創新雲網路 平安如何玩轉金融雲？

網路對於「一朵雲」來說無疑是極其重要的，它的好與壞成為許多企業用戶選型上雲的重要參考標準，對於雲內部來說，一個好的網路也極大地解放了運維和管理的壓力。

平安雲於2013年底立項，發展至今已涵蓋平安集團90%以上的業務公司、支撐60%的業務系統投產，並具備近10萬虛機規模。雖然起步較晚但卻有後發優勢，平安雲從建設之初就引入網路虛擬化，並發展到今天構建了一個值得稱讚的SDN（軟體定義網路）平台。

平安雲SDN緣起

雲對網路的最大要求是自動化，平安雲網路負責人陳書浩在接受至頂網採訪時表示，一是租戶網路的自動化，二是網路資源作為雲平台基礎架構資源的按需調度。「平安雲在部署SDN網路之前，VPC、Network的創建都需要人工通過腳本配置，防火牆的安全策略、NAT配置、負載均衡的配置等更是繁雜，生產變通常需要在晚上11點之後才能做，時效相對比較低，無法滿足雲平台用戶的需求。」

平安雲網路負責人陳書浩

通過部署SDN，平安雲實現了雲網路產品的租戶自助服務、雲網路資源的按需調度，這是SDN給雲網路帶來的首要作用。此外，與Overlay技術的結合來實現跨三層物理網路的虛擬大二層等等。

平安雲SDN踐行之路

平安雲基於OpenStack的Neutron組件開發了平安的NSP(Network Service Platform)平台，它是平安雲所有網路服務的入口，陳書浩介紹了NSP的四大功能：1、網路編排服務VPC、BMS(Bare Metal Server），VPC與傳統網路的自動化對接；2、NFV的功能，如VPN、負載均衡、防火牆等；3、網路安全服務，如DDoS、IPS/IDS、WAF等；4、增值服務，如互聯網網路健康檢查等。

在SDN、VxLan技術的探索、生產實踐方面，平安雲構建了採用Openflow+SDN Controller技術的主機Overlay網路，並將OVS+iptables結合起來實現DFW功能（東西向的訪問控制），進而實現金融行業VPC內不同網路區域同樣需要嚴格安全訪問控制的要求。

陳書浩進一步說到，因為物理機的接入需求，平安雲也在進行基於EVPN的網路Overlay的POC，今年計劃應用於生產環境。

這一系列動作給租戶帶來的價值十分明顯，用戶通過雲平台快速搭建基礎IT環境、應用的自動化部署滿足了互聯網金融應用/App快速上線、迭代的需求。

SDN方案優劣

從平安雲的SDN實踐看得出，現階段主要採用了基於主機的Overlay方案，同時基於網路的Overlay方案也在進行POC。對於這兩種業界主流的數據中心SDN方案，陳書浩闡述了優劣勢：

·基於主機的Overlay方案：VxLan的卸載封裝在KVM、VMware的主機OVS上實現，控制平面採用的是Openflow與SDN Controller對接，通過按需下發流表來完成報文的封裝轉發。

-優勢：

1、將網路延伸到了主機上，易於做更精細的網路管理、控制，如對VM的限速、基於VM的流量鏡像、通過流表實現服務鏈功能

2、更精細、敏感的VM網路監控，更快速感知vport的Up/Down、遷移

3、網路功能的易於迭代，版本升級快捷影響面小，不依賴廠商網路硬體設備的版本升級

-劣勢：

基於Openflow+SDN Controller流錶轉發，不符合傳統網工對網路的認識，接受度較低，集中式的控制平面SDN Controller還需要成熟的逃生方案，定位問題時主機、網路側有交集，界面不夠清晰，OVS會佔用部分計算資源。

·基於網路的Overlay方案：VxLan的卸載封裝由TOR交換機實現，控制平面上也有自學習、Openflow、EVPN多種方式，現在比較火的是EVPN方案，整個控制平面還是由交換機通過路由協議來學習路由、MAC表項，SDN Controller更多承擔業務編排配置下發的作用。

-優勢：

1、採用分布式的控制平面，由網路設備通過擴展BGP來實現Overlay網路的路由、MAC信息的傳遞，易於被網工接受

2、對於主機託管、提供物理機服務有天然的優勢

3、網路、主機分工界面清晰

-劣勢：

功能迭代依賴廠商軟體版本，硬體交換機版本的升級周期較長，升級時需要考慮對業務中斷的影響（需要完全支持ISSU升級）；分布式網關的轉發模式對TOR交換機的表項規格是一個挑戰。

SDN下的網路運維

實際上，SDN的應用給網路運維帶來了新的思維，也帶來了新的挑戰。SDN的理念促進了網路的按需自動化部署，陳書浩指出，在Trouble Shooting和監控上平安雲也有藉助SDN的新技術，比如通過SDN Controller、Openflow中的Packet-in/Packet-out消息來構造用戶業務報文在整個網路里轉發來實現網路健康性檢查。

當然SDN技術引入也對網路運維產生了一些新的要求：

新增一些監控對象：比如OVS上內核態、用戶態流表的數量、Packet-in到SDN Controller的速率等。

需要具備下面相關內容的Trouble Shooting能力：Rest API調用、Openflow、Netconf、OVS等

據介紹，目前平安雲部署了雲杉網路的DeepFlow產品，以解決當前面臨的SDN網路運維問題，並規划了多個階段的目標：

第一階段：以平安雲到互聯網流量為第一個場景，建立一個網路數據平台，主要作用包括：統計每個公網IP/自定義IP集合的實時流量、異常流量的分析告警，以及記錄基於五元組的流量交互信息（基於pcap、cap格式）。

解決問題的效果也十分明顯，例如互聯網流量的監控，異常流量、超過閾值流量的告警，記錄所有互聯網流量五元組的交互信息，便於互聯網網路丟包故障的排除。

第二階段：將網路管控粒度延伸到主機及OVS層面，做更精細的網路可視、分析、安全和控制。

陳書浩談到了部署DeepFlow的總體目標：完善對網路數據的管理，為雲平台網路的穩定和安全保駕護航。

未來SDN探索

除了目前的SDN實踐以外，平安雲也在進行SDN的未來探索和規劃，主要包括三個方向：

1、基於容器的NFV（LVS、VPN等）探索和實踐，基於Mesos進行二次開發Framework和Excutor，來實現容器的生命周期管理、配置按需下發；

2、通過SDN實現各數據中心DCI流量的智能調度；

3、雲網路同region多AZ之間VM端到端的vxlan轉發。

平安雲希望通過對SDN的一系列應用和探索，實現用戶操作的全自動化和NFV網路資源動態的調度和擴展。今年，平安雲也會推出公有雲，即平安金融行業雲，在平安持續推動集團大金融+大醫療生態戰略，推出涵蓋保險、銀行、證券、投資、互聯網金融及醫療健康六大領域的全新金融行業雲生態的大背景下，平安雲正在成為助力金融行業革新的助推器。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！