CobiNet(寧波)推薦文章：

由中國(guó)信息通信研究院主辦、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)支持的"OSCAR開(kāi)源產(chǎn)業(yè)大會(huì)"在國(guó)家會(huì)議中心舉行。

銀行業(yè)發(fā)展論壇作為大會(huì)分論壇之一，于22日下午召開(kāi)。

李曉楓：感謝習(xí)總，確實(shí)上云對(duì)大家來(lái)講不是一件易事，無(wú)論你采用行業(yè)云方式還是采用自建私有云，這些都會(huì)涉及到。我們國(guó)家的中小銀行也是規(guī)模不等的，比如大家把城商行列為中小銀行，有的城商行很大，典型的是北京銀行、上海銀行，非常大，所以中小銀行也有自建私有云的方式來(lái)開(kāi)展上云的探討。我們下面幾個(gè)話題都會(huì)涉及到自建私有云，首先請(qǐng)中國(guó)銀聯(lián)電子支付研究院SDN技術(shù)專家袁航給我們介紹金融行業(yè)SDN開(kāi)源控制器技術(shù)。過(guò)去我們是垂直分層，水平分域，但是如果你按互聯(lián)網(wǎng)企業(yè)，都是大而強(qiáng)的網(wǎng)絡(luò)，那就有問(wèn)題。中國(guó)銀聯(lián)在這方面有探討，今天將就探討的成果進(jìn)行分享，我們有請(qǐng)。

以下為演講實(shí)錄：

袁航：謝謝，今天很高興在這里和大家一起討論中國(guó)銀聯(lián)的研究成果。我的題目是《基于開(kāi)源SDN控制器技術(shù)的研究》。私有云是在2011年開(kāi)始的，2011年10月份我們獲得國(guó)家云計(jì)算項(xiàng)目批準(zhǔn)，中國(guó)銀聯(lián)也是唯一一家入選該項(xiàng)目的金融機(jī)構(gòu)。2012年我們已經(jīng)開(kāi)始原型試用，自主研發(fā)，生產(chǎn)云技術(shù)平臺(tái)原型建設(shè)。2013年試點(diǎn)應(yīng)用，公司各部門開(kāi)始推試點(diǎn)應(yīng)用。2014年規(guī)模應(yīng)用，公司重點(diǎn)產(chǎn)品已經(jīng)在云平臺(tái)落地。2015年深化應(yīng)用。2016年步入金融行業(yè)云研究，2017年初步建成金融云聯(lián)合研究生態(tài)，和許多證券、保險(xiǎn)、金融公司都有合作，聯(lián)合這些機(jī)構(gòu)，針對(duì)SDN技術(shù)，行業(yè)技術(shù)，展開(kāi)討論和研究?；诖?，組建了openstack工作組。我們是國(guó)內(nèi)最早基于開(kāi)源的云計(jì)算生產(chǎn)平臺(tái)。

這張圖是我們的部署情況，分三個(gè)云：生產(chǎn)云，研發(fā)測(cè)試云，研究示范云。生產(chǎn)云主要是承擔(dān)我們業(yè)務(wù)生產(chǎn)系統(tǒng)運(yùn)行，研發(fā)測(cè)試云是我們測(cè)試項(xiàng)目和測(cè)試動(dòng)作，我現(xiàn)在負(fù)責(zé)原型示范運(yùn)維和技術(shù)儲(chǔ)備相關(guān)研究。這是我們銀聯(lián)業(yè)務(wù)應(yīng)用情況，有很多業(yè)務(wù)，相對(duì)核心的業(yè)務(wù)已經(jīng)在云平臺(tái)落地，后面兩年我們已經(jīng)開(kāi)始規(guī)劃，包括核心業(yè)務(wù)陸續(xù)上云，爭(zhēng)取幾年后能夠完全實(shí)現(xiàn)云化，我們也承擔(dān)外部機(jī)構(gòu)的云應(yīng)用。

說(shuō)了這么多，一直說(shuō)銀聯(lián)基于開(kāi)源進(jìn)行云計(jì)算研究。2017年，我們的關(guān)鍵技術(shù)主要在云網(wǎng)絡(luò)上進(jìn)行相關(guān)突破，我們的SDN也已經(jīng)在生產(chǎn)云上落地部署，我們采用兩種方案。第一個(gè)，商業(yè)硬件解決是采用華為的AC方案，開(kāi)源軟件方案基于neutron來(lái)做的，openstack版本從E版到L版。銀行業(yè)云閃付統(tǒng)一APP，基于SDN云平臺(tái)上已經(jīng)落地。上面是大體進(jìn)展，下面聚焦網(wǎng)絡(luò)也進(jìn)行了相應(yīng)的攻關(guān)。第一個(gè)是異構(gòu)SDN區(qū)域互聯(lián)，這個(gè)成果主要是在內(nèi)部構(gòu)建一個(gè)基于多租戶跨域云資源彈性效果，第二個(gè)是開(kāi)源SDN控制器ODL軟件研究，也是今天匯報(bào)具體內(nèi)容。第三個(gè)，云網(wǎng)監(jiān)管平臺(tái)，針對(duì)新的SDN網(wǎng)絡(luò)架構(gòu)下，怎么對(duì)云網(wǎng)絡(luò)進(jìn)行智能運(yùn)維，我們做了云網(wǎng)監(jiān)控平臺(tái)，本次我匯報(bào)開(kāi)源SDN控制器方面的研究。

