網(wǎng)絡(luò )自動(dòng)化編排技術(shù)淺析

一、 什么是網(wǎng)絡(luò )編排?

編排(Orchestration)，最早出現于藝術(shù)領(lǐng)域，指的是按照一定的目的對各種音樂(lè )、舞蹈元素進(jìn)行排列，以期達到最好的效果。引申到IT網(wǎng)絡(luò )管理范疇，指的是以用戶(hù)需求為目的，將各種網(wǎng)絡(luò )服務(wù)單元進(jìn)行有序的安排和組織，使網(wǎng)絡(luò )各個(gè)組成部分平衡協(xié)調，生成能夠滿(mǎn)足用戶(hù)要求的服務(wù)。網(wǎng)絡(luò )編排實(shí)際上是用網(wǎng)絡(luò )抽象語(yǔ)言定義一個(gè)從用戶(hù)到業(yè)務(wù)服務(wù)的網(wǎng)絡(luò )管道的過(guò)程。編排后得到的、能滿(mǎn)足自動(dòng)化部署要求的網(wǎng)絡(luò )服務(wù)需要具有快速部署、動(dòng)態(tài)調整、重復使用的能力。(如圖1所示)

圖1 網(wǎng)絡(luò )服務(wù)編排

二、 為什么需要網(wǎng)絡(luò )編排?

在云計算時(shí)代，IT管理人員面臨著(zhù)各種各樣的難題(如圖2所示)。這些難題給網(wǎng)絡(luò )服務(wù)帶來(lái)了怎樣的影響，該如何看待網(wǎng)絡(luò )編排?

圖2 服務(wù)的三個(gè)困境

以某企業(yè)IT業(yè)務(wù)常規的部署為例，其要部署一個(gè)Exchange郵件服務(wù)器，并為市場(chǎng)部門(mén)提供服務(wù)。首先系統管理員進(jìn)行計算資源的部署，然后網(wǎng)絡(luò )管理員根據要求配置接入交換機的網(wǎng)絡(luò )資源，并根據需要對匯聚以及更上層節點(diǎn)進(jìn)行網(wǎng)絡(luò )調配?？紤]到市場(chǎng)部門(mén)人員使用該服務(wù)時(shí)，可能從公司內部、分支辦事處、外出移動(dòng)辦公等不同地點(diǎn)采用LAN、VPN等方式接入，還需要在路由器網(wǎng)關(guān)、防火墻等節點(diǎn)進(jìn)行網(wǎng)絡(luò )調配。(如圖3所示)。

圖3 IT業(yè)務(wù)常規部署模式

在這個(gè)操作過(guò)程中，計算資源的自動(dòng)化交付因為服務(wù)器虛擬化技術(shù)的廣泛應用而比較容易實(shí)現，系統管理員可以以自助的方式申請VM資源服務(wù)并部署Exchange VM image。相對于計算資源的點(diǎn)狀結構，網(wǎng)絡(luò )由于其更為復雜的網(wǎng)狀和層次結構，實(shí)現完全自動(dòng)化部署比較困難;常規模式下的手工操作或借助于管理工具的操作，需要對網(wǎng)絡(luò )實(shí)時(shí)狀況非常了解(比如拓撲)，涉及到的網(wǎng)絡(luò )節點(diǎn)范圍可能會(huì )非常多，非常容易出錯。

同時(shí)服務(wù)并不是一成不變的(比如服務(wù)擴容、服務(wù)器虛擬化所引入的VM遷移等)，要求網(wǎng)絡(luò )配置隨之動(dòng)態(tài)調整，常規模式下的手工網(wǎng)絡(luò )操作將引起業(yè)務(wù)服務(wù)的長(cháng)時(shí)間中斷，已經(jīng)不能滿(mǎn)足當前業(yè)務(wù)的要求。

如果還需要為其他部門(mén)建立一個(gè)類(lèi)似的Exchange服務(wù)時(shí)，從設計到實(shí)施，所有的工作都需要重新開(kāi)始。無(wú)法從已有的服務(wù)中復用現有的基礎架構和勞動(dòng)成果。

當通過(guò)網(wǎng)絡(luò )編排能力交付網(wǎng)絡(luò )服務(wù)后，我們可以把實(shí)現一個(gè)業(yè)務(wù)網(wǎng)絡(luò )部署的預期時(shí)間，縮短到僅僅幾分鐘的時(shí)間，從而實(shí)現網(wǎng)絡(luò )自動(dòng)化部署能力(如圖4所示)。

圖4 使用網(wǎng)絡(luò )服務(wù)編排之后的IT業(yè)務(wù)部署模式

三、 網(wǎng)絡(luò )編排