一種基于葉脊網絡架構云資源池的優化方法

謝羽成 孫 健 丁 寧 宋 揚

1.中通服咨詢設計研究院有限公司；2.中國電信集團有限公司內蒙古分公司

0 引言

在云網融合的建設如火如荼，各業務平臺和核心業務積極爭相上云的過程中，云資源池的管理體系遇到了一些挑戰和執行上的問題。例如，網絡維護部門如何協調同一張資源池中不同業務的部署窗口周期？網絡安全部門如何與業務部門協調同一個資源池不同業務的安全防護策略？同一個資源池內對不同業務的質量保障等級如何分配和管理？面對以上的疑問，如何在保證云網融合大方向不變的情況下，緩解或者解決如今面臨的一些問題是需要探究的。

1 主流云資源池技術的特點

1.1 Leaf-Spine 架構的云資源池

傳統三層網絡架構存在帶寬浪費、故障域較大、難以適應較大規模網絡等弊端，因此，Leaf-Spine（葉脊）網絡架構正在逐漸成為當今通信運營商云資源池建設的主流架構。該架構正在大規模城域網絡（新型城域網）中積極部署。

通信運營商采用的Leaf-Spine 架構的云資源池典型拓撲如圖1 所示。

圖1 國內運營商基于葉脊網絡架構的云資源池典型拓撲圖

該架構的網絡側分為Spine 和Leaf 兩層。Spine 節點通常為EOR（End of Row）交換機，Leaf 節點通常為TOR（Top of Rack）交換機。網絡整體會統一設置兩臺Boarder Leaf 設備，該設備通常采用大功率，高性能的路由器產品。

該架構與標準的Leaf-Spine 架構相比，參考了NFV 的業務特征，在架構中設置了管理、業務、存儲三個不同的節點。通過這種設置，能夠在最大化保障網絡中東西流量運行效率的前提下，更加方便地進行維護和管理，符合運營商對云資源池精細化發展的要求，也避免了由于設備故障而造成業務之間的互相影響。這種架構的設置與Facebook 的Fabric 網絡架構有相似之處。

1.2 運營商云資源池網絡架構的局限性

1.2.1 多業務共用網絡出口問題

運營商常用的Leaf-Spine 架構，較普通的三層網絡架構的優勢，主要體現在東西向流量的優化，該優化能夠更好地承載例如5G 核心網、vIMS 等虛擬化網絡功能的業務需求。但是單獨針對南北向流量而言，其實并沒有很大的改善。所有業務的南北向流量，都通過唯一的兩臺Border Leaf 設備與運營商網絡對接。若通過Leaf-Spine 架構的資源池來承載單一業務，該方案并沒有很大的問題。但是隨著單機房內承載的業務種類越來越多，南北向流量的需求越來越具有多樣性的時候，Border Leaf 就容易成為整體網絡的主要風險點和業務瓶頸。具體示意圖如圖2 所示。

圖2 基于葉脊網絡的資源池南北流量走向示意圖

Border Leaf設備與運營商網絡對接，可以通過多連接方向、多物理路由等方式進行數據和傳輸層面的安全保障。但是如果Border Leaf 節點本身出現了設備故障等重大問題，將影響整個資源池的南北向流量的正常運行，有造成運營事故的安全隱患。

1.2.2 針對業務割接窗口協調的難度增大

在現有通信運營商的業務體系中，各專業的平臺通常采用煙囪式結構。平臺與平臺之間互不影響，各專業、各部門可獨自安排，并決定自己的升級擴容操作周期。

但是隨著網絡云化的推進，各業務都通過云資源池的方式進行承載，以往可獨自安排擴容或升級操作變成了每次擴容升級操作均需要協調資源池內所有的專業共同規劃操作窗口的時間。當在資源池內部署了特大、特別重要的業務時，其他專業對升級擴容的操作窗口和周期的申請就顯得異常困難。例如在5G 核心網擴容的較長周期內，其余的業務會很難尋找到合適的擴容、升級、調測的操作窗口。這個問題對運維的管理流程和業務安全保障體系形成了新的挑戰。