優(yōu)化點(diǎn)一，可靠性優(yōu)化。對(duì)于硬件來(lái)說(shuō)，軟件的方案不完善地方是特別明顯的，一個(gè)是可靠性，一個(gè)是性能，一個(gè)是可擴(kuò)展性，我們針對(duì)這三個(gè)方面進(jìn)行了相關(guān)的優(yōu)化。第一個(gè)是可靠性優(yōu)化，實(shí)現(xiàn)分布式路由架構(gòu)，打破網(wǎng)絡(luò)化節(jié)點(diǎn)瓶頸，實(shí)現(xiàn)分布式數(shù)據(jù)發(fā)放。第二個(gè)是ARP代答，網(wǎng)絡(luò)異制，一個(gè)廣播域范圍非常大，影響也會(huì)很大，實(shí)現(xiàn)ARP代答之后，可以消除網(wǎng)絡(luò)風(fēng)險(xiǎn)。第三個(gè)是防火墻并聯(lián)接入方案，我們希望防火墻并聯(lián)接入到云區(qū)域里面，而且不能把外部網(wǎng)關(guān)設(shè)在防火墻上，也是為了保證防火墻的可靠性。為什么并聯(lián)接入？即使不通過(guò)防火墻也能保證業(yè)務(wù)的穩(wěn)定性。

除了可靠性優(yōu)化以外，還有性能優(yōu)化，精簡(jiǎn)數(shù)據(jù)傳輸路徑，首先是服務(wù)器系統(tǒng)網(wǎng)絡(luò)軟件精簡(jiǎn)，有兩個(gè)OVS網(wǎng)橋，下面有一個(gè)（英文）網(wǎng)橋，再往下是vm，我們希望用一層直接連接vm.網(wǎng)絡(luò)傳輸跳數(shù)減少，我們希望跨網(wǎng)端的流量不再通過(guò)網(wǎng)絡(luò)進(jìn)行路由傳輸，直接在OVS上實(shí)現(xiàn)路由的功能。

我們對(duì)擴(kuò)展性的優(yōu)化，當(dāng)前我們一個(gè)云區(qū)域所包含的租戶只能在云區(qū)域里面，如果多個(gè)云區(qū)域進(jìn)行互聯(lián)打通的話，只能通過(guò)三層路由策略來(lái)進(jìn)行打通，我們租戶可以跨區(qū)域進(jìn)行資源調(diào)度與部署，這樣的話也可以大大提高我們?cè)频目蓴U(kuò)展性，提高資源的靈活性。針對(duì)軟件的SDN待完善的地方，提出我們自己的想法。

這是我們基于上述規(guī)劃之后，基于ODL作為開(kāi)源控制器，這是網(wǎng)絡(luò)架構(gòu)圖，上面通過(guò)ML2對(duì)接openstack.這個(gè)是基于優(yōu)化點(diǎn)的能力規(guī)劃，基于我們上述三個(gè)優(yōu)化點(diǎn)，我們對(duì)能力進(jìn)行整理，基于開(kāi)源軟件盡量減少我們的工作量，ODL原生能力已經(jīng)實(shí)現(xiàn)很多能力。第一個(gè)是分布式路由，二是分布式ARP代答，天生對(duì)物理機(jī)內(nèi)部鏈路精簡(jiǎn)。除了ODL原生能力之外，我們基于上述三個(gè)優(yōu)化點(diǎn)提出附加能力，第一個(gè)是跨區(qū)域互聯(lián)，第二個(gè)是防火墻引流。

為了實(shí)現(xiàn)附加能力，需要對(duì)ODL原生能力進(jìn)行增強(qiáng)，特別是跨區(qū)域互聯(lián)，是一個(gè)場(chǎng)景的豐富，場(chǎng)景豐富就要對(duì)下面的基礎(chǔ)能力進(jìn)行改造。

