Bộ Điều Khiển Dịch Vụ Ảo Hóa Vsc


Hypervisor và lập trình các tham số (tại chuyển mạch lớp 2, định tuyến lớp 3, QoS, bảo mật, …) một cách rõ ràng và đưa xuống VRS.

Mặt phẳng dữ liệu: Virtual Routing and Switching (VRS) thực hiện đóng và mở gói dữ liệu người dùng trước khi gửi ra mạng vật lý. Nó thực thi các chính sách về lưu lượng truy nhập lớp 2 và lớp 4 đã được định nghĩa bởi VSD.

- VSP bao gồm ba thành phần ảo hóa chính:

VSD (Thư mục dịch vụ ảo): chứa các chuẩn dịch vụ mạng và chính sách.

VSC (Bộ điều khiển dịch vụ ảo): là bộ điều khiển SDN giao tiếp với các Hypervisor

VRS Agent (Bộ định tuyến và chuyển mạch ảo): Nằm trong Hypervisor trên phần cứng máy chủ.

Những giao thức truyền thông được triển khai giữa các thành phần VSP khác nhau:

Giao tiếp giữa CMS (Hệ thống quản lý đám mây, như OpenStack, CloudStack, vCenter, vCloud, ...) và VSD được thực hiện thông qua API RESTful. Các API này cho phép cấu hình Nền tảng dịch vụ Nuage - VSP.

Giao tiếp giữa VSD và VSC thông qua giao thức được chuẩn hóa XMPP (Extensible Messaging and Presence Protocol), sử dụng để quản lý mạng.

Có thể bạn quan tâm!

Xem toàn bộ 102 trang tài liệu này.

Giao tiếp giữa VSC và các Hypervisor (bao gồm VRS) thông qua OpenFlow, sử dụng cho lớp cơ sở hạ tầng Underlay.

Tích hợp nền tảng ảo hóa với Bare metal (các máy chủ và thiết bị không ảo hóa), Nuage Networks cũng cung cấp giải pháp Gateway: cổng VRS dựa trên phần mềm (VRS-G) và 7850 VSG dựa trên phần cứng.

2.1.1.1. Các dịch vụ ảo hóa VSD

VSD Virtualized Services Directory là nơi nhà quản lý thực hiện định nghĩa các 1

VSD (Virtualized Services Directory) là nơi nhà quản lý thực hiện định nghĩa các dịch vụ bằng cách xác định nhóm dịch vụ mạng (hình 2.2).


Hình 2.2 - Các dịch vụ ảo hóa VSD


Định nghĩa dịch vụ bao gồm Domain, Zone, Subnet, Policy templates. Một Domain Templates cũng có thể bao gồm các chính sách (ví dụ: chuyển tiếp, QoS, …) được áp dụng ở các mức khác nhau (vPort, Subnet, Zone, Domain). VSD sử dụng giao thức XMPP để giao tiếp với VSC. VSD cũng chứa một công cụ phân tích mạnh mẽ (tùy chọn, tìm kiếm linh hoạt). VSD hỗ trợ API RESTful để liên lạc với các hệ thống quản lý của nhà cung cấp đám mây dịch vụ.

Các phân vùng dịch vụ ảo hóa VSD:

- Domain: Một doanh nghiệp chứa một hoặc nhiều tên miền. Một miền là một không gian Layer 3, bao gồm một hoặc nhiều mạng con có thể giao tiếp với nhau. Người dùng CSP Root có thể tạo domain cho tất cả các doanh nghiệp. Người dùng nhóm quản trị viên và người vận hành mạng có thể tạo domain cho doanh nghiệp của họ.

- Domain layer 2: bao gồm định tuyến giữa các mạng con, là một cơ chế để cung cấp miền quảng bá L2 duy nhất trong trung tâm dữ liệu. Có thể mở rộng miền quảng bá vào mạng LAN hoặc VLAN kế thừa

- Zone: Các Zone được xác định trong một miền. Một Zone không ánh xạ trực tiếp tới mạng, nó hoạt động sao cho tất cả các điểm cuối trong Zone tuân thủ cùng một bộ chính sách.

- Subnet: Subnet được xác định trong một Zone. Một Subnet là một mạng con IP cụ thể. Mạng con này được khởi tạo như một dịch vụ LAN riêng ảo được định tuyến (R VPLS). Một mạng con là duy nhất trong một Domain (các mạng con trong một miền không được phép chồng lấn hoặc chứa các mạng con khác theo các định nghĩa Subnet IP tiêu chuẩn).

