軟件定義網絡 (SDN) 是一種網絡方法，允許管理員通過抽象更低級功能來管理網絡服務。SDN 將控制層面（用于確定流量發送到何處）與 數據層面（將流量轉發到所選的目的地）分離。

本文將介紹如何組合 SDN 與云基礎架構服務，以便優化 IaaS；我將重點介紹以下區域：

• 確保 IaaS 互操作性
• 充分利用 IaaS 云服務模型
• 通過 OpenStack Foundation 和 OpenDayLight 項目來滿足用戶、開發人員、提供商和維護人員的期望
• 提供富有成本效益的減輕風險的方式，以便優化 IaaS

IaaS 互操作性

網絡管理員可以使用帶網絡功能虛擬化 (Network Functions Virtualization, NFV) 的 SDN 架構來實現 IaaS 互操作性的目標。NFV 架構概念要求使用虛擬化技術，將一整類網絡節點功能虛擬化為構建塊，然后，后者可以相互連接來創建通信服務。一種虛擬化的網絡功能可能包含一個或多個虛擬機，它們可在云基礎架構上運行不同的軟件和流程。

SDN 架構在一個中央控制臺中為管理員提供了從 IaaS 中的某個網絡設備傳輸到另一個設備的流量的全局視圖；在必要的時候，它還詳細描述了在轉移到兼容的 IaaS 之前應如何優化流量。

SDN 架構的核心是控制器，控制器是一個開源應用程序，用于將控制功能與專用網絡設備的數據功能相分離。如果某個網絡設備遇到大量的流量，那么管理員可以使用控制器告訴網絡設備將這些流量包重定向或重新發送到何處。管理員可以根據需要添加 IaaS VM：例如將大量數據從性能低下的網絡設備轉移到更健康的網絡設備。

NFV 將網絡功能（比如網絡地址轉換 (NAT)、防火墻、入侵檢測、域名服務 (DNS) 和緩存）與專用硬件設備相分離，以便這些功能可以運行軟件中的控件。NFV 整合了必要的網絡組件，以便為全面虛擬化的網絡基礎架構提供支持。

必須正確配置 SDN 和 NFV 控制器，才能優化網絡流量，或者讓管理員對其執行其他更改。不當的配置可能導致 IaaS 宕機或受到攻擊。正確的配置可以通過 OpenStack 和 OpenDayLight 等開源工具來完成。

為了了解有多少網絡專家喜歡商業提供商提供的適用于其 SDN 解決方案的開放源碼，OpenDayLight 進行了一項調查……該報告調查了北美企業大中型組織中的 600 多位 IT 決策者和技術人員，其中 300 位來自企業，300 位來自服務提供商。該調查顯示，95% 的網絡專家希望其 SDN 解決方案是開放源碼的，但其中 76% 的更喜歡來自商業提供商的開源解決方案。（“SDN、NFV 開源報告：運營商的視角。”）

通過選擇來自商業提供商的開源解決方案，可以使用 SDN 和 NFV 控制器來優化 IaaS。

IaaS 云服務模型

為了更好地了解如何使用 SDN 執行 IaaS 優化，您需要了解 IaaS 云服務模型的主要角色在控制 IaaS 云上的對比情況。重要參與者包括：

• IaaS 云服務用戶
• PaaS/IaaS 云服務開發人員
• IaaS 云服務提供商
• SDN 管理員

IaaS 云服務用戶

我們看看 IaaS 云服務用戶擁有的控制范圍。這個分組包括 IaaS 用戶和 SaaS 用戶。

IaaS 用戶（通常是網絡或基礎架構專家）：

• 在虛擬機級別控制操作系統、網絡設備和部署的應用程序。
• 基礎架構專家可擴展或精減虛擬服務或存儲區域塊。
• 他或她也可以是使用控制器來優化設備間的流量的 SDN 管理員。

相較而言，SaaS 用戶（無論他或她是個人、企業還是政府機構）擁有的控制權僅包括訪問 SaaS 應用程序；SDN 管理員對流量的控制是對他或她透明的。SaaS 用戶也可以是 SaaS 提供商，負責滿足用戶對訪問控制、系統、響應時間（吞吐量）和查詢響應的期望。

PaaS/IaaS 云服務開發人員

PaaS 和 IaaS 云服務開發人員擁有多少控制權？

PaaS 開發人員控制和保護一個完整業務生命周期中的所有應用程序。開發人員可以構建、部署和運行自定義倉庫管理應用程序。作為業務生命周期的一部分，開發人員會使用電子表格、文字處理器、賬單、薪資處理功能和發票。PaaS 開發人員需要確保應用程序在 SDN 管理員能夠控制的網絡中正常運行。

IaaS 開發人員控制一個 IaaS 公共或私有云的生命周期開發，這個云可以與不同服務提供商所托管的另一個 IaaS 云進行互操作。IaaS 開發人員需要確保 IaaS 基于 OpenStack。IaaS 開發人員與 PaaS 開發人員合作在測試環境中的 IaaS 或 PaaS 上運行 SaaS 應用程序。

