创新云网络 平安如何玩转金融云?

栏目: 编程工具 · 发布时间: 7年前

内容简介:创新云网络 平安如何玩转金融云?

网络对于“一朵云”来说无疑是极其重要的,它的好与坏成为许多企业用户选型上云的重要参考标准,对于云内部来说,一个好的网络也极大地解放了运维和管理的压力。

平安云于2013年底立项,发展至今已涵盖平安集团90%以上的业务公司、支撑60%的业务系统投产,并具备近10万虚机规模。虽然起步较晚但却有后发优势,平安云从建设之初就引入网络虚拟化,并发展到今天构建了一个值得称赞的SDN(软件定义网络)平台。

平安云SDN缘起

云对网络的最大要求是自动化,平安云网络负责人陈书浩在接受至顶网采访时表示,一是租户网络的自动化,二是网络资源作为云平台基础架构资源的按需调度。“平安云在部署SDN网络之前,VPC、Network的创建都需要人工通过脚本配置,防火墙的安全策略、NAT配置、负载均衡的配置等更是繁杂,生产变通常需要在晚上11点之后才能做,时效相对比较低,无法满足云平台用户的需求。”

创新云网络 平安如何玩转金融云?

平安云网络负责人陈书浩

通过部署SDN,平安云实现了云网络产品的租户自助服务、云网络资源的按需调度,这是SDN给云网络带来的首要作用。此外,与Overlay技术的结合来实现跨三层物理网络的虚拟大二层等等。

平安云SDN践行之路

平安云基于OpenStack的Neutron组件开发了平安的NSP(Network Service Platform)平台,它是平安云所有网络服务的入口,陈书浩介绍了NSP的四大功能:1、网络编排服务VPC、BMS(Bare Metal Server),VPC与传统网络的自动化对接;2、NFV的功能,如VPN、负载均衡、防火墙等;3、网络安全服务,如DDoS、IPS/IDS、WAF等;4、增值服务,如互联网网络健康检查等。

在SDN、VxLan技术的探索、生产实践方面,平安云构建了采用Openflow+SDN Controller技术的主机Overlay网络,并将OVS+iptables结合起来实现DFW功能(东西向的访问控制),进而实现金融行业VPC内不同网络区域同样需要严格安全访问控制的要求。

陈书浩进一步说到,因为物理机的接入需求,平安云也在进行基于EVPN的网络Overlay的POC,今年计划应用于生产环境。

这一系列动作给租户带来的价值十分明显,用户通过云平台快速搭建基础IT环境、应用的自动化部署满足了互联网金融应用/App快速上线、迭代的需求。

SDN方案优劣

从平安云的SDN实践看得出,现阶段主要采用了基于主机的Overlay方案,同时基于网络的Overlay方案也在进行POC。对于这两种业界主流的数据中心SDN方案,陈书浩阐述了优劣势:

·基于主机的Overlay方案:VxLan的卸载封装在KVM、VMware的主机OVS上实现,控制平面采用的是Openflow与SDN Controller对接,通过按需下发流表来完成报文的封装转发。

-优势:

1、将网络延伸到了主机上,易于做更精细的网络管理、控制,如对VM的限速、基于VM的流量镜像、通过流表实现服务链功能

2、更精细、敏感的VM网络监控,更快速感知vport的Up/Down、迁移

3、网络功能的易于迭代,版本升级快捷影响面小,不依赖厂商网络硬件设备的版本升级

-劣势:

基于Openflow+SDN Controller流表转发,不符合传统网工对网络的认识,接受度较低,集中式的控制平面SDN Controller还需要成熟的逃生方案,定位问题时主机、网络侧有交集,界面不够清晰,OVS会占用部分计算资源。

·基于网络的Overlay方案:VxLan的卸载封装由TOR交换机实现,控制平面上也有自学习、Openflow、EVPN多种方式,现在比较火的是EVPN方案,整个控制平面还是由交换机通过路由协议来学习路由、MAC表项,SDN Controller更多承担业务编排配置下发的作用。

-优势:

1、采用分布式的控制平面,由网络设备通过扩展BGP来实现Overlay网络的路由、MAC信息的传递,易于被网工接受

2、对于主机托管、提供物理机服务有天然的优势

3、网络、主机分工界面清晰

-劣势:

功能迭代依赖厂商软件版本,硬件交换机版本的升级周期较长,升级时需要考虑对业务中断的影响(需要完全支持ISSU升级);分布式网关的转发模式对TOR交换机的表项规格是一个挑战。

SDN下的网络运维

实际上,SDN的应用给网络运维带来了新的思维,也带来了新的挑战。SDN的理念促进了网络的按需自动化部署,陈书浩指出,在Trouble Shooting和监控上平安云也有借助SDN的新技术,比如通过SDN Controller、Openflow中的Packet-in/Packet-out消息来构造用户业务报文在整个网络里转发来实现网络健康性检查。

当然SDN技术引入也对网络运维产生了一些新的要求:

新增一些监控对象:比如OVS上内核态、用户态流表的数量、Packet-in到SDN Controller的速率等。

需要具备下面相关内容的Trouble Shooting能力:Rest API调用、Openflow、Netconf、OVS等

据介绍,目前平安云部署了云杉网络的DeepFlow产品,以解决当前面临的SDN网络运维问题,并规划了多个阶段的目标:

第一阶段:以平安云到互联网流量为第一个场景,建立一个网络数据平台,主要作用包括:统计每个公网IP/自定义IP集合的实时流量、异常流量的分析告警,以及记录基于五元组的流量交互信息(基于pcap、cap格式)。

解决问题的效果也十分明显,例如互联网流量的监控,异常流量、超过阈值流量的告警,记录所有互联网流量五元组的交互信息,便于互联网网络丢包故障的排除。

第二阶段:将网络管控粒度延伸到主机及OVS层面,做更精细的网络可视、分析、安全和控制。

陈书浩谈到了部署DeepFlow的总体目标:完善对网络数据的管理,为云平台网络的稳定和安全保驾护航。

未来SDN探索

除了目前的SDN实践以外,平安云也在进行SDN的未来探索和规划,主要包括三个方向:

1、基于容器的NFV(LVS、VPN等)探索和实践,基于Mesos进行二次开发Framework和Excutor,来实现容器的生命周期管理、配置按需下发;

2、通过SDN实现各数据中心DCI流量的智能调度;

3、云网络同region多AZ之间VM端到端的vxlan转发。

平安云希望通过对SDN的一系列应用和探索,实现用户操作的全自动化和NFV网络资源动态的调度和扩展。今年,平安云也会推出公有云,即平安金融行业云,在平安持续推动集团大金融+大医疗生态战略,推出涵盖保险、银行、证券、投资、互联网金融及医疗健康六大领域的全新金融行业云生态的大背景下,平安云正在成为助力金融行业革新的助推器。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

技术领导之路(中英文对照)

技术领导之路(中英文对照)

Gerald M.Weinberg / 余晟 / 电子工业出版社 / 2009-12 / 69.00元

《技术领导之路:全面解决问题的途径(中英文对照)》内容简介:搞定技术问题并不简单,但与人打交到也并非易事。作为一个技术专家,你是否在走上管理岗位时遇到了各种不适“症状”?《技术领导之路:解决问题的有机方法》一书将帮助你成为一个成功的解决问题的领导者。书中温伯格从一个反思者的角度阐述了要成为一个成功的解决问题的领导者必备的3个技能——MOI,即激励(Motivation)、组织(Organizati......一起来看看 《技术领导之路(中英文对照)》 这本书的介绍吧!

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具