云數(shù)據(jù)中心流量類型

云數(shù)據(jù)中心的流量可以簡(jiǎn)單分為以下幾個(gè)大類：

管理網(wǎng)絡(luò)（API網(wǎng)絡(luò)）：用于云數(shù)據(jù)中心內(nèi)部的管理流量，包括對(duì)內(nèi)部虛擬化組件之間的、SDN控制組件之間、消息隊(duì)列、以及各種HA的檢測(cè)信號(hào)等。管理流量一般不對(duì)外，并且需要連接云數(shù)據(jù)中心中的每一個(gè)服務(wù)器節(jié)點(diǎn)，并只在數(shù)據(jù)中心內(nèi)部傳輸。

租戶網(wǎng)絡(luò)：用于數(shù)據(jù)中心的各個(gè)租戶之間流量，提供云計(jì)算服務(wù)，保證用戶內(nèi)部vm之間能夠通信同時(shí)隔離不同用戶之間的流量是最基本的要求。租戶之間隔離的方式包括了vlan、vxlan、gre、stt、nvgre等等，后續(xù)我們?cè)僭敿?xì)介紹。

外聯(lián)網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）：外部網(wǎng)絡(luò)的名稱是站在租戶角度進(jìn)行描述的，即租戶網(wǎng)絡(luò)只能用戶業(yè)務(wù)虛擬機(jī)之間的通信，與其余設(shè)備的通訊則都要通過(guò)外部網(wǎng)絡(luò)的轉(zhuǎn)發(fā)。除了路由以外，外部網(wǎng)路往往還兼具VPN、NAT、LB、FW等職能。此處往往需要將租戶網(wǎng)絡(luò)中為了隔離而修改過(guò)的數(shù)據(jù)包轉(zhuǎn)封包成常見(jiàn)的二層幀，以及與外界網(wǎng)絡(luò)的路由

存儲(chǔ)網(wǎng)絡(luò)：用于連接計(jì)算節(jié)點(diǎn)和存儲(chǔ)節(jié)點(diǎn)，主要是為計(jì)算節(jié)點(diǎn)中的主機(jī)和虛擬機(jī)提供存儲(chǔ)服務(wù)。存儲(chǔ)網(wǎng)絡(luò)也不對(duì)外，盡在數(shù)據(jù)中心內(nèi)部傳輸。

NSX整體網(wǎng)絡(luò)結(jié)構(gòu)

我們先看一下NSX定義的整體網(wǎng)絡(luò)結(jié)構(gòu)：

在nsx的架構(gòu)中，左側(cè)區(qū)域?qū)?yīng)的是計(jì)算節(jié)點(diǎn)集群，其上以運(yùn)行租戶的業(yè)務(wù)為主。包括用戶部署的各類的虛擬機(jī)、虛擬網(wǎng)絡(luò)、分布式網(wǎng)關(guān)、安全策略等等。是數(shù)據(jù)中心服務(wù)的核心。該區(qū)域的流量類型包括：租戶網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)。（也意味著服務(wù)器至少需要三塊網(wǎng)卡）

中間區(qū)域?qū)?yīng)是的基礎(chǔ)架構(gòu)集群，包括云計(jì)算數(shù)據(jù)中心的管理節(jié)點(diǎn)和IP SAN 共享存儲(chǔ)。管理節(jié)點(diǎn)包括： vCenter Server、NSX Manager、NSX Controller、CMP 。IP SAN共享存儲(chǔ)節(jié)點(diǎn)則主要是向計(jì)算節(jié)點(diǎn)集群中的主機(jī)或用戶的虛擬機(jī)提供基于IP網(wǎng)絡(luò)的iSCSI或者是NAS存儲(chǔ)。流量類型包括：存儲(chǔ)流量、管理流量。

右側(cè)的邊緣節(jié)點(diǎn)則用來(lái)為租戶網(wǎng)絡(luò)提供互聯(lián)網(wǎng)訪問(wèn)服務(wù)。因此需要連接租戶網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，并為租戶提供路由、NAT、防火墻、公網(wǎng)IP等服務(wù)。其中以NSX的EDGE虛擬網(wǎng)關(guān)為主。也可以有硬件路由器、防火墻等設(shè)備。流量類型以：外部網(wǎng)絡(luò)、租戶網(wǎng)絡(luò)、管理網(wǎng)絡(luò)為主。