IaaS 云服務提供商

最低限度上，IaaS 提供商控制虛擬機底層的傳統計算資源的基礎架構。提供商設置用戶、資源和數據請求閾值水平，允許就閾值水平的更改與 PaaS 開發人員進行協商。提供商也可以是控制網絡設備之間的流量的 SDN 管理員。

SDN 管理員

在 IaaS 云中，管理員能夠控制與數據層面分離的 SDN 功能，以及與專用硬件設備分離的 NFV 功能。管理員需要與 IaaS 云服務模型的角色協作來優化開源 IaaS。

滿足期望：OpenStack Foundation

潛在的和當前的云服務客戶想要一種開放云服務標準，以便允許 IaaS 與另一個提供商托管的另一個 IaaS 進行互操作。OpenStack 會主動采取措施來滿足他們的期望：OpenStack Foundation Project 允許開發人員和云計算技術人員協作，為 IaaS 公共和私有云生成開源云計算平臺。

我們更詳細地看看 OpenStack Foundation 有什么用，對 OpenStack 執行了哪些基礎工作來標準化 IaaS。然后我將討論模塊架構組件、共享服務以及 Neuron 和 SDN。
Foundation 的工作

OpenStack 是一個 IaaS 云操作系統，可以控制整個數據中心中龐大的計算、存儲和網絡資源池，以及共享服務。所有這些都通過一個儀表板來管理，這使得管理員能夠進行有效控制，同時使得用戶和開發人員能夠通過 Web 界面來配備資源。

OpenStack Foundation 負責監督 OpenStack 項目，該項目集成了來自 NASA 的 Nebula 平臺的代碼與 Rackspace 的平臺。針對此項目的代碼更改是由 2011 年從 Rackspace 分離出的 OpenStack Foundation 的成員貢獻的。全球的開發人員和云計算技術人員協作為公共云和私有云生成了開源的云計算平臺。

2012 年 4 月，IBM 和 Red Hat 同意作為高級成員加入 Foundation，這意味著它們在接下來的 3 年內每年都會捐贈 500,000 美元。其他計劃作為高級成員加入的公司包括 AT&T、Canonical、HP、Nebula、Rackspace 和 SU SE。

模塊化架構組件

作為標準化 IaaS 的工作的一部分，OpenStack 擁有一種包含 3 個組件的模塊化架構。每個組件都有一個代號。

• 計算 (Nova)：為自動配備的虛擬計算實例的大規模部署提供開源軟件和標準。
• 對象存儲 (Swift)：為靜態對象的大規模、冗余的存儲提供開源軟件和標準。
• 網絡 (Neuron)：在其他 OpenStack 服務（比如 Nova）管理的網絡接口設備 (vNIC) 之間提供 “網絡即服務”。

共享服務

OpenStack 擁有多個共享服務，涵蓋計算、存儲和網絡 3 個分支。這些服務包括：

• Identity 跨所有 OpenStack 項目提供統一的身份驗證
• Image 提供虛擬磁盤鏡像的交付服務
• Telemetry 提供跨某個 OpenStack 云中部署的服務的聚合的使用和性能數據
• Orchestration 提供了一個模板驅動的引擎，允許應用程序開發人員描述并自動化基礎架構的部署
• Dashboard 為 OpenStack 服務（包括 Nova 和 Swift）提供一個基于 Web 的用戶界面。

它們都將 OpenStack 組件彼此集成。

Neuron 和 SDN

Neuron（網絡服務的代號）可用于使用 SDN 優化 IaaS。通過利用 OpenFlow 等 SDN 技術，網絡管理員可以實現較高的多租戶水平，以及一個網絡設備到另一個設備的大規模數據移動。（OpenFlow 是一個開源標準、通信協議，提供了對網絡交換機或路由器的轉發平面的網絡訪問，使得遠程控制器可以通過交換機網絡確定網絡包的路徑。）

用戶可以創建自己的網絡，控制流量，通過 SDN 技術將服務器和設備連接到一個或多個網絡。

Neuron 有一個擴展框架，支持部署和管理其他網絡服務，比如入侵檢測系統 (IDS)、負載平衡、防火墻和虛擬專用網 (VPN)。

滿足期望：OpenDayLight

使用 OpenFlow 標準的帶 SDN 的 Neuron 還不夠。更適合用來優化 IaaS 的是 OpenDayLight，一個 Linux Foundation 項目。OpenDayLight 是一個開源框架，它利用了 SDN 和 NFV 控制器，管理員可以將它與 OpenStack Neuron 結合使用，幫助用戶采取主動措施來優化 IaaS。

