近年來雲端運算發展已從概念階段趨向落實,IT基礎架構的三大重要元件:運算、儲存、網路,皆要能夠具備彈性配置能力,才得以實現靈活運用,讓營運業務所需的資訊系統得以縮短建置與部署時間,又可確保IT的投資不致出現使用率低落,甚至是閒置狀態。
而虛擬化可說是其中不可或缺的技術,於是從伺服器搭配儲存設備的虛擬化建置架構被廣泛應用後,網路層的虛擬化議題也逐漸浮上檯面。
欲實作網路層的虛擬化,軟體定義網路(Software-defined Networking,SDN)可說是目前業界普遍採用實現的概念,也就是從網路設備中的資料層(Data Plane或稱Forwarding Plane)抽離(Decoupled)出控制層(Control Plane),兩者之間的通訊協定多數採用開放式OpenFlow達成,讓設備專注於封包的傳遞,複雜的控制層則交由Controller軟體,以集中配置與部署網路環境所需的各項服務。
ONE策略發展可程式化網路架構
思科台灣技術銷售事業群副總經理暨技術長鈕因任指出,目前業界討論的SDN較為狹義,較完整的定義由下而上應具備:實體傳輸層(Transport)、資料層、控制層、網路服務層(Network Services)、管理與協作層(Management and Orchestration),共五層式架構。這也就是思科提出的開放式網路環境(Open Network Environment,ONE)發展策略,針對各層級與應用程式的整合,皆可採用onePK(One Platform Kit)來實作,主要是以應用服務系統的角度來發展。
 |
| ▲思科新推出的Nexus 9000系列交換器,為實現以應用中心基礎架構(ACI)而設計。用戶可選擇ACI模式的應用策略基礎架構控制器(APIC)運作,或切換至NX-OS作業系統跟現有架構整合。(資料來源:思科) |
「在開放式網路環境中,從控制層到資料層,也就是所謂的南向(Southbound)控制,OpenFlow通訊協定只是其中一種,主要用意為提供非單一廠商的Controller得以呼叫運用,常見還有BGP(Border Gateway Protocol)、PCEP(Path Computation Element Protocol)等通訊協定。」鈕因任說。
以Overlay Network架構實作下,不僅對上層擁有北向(Northbound)的支援,管理與協作層亦可藉由RESTful、XML等方式來進行東向與西向的整合。「其重要性即在於各層級都有開放的API,藉此跟其他廠商合作運行,包括日前新發布的應用中心基礎架構(Application Centric Infrastructure,ACI),即是依循開放式網路環境發展策略所設計,可協助建置效能、安全、管理性等功能兼具的框架,讓應用驅動政策執行可自動化地在實體與虛擬環境中運行。」
基於ACI架構設計Nexus9000交換器
ACI架構的組成元件包含:應用策略基礎架構控制器(Application Policy Infrastructure Controller,APIC)、Nexus 9000系列交換器,以及強化版的NX-OS作業系統。Nexus 9000硬體除了內嵌思科設計研發的ASIC晶片,同時亦搭配商用矽晶片,像是Intel、Broadcom等技術,在Nexus 9000的Line card或Fabric模組中皆有內嵌。「更重要的是,內含思科專利技術,可發揮晶片運作效能,以減少內嵌晶片用量,讓一張網路卡僅需二至四顆矽晶片來運行,相對市場上其他交換器,大多會採用六至八顆,才能達到同等的效能。」鈕因任強調。
若已建置Nexus 7000系列的用戶,可選用Nexus 9000內含的Standalone模式運行NX-OS作業系統,其具備Cisco Data Center Interconnect即可介接Nexus 7000,包含以Open Daylight為基礎的可延展網路控制器(Cisco Extensible Network Controller,XNC);相對若是啟用ACI模式,即會以APIC控制器為運作核心。
