中国移动公有云(移动云)SDN/NFV解决方案

              本文重点:中国移动公有云(移动云)SDN/NFV解决方案

                【IT168案例】中国移动公有云(又称移动云)经过多年的发展,前期一直采用传统数据中心组网方案,在网络功能、用户数量、运营、运维方面受到如下很多制约:  一、传统网络方案大量采用物理网络设备,设备配置都通过命令行手工进行,很难做到程序控制、自动化配置,制约了公有云虚拟路由器、虚拟防火墙、VPN(VirtualPrivateNetwork,虚拟专用网络)等产品的推出。

                二、物理网络设备不能支持高并发配置,无法满足公有云大量用户并发操作的需求。   三、受限于物理网络vlan数量最大4096的限制,公有云难以支持超大规模用户。   四、传统网络使用VRF对IP协议栈进行隔离,但数量受限,导致公有云无法推出可满足超大规模用户的VPC(VirtualPrivateCloud,虚拟私有云)产品。   五、传统网络大量依赖人工命令行进行,配置、排错困难,网络又与安全密切相关,网络运营、运维制约公有云发展。

                六、传统物理网络建设周期长、缺乏扩展性、项目可复制性差,制约公有云扩容。

                近年来SDN、NFV技术迅猛发展,SDN是一种转发/控制分离、控制面集中、软件可编程的分层网络架构,重在提升网络的智能和管理效率。

              NFV将网络功能虚拟化,利用通用硬件服务器和软件来承载网络功能,降低网络成本,提升业务开发部署能力。 SDN与NFV的结合在云计算网络方案中具有天然的优势。

              阿里云、腾讯云先后与华为、华三等合作,推出云计算网络产品。 SDN、NFV成为了云计算网络方案发展的必然趋势,目前主要应用于数据中心领域,未来将逐渐向核心网等电信云领域扩展,是云计算网络方案发展的必然趋势。

                中国移动公有云四期一阶段项目于2016年6月正式上线,面向全网政企客户和互联网客户提供公有云服务,是移动云首次完全使用自研产品搭建的大规模资源池。

              截止目前已经形成北方节点(移动国际信息港),南方节点(移动南方基地),长沙等多个数据中心节点,拥有4000多台服务器,近40000台虚拟机的容量。 体现了中国移动在云计算核心能力上的掌控,打破了传统网络方案的制约。

              移动云虚拟网络产品采用BC-VN-H-NUAGE集成方案,成功上线基础网络及VPC业务,全面满足用户复杂网络需求。

                1中国移动公有云项目解决方案概述  解决方案简介  中国移动公有云网络服务包括VPC、虚拟负载均衡器、VPN、云防火墙、安全组等全系列的网络产品,具体架构如图1,目前网络功能方面已赶超阿里云。

              通过VPN技术、专线技术可将公有云VPC、企业私有云VPC、企业传统数据中心网络打通,构建混合云。   图1中国移动公有云SDN/NFV整体架构  中国移动自主研发的虚拟网络系统BC-VN集成了SDN(软件定义网络)、NFV(网络功能虚拟化)等前沿网络技术,通过集成上海贝尔等SDN和NFV产品,形成BC-VN商业集成版解决方案。

              使用户在统一的图形界面上按需编排虚拟网络,构建安全、可靠、灵活虚拟私有云(VPC,VirtualPrivateCloud)网络环境,中国移动公有云项目SDN组网如图2。   图2中国移动公有云SDN组网  中国移动公有云SDN组件介绍:  VSD:虚拟业务目录,网络策略引擎,提供业务模板及分析,北向对接OpenStackNeutron,南向对接SDNVSC即SDN控制器。   VSC:OpenFlow控制器,实现网络配置下发控制VRS进行流量转发。   VRS:虚拟路由交换机,分布式L2-L4路由交换机,部署于计算节点/NFV服务器实现虚机网络流量转发。   VRS-G:SDN虚拟机网关提供vlan-vxlan映射,实现实体服务器接入SDN网络。 虚机(绑定LB/Firewall/IPSec业务)与NFV网络流量互转。

                NFV:运行提供虚拟化网络服务功能的虚机,如:LB、IPSec、FireWall。

                7x50:电信级路由器Vxlan硬件网关,提供数据中心SDN网关及数据中心出口路由器相关功能。   目前BC-VN已完成与开源SDN、NFV软件集成,推出BC-VN-S网络解决方案;完成与阿朗VSP系列产品集成,推出BC-VN-H-NUAGE网络解决方案;完成与华三VCF系列产品集成,推出BC-VN-H-H3C网络解决方案。

              另外,BC-VN与华为、中兴SDN、NFV产品进行了初步对接测试,具备集成可行性。   BC-VN产品架构如图3,从上至下依次为:  业务层:提供运营、运维门户,为用户提供VPC服务,用户可构建专属于自己的网络拓扑,具体包括:创建网络、自定义IP、DHCP、安全组、虚拟路由器、浮动IP、虚拟防火墙、虚拟负载均衡器、VPN等功能。

