2018年3月21-22日,由中国信息通信研究院主办、中国通信标准化协会支持的"OSCAR云计算开源产业大会"在国家会议中心举行。
银行业云计算发展论坛作为大会分论坛之一,于22日下午召开。
李晓枫:感谢习总,确实上云对大家来讲不是一件易事,无论你采用行业云方式还是采用自建私有云,这些都会涉及到。我们国家的中小银行也是规模不等的,比如大家把城商行列为中小银行,有的城商行很大,典型的是北京银行、上海银行,非常大,所以中小银行也有自建私有云的方式来开展上云的探讨。我们下面几个话题都会涉及到自建私有云,首先请中国银联电子支付研究院SDN技术专家袁航给我们介绍金融行业SDN开源控制器技术。过去我们是垂直分层,水平分域,但是如果你按互联网企业,都是大而强的网络,那就有问题。中国银联在这方面有探讨,今天将就探讨的成果进行分享,我们有请。
以下为演讲实录:
袁航:谢谢,今天很高兴在这里和大家一起讨论中国银联的研究成果。我的题目是《基于开源SDN控制器技术的研究》。私有云是在2011年开始的,2011年10月份我们获得国家云计算项目批准,中国银联也是唯一一家入选该项目的金融机构。2012年我们已经开始原型试用,自主研发,生产云技术平台原型建设。2013年试点应用,公司各部门开始推试点应用。2014年规模应用,公司重点产品已经在云平台落地。2015年深化应用。2016年步入金融行业云研究,2017年初步建成金融云联合研究生态,和许多证券、保险、金融公司都有合作,联合这些机构,针对SDN技术,行业技术,展开讨论和研究。基于此,组建了openstack工作组。我们是国内最早基于开源的云计算生产平台。
这张图是我们的部署情况,分三个云:生产云,研发测试云,研究示范云。生产云主要是承担我们业务生产系统运行,研发测试云是我们测试项目和测试动作,我现在负责原型示范运维和技术储备相关研究。这是我们银联业务应用情况,有很多业务,相对核心的业务已经在云平台落地,后面两年我们已经开始规划,包括核心业务陆续上云,争取几年后能够完全实现云化,我们也承担外部机构的云应用。
说了这么多,一直说银联基于开源进行云计算研究。2017年,我们的关键技术主要在云网络上进行相关突破,我们的SDN也已经在生产云上落地部署,我们采用两种方案。第一个,商业硬件解决是采用华为的AC方案,开源软件方案基于neutron来做的,openstack版本从E版到L版。银行业云闪付统一APP,基于SDN云平台上已经落地。上面是大体进展,下面聚焦网络也进行了相应的攻关。第一个是异构SDN区域互联,这个成果主要是在数据中心内部构建一个基于多租户跨域云资源弹性效果,第二个是开源SDN控制器ODL软件研究,也是今天汇报具体内容。第三个,云网监管平台,针对新的SDN网络架构下,怎么对云网络进行智能运维,我们做了云网监控平台,本次我汇报开源SDN控制器方面的研究。
优化点一,可靠性优化。对于硬件来说,软件的方案不完善地方是特别明显的,一个是可靠性,一个是性能,一个是可扩展性,我们针对这三个方面进行了相关的优化。第一个是可靠性优化,实现分布式路由架构,打破网络化节点瓶颈,实现分布式数据发放。第二个是ARP代答,网络异制,一个广播域范围非常大,影响也会很大,实现ARP代答之后,可以消除网络风险。第三个是防火墙并联接入方案,我们希望防火墙并联接入到云区域里面,而且不能把外部网关设在防火墙上,也是为了保证防火墙的可靠性。为什么并联接入?即使不通过防火墙也能保证业务的稳定性。
除了可靠性优化以外,还有性能优化,精简数据传输路径,首先是服务器系统网络软件精简,有两个OVS网桥,下面有一个(英文)网桥,再往下是vm,我们希望用一层直接连接vm.网络传输跳数减少,我们希望跨网端的流量不再通过网络进行路由传输,直接在OVS上实现路由的功能。
