SDDC规划建设与一体化云网解决方案

为了进一步推进金融科技发展应用，深化西南部地区金融机构间的协同，提升服务实体经济水平，助推西部地区金融业高质量发展，四川省计算机学会金融分会联合《金融电子化》杂志社、中国信息通信研究院共同主办，由成都银行承办，于2019年7月18、19日召开了2019中国「成都」金融科技发展论坛。

金融行业在稳步改进系统架构和云计算应用的过程中，中大型金融机构从传统IT基础架构逐渐向云基础架构演进时面临了诸多的问题与挑战。云杉网络CTO张天鹏在会上与来自西南地区国有银行分支机构、股份制银行、城商行农信社等信息科技部门的专家及领导共同探讨了企业IT如何构建混合云SDN网络，分享了云杉网络在金融、运营商、交通等行业的一体化云网解决方案。以下为演讲实录。

SDDC的现状

不同行业根据自身的业务特点对于云计算基础架构的要求有所差异。金融企业对网络的高可用、合规性等方面有很高的要求。SDDC即软件定义的数据中心所涵盖的范畴相对较大，包括计算虚拟化、存储虚拟化、网络虚拟化。在建设SDDC的时候不仅要考虑资源，更要以业务为核心去考虑如何构建IT基础架构，实现计算、存储、网络的按需软件化定义。SDDC构建之后整个数据中心的IT技术架构以服务的方式交付给业务系统，资源的管理编排实现高度的自动化控制，未来软件定义的数据中心趋势是智能化的运维与闭环控制，满足业务弹性扩展和平滑迁移。

在云计算核心技术中，网络是重要且复杂的部分，需要考虑的因素包括物理网络、虚拟网络、业务网络、安全、合规、运维等诸多因素。SDN是实现SDDC网络规划的核心技术，主要体现在：

解决网络自动化配置，让网络具有可编程性，从而获得很大的灵活性； 网络可视化，云网络本身很复杂，需要有强大可视化能力； 云网一体化，通过与云平台对接提供网络编排能力。

目前绝大多数的公有云、私有云都采用了SDN技术。这是一个逐步演进的过程。从传统的数据中心物理资源来看，计算资源、网络设备、存储资源这三者虽然相关但融合度并不高。许多云平台把计算、存储、网络虚拟化以后，以相互之间隔离的逻辑将资源交付给租户，在网络层面对应的就是VPC「Virtual Private Cloud」。VPC是交付给租户的逻辑隔离网络空间，与数据中心运行的传统网络相似，托管在VPC内的是在私有云上的服务资源，如云主机、负载均衡、云数据库等。可以自定义网段、IP地址和路由策略等，并通过安全组和网络ACL等实现多层安全防护。同时也可以通过VPN或专线连通VPC与原有的数据中心，灵活部署混合云。

在公有云和私有云实现了VPC是不是就满足了用户的所有需求呢？在实践中可以看到，对于全新的业务系统VPC很好解决了问题，但对于需要兼容既有复杂IT环境的企业，VPC并不能完美解决问题。公有云的VPC，目的是提供多租户和资源隔离，强调的是业务的垂直性。比如很多企业可以在公有云上部署自身业务，这些业务之间一般没有特别的关联关系。特殊情况下，某些公有云实现了VPC和VPC之间的网络通道，但这对于直接承载企业业务来讲是远远不够的。

资源的规划要以业务为核心，业务的稳定性和技术风险可控是技术选型的重要因素。很多情况下内部业务之间的相互访问非常频繁。某金融客户的借贷业务，南北向的流量只有不到10M，但在内部产生了超过1G的流量，业务区域之间东西向的流量有很多交互，某些场景中东西向流量可能是几十甚至上百倍的大于南北向的流量。

另外，安全策略管控也是技术选型参考的重要因素，所有的业务之间都应该具备安全隔离的机制，很多金融企业的IT环境中划分了不同的安全域，跨区域的访问一般而言是需要经过安全策略的。所以很多企业在实施云之后，因为业务太复杂，按照传统VPC的逻辑很难梳理清楚，采用的是业务域VPC的实施方案。即VPC对应的业务上的功能区，这样可以很容易和原有IT资源区域对应起来，降低业务迁移的复杂度。

SDDC建设目标

当用户建设SDDC时，会面临多种困难。首先是很多企业客户不止一个数据中心或一套资源池，而数据中心整体IT架构不是一天建成的，历史上有不同厂商的设备、有不同类型资源池，混合资源池是常态。另一个是服务化的交付，原来纯靠手工配置网络、安全策略的时代过去了，必须实现高度自动化的方式给业务部分实现自服务能力，不需要每天开端口、配策略，需要把人力解放出来。再次是合规性，包括业务合规性、监管要求、等保合规是必须满足的。最后是可用性，从业务高可用方面必须达到高可用和容灾的要求，达到服务SLA的要求。

在云杉网络和企业客户的诸多实践中，混合云架构是相对灵活并能让企业业务逐步从传统IT演进至云计算架构的方式。这里介绍的方案包含了云杉NSP混合云网络服务和DeepFlow®云网分析的方案，这个混合云方案包括几个层面的含义：

企业的业务可能部署在多个数据中心，每个数据中心因为构建的时期不同，可能有裸机、虚拟化、容器等类型的资源池，还有些业务部署在了不同的公有云上。在这些基础资源之上可以构建混合云的云管平台，SDN能把上述的资源网络打通，以服务化、按需定义的方式交付给业务。

混合云网络分成两个部分，第一部分是资源网络管控，这里有公有云、私有云资源，可以在其上构建一个统一的Overlay网络，这个网络是以VPC为基础，可以将传统网络统一纳管和连接。从资源属性上看网络管控包括两个部分，一是资源池内部，或者是云内部的管控，这里重点是对资源池网络怎么做网络虚拟化，怎么提高性能、扩展性和高可用。二是云间互联，即资源池与资源池之间的互访管理，基于这个网络我们提供了多种用于业务隔离的服务，如边界网关、DC边界的防火墙及负载均衡等多项满足网络隔离、安全可控、等保合规等类型的服务。

第二部分是混合云网络的可视化监控，目前比较流行的架构是通过在云里部署各种各样的数据探针，把数据采集出来发送到大数据分析平台，基于这个平台做网络全景展示、业务故障分析、网络诊断分析和回溯分析等功能。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!