- vPorts: Cổng được cấu hình và liên kết với một cổng VM (hoặc cổng Gateway) trước khi nó tồn tại trên hypervisor hoặc Gateway. Các cổng kết nối máy chủ Bare Metal với lớp Overlay cũng được gọi là vPort.

Một số thành phần của VSD:

Công cụ quản lý chính sách (Policy Management DB).

VSD mediator: Là một giao diện hướng nam của VSD được sử dụng để liên lạc với VSC. Nó nhận các yêu cầu về thông tin và cập nhật chính sách từ VSC, đồng thời gửi các bản cập nhật chính sách cho VSC. Bản thân VSD là một máy khách XMPP: nó giao tiếp với máy chủ XMPP hoặc các cụm máy chủ.

Công cụ thống kê (Statistics Engine).

REST API.

2.1.1.2. Bộ điều khiển dịch vụ ảo hóa VSC

Bộ điều khiển dịch vụ ảo hóa VSC đóng vai trò như là bộ điều khiển SDN, điều khiển mạng, giao tiếp với Hypervisor và thu thập thông tin liên quan đến VM như địa chỉ MAC và IP. VSC sử dụng OpenFlow để điều khiển VRS. Trên mỗi VRS, đều xác định VSC (Virtualized Services Controller) nào đang hoạt động và VSC nào đang ở chế


độ chờ (VRS có thể định cấu hình với các VSC hoạt động khác nhau để cân bằng tải, backup dữ liệu). OpenFlow sử dụng cổng TCP 6633 và nó được sử dụng để tải FIB L2/L3 về các bộ chuyển mạch ảo trên Hypervisor (Hình 2.3)

Hình 2 3 – Bộ điều khiển dịch vụ ảo hóa VSC VSC được cài đặt như là 2

Hình 2.3 – Bộ điều khiển dịch vụ ảo hóa VSC

- VSC được cài đặt như là một máy ảo, đóng gói trong OVA (vCenter) hoặc QCOW2 (KVM) VSC có giao diện điều khiển được kết nối với lớp Underlay. Nó dựa trên hệ điều hành định tuyến dịch vụ Nokia (SROS).

- Bộ điều khiển hoạt động như mặt phẳng điều khiển, định tuyến được thiết lập giữa VSC và các bộ định tuyến khác để thực hiện Data Center Interconnect. VSC dùng giao thức định tuyến, có thể là ISIS, OSPF hoặc các tuyến tĩnh. MP-BGP EVPN cũng cần được thiết lập giữa tất cả các VSC để cập nhật các thông tin liên quan trong mạng. VSC có ba kết nối trực tiếp: Đến VSD qua XMPP; giữa các VSC, đến VRS.

2.1.1.3. Bộ định tuyến, chuyển mạch ảo VRS

Bên trong Hypervisor, trong mặt phẳng chuyển tiếp dữ liệu của mô hình SDN, thực hiện chuyển tiếp, đóng gói mở gói lưu lượng người dùng bằng VXLAN trước khi gửi ra mạng vật lý, thực hiện chính sách lưu lượng L2-L4 được định nghĩa bởi VSD (Hình 2.4). Một VRS (Virtual Routing and Switching) kết nối tới nhiều VSC khác nhau để dự phòng, cân bằng tải và mỗi VRS thiết lập phiên OpenFlow sử dụng mạng Underlay, thông qua cổng TCP 6633.

Hình 2 4 – Bộ định tuyến và chuyển mạch ảo VRS bao gồm hai thành phần chính 3

Hình 2.4 – Bộ định tuyến và chuyển mạch ảo


- VRS bao gồm hai thành phần chính:

VRS Agent, giao tiếp với VSC bằng OpenFlow. Chịu trách nhiệm lập trình FIB L2/L3 và trả lời tất cả ARP.

Open vSwitch (OVS), cung cấp các thành phần chuyển mạch và định tuyến và đường hầm (tunnel) để chuyển tiếp lưu lượng.

- VRS hỗ trợ một loạt các phương thức đóng gói L2 và L3 (VXLAN, Vlan, MPLSoGRE) để nó có thể giao tiếp với một loạt các điểm cuối mạng bên ngoài (các bộ định tuyến khác, bộ định tuyến dựa trên IP hoặc MPLS).