                管理层:对虚拟网络服务及网络资源进行抽象,虚拟网络管理模块采用插件式架构,对设备层开源、商业软硬件网络设备进行统一管理,对业务层提供统一的网络服务接口。

                设备层:包括开源交换软件、路由软件、NFV软件,商业SDN控制器及软硬件网络设备。

                图3BC-VN产品架构  图4BC-VN-H-NUAGE方案  BC-VN-H-NUAGE方案如图4所示,虚拟网络管理模块使用插件对阿朗VSD、VSC、VRS、7750vxlan网络设备进行管理,同时支持与博科vLB,开源vLB软件haproxy,开源防火墙软件iptables,开源VPN软件openswan、openvpn进行集成。   虚拟私有云(VirtualPrivateCloud)基于先进的SDN(软件定义网络)技术,使用户能够构建独立的网络空间,并通过虚拟防火墙和安全组功能提高网络安全性。 用户可以自定义网段和IP地址、自定义路由策略等,也可以通过专线或VPN隧道将VPC与传统数据中心连接,灵活部署混合云。

              主要功能包括:  一、基础功能:包括网络、子网、端口管理,提供DHCP服务。 支持vxlan隔离技术,用户可自定义子网CIDR。

                二、安全组:用户可自定义安全组、安全组规则,提供虚拟机粒度的安全防护。

                三、虚拟路由器:提供子网间路由、私网地址到公网地址的转换。

                四、虚拟防火墙:用户可按需创建防火墙、防火墙规则,为用户网络提供整体安全防护。

                五、VPN:支持IPSec、SSL、MPLS等VPN技术,方便用户接入VPC环境。

                六、虚拟负载均衡:用户可按需创建虚拟负载均衡器,满足日常业务需求。

                七、专线:支持专线接入云端VPC。   图5VPC业务模型及网络业务编排  VPC产品具有以下优势:  一、安全隔离:通过VxLan技术实现100%二层网络隔离,满足金融政企的安全隔离需要  二、灵活配置:自定义子网和IP,按需配置,即开即通  三、访问控制:基于虚拟防火墙和安全组的双重访问控制,满足金融政企用户的安全规范  四、丰富链接:专线接入,稳定可靠;SSLVPN满足移动办公需求;IPSecVPN实现低成本加密连接  技术创新  一、新技术引入及突破  1.中国移动公有云在国内首次大规模使用NFV技术,实现防火墙、负载均衡器、VPN资源池化。

              公有云南北方基地累计3000节点,是运营商最大规模的SDN、NFV的商用案例。

                2.中国移动公有云首次推出VPC业务模型,上线自定义子网、安全组、虚拟路由器、虚拟防火墙、浮动IP、虚拟负载均衡、VPN等全线网络产品,网络功能丰富程度超越阿里云。

                3.首次在公有云中使用vxlan技术,突破vlan4096限制,支持约1600万互相隔离的虚拟网络,满足公有云超大规模用户需求。   4.首次采用虚拟机、物理机混合SDN组网技术,BC-VN屏蔽虚拟机、物理机网络差异,统一管理。   5.首次采用多个计算分区共用一套BC-VN系统的架构,使网络资源得到充分共享。   、NFV、安全技术结合,实现高级网络服务及部分安全服务云化,根据业务需要实现动态扩缩容。

                7.采用软件SDN方案,部署灵活、交付快捷、升级便利,极大的提高了项目交付及后期升级效率。

                二、网络业务及功能创新  1.在公有云中引入VPC业务模型,用户通过图形化界面通过自服务方式灵活定制网络拓扑及配置。   2.使用VPN、专线技术打通公有云VPC、企业私有云VPC、企业传统数据中心网络,形成混合云网络解决方案。

                3.对主流计算虚拟化软件如vmware、kvm网络统一管理,实现vmware、kvm虚拟机混合组网,并自主开发vmware存量数据导入工具,支持对已建vmware资源池网络资源纳管。   4.提供裸金属服务器的创建、删除、查询、启动、关机、重启等功能;支持通过VPC内的私有网络,实现裸金属服务器之间、裸金属服务器和弹性云服务器之间内网互通,灵活组网。   三、网络运维效率提升  引入SDN、NFV技术后,虚拟网络各组件由BC-VN及控制器统一管理和控制,BC-VN提供统一的网络拓扑展示、状态监控、故障告警、排错图形化界面,极大提升网络运维效率。

                四、架构创新及商业模式创新  1.采用插件式开放架构,可集成多种开源、商业网络产品及解决方案,避免了单厂商绑定。 一套BC-VN系统可同时支持开源、商业NFV产品,满足不同用户对网络部件不同级别的性能、高可用要求。   2.在打造自主研发能力的同时,整合云计算网络产业链,借力开源及商业SDN、NFV产品,推出BC-VN系列产品及解决方案,极大促进了公有云及多个省公司私有云项目虚拟网络建设。

                3商业价值  SDN/NFV解决了中国移动公有云面临的诸多网络问题,提升了整体网络方案的灵活性、可扩展性,丰富了网络功能,优化了网络运营、运维方式,使移动公有云具备了同AWS、阿里云同等水平的网络能力。

                中国移动公有云作为国内首次大规模的SDN、NFV成功商用案例,为移动内外部单位云计算SDN、NFV引入起到了示范效应,有力促进了SDN、NFV技术的发展与推广,引领SDN在数据中心云计算网络领域的革命潮流,对未来核心网虚拟化、电信云建设、SDN及NFV在核心网引入具有一定的借鉴意义。

                中国移动公有云项目的上线及网络功能稳定的运行,对移动集团内其它云计算相关项目网络方案有很好的借鉴及示范作用,可大大加速各云计算项目网络方案建设并降低建设成本。   节约投资成本:中国移动公有云采用BC-VN集成SDN方案,在2016年累计节约近2亿元OPEX;对比其他商业集成方案,节约CAPEX近亿元。

                经济效益:项目总投资额2526万元,假定将所有网络产品的20%出售的情况下,每年收入约为亿元。

              1。