思科大中華區數據中心事業部高級技術顧問馮志良說明,為了要保障客戶既有的投資,在Nexus 9000設計提供NX-OS模式,運作方式就如同以往的Nexus機種,可以讓客戶逐步轉換至全新的ACI模式。
以APIC為核心的ACI架構,相較於以往最大的差異即在於,是以應用程式的角度來配置各項網路服務。馮志良表示,現在的IT管理者迫切需要的是讓應用程式得以最簡單、快速的部署到雲端運算環境中,然而雖然市場上已開始陸續出現解決方案,卻無法以整體性的方式來解決問題。
而思科設計的SDN雖是軟體式來實現整合式架構,真正的創新則是硬體層次為主,同樣是去年才問市的Cisco Dynamic Fabric Automation(Cisco DFA),以及7700系列交換器,設計方向就已經是以客戶端現有的網路環境為基礎,進一步整合貼近應用程式運行模式。甚至更早之前以IETF標準協定「多鏈路透明互連」(Transparent Interconnection of Lots of Links,TRILL)技術設計的Cisco FabricPath,都是為了讓應用程式、網路的管理者,能夠整合運用。
 |
| ▲思科以開放式網路環境(Open Network Environment,ONE)發展策略可程式化的網路架構,五個層級均可採用onePK(One Platform Kit)整合應用服務系統。(資料來源:思科) |
「近年來之所以陸續發布整合應用的解決方案,即是來自傳統網路環境中,Layer 2本來就存在風暴問題,從最早提出的Cisco FabricPath就是為了降低發生率,透過Nexus Fabric Extender來實作,等於是把一台專屬設備視為Line card,讓Nexus 2000可以跟5000與7000系列介接,在單一管理上皆可操控管理。」鈕因任說。
端到端掌握實體與虛擬環境的應用狀態
「在整個ACI架構中,有個重點是我們稱為Endpoint群組的VXLAN Tunnel Endpoint(VTEP),是在Edge端交換器匯聚成型的群組。VTEP的重要性在於能夠蒐集由APIC配置的安全、效能等政策,即可把Application Network Profile(ANP)的元素放置到VTEP群組。」鈕因任說明。
像是資料庫較著重在I/O存取效能,Hadoop平台則是由眾多硬體所搭建,而一般辦公室應用系統較多是建置在Hypervisor上,不同的應用系統皆擁有不同特性,欲使其群組化,就得仰賴ANP。因為不管是在實體或虛擬環境中,應用程式皆有配置網路服務與安全性政策,且不同應用系統所需的實體資源亦有差異,這些資訊皆會被蒐集放到ANP,再基於端點的VTEP作Mapping。之後不管該應用程式是被建置在虛擬主機還是實體環境,只要搬遷位置,ANP亦可隨之搬移,經VTEP辨識身分後,再基於控管政策配置該身分的群組。
目前主流實現SDN方式,是採以Overlay Network架構來建置,但是最上層的管理與協作層卻缺乏實體層的資訊回饋,根本無法得知實體運作狀態,以及出現的問題。「主要是因為目前市場上SDN解決方案提供者,多數只有部分功能,最後仍然必須經過共同整合後才能達到協同運作,既費時又耗力。而ACI本身就已具備一致性機制,只要針對不同應用程式領域配置相關政策即可自動執行,從上層到下層皆可透通管理。」鈕因任說。
在ACI架構中,並非只有控管政策經由APIC南向發布到基礎架構的設備,不管是虛擬或實體伺服器,亦可北向回報,所以可以蒐集各個端點(Tenant),或是提供雲端服務的應用系統的資訊。一旦應用服務出現問題,到底整條路徑中經過哪些實體主機、Hypervisor等節點,及其運作狀態,全數都可藉ANP蒐集,再根據這些資訊進行Mapping,以指出真正問題的根源。如此一來,讓端到端的路徑變得可視化後,一旦出現問題,在管理介面的儀表板上即可清楚標示引發此問題的應用程式,及其存取路徑,才能讓IT人員清楚掌握SDN的運作狀態。
馮志良補充,由於Overlay Network架構只能看到通道點,無法細緻到中間的傳遞,可說是軟體式先天的侷限,要達到可視化,只有靠硬體的創新來提供穿越至通道裡面的機制。SDN在提供快速、簡易方式部署應用程式的同時,亦須滿足效能、擴充性、安全性、穩定性,對企業而言才具有最大的意義。