我們會更詳細地查看 OpenDayLight 有什么用，以及它是如何標準化 IaaS 的。

SDN 和 NFV 控制器包含在其自己的 Java™ 虛擬機 (JVM) 中。這意味著 OpenDayLight 不是僅適用于 Linux®；它是一個開放平臺，為了在支持 Java 代碼的任何硬件和操作系統上使用而設計。

OpenDayLight 由 18 個公司共同創立，這些公司包括 Cisco、Dell、Juniper、IBM 和 Intel；該項目現在已有 36 個成員。150 多位開發人員為 Hydrogen（OpenDayLight 的第一版）做出了積極貢獻。

Hydrogen

Hydrogen 可供企業、服務提供商、設備提供商和學術機構使用。它在一個包中包含 3 個版本：

• 基礎版 在筆記本電腦上運行，以便連接到某個提供了綜合網絡的測試工具。
• 虛擬化版 添加了數據中心虛擬化技術。它構建于基礎版之上。
• 服務提供商版 可幫助服務提供商和運營商開發一個遷移到 SDN 和 NFV 及支持流量工程的計劃。它擁有 SNMP 協議支持和 API 來管理遺留網絡設備。

網絡功能虛擬化

前面已經解釋過，NFV 將網絡功能與專用的硬件設備分離，所以這些功能都可以在軟件中運行。NFV 旨在整合需要的網絡組件，以便支持一個完全虛擬化的基礎架構，包括虛擬服務器、存儲，甚至其他網絡。它利用在大容量服務和存儲硬件上運行的標準 IT 虛擬化技術來虛擬化網絡功能。

我們將查看如何將 NFV 用于 SDN。在 OpenDayLight 的總體視圖上，SDN 分 3 層來描述。

• 網絡應用程序和編制：最頂層包含控制和監視網絡行為的業務和網絡邏輯應用程序。它們包括對網絡流量進行全局控制所需的編制應用程序。
• 控制器平臺：中間層位于 SDN 的向北的接口與向南的接口之間。向北的接口為應用程序層提供了一組常見 API。它連接到向南的接口，實現了一個或多個協議（比如 OpenFlow）來控制網絡內的物理硬件。
• 物理和虛擬網絡設備：底層包括物理和虛擬設備、交換機、路由器等，它們組成了網絡中所有端點之間的連接。

控制器風險減輕

SDN 存在一些漏洞（比如 SDN 控制器劫持），這些漏洞可能被攻擊者利用。為了減輕控制器風險，您需要執行以下 4 步。

• 識別資產。
• 識別漏洞和威脅。
• 評估風險。
• 加固安全措施。

識別資產

在風險減輕流程中，首先要識別與控制器有關聯的資產。確定這些資產應屬于的類別；以下是一些示例：

• 硬件：網絡設備和交換機，以及 SDN 管理員的控制臺
• 安全形：加密機制、安全測試工具和防火墻
• 管理：OpenStack 和 OpenDayLight 指南
• 文檔：SDN 管理員的聯系點、培訓手冊、網絡標準、災難恢復計劃和服務水平協議

識別漏洞和威脅

攻擊者并不只是可以利用控制器漏洞的威脅方。另一種可能的威脅方包括 SDN 管理員，他們可能以不正確的方式配置了控制器（和防火墻）。

控制器和防火墻的不當配置可能導致 IaaS 宕機和受到攻擊。如果沒有從一個區域到另一個區域的 IaaS 故障轉移機制，那么用戶有可能會投靠其他 IaaS 托管服務提供商。

評估風險

用戶希望確保具有連續的 IaaS 互操作性和可用性，而且更多流量的需求可通過 IaaS 優化來滿足。評估 IaaS 不可用性風險的一種方式是定量評估。一些示例包括：

• IaaS 將變得無用的估計頻率
• 由于不當的控制器配置而導致網絡攻擊的估計頻率
• 未滿足服務水平協議中規定的性能保證的估計頻率
• 未成功故障轉移到網絡路由器和交換機的估計頻率

加固安全措施

富有成本效益的安全措施是降低控制器風險的一種途徑。SDN 管理員應確保：

• 控制器已正確配置并受到保護，至少要審核誰訪問了它，加密流量并激活日志選項。
• 已部署了網絡服務來阻止網絡攻擊。它們包含入侵檢測系統 (IDS)、負載平衡器和防火墻。
• 已部署了故障轉移機制來快速從不健康的網絡路由器和交換機故障轉移到健康的設備。
• SDN/NFV 管理員擁有適當的技能和指令來管理該系統。

結束語

在計劃使用 SDN 優化 IaaS 的過程中，需要考慮解決 IaaS 互操作性問題和設置 IaaS 云服務模型的最佳實踐。采取主動措施，將基于 OpenStack 的 IaaS 與 OpenDayLight 結合使用來優化 IaaS，這應該是計劃的一部分。確保制定了控制器風險減輕計劃。您需要構建一個 IaaS 云服務角色、經理、業務分析師和系統工程師團隊，使得他們能夠更輕松地執行使用 SDN 優化 IaaS 的作業。