管理網(wǎng)絡(luò)（API網(wǎng)絡(luò)）

管理網(wǎng)絡(luò)需要連接云環(huán)境中的每一個(gè)節(jié)點(diǎn)，上面?zhèn)鬏數(shù)臄?shù)據(jù)包括虛擬化中心vcenter對(duì)host的管理流量、HA心跳、SDN控制器（nsx controller、nsmanager）、云管理平臺(tái)API、云監(jiān)控運(yùn)營(yíng)平臺(tái)等多種云計(jì)算數(shù)據(jù)中心管理運(yùn)營(yíng)組件的管理流量，屬于數(shù)據(jù)中心的神經(jīng)網(wǎng)絡(luò)。

在vmware的設(shè)計(jì)中，管理控制的節(jié)點(diǎn)部署在一個(gè)物理主機(jī)集群，集群開(kāi)啟HA、DRS等服務(wù)，保障數(shù)據(jù)中心整個(gè)控制平面的可靠和穩(wěn)定。此外IP共享存儲(chǔ)也被放置在該區(qū)域中。

vmware特意將vmotion的流量也單獨(dú)列出來(lái)成為一類流量。除此之外共享存儲(chǔ)也需要單獨(dú)進(jìn)行傳輸。管理節(jié)點(diǎn)上存儲(chǔ)、vmotion、租戶網(wǎng)絡(luò)、管理網(wǎng)絡(luò)、外部網(wǎng)絡(luò)，一般通過(guò)物理交換機(jī)上的VLAN進(jìn)行隔離的，并連接物理服務(wù)器上的不同物理網(wǎng)卡。管理網(wǎng)絡(luò)對(duì)于帶寬的要求并不高，千兆、萬(wàn)兆都可以。但是管理網(wǎng)絡(luò)的IP共享存儲(chǔ)對(duì)帶寬的要求較高，至少需要部署萬(wàn)兆的網(wǎng)絡(luò)。

總結(jié)：

管理網(wǎng)絡(luò)連接數(shù)據(jù)中心所有的節(jié)點(diǎn)，主要用于對(duì)底層資源的控制，和API調(diào)用，對(duì)網(wǎng)絡(luò)的要求不高。一般通過(guò)服務(wù)器的管理網(wǎng)卡 1 x 1 GbE 或者1 x 10 GbE 交換機(jī)網(wǎng)絡(luò)互聯(lián)，一般采用單獨(dú)的接入交換機(jī)。

對(duì)于vmware的環(huán)境來(lái)說(shuō)，vmotion的流量可以走單獨(dú)的網(wǎng)卡和也可以和萬(wàn)兆管理網(wǎng)絡(luò)互聯(lián)

租戶網(wǎng)絡(luò)

租戶網(wǎng)絡(luò)對(duì)應(yīng)的是云數(shù)據(jù)中心的租戶之間的虛擬機(jī)用來(lái)通信的網(wǎng)絡(luò)。一般連接所有提供計(jì)算服務(wù)的計(jì)算節(jié)點(diǎn)。租戶網(wǎng)絡(luò)的數(shù)據(jù)都被封裝到指定的VLAN中，在外部看來(lái)就是VLAN內(nèi)主機(jī)之間的通信，內(nèi)部流量不可見(jiàn)。

租戶網(wǎng)絡(luò)涉及到NSX、openstack neutron 這類解決方案中一個(gè)核心的理念，那就是二層的overlay。

嚴(yán)格來(lái)說(shuō)二層的overlay技術(shù)并不算sdn技術(shù)中的一部分。在數(shù)據(jù)中心的環(huán)境中，為了保障數(shù)據(jù)的安全，需要在網(wǎng)絡(luò)層面上隔離各個(gè)租住的虛擬主機(jī)，根據(jù)業(yè)務(wù)的特點(diǎn)，一個(gè)租戶可能使用到多個(gè)vlan，例如一個(gè)典型的三層架構(gòu)的應(yīng)用中，界面、中間件、數(shù)據(jù)庫(kù)分屬于不同vlan，并通過(guò)安全策略控制之間的訪問(wèn)。這種情況下一個(gè)租戶就占用了3個(gè)vlan，而vlan的總數(shù)才4096個(gè)，還要扣除各個(gè)設(shè)備廠家的保留vlan和用作管理的vlan等。這樣一個(gè)數(shù)據(jù)中心能夠承載的用戶數(shù)就被極大的限制住了。