數據中心網絡架構最新變革一覽
由于混合云服務和容器的普及,現如今的數據中心網絡比以往任何時候都更加難以被破解。但是如若遵循一條簡單的路徑,IT人員就可以成功。
在不太遙遠的過去,數據中心內的流量轉發其實很簡單。一個IP地址能夠與另一個IP地址互相通信。這些地址屬于端點——裸機主機或虛擬機與其他裸機主機或虛擬機的通信。這些IP地址之間的路徑被稱為數據中心交換機的路由和橋接表中的條目。
如果一位工程師需要解決兩個IP端點之間糟糕的性能或奇怪的行為,一個很好的出發點是通過查看這些表來了解構建兩者之間的路徑。等價多路徑和多機架鏈路聚合增加了這個過程的復雜性,但總的來說,運營商們可以精確地找出任何給定的數據中心通信經過的確切路徑。
幾乎沒有使端點之間的流量復雜化。網絡地址轉換,加密或隧道很少出現。這些類型的功能往往位于數據中心邊緣,與可信邊界外的設備進行通信。
彼時的數據中心網絡是很簡單的,因為需求也很簡單。
現代數據中心
現代數據中心網絡架構看起來有所不同,因為業務需求已經發生了改變。曾經相對簡單的數據中心現在已然成為應用程序運行的統一基礎架構平臺。數據中心作為一個整體運行;其是應用程序交付的引擎。
越來越多的基礎架構對開發人員及他們的應用程序而言是透明的。徹底的現代基礎設施是開發人員在其之上部署應用程序的抽象。資源池是按需分配的,開發人員不必擔心基礎設施的問題。相反,基礎設施只是工作。
現代數據中心還以分布式方式處理安全性,與動態的和拆除的工作負載相協調。不再需要通過中央物理防火墻來強制實施 安全策略。相反,構建一個中央安全策略,并且一款安全管理器將該策略的相關部分安裝在受影響的主機、虛擬機或容器上。沒有基礎設施瓶頸阻塞點,也沒有難懂的路由要求來實施這樣的策略。
在一個較高的層面上,我們一直在描述私有云架構。以這種方式抽象的物理基礎設施允許一個更簡單的與公共云的合作。因此,混合云架構越來越受歡迎,其使得公眾云工作負載具備了與私有云工作負載相同的安全性和連接性。
分層
隨著混合云架構成為新常態,重要的是要注意這些趨勢對數據中心網絡的影響。數據中心不再像以前那樣簡單的是一個IP地址與另一個IP地址之間的通信了,當在出現故障時,路由和橋接表將協商離開。
提供現代數據中心靈活性的基礎架構機制依賴于復雜的網絡。推動這種復雜性是對工作負載隔離,實施服務策略和安全性的需要。因此,現代數據中心看起來更像一個層層的蛋糕,而不是大量的IP地址。
在我們的層級蛋糕的底部是底層網絡。這個網絡是所有其他網絡服務的基礎。這也是對網絡工程師們而言最熟悉的網絡。當他們進入他們的路由和橋接表時,他們就看到了底層網絡——數據中心的基礎。
然而,底層網絡本身并不能提供混合云所需要的一切。一個日益增長的需求是隔離的,其被稱為多租戶。一個租戶可以是一款應用程序,也可以是一個業務單位或一個客戶。
一個租戶的流量通過虛擬可擴展LAN(VXLAN)封裝技術與其他租戶的流量隔離。來自一個段的流量被封裝在VXLAN分組中,在該包裝器中通過網絡交付并且在另一側被解封裝。 VXLAN是第二層——覆蓋層,其在我們的基礎底層之上。
其不僅提供流量的隔離,而且VXLAN還可以用于通過網絡上的特定路徑路由流量。假設數據中心需要通過特定的防火墻和負載均衡器轉發流量。在現代網絡中,防火墻和負載平衡器可能作為虛擬化網絡功能而存在,可能存在于數據中心的任何地方。要將流量精確地路由到需要去的地方,VXLAN封裝可用于將流量流從設備傳輸到設備,直到它們遍歷了所有必需的設備。
在我們的疊加層和底層蛋糕中,防火墻規則形成了另一層。一個中央策略管理器主機插入防火墻規則。每個主機最終都有自己的一組規則,用于控制進出設備的轉發。被稱為微分段,這是一個確保可擴展數據中心的安全的實用方法。