我们对扩展性的优化,当前我们一个云区域所包含的租户只能在云区域里面,如果多个云区域进行互联打通的话,只能通过三层路由策略来进行打通,我们租户可以跨区域进行资源调度与部署,这样的话也可以大大提高我们云的可扩展性,提高资源的灵活性。针对软件的SDN待完善的地方,提出我们自己的想法。
这是我们基于上述规划之后,基于ODL作为开源控制器,这是网络架构图,上面通过ML2对接openstack.这个是基于优化点的能力规划,基于我们上述三个优化点,我们对能力进行整理,基于开源软件尽量减少我们的工作量,ODL原生能力已经实现很多能力。第一个是分布式路由,二是分布式ARP代答,天生对物理机内部链路精简。除了ODL原生能力之外,我们基于上述三个优化点提出附加能力,第一个是跨区域互联,第二个是防火墙引流。
为了实现附加能力,需要对ODL原生能力进行增强,特别是跨区域互联,是一个场景的丰富,场景丰富就要对下面的基础能力进行改造。
跨区域互联,我们的跨区域互联系统已经实现在核心网区域搭建一个自己的云,不同租户网络可以通过这个tunnel传到另外一个区域中,我们的ODL原区域内部网络在外部对接RI,然后输送到另一端,内部我们需要考虑两个问题。一个是发出过程,如何将跨区域通信的流量引入到防火墙上,防火墙引流工作。第二个是接收过程,分布式网关如何接收带有内网IP的租户流量,支持去loating ip的分布式路由。
防火墙引流,我们集成了openstack静态路由功能,通过配置相关静态路由,生成响应的openflow流表,下发至OVS中进行数据传输。对接静态路由功能,监控并获取静态路由数据,获取租户防火墙内部接口MAC地址,生成流表,下发至OVS.这是一个流表架构,前面匹配IP包,到底是哪个租户的流量,IP是什么,包括对IP地址进行配置。再是实现支持去floating IP的分布式路由,我们对原因具体分析,两个原因:分布式vrouter外部接口不具备接收外部流量的能力。分布式状态下无法对虚拟机位置进行定位。这也是我们要解决的问题。
第一个问题,实现路由器外部接口对外来流量的数据接收能力,它没有一个针对它的ARP响应能力,我在上这个接口发生数据包的时候,我不知道地址是什么,我们第一步就要设计针对请求外部接口ARP响应的流表,这个流表设计就是下面这个样子。ovs中加入外部接口响应ARP请求的流表。第二个是虚拟机的定位能力,如果是全量下发所有区域内所有的OVS中,接到请求之后,所有的OVS都会响应这个请求,这里有两个情况:第一个是目标虚拟机刚好在该物理节点中。第二个是目标虚拟机不在该物理节点中。如果正好在物理机节点中的话就比较容易了,直接通过路由发送到物理机就可以了。如果不在的话,先把路由功能在接收到物理机的时候,打到目标物理机当中,然后进行目标转发,这是我们的思路。
我们的方案进行性能上的测试,这个是在万兆环境下进行的测试,测试出来的结果还是优化很多的,整体来看,时间平均降低了68%,带宽平均提高39%,优化的能力提高还是比较显著的。最后是我的工作总结与下一步工作计划。方案还有需要待完善的地方,支持去floating IP方案仍需优化,控制器高可用不成熟,目前只是开源社区高可用方案,针对金融行业高可用高要求我们要再设计一个具有金融特色的高可用方案,这是我们下一步工作计划。L4-L7层方案不完善,防火墙有,但是负载均衡该怎么加,该怎么弄。后续工作,除了针对ODL方案进行继续完善的话,现在也发起了跨数据中心多云协同资源管理技术联合研究课题,希望更多合作伙伴参与进来。右边是我们的二维码,我们相关进展和研究成果也会在二维码上发布,大家有兴趣的话可以了解一下,里面干货内容还是挺多的。我的演讲就到这里,谢谢大家!
热门专题