- Nuage Networks sử dụng các mã nguồn mở, như libvert, OVS và OpenFlow:

Virt-Manager: Dành cho GUI

Virsh: Các lệnh (CLI)

- Open vSwitch (OVS) thực hiện kết nối L2 và học địa chỉ MAC. OpenFlow được sử dụng để cấu hình vSwitch. Được sử dụng cho Linux Network và là một phần của Linux Kernel.

- Mạng Overlay: Ảo hóa trên cơ sở hạ tầng mạng vật lý. Các máy chủ không biết về lớp phủ. VXLAN: VXLAN dùng 24 bit để đánh số VLAN ID (so với VLAN là 12 bit tạo ra 4096 VLAN ID), cho phép 16 triệu ID người thuê khác nhau.

- Tất cả các VTEP trong mặt phẳng điều khiển VXLAN cần kết nối IP. VTEP vai trò là cổng mặc định cho tất cả các mạng con mà VM được lưu trữ của nó thuộc về. Để thực hiện việc này, VTEP sẽ được chỉ định một địa chỉ MAC và địa chỉ IP trong mỗi mạng con đó.

- BGP EVPN là một họ địa chỉ có thể bao gồm cả địa chỉ IP và MAC cho một end point. Các bảng chuyển tiếp trên mỗi hypervisor chứa thông tin về tất cả các VM trong tất cả các mạng con (mỗi mạng con tương ứng với một thể hiện EVPN khác nhau). Các đường hầm VXLAN tồn tại để tới được các mạng con trên tất cả các hypervisor.

- VRS ở lớp mạng underlay, OVS ở lớp mạng overlay. Tất cả Hypervisor cần giao diện kết nối tới mạng underlay. Cũng có thể gán VTEP tới ToR Switch thay cho một Hypervisor.

- VSG (Virtual Services Gateway) cho phép kết nối giữa miền vật lý và miền ảo hóa. Chuyển tiếp dựa trên VLAN to VxLAN (VxLAN hướng tới lớp overlay mạng Nuage, VLAN tới lớp cơ sở hạ tầng. Có hai phiên bản Nuage (cho vật lý và ảo hóa), một phiên bản cho “White Boxes” [7].

- VSN là node dịch vụ ảo, bao gồm 1 VSC và nhóm các VRS. VSC điều khiển các VRS (các hypervisor). VSN cung cấp cho các nhà điều hành mạng một cái nhìn toàn diện về tất cả thành phần mạng.

2.1.1.4. Chính sách bảo mật và chuỗi dịch vụ

- Chính sách bảo mật được định nghĩa ở Domain, chuyển tới các Zone, Subnet (Hình 2.5).


Hình 2 5 – Cơ chế làm việc chính sách bảo mật Ví dụ INGRESS là cổng mà lưu 4


Hình 2.5 – Cơ chế làm việc chính sách bảo mật

- Ví dụ: INGRESS là cổng mà lưu lượng đi vào OVS, EGRESS là cổng mà lưu lượng đi ra khỏi OVS.

- Tại thời điểm tạo, một Policy Group Type được gán cho từng chính sách bảo mật: Phần cứng: dành cho máy chủ và cầu nối vPort được lưu trữ trong Nuage VSG / VSA Gateways và phần mềm: VRS và VRS-G lưu trữ vPort, bao gồm VM, máy chủ lưu trữ và cầu nối vPort.

- Tính năng ACL Sandwich cho phép quản trị viên mạng xác định danh sách lưu lượng truy cập. Người dùng cuối sở hữu tên miền sau đó có thể kết hợp các quy tắc ACL thành các ACL được xác định ở cấp thể hiện tên miền.

- Chuỗi dịch vụ VSP cung cấp chính sách chuyển tiếp để kiểm soát việc chuyển hướng các gói, là chuỗi dịch vụ. Nuage hỗ trợ thiết bị/cụm thiết bị ảo L4-7 vật lý và ảo làm đích chuyển hướng và nó cung cấp tùy chọn tạo chính sách chuyển hướng nâng cao, cung cấp tùy chọn chuyển hướng lưu lượng truy cập đến một cổng TCP/UDP nhất định.