1.2.3 無法滿足各業務不同的安全防護策略需求

隨著安全等保的要求越來越精細化，運營商的各業務系統對安全等保的需求開始有了明顯的區分。根據《信息安全等級保護管理辦法》的規定，信息系統的安全保護等級分為五級，一至五級等級逐級增高。

當前，運營商的各類業務中，核心網、集團管理系統、網絡安全系統等業務系統被嚴格定級為等保三級甚至更高。此外，諸如日常運維系統、辦公系統、普通業務平臺等，通常定級為等保二級或三級。剩余的非核心業務平臺，可根據實際使用需求，定級為等保一級或者按實際安全需求執行。

此時，存在網絡架構的統一和實際業務安全等保要求不同的沖突問題。當不同安全等級的業務承載在同機房的同一個資源池中時，運營商需要依照平臺內安全等級最高的業務，進行最高級別的安全策略配置，以保障安全的合規性。但這種較高的安全配置，卻不一定能符合其余平臺的業務需求，出現過度配置、安全投資浪費等問題。

由此可見，業務的安全配置策略和整體云的安全配置策略在某些時候確實存在著一些矛盾點，需要通過合理的辦法進行規避。

2 對業務進行分區的建議

由前述可知，當前運營商的云資源池網絡架構的局限性主要是由于多種類的業務均承載在同一個資源池中造成的。因此，如何依照業務的特點和特征進行功能分區從而與承載網高效配合，是需要首先考慮的問題。運營商的業務特征除了安全部分以外，還有很多需要考慮的因素，例如業務的服務對象、業務流量的大小、業務的QOS 需求等級、業務的流向特征等。而運營商往往會根據不同的業務特征，形成一個業務故障影響等級的判定。本研究依照業務故障影響等級判定業務的重要性，依照安全等保級別判定安全的重要性。采用以上兩個不同的角度完成對不同業務的分區劃分。

2.1 依照安全等保級別進行業務區分

在運營商的現有管理體系中，已經在近兩年完善了各自業務系統的網絡安全定級備案。經過分析，主要遵循了以下幾個原則：故障影響范圍廣、業務重要性高的業務定為3 級；生產子系統，以及不會形成大范圍故障或生產事故的系統定級為2 級；非核心生產單元的業務系統定級為1 級。參照某運營商的指導意見，定級建議如表1 所示。

表1 業務系統定級建議

2.2 依照業務重要性等級進行業務區分

依照業務性質，可以將上云承載的系統按照管理界面劃分為對內系統和對外系統。對內系統可包括管理系統、運維系統等；對外系統包括生產系統、核心網系統、業務平臺系統、增值服務平臺系統等。

每一類系統都可以依照故障影響等級進行相關的重要性判定。例如，對內系統，存在集團級系統＞省級系統＞地市級系統的重要性等級區分；對外服務系統，存在核心網系統＞業務平臺系統＞第三方平臺增值服務系統的重要性等級區分。因此，可參考以上重要性關系，將各類需要通過云資源池承載的業務進行重要性等級區分。

為更好地完成分區工作，建議可以通過賦分的方式對各業務系統的重要性等級進行評定。賦分規則可參考如下：特別重要系統賦分區間為80-100 分，一般重要系統賦分區間為60-80 分，普通系統賦分區間為40-60 分，其他系統賦分區間為20-40 分。

2.3 參照安全等級和業務重要性的業務分區實驗

本研究選取了運營商行業中十一個可以通過云資源池承載的系統進行安全定級和重要性賦分實驗。賦分實驗結果參考如表2 所示。

表2 賦分實驗結果

依照以上的賦分實驗結果，可在直角坐標系中形成散點圖。在直角坐標系中，落在第一象限的系統可分類為一區業務，落在該區域內的系統表示是級別最高，業務需要得到最大保障；落在第二和第四象限中的業務，可分類為二區業務，二區表示該業務比較重要，但是安全需求不高，或者雖然安全需求很高但是業務不是最重要的；落在第三象限中的業務可分為三區業務，該區域內的業務是非核心的業務系統，代表故障影響范圍有限。

