面向云計算的數據中心網絡體系結構設計研究

◆應建軍

（浙江浙能天工信息科技有限公司 浙江 310000）

1 引言

從廣義上來說，云計算是一個計算資源池，其通過自動化軟件實現對資源的控制，屬于分布式計算的一個分支。云計算不是一門單純的技術，而是一個網絡應用概念。云計算概念自2006年提出以來，引領了互聯網的第三次技術革命。近年來，云計算成為全球各大信息技術企業轉型和戰略布局的重點。與傳統的數據中心相比較，面向云計算的數據中心網絡體系結構設計需要考慮云計算的可擴展性、高靈活性、高性價比和網絡的安全穩定性。只有在這些方面取得突破，才能使數據中心提供強大的網絡服務。

2 面向云計算的數據中心網絡體系結構設計原則

（1）可擴展性

面向云計算的數據中心網絡體系結構設計時首先要考慮其可擴展性。云計算本身屬于一個資源集合的范疇。當大量用戶需要訪問云端的應用時，數據中心的網絡支撐體系能夠快速增加，這有效避免了網絡阻塞現象的發生。同時結構設計還需支持網絡的動態擴展，在原有設備不停機的狀態下對網絡設備進行擴容，并且不影響數據中心網絡的正常運行。

（2）可靠性

云計算數據中心匯聚了大量的應用和數據，影響面較廣，對網絡可靠性和穩定性要求較高。當設備或者管理控制軟件發生故障時，云計算可以通過虛擬化技術，實現網絡的自動切換，保證云計算數據中心的可靠性。

（3）安全性

網絡安全越來越受到重視，面向云計算的數據中心網絡環境一般較為復雜，鏈路較多，目標較大，易受到不法分子的攻擊。數據中心必須完善自身的網絡安全管理制度，做好網絡安全的頂層設計并嚴格執行，才能提供更加優質的云計算服務。

（4）高效性

云計算數據中心的日常網絡吞吐量較大，對網絡的傳輸速率要求較高，這就要求數據中心在進行網絡體系結構設計時，需充分考慮合適的網絡調度算法和協議，以確保其在較長的運行時間中保持高效性。

（5）標準化

云計算數據中心網絡體系結構中的物理設備均安裝在機房中，這就要求數據中心的物理設備亦需要實現標準化和模塊化，物理設備之間盡量能采用相同的通信協議，具有較高的兼容性，保障云計算數據中心的快速擴展能力。

3 網絡體系結構的設計要點

（1）網絡體系結構的拓撲設計

傳統的數據中心網絡結構一般采用三層網絡結構，即核心層、匯聚層和接入層。這種結構的網絡一旦出現核心層設備故障，有可能引起整個網絡的癱瘓。該網絡的可擴展性不足，一旦核心層和匯聚層設備端口不足，則難易擴展，同時在網絡流量增大時，沒有有效的應對策略。面向云計算的數據中心網絡拓撲結構可以考慮FatTree 模式，采用型號相同的可編程交換機或者不同品牌參數接近、使用同種通信協議的可編程交換機，組成一種更大的交換網絡，使網絡的健壯性和可擴展性得到增加。這樣的網絡拓撲結構同樣包含核心層、匯聚層和接入層，并且能夠確保每臺服務器上的網口可以以網絡上的最大帶寬進行數據的傳輸，而不受到傳統數據中心單網口鏈路網絡瓶頸的影響，其更適合每個應用網絡流量波動較大的云計算數據中心。

（2）云計算網絡的構建與管控機制

云計算數據中心的單臺物理服務器通常需要為多臺虛擬服務器提供運行環境。云計算網絡需要在物理服務器發生故障時，為虛擬服務器提供專門的遷移網絡。通常來說，云計算數據中心需要提供一種底層網絡的控制機制，對云計算數據中心的網絡進行分割，實現不同的虛擬網絡為不同的上層應用或者虛擬機內部管理提供可靠的網絡支持。一般將云計算數據中心的虛擬網絡劃分為應用系統網絡、遷移網絡、數據存儲網絡和物理連接網絡。這里的物理連接網絡是指物理服務器與網絡硬件設備之間真實的物理鏈路。應用系統網絡主要用于為云計算數據中心對外應用提供網絡支持。而遷移網絡主要針對物理服務器發生故障時，為云計算網絡中的虛擬機提供遷移所用。此外還有數據存儲網絡，其主要用于與存儲設備相連接。當然若云計算數據存儲采用分布式存儲模式，最好也使用單獨的存儲虛擬網絡，以達到最佳效果。