增加了更多的網絡復雜性的通配符是容器。容器集裝箱式網絡是一項新興的技術,由命名空間、代理服務器和網絡地址的轉換使容器能夠與彼此以及外部進行溝通工作,這是另一層。
數據中心操作運營人員們的麻煩
現代數據中心網絡架構所帶來的復雜性對于數據中心操作運營人員們而言是一個潛在的問題。大多數網絡問題都與連接或性能有關。兩個終端應該能夠連接但卻未能連接是一類問題。但兩個終端連接之后不能按預期快速的實現通信則是一類不同的問題。
使用數據包走查方法(the packet walk method)來排除連接問題。從一個網絡設備到另一個網絡設備,遵循數據包到達其目的地所需的路徑。當實際IP端點已知時,這是直接的。
在現代數據中心中,底層用于傳輸VXLAN或其他覆蓋包。除此之外,我們添加防火墻規則,然后可能添加網絡地址轉換或代理服務;數據包走查方法變得更加困難和充滿細微差別。為了診斷連接問題,數據中心操作運營人員們需要知道數據包的來源和目的地——包括容器,虛擬機或裸機主機,管理該數據包的防火墻策略,數據包封裝和要遵循的服務鏈。
假設操作運營人員了解應用程序的流程,并且是在一家扁平化結構的IT企業中工作,這并不是那么糟糕。但是,這也并不容易。在橋接和路由表中查找介質訪問控制和IP地址只是更精細的故障排除過程的一小部分。除此之外,現代基礎設施通常是短暫的,操作運營人員們可以解決過去過的難題,但卻無法重建。
性能挑戰甚至更難診斷。管理既定通信的網絡設備的絕對數量可能涉及一款虛擬操作系統、一個虛擬管理程序軟交換、一個虛擬防火墻、機架頂部交換機、脊柱交換機,然后反向一直到另一端點。
當某些工作負載在公共云服務中時,問題將變得更加復雜。將基礎設施或平臺即服務放在其中意味著添加高延遲和額外的隧道到我們的故障排除過程。
業界的響應
我們被IP問題所困住了。由于我們堅持使用IP,同時需要額外的功能,覆蓋層就在此發揮其作用了。覆蓋層讓我們能夠引導和隔離流量,而且該功能很重要。借助該功能,我們可以將我們的基礎設施作為資源池,隨意添加和減少容量。這個問題成為管理我們添加到我們的環境中的網絡復雜性的問題之一。
而網絡行業已經通過幾種方式來應對了這一挑戰了。第一是接受。如果我們認可復雜性的存在,那么我們將提供工具,使我們能夠發現或可視化網絡上正在發生的事情。例如,思科為運營商們提供了增強的工具,以便在基于應用程序的基礎設施平臺上解決端到端連接問題。VMware公司最近收購了初創公司Arkin,Arkin公司提供了一款可視化的工具,將與防火墻策略以及VXLAN分段相關聯的工作負載,在GUI中與自然語言搜索引擎配合使用。
有效的故障排除和可視化工具已然成為現代數據中心平臺中越來越重要的優勢。然而,一些人則反對通過創建避免覆蓋的轉發方案(如果可能的話)來對該復雜性作出反應。
例如,Romana.io開源項目依賴于分層IP尋址方案,結合基于主機的防火墻規則來創建分段和中央安全策略。開源項目Calico也是類似的。 Romana.io和Project Calico都很有趣,因為它們提供了轉發方案,能夠規模化擴展到大型數據中心,同時仍然能夠處理安全和分段需求,而且在這一過程中不會進行覆蓋。
也許最大的問題并不是如何處理網絡的復雜性,而是關于所支持的解決方案。有一種想法是,自動化的應用將降低人工成本。作為一名在IT基礎設施業界有著20年經驗的老手,我并不認為這樣。巨大的復雜性當然需要有很大的技術支持需求。當這方面的魔法消失時,企業組織不會希望像他們的供應商那樣暫時擱置問題。他們會想要有專業人士準確的知道系統的相關問題,并做好準備修復。
