你可以體驗SDN協定而無需改變整個網路組態。只要邊界裝置具備SDN支援能力(支援OpenFlow和VxLan等SDN協定),並且能接受OpenFlow和SDN控制器的管理(支援管理協定例如SFlow),就能輕鬆地跨出第一步。當未來有需要時,便能對實體邊界進行可程式控制。
再者,相較於必須從一開始就向廠商購置所有設備並且承擔所有投資風險,New IP讓用戶只需要支付實際使用的資源並且唯有當使用時才需要付費。沒有合約約束,可以依照自己的意思取消,任何時間都可以升級而不會蒙受損失。事實上,甚至可以永遠都不再購置任何實體設備。
改變中的資料中心
為了滿足持續攀升的使用者需求和弭平相對落差,客戶將採用私有雲端、公共雲端或混合方案,並且將需要在其間移動資料和工作負載。他們將需要一些可程式的方案來支援快速創新,而且成本必須壓低,理想的目標是在他們使用技術並獲得實際價值時才支付成本。
那麼,New IP網路架構為何?要如何建構New IP?
讓我們從網路功能虛擬化(Network Functions Virtualisation,NFV)談起。這基本上是以軟體取代路由器、交換器、防火牆、負載平衡器、應用遞送控制器及其他實體設備,達成降低投資成本(某些情形下可節省達90%)與營運成本,並且讓客戶能夠配合需求而向上與向下延展資源。它們的服務變成可移動,能夠將虛擬化應用所需的一切網路服務放在同一台伺服器的虛擬機器(VM)旁邊。應用程式不需要離開實體伺服器,因此可以減少南北(North/South)流量和成本。他們可以將一個虛擬防火牆安全層連結到每一應用程式以提高安全性,而且這個安全層將隨著應用在基礎內的移動而移動。
他們也需要軟體定義網路(SDN),這項技術提供工具以支援管理和控制網路服務與基礎,不論其是否虛擬化。OpenDaylight是一個開源SDN方案,提供細緻的透視度與網路功能控制。它讓你的客戶能夠建立資源視覺化,並且控制、配置和管理資源。它也讓網路能夠看見並回應流量以及進行動態的調節,例如當出現拒絕服務攻擊或巨大流量時。再者,這些功能都是自動化執行。他們在網路建立的任何服務,不論實體或虛擬,都可以由一個SDN控制器進行完全的可程式控制。他們可以使用YANG和NetConf以建立標準化資料模組,以及使用REST API支持多重廠商網路設備 。
 |
| ▲New IP網路架構由四個階層所組成:實體底層(Physical Underlay)、網路服務層(NFV)、控制服務層(SDN)與協調層(Orchestration)。 |
不過,網路只是基礎的一部分,此外還必須顧及運算和儲存,因此需要訴諸協調工具。OpenStack是一項協調層開放來源協定,能夠在網路層為運算、資料與網路提供一如OpenDaylight功能效益。再者,由於客戶往往擁有一個多重雲端環境(私有與公共),因此必須確保雲端以一種可預測、可延展且可管理的方式運作,OpenStack則提供了這些能力,讓他們能夠將協調延伸到整個環境。
Fabric扮演關鍵底層角色
 |
| ▲Fabric架構是New IP的基礎,並促成NFV與SDN轉移。即使只用於現有網路,其自動化特性同樣可以節省營運成本、提升效能與可用性。 |
這些新技術被形容為疊層(Overlay)。有多疊層,就需要一個底層(Underlay)相搭配。它們必須能夠傳遞封包。Fabric是最常被建議的底層架構,例如VMware、Cisco和Brocade等公司都支持這項技術。現今大多數資料中心的僵化架構(分層體系和拓樸相依性)無法發揮NFV和SDN虛擬結構的敏捷性,因此Fabric具有關鍵重要性,並且獲得許多分析師建議採納。
為何使用一個Fabric底層?因為你需要一個彈性、可擴展且具備適應性的網路基礎,以便處理流量、封包尺寸與協定的立即反應。事實上,甚至在轉移到New IP架構的其他部分之前,客戶就希望擁有這些能力。
Fabric為現有網路提供New IP價值,它建立一個巨大的沙盒(Sandbox)協助虛擬應用程式優化以支援虛擬部署。由於現在的應用程式採模組化和分散部署,因此重要的是網路必須能夠感知這些模組的存在,以及模組之間的相互關係。網路Fabric具備虛擬機器感知能力,大幅提升流量容量以及網路速度和效能。原因是流量會自動採行最短或最佳路徑。它可以東西向(East-West)移動,因此比僵滯網路拓樸的南北向(North-South)流量節省成本與時間。
Fabric的自動化可以節省營運成本、提升效能與可用性,並促成NFV與SDN轉移。
那麼,安全問題又是如何呢?安全性必須達到全面涵蓋並且以使用者行為為基礎(Behavioral-based)。你需要一個可程式的網路以便運用New IP生態系統所提供的先進安全能力。例如,當網路或安全層感測到不正常的活動時,客戶或許需要建立虛擬DMZ。由於Fabric能夠最小化流量躍程(Hop)並提供自動化而非人工防護功能,因此能夠提升網路安全性。
NFV和SDN促成服務可移動,並允許防火牆及其他服務與應用程式綁定在一起部署。因此能夠提供無所不在和可移動的分級安全性,網路也因此能夠以即時模式適應安全需求,確保每一個個別的Session達到超高優化。
Fabric的五大必要條件
1. 真正的共享:意即每一台交換器都彼此對等。它採取平階式架構,沒有分層體系,因此不會存在單點故障。其結果構成一個平階的Layer 2或3並且具備自我構型與自我修復能力的網路。所有路徑都對等且可用,不同容量與不同設計的裝置可以混合部署,你可以混合匹配機箱式(Chassis)和固定組態交換器。
2. 分散式智慧:每一個埠都能相互感知其他埠。這意謂著你在移動工作負載時可以連同它們的相關特性一併移動,這稱為連接埠特性自動轉移(Automatic Migration of Port Profiles,AMPP)。這些特性包括存取控制、服務品質(QoS)及其他與連接埠相關的應用特性。Fabric可以擷取這項資訊,因此允許你移動工作負荷。如果其中一個埠失效,工作負荷將會移到一個可用的埠,因此你將不會折損可用性。
3. 原生的自動化:Fabric應該從一開始就針對自動化能力而建構,達到比個別單元快五到十?倍的部署速度,並提供一系列其他功能例如AMPP自我組態與自我修復。原生自動化(Native Automation)在Layer 1為整個網路提供近乎完美的負荷平衡,不需要額外的裝置或人工組態。原生自動化是從網路底層發揮New IP效益的關鍵,提供擴展、可用性與效能而無需人工干預和浪費時間。