跨區(qū)域互聯(lián)，我們的跨區(qū)域互聯(lián)系統(tǒng)已經(jīng)實(shí)現(xiàn)在核心網(wǎng)區(qū)域搭建一個(gè)自己的云，不同租戶網(wǎng)絡(luò)可以通過(guò)這個(gè)tunnel傳到另外一個(gè)區(qū)域中，我們的ODL原區(qū)域內(nèi)部網(wǎng)絡(luò)在外部對(duì)接RI，然后輸送到另一端，內(nèi)部我們需要考慮兩個(gè)問(wèn)題。一個(gè)是發(fā)出過(guò)程，如何將跨區(qū)域通信的流量引入到防火墻上，防火墻引流工作。第二個(gè)是接收過(guò)程，分布式網(wǎng)關(guān)如何接收帶有內(nèi)網(wǎng)IP的租戶流量，支持去loating ip的分布式路由。

防火墻引流，我們集成了openstack靜態(tài)路由功能，通過(guò)配置相關(guān)靜態(tài)路由，生成響應(yīng)的openflow流表，下發(fā)至OVS中進(jìn)行數(shù)據(jù)傳輸。對(duì)接靜態(tài)路由功能，監(jiān)控并獲取靜態(tài)路由數(shù)據(jù)，獲取租戶防火墻內(nèi)部接口MAC地址，生成流表，下發(fā)至OVS.這是一個(gè)流表架構(gòu)，前面匹配IP包，到底是哪個(gè)租戶的流量，IP是什么，包括對(duì)IP地址進(jìn)行配置。再是實(shí)現(xiàn)支持去floating IP的分布式路由，我們對(duì)原因具體分析，兩個(gè)原因：分布式vrouter外部接口不具備接收外部流量的能力。分布式狀態(tài)下無(wú)法對(duì)虛擬機(jī)位置進(jìn)行定位。這也是我們要解決的問(wèn)題。

第一個(gè)問(wèn)題，實(shí)現(xiàn)路由器外部接口對(duì)外來(lái)流量的數(shù)據(jù)接收能力，它沒(méi)有一個(gè)針對(duì)它的ARP響應(yīng)能力，我在上這個(gè)接口發(fā)生數(shù)據(jù)包的時(shí)候，我不知道地址是什么，我們第一步就要設(shè)計(jì)針對(duì)請(qǐng)求外部接口ARP響應(yīng)的流表，這個(gè)流表設(shè)計(jì)就是下面這個(gè)樣子。ovs中加入外部接口響應(yīng)ARP請(qǐng)求的流表。第二個(gè)是虛擬機(jī)的定位能力，如果是全量下發(fā)所有區(qū)域內(nèi)所有的OVS中，接到請(qǐng)求之后，所有的OVS都會(huì)響應(yīng)這個(gè)請(qǐng)求，這里有兩個(gè)情況：第一個(gè)是目標(biāo)虛擬機(jī)剛好在該物理節(jié)點(diǎn)中。第二個(gè)是目標(biāo)虛擬機(jī)不在該物理節(jié)點(diǎn)中。如果正好在物理機(jī)節(jié)點(diǎn)中的話就比較容易了，直接通過(guò)路由發(fā)送到物理機(jī)就可以了。如果不在的話，先把路由功能在接收到物理機(jī)的時(shí)候，打到目標(biāo)物理機(jī)當(dāng)中，然后進(jìn)行目標(biāo)轉(zhuǎn)發(fā)，這是我們的思路。

我們的方案進(jìn)行性能上的測(cè)試，這個(gè)是在萬(wàn)兆環(huán)境下進(jìn)行的測(cè)試，測(cè)試出來(lái)的結(jié)果還是優(yōu)化很多的，整體來(lái)看，時(shí)間平均降低了68%，帶寬平均提高39%，優(yōu)化的能力提高還是比較顯著的。最后是我的工作總結(jié)與下一步工作計(jì)劃。方案還有需要待完善的地方，支持去floating IP方案仍需優(yōu)化，控制器高可用不成熟，目前只是開(kāi)源社區(qū)高可用方案，針對(duì)金融行業(yè)高可用高要求我們要再設(shè)計(jì)一個(gè)具有金融特色的高可用方案，這是我們下一步工作計(jì)劃。L4-L7層方案不完善，防火墻有，但是負(fù)載均衡該怎么加，該怎么弄。后續(xù)工作，除了針對(duì)ODL方案進(jìn)行繼續(xù)完善的話，現(xiàn)在也發(fā)起了跨數(shù)據(jù)中心多云協(xié)同資源管理技術(shù)聯(lián)合研究課題，希望更多合作伙伴參與進(jìn)來(lái)。右邊是我們的二維碼，我們相關(guān)進(jìn)展和研究成果也會(huì)在二維碼上發(fā)布，大家有興趣的話可以了解一下，里面干貨內(nèi)容還是挺多的。我的演講就到這里，謝謝大家！

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類，六類,七類線，屏蔽模塊，配線架及相關(guān)模塊配件的研發(fā)和生產(chǎn)。

歡迎來(lái)電咨詢0574 88168918,郵箱sales@cobinet.cn，網(wǎng)址www.54hr.com.cn