具體示例如圖3 所示。

圖3 業務分區實驗結果圖

3 對雙平面組網在云資源池中的應用探討

3.1 雙平面組網的技術特點

“雙平面”的網絡架構在2010 年前后開始在國內應用。該網絡架構的引入主要是為了解決承載網層面的安全問題和業務優先級保障問題。在云資源池的組網層面，暫時還未了解到相關的應用成果。

“雙平面”架構的優勢是可以將業務流量按其重要程度，分別通過A、B 兩個不同的平面承載。通過這種架構，有能力讓多種不同業務的承載方案更加清晰，效率能得到有效提升。也給管理部門提供了多樣化的業務保障策略，有利于后續管理。

3.2 雙平面組網在云資源池建設中的應用

在業務側有了一區、二區、三區的區分之后，就可以用多平面的方式，對不同分區的業務進行針對性承載?？紤]到承載網設備在資源池內的整體投資占比不宜過大，本研究優先探討如何基于雙平面，對基于Leaf-Spine 架構的資源池進行改善。A 平面承載優先級最高的一區業務，B 平面承載優先級次級的二區和三區業務。

可以在云資源池中通過增加Leaf-Spine 架構中的Border Leaf 節點，結合業務分區完成改進工作。優化后的示意圖如圖4 所示。

圖4 對基于葉脊網絡資源池優化后的組網及業務走向示意圖

通過該調整，可以使用A、B 兩個不同的平面，針對業務的分區不同，進行差異化承載。該拓撲的調整能夠為云資源池的建設和管理帶來以下幾個優點：

（1）能夠解決資源池網絡出口瓶頸問題。通過新增Border Leaf 節點，能夠有效拓寬資源池南北流量。網絡出口不再依靠唯一的一對Border leaf 節點，有效增強了網絡的健壯性和安全性，有利于后期的擴容。

（2）能夠解決資源池內操作窗口調度難的問題。業務分區和雙平面建設后，運維管理部門可以規劃用A 平面承載一區業務，B 平面承載二區和三區業務。因此，二區、三區業務的操作不會實際影響到一區業務的運行。運維部門也可以自行安排A、B 平面的業務承載計劃，并進行靈活調度，極大緩解網絡升級與安全保障之間的矛盾。

（3）提供了相同資源池內差異化服務的可能性。在實際配置中，由于A、B 平面相對獨立，可以在承載網側對不同的平面制定不同的差異化服務策略。例如A 平面可以主要連接運營商A 網絡，B 平面可以主要連接運營商B 網絡，A 網絡和B 網絡之間通過邊緣路由器互通。通過這種方式，資源池內的業務可以根據實際業務需求進行定向選擇，從而可以為同一資源池內的不同業務提供差異化服務，提高云資源池南北向流量的流通效率。

（4）為資源池的網絡承載提供額外的容災手段?？紤]到A、B 平面的容災特點，以及Leaf-Spine 架構全連接的特征，A 平面與B 平面實質上形成了互備的關系。因此，當A 平面出現重大級別故障時，A平面的業務可切換至B平面進行承載，反之亦然，從而為資源池提供額外的一種安全容災手段。

4 結束語

隨著云網融合建設的持續推進，無論是運營商、政府部門，還是企事業單位，對于云資源池建設的需求都呈現井噴式爆發。隨著業務逐漸多樣化，如何針對特殊需求完善現有云網絡架構顯得十分必要。本研究對如何將雙平面組網和業務分區應用在主流的Leaf-Spine 架構的云資源池中進行了初步探討和分析。當然，其中有很多細節問題還需進一步探究，例如如何更好、更客觀地對業務進行分區？如何繼續優化數據傳輸協議配置，從而提高A、B 雙平面承載的運行效率？以上遺留問題都需進行更加專業的評估。本研究是從架構層級對資源池的優化進行討論，也為未來的云資源池部署提供了新的思路，具有良好的應用前景。