银行云平台异构SDN网络管理实现 | 2017 OpenStack Days China演讲分享

由于网络技术变革难度高与应用影响性广等因素,当前在全球范围内金融机构云网络架构落地实践整体上还处于初级阶段,无标准化统一的架构实践参考,因此中国银联、上海银行、九州云等组成联合研究团队开展基于SDN的下一代金融云网络架构技术研究,并予以落地实践验证。

本文由九州云联合创始人、副总裁李开在2017 OpenStack Days China上的演讲内容整理而来,着重分享SDN在金融云平台设计模型,SDN选型以及具体案例实践。

SDN对于金融云平台来说比较重要:一是自动化;二是多租户需求;三是通过SDN的方式能够把Paas进行隔离,从而能够更好的进行使用,另外还有访问方面的一些需求。SDN网络架构的改变是金融机构最难啃的一块骨头,而在最难啃的骨头中我们又会涉及到异构的管理,和新旧的管理。这次演讲的话题是异构SDN管理。

首先看看下金融机构从业务到基础架构的透视图:

业务逻辑层:银行业务层一般分核心、业务集成(对公前置、对私前置、渠道平台),业务终端(ATM机、柜面、手机银行、网上银行)、跟支付对接的网络(信用卡、银联支付、网银跨行支付、二代支付),跟第三方对接的网络(银联、人民银行)。

逻辑层面拓扑图:银行逻辑层面会涉及到两地三中心的架构,两地三中心已经成为金融行业的标准架构。除此以外,在一个数据中心里面还有大区的架构,有堡垒区、业务区,在这堡垒区和业务区中间还有三个网络出口。

物理拓扑图:在各地有机房,每个地方有两地三中心,同城互备、异地容灾的架构。

目前由于各网络厂商无法提供完全开放的SDN控制器,同时考虑到未来SDN兼容性,在这种情况下我们与中国银联、上海银行一起开展了基于SDN的下一代金融云网络架构技术研究。我们主要解决的是逻辑层面的问题,就是大区组网中,如何让使用异构SDN的大区在逻辑上实现统一,同时在物理上实现隔离。

接下来讲讲SDN在金融云计算平台设计模型:

管理控制模型

管理控制模型:分别为服务抽象层和驱动控制层。服务抽象层负责将网络资源抽象成标准的网络服务和模型,例如提供创建网络、创建路由器服务,同时对上层平台提供标准的网络服务API接口。控制驱动层负责将标准的网络服务在具体的产品上实现,并将上层的API接口翻译成网络组件可识别的接口,实现对网络组件的参数调整。


网络分区模型

网络分区模型:一般来讲银行的业务分区分为3种:广域网区、业务隔离区(传统的物理隔离、基于SDN的隔离区)。


分区互联模型

分区互联模型:未来分区将通过区域之间的交换方式实现分区之间的互通。


防火墙与负载均衡模型

防火墙与负载均衡模型:防火墙及负载均衡用于提供四到七层网络服务,实现逻辑区域之间的安全隔离、服务器流量分摊。

两地三中心模型

两地三中心模型:金融机构希望两地三中心未来能横向切成多个两地三中心,物理上使用一套两地三中心,但是给多个租户使用的时候,可以横向切成多套两地三中心的架构。

那么对于SDN的选型,其实SDN的选型特别多,但是简单来讲有几个维度:一是用商业的解决方案还是开源的解决方案?二是基于X86去构建还是传统的硬件去构建?

我们在上海银行的数据中心搭建了平台,平台由华为、思科两套异构SDN云网分区构成,下图是我们在客户上建设的模型:

平台物理架构图

上海银行所面临的问题是:
如何通过统一控制器实现异构SDN控制器的统一管理,
如何管理被SDN控制器排斥在外的其他设备
如何实现隔离分区的逻辑统一
如何实现一网多租户能力

针对“如何通过统一控制器实现异构SDN控制器(华为&思科)的统一管理”,解决方案如下图:

集成驱动实现方式

上图是我们的一个接入方式,华为与思科有细微的不同。思科的防火墙在接入SDN的时候是需要花很大力气的,实践中重新开发了思科防火墙SDN驱动,让它能够接入到OpenStack中去,F5也是直接通过F5的驱动接入进去。另外华为的接入方式,F5也是直接接入进去的,但是华为USG防火墙是需要通过华为的AC控制器才能接入进去的。

针对“如何管理被SDN控制器排斥在外的其他设备”,解决方案如下图:

OpenStack集成SDN云网分区技术模式

管理模式A是L2和L3通过SDN控制器的方式驱动,FWaas和LBaas则直接驱动;管理模式B是完全通过SDN控制器驱动底层所有的硬件设备。其实任何情况下,管理模式A都是能实现的,但管理模式B可能会有一些问题。

针对“如何实现隔离分区的逻辑统一和互通”,解决方案如下图:

自主研发的区域互联SDN控制器

自主研发的区域互联SDN控制器:
根据租户变动情况动态创建配置VRF及其相关配置。
实现在不同SDN云网分区资源动态变化情况下,路由地址动态发布,以便保持动态交换的网络资源的连通性。

大概一个模型实现多个Region的互通,基于OpenStack原生界面进行改造,原来的OpenStack是只能看到一个Region的,而这里有两个Region。

针对“如何实现一网多租户能力”,解决方案如下图:

多租户云网分区逻辑与物理资源映射关系图

上图是未来希望能够实现的一网多租户的架构图,这也是很多金融机构如果要去做行业云的话就必须给呈现给最终用户的一个形态。底层是共享一个物理层,但是在网络层面能够实现云网分区。

最后讲讲待优化的问题,有几点:三层模型双出口;暴露更多防火墙能力,如支持IP范围的定义、ALG功能、动态开放端口等;负载均衡模型,丰富Listener支持类型、支持会话保持方法较少、支持负载均衡算法较少、支持健康检查方法较少;增加对IPS、DDOS网络安全、链路负载均衡等管理。

文章转载自公众号“九州云99CLOUD”


  • 本站原创文章仅代表作者观点,不代表SDNLAB立场。所有原创内容版权均属SDNLAB,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用,转载须注明来自 SDNLAB并附上本文链接。 本站中所有编译类文章仅用于学习和交流目的,编译工作遵照 CC 协议,如果有侵犯到您权益的地方,请及时联系我们。
  • 本文链接https://www.sdnlab.com/19835.html
分享到:
相关文章
条评论

登录后才可以评论

SDNLAB君 发表于17-09-08
0