2.1.2. Giải pháp SDN của Juniper - Contrail

Juniper Network Contrail là một giải pháp SDN mã nguồn mở tự động điều phối, tạo các mạng ảo có khả năng mở rộng lớn. Các mạng ảo giúp chúng ta có khả năng khai thác đám mây cho các ứng dụng và dịch vụ mạng. Contrail là một mô hình giải pháp mạng mã nguồn mở có thể tích hợp với các router và switch vật lý giúp giải quyết các vấn đề khó khăn của mạng Private và Public cloud [8].

Contrail có thể làm việc với các thiết bị mạng vật lý bên trong mạng truyền thống giúp giải quyết các vấn đề của mạng một cách tự động. Với kiến trúc của Contrail có thể giúp giảm chi phí đầu tư ban đầu. Tất cả các chức năng mạng như switching, routing,


load balancing được chuyển từ các phần cứng vật lý trở thành các phần mềm chạy trên nền hypervisor kernel được quản lý bởi hệ thống điều phối trung tâm. Nó cho phép hệ thống giảm chi phí đầu tư hạ tầng chuyển mạch vật lý khi mở rộng. Các phần cứng chuyển mạch không có thông tin trạng thái của máy ảo, khách hàng, ứng dụng mà chỉ tham gia vào việc định tuyến lưu lượng từ một máy chủ sang máy chủ khác. Hệ thống contrail sẽ giải quyết vấn đề một cách linh hoạt, cho phép tự động hóa dịch vụ mạng và tích hợp với các hệ thống điều phối đám mây như OpenStack và CloudStack bằng Rest API.

2.1.2.1. Kiến trúc Contrail

Hệ thống Contrail gồm 2 phần: Contrail SDN controller và những Contrail vRouter đóng vai trò là các thiết bị chuyển mạch mềm được triển khai trên hypervisor của các máy chủ ảo đa chức năng. Contrail SDN Controller cung cấp giao diện northbound REST API được sử dụng cho lớp ứng dụng để mở rộng hệ thống điều phối đám mây. Được sử dụng bởi Openstack thông qua Neutron, OSS/BSS hoặc GUI (Hình 2.6).

Hình 2 6 – Kiến trúc Contrail Juniper Hệ thống Contrail cung cấp 3 giao diện 5

Hình 2.6 – Kiến trúc Contrail - Juniper

Hệ thống Contrail cung cấp 3 giao diện interface. Northbound REST API được sử dụng giao tiếp giữa hệ thống điều phối và các ứng dụng. Southbound interface được sử dụng để truyền thông giữa các phần tử mạng ảo như Contrail vRouter hoặc các phần tử mạng vật lý như gateway router và switch. East-West interface được sử dụng để kết nối với các Controller khác. East-West interface là chuẩn BGP. XMPP là southbound


interface cho Contrail vRouter. BGP và NETCONF là southbound interface của gateway router và switch.

2.1.2.2. Contrail SDN controller

Contrail SDN controller bao gồm 3 thành phần chính (Hình 2.7).

Hình 2 7 – Contrail SDN controller  Analytics node chịu trách nhiệm thu thập dữ 6

Hình 2.7 – Contrail SDN controller

Analytics node chịu trách nhiệm thu thập dữ liệu từ các phần tử mạng và mô tả chúng vào một form thích hợp để lớp ứng dụng có thể sử dụng. Analytics node giao tiếp với các ứng dụng sử dụng giao diện phía bắc REST API, với các analytics node khác sử dụng các kỹ thuật đồng bộ, với các phần tử khác trong control và configuration node bằng XML (Hình 2.8).

Chức năng Analytics node:

o Trao đổi bản tin Sandesh (Sandesh là một giao thức dựa trên XML-based để báo cáo thông tin phân tích) với các thành phần trong control node và configuration node thu thập thông tin phân tích.

o NoSQL database lưu trữ thông tin đó.

o Các quy tắc tự động thu thập trạng thái hoạt động khi xảy ra các sự kiện cụ thể.


Hình 2 8 Analytics Node  Configuration node chịu trách nhiệm biên dịch mô hình dữ 7

Hình 2.8 - Analytics Node

Configuration node chịu trách nhiệm biên dịch mô hình dữ liệu mức cao thành mức thấp hơn phù hợp để tương tác với các phần tử mạng. Configuration node giao tiếp với hệ thống điều phối thông qua giao diện REST. Với các Configuration node khác bằng kỹ thuật đồng bộ phân phối. Và với control node thông qua IF-MAP (Hình 2.9).

Hình 2 9 Configuration Node 8


Hình 2.9 - Configuration Node

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 22/09/2023