軟件定義網絡，簡稱SDN 網絡。其在面向云計算的數據中心網絡體系結構設計中得到了廣泛的應用，它的本質是實現網絡的虛擬化。SDN 網絡運用OpenFlow 核心技術，將云計算數據中心網絡設備的數據從控制平面中分離并且進行開放性編程，實現數據中心網絡可根據實際情況靈活控制，這有效地打破了傳統網絡的封閉性。SDN 網絡從上到下分為應用平面、控制平面和數據平面。應用平面是基于軟件定義網絡應用的集合，此層的用戶不需要關心數據中心的底層網絡結構，只需要通過編程來部署或修改具體的應用；控制平面是整個軟件定義網絡的大腦，把控著數據中心全部網絡的信息和狀態，并控制著整個全局網絡的轉發規則；數據平面是整個數據中心網絡的硬件支撐，其他兩個平面均建立在它之上。這些設備之間通過不同的網絡協議或規則組建軟件定義網絡的鏈路。數據平面和控制平面之間采用統一的軟件定義網絡，控制數據平面接口進行通信。在控制器將轉發規則發送到下一個轉發設備的過程中，大多使用OpenFlow 協議。應用平面與控制平面之間的通信協議則并非完全統一，但需要使用軟件定義網絡的北向接口。各應用系統的管理員可定制開放自己的網絡應用。

（3）云計算中虛擬機遷移的網絡支撐體系結構設計

現在的云計算大多數采用開源系統，在系統的2、3 層之間增加一個代理與物理交換機協同工作的機制，即模擬出多個邏輯網絡，讓虛擬機中的代理與可編程交換機的控制平面進行參數的同步，最終實現對網絡帶寬資源以及控制參數的實時調整。這樣的運行機制能使不同的邏輯網絡運行不同的網絡協議，可以使云計算上的每個應用實現定制化的網絡需求。2、3 層之間代理的另一個重要功能就是實現云計算數據中心應用服務器的快速遷移。通過該代理的映射，可以阻斷應用平面和數據平面MAC 地址之間的關聯。每臺虛擬機上的代理為自己的主機提供一個地址映射表，記錄MAC 地址和IP 地址之間的映射關系。每個虛擬機的代理之間能進行實時的數據傳輸，同步MAC地址與IP 地址之間映射關系的變化。當云計算數據中心中的某臺物理服務器增加新的虛擬機時，該代理就會在代理通信網絡中廣播其MAC 地址和IP 地址之間的映射關系，各代理均會更新自己的映射表。在數據中心某臺物理服務器發生故障以后，云計算控制軟件會指揮虛擬機進行宿主機的遷移。遷移完成后，其代理會同步新的映射表至其他主機代理，這樣就能加快虛擬機恢復的時間，通常在不涉及應用數據遷移的情況下，數秒內就能完成遷移工作。

（4）云計算數據中心網絡中虛擬帶寬的分配機制設計

通常來說，在云計算數據中心網絡中，一般運用可編程的交換機實現對虛擬帶寬的分配，其原理是根據代理反饋的監測數據和應用的實際情況，協調和分配合理的虛擬帶寬資源。在云計算數據中心的每一臺可編輯交換機上部署一個負責分配網絡帶寬的邏輯單元，通過代理收集每臺虛擬機每個網絡端口的發送速率，通過相應的算法實現帶寬的增減調配，達到合理分配數據中心網絡帶寬，實現保證數據中心網絡平穩的目的。

（5）云計算數據中心網絡訪問控制權限機制設計

云計算數據中心承載了大量的應用服務器，其網絡安全應受到格外的重視，網絡訪問權限宜采用最小化的原則，即點對點的開通網絡服務端口。對于部分需要開放公網訪問的服務器，必須進行網絡安全的漏洞掃描，符合條件后方能正式對外開放。在云計算數據中心提供的PaaS、IaaS 和SaaS 服務中，應充分考慮相關網絡安全制度的制定。對于網絡底層設備的管理員密碼、網絡控制臺管理密碼等，均應遵循專人專管的原則，防止網絡訪問控制權限的擴大。同時需要限制每個網絡管理界面管理登錄的IP，最大限度的做好云計算數據中心網絡訪問控制權的限制。定期在數據中心內部開展網絡訪問控制權限問題的排查，盡力避免云計算數據中心網絡安全事故的發生。

4 結束語

綜上所述，云計算技術的普及對于數據中心網絡結構體系有了更高的要求，傳統的樹形網絡結構已不能滿足云計算技術發展的需求。隨著軟件定義網絡等新型網絡技術的興起，網絡的拓撲結構可以為每臺虛擬機提供更多的網絡路徑和邏輯網絡接口，能更好的按照各種屬性將邏輯接口區分開來，真正實現基于應用的定制化網絡。另外網絡的拓撲結構能根據各類云計算服務的類型為數據中心的每個應用提供合理的網絡帶寬分配策略，既能避免數據中心網絡帶寬的浪費，也能通過集約化的控制模式，讓應用需要大容量網絡帶寬時得到及時的支援。相信在技術人員的不斷努力下，面向云計算的數據中心網絡體系結構設計會越來越完善，從而提供更加便捷、高效、穩定、安全的服務。