《数据中心网络架构与技术》第五章云数据中心网络的功能组件与业务模型

传统的数据中心以设备为中心，设备是数据中心的核心。建立数据中心，主要是采购服务器网络设备、存储设备、负载均衡设备、安全设备等，IT与企业业务之间没有太多联系。各自独立、规模庞大的系统常常无法及时响应快速发展的业务需求，于是云数据中心应运而生。云数据中心的网络架构是一种面向服务的架构，将数据中心的一切设备、系统和功能输出均视作服务，构建一种新的体系（云平台或者SDN控制器）来管理这些服务，从而实现对快速发展的业务需求的及时响应。

云数据中心网络的业务模型

不同厂商提供的云数据中心网络的业务模型可能不会完全相同，但目前来看，大部分厂商的业务模型都有共通或相似之处，OpenStack中的网络业务模型比较具有代表性。
OpenStack是一个开源项目，是目前最为流行的开源云操作系统框架。作为一个云操作系统，管理资源是它的首要任务。OpenStack的目标是提供实施简单、可大规模扩展和标准统一的云计算管理平台。
OpenStack主要是对3个方面的资源进行管理：计算、存储和网络。所有资源的管理都由若干个组件模块构成，核心的项目模块包括Nova、Cinder、Neutron、Swift、Keystone、Glance、Horizon、Ceilometer，其中Neutron是负责网络业务发放的模块。本章介绍的基础业务模型特指由Neutron定义的网络业务模型，Neutron业务模型的抽象如图5-1所示，具体介绍如下。
Tenant（租户）：指数据中心网络、存储和计算资源的申请者。租户向OpenStack申请资源后，租户的所有活动只能在这些资源中开展。比如创建VM，VM所使用的资源就是租户所申请的资源。
Project：在Neutron中，当前Project和Tenant是1:1的映射关系。从Keystone V3（第3版Keystone）开始，OpenStack推荐在Neutron中使用Project对象来唯一地标识一个租户。

图5-1　Neutron业务模型的抽象
vRouter：当租户创建的逻辑网络有多个网段并需要三层互通，或者内网需要与外网互通时，就需要在逻辑网络中创建vRouter。当然，如果租户仅需要二层网络，也可以不创建vRouter。vRouter的主要功能是提供逻辑内网网段间的三层互通，将内网接入外网；另外，内网访问外网需要地址转换，由vRouter提供NAT能力。
Network：Network表示一个隔离的二层广播域，可以包含一个或多个Subnet。
Subnet：Subnet表示一个IPv4或IPv6地址段。一个Subnet会包含多个VM，VM的IP地址是从Subnet中分配的。创建Subnet时，需要定义IP地址的范围和掩码，并为该网段定义一个网关IP地址，用于VM与外部通信。
Port：在Neutron网络模型中，Port唯一地标识接入逻辑网络的一个端口，对应到现实网络中，可能是VM接入网络的一个vNIC（virtual Network Interface Card，虚拟网卡），也可能是BM接入网络中的一个物理网卡。
vLB：可为租户业务提供必要的L4负载均衡服务，同时可提供针对LB业务的健康检查服务。
vFW：此处vFW表示Neutron中定义的（FWaaS）（Firewall as a Service，防火墙即服务）V2.0，是Neutron的一个高级服务。vFW与传统的防火墙类似，是在vRouter上采用防火墙规则控制进出租户的网络数据。

典型OpenStack业务模型

典型的OpenStack网络业务模型有以下几种。
· 业务计算资源间仅需要二层互访。
· 业务计算资源间需要三层互访，但不需要连接External Network模型。
· 业务计算资源间需要三层互访，同时需要连接External Network模型。

1.业务模型1：业务计算资源间仅需二层互访

当用户业务的计算节点间仅需要二层互访，如仅需搭建一个临时的测试环境进行简单的业务功能或性能验证时，测试节点均位于同一网段，此时用户编排如图5-2所示的业务模型，创建一个或多个网络（Network），将需要位于同一网段的计算节点网卡端口挂接到相同Network上即可。

2.业务模型2：业务计算资源间需要三层互访，但不需要接入External Network

当用户业务的部署对网络有更高要求时，例如，用户的业务需要分层部署（如分Web/App/DB层），每层需要采用不同网段隔离；或是用户需要部署多种业务，每种业务间需要隔离以减少BUM报文干扰；或出于安全考虑，需要分为不同网段后，再进行安全隔离。在上述场景中，用户可以将需要隔离的计算资源划分为不同的Subnet进行三层隔离，同时每个Subnet使用不同的Network，以便在二层上也予以隔离，如图5-3所示

3.业务模型3：业务计算资源间需要三层互访，需要接入External Network

在业务模型2的基础上，如果用户网络还有接入外网的需求，例如接入互联网、接入专网等，则需要在业务模型2的基础上，通过vRouter接入ExternalNetwork，如图5-4所示。ExternalNetwork在OpenStack中由系统管理员在系统初始化的时候创建，租户在配置业务网络时只能从系统管理员已创建的External Network中选择。目前OpenStack规定一个vRouter仅能接入一个External Network。
在此业务模型下，vRouter除了提供内部不同Subnet间报文三层转发的能力外，还可以提供内外网NAT能力，包括内网访问外网的SNAT和外网访问内网的DNAT（Destination NetworkAddress Translation，目的网络地址转换）

FusionSphere业务模型

FusionSphere是华为的云平台系统，基于OpenStack二次开发，并在此基础上进行了商业加强，因此很多基本概念与OpenStack是相似的。
FusionSphere业务模型除了包含OpenStack定义的基本网元组件外，还从数据中心资源部署的角度对物理资源与逻辑网元进行了映射。在介绍FusionSphere业务模型之前，有必要先介绍一下华为数据中心组网的基本原则和相关概念。
如图5-5所示，目前业界对数据中心的物理资源管理一般都是基于PoD来进行规划的。
数据中心是物理概念，是指在一个物理空间（比如机房）内实现信息的集中处理、存储、传输、交换和管理。服务器、存储和网络设备是数据中心的关键设备，供电、制冷、消防、监控等基础设施是数据中心的关键配套。
为了便于数据中心的资源池化操作，可将一个数据中心划分为一个或多个物理分区，每个物理分区称为一个PoD。由此可见，PoD也是物理概念，是数据中心的基本部署单元，在管理上，一台物理设备只能属于一个PoD。

· AZ（Availability Zone，可用区域）是逻辑概念，代表故障隔离区域。比如，一些主机共用一套电源和网络设施，当这套设施出现故障时，这部分资源就全部不可用了。在规划时，AZ与数据中心可按实际部署情况灵活映射。比如，在大规模公有云中，一个AZ可包含多个数据中心；在中小规模私有云中，一个数据中心内可设置多套独立的AZ。当然，也可将一个数据中心规划为一个AZ。
· VPC是FusionSphere的基本业务单元，VPC支持跨PoD部署，同一租户的不同VPC也可部署在不同PoD内。一个VPC对应一个vRouter，一个vRouter在交换机上就表现为一个VRF（VirtualRouting Forwarding，虚拟路由转发）。
· VDC是FusionSphere中的资源单元，在FusionSphere中与租户一一对应。VDC支持跨PoD部署，租户以VDC为粒度进行资源租用。一个VDC中可以有多个VPC。
VPC中所包含的各种逻辑网元的含义与OpenStack中的相同。vRouter是VPC中负责路由功能的逻辑单元，与VPC是1:1的对应关系。vLB、vFW是FusionSphere业务模型中负责负载均衡和防火墙服务的网元，与vRouter之间是1:1的关系，这两种网元提供的业务模型将在下一节介绍。
FusionSphere业务模型的部署关系如图5-7所示

FusionSphere业务模型的部署原则如下。
· PoD作为承载业务的基本部署单元，一套资源可部署在一个或多个PoD内，而一个PoD也可承载多套资源。
· VDC可以跨PoD部署，租户以VDC为粒度进行资源租用。
· VPC可以跨PoD部署，同一租户的不同VDC也可部署在不同PoD内，前提是在创建VDC时，该租户的VDC资源已经选择了可跨PoD部署。