化點提出附加能力��,第一個是跨區(qū)域互聯(lián)�����,第二個是防火墻引流��。
為了實現(xiàn)附加能力��,需要對ODL原生能力進行增強����,特別是跨區(qū)域互聯(lián),是一個場景的豐富����,場景豐富就要對下面的基礎(chǔ)能力進行改造�。
跨區(qū)域互聯(lián)�����,我們的跨區(qū)域互聯(lián)系統(tǒng)已經(jīng)實現(xiàn)在核心網(wǎng)區(qū)域搭建一個自己的云����,不同租戶網(wǎng)絡(luò)可以通過這個tunnel傳到另外一個區(qū)域中,我們的ODL原區(qū)域內(nèi)部網(wǎng)絡(luò)在外部對接RI�����,然后輸送到另一端��,內(nèi)部我們需要考慮兩個問題��。一個是發(fā)出過程�����,如何將跨區(qū)域通信的流量引入到防火墻上�����,防火墻引流工作。第二個是接收過程�����,分布式網(wǎng)關(guān)如何接收帶有內(nèi)網(wǎng)IP的租戶流量���,支持去loating ip的分布式路由��。
防火墻引流�����,我們集成了openstack靜態(tài)路由功能,通過配置相關(guān)靜態(tài)路由���,生成響應(yīng)的openflow流表�,下發(fā)至OVS中進行數(shù)據(jù)傳輸����。對接靜態(tài)路由功能,監(jiān)控并獲取靜態(tài)路由數(shù)據(jù)����,獲取租戶防火墻內(nèi)部接口MAC地址����,生成流表�,下發(fā)至OVS.這是一個流表架構(gòu),前面匹配IP包����,到底是哪個租戶的流量,IP是什么����,包括對IP地址進行配置。再是實現(xiàn)支持去floating IP的分布式路由�����,我們對原因具體分析���,兩個原因:分布式vrouter外部接口不具備接收外部流量的能力���。分布式狀態(tài)下無法對虛擬機位置進行定位。這也是我們要解決的問題��。
第一個問題,實現(xiàn)路由器外部接口對外來流量的數(shù)據(jù)接收能力���,它沒有一個針對它的ARP響應(yīng)能力���,我在上這個接口發(fā)生數(shù)據(jù)包的時候,我不知道地址是什么����,我們第一步就要設(shè)計針對請求外部接口ARP響應(yīng)的流表,這個流表設(shè)計就是下面這個樣子�����。ovs中加入外部接口響應(yīng)ARP請求的流表����。第二個是虛擬機的定位能力,如果是全量下發(fā)所有區(qū)域內(nèi)所有的OVS中�����,接到請求之后�,所有的OVS都會響應(yīng)這個請求��,這里有兩個情況:第一個是目標虛擬機剛好在該物理節(jié)點中。第二個是目標虛擬機不在該物理節(jié)點中�����。如果正好在物理機節(jié)點中的話就比較容易了����,直接通過路由發(fā)送到物理機就可以了。如果不在的話�����,先把路由功能在接收到物理機的時候����,打到目標物理機當中,然后進行目標轉(zhuǎn)發(fā)����,這是我們的思路。
我們的方案進行性能上的測試����,這個是在萬兆環(huán)境下進行的測試,測試出來的結(jié)果還是優(yōu)化很多的���,整體來看��,時間平均降低了68%��,帶寬平均提高39%����,優(yōu)化的能力提高還是比較顯著的。最后是我的工作總結(jié)與下一步工作計劃����。方案還有需要待完善的地方,支持去floating IP方案仍需優(yōu)化���,控制器高可用不成熟���,目前只是開源社區(qū)高可用方案,針對金融行業(yè)高可用高要求我們要再設(shè)計一個具有金融特色的高可用方案�,這是我們下一步工作計劃。L4-L7層方案不完善����,防火墻有���,但是負載均衡該怎么加��,該怎么弄�����。后續(xù)工作�����,除了針對ODL方案進行繼續(xù)完善的話�����,現(xiàn)在也發(fā)起了跨數(shù)據(jù)中心多云協(xié)同資源管理技術(shù)聯(lián)合研究課題�,希望更多合作伙伴參與進來。右邊是我們的二維碼�����,我們相關(guān)進展和研究成果也會在二維碼上發(fā)布���,大家有興趣的話可以了解一下����,里面干貨內(nèi)容還是挺多的。我的演講就到這里���,謝謝大家��!
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類����,六類,七類線����,屏蔽模塊,配線架及相關(guān)模塊配件的研發(fā)和生產(chǎn)����。
歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn,網(wǎng)址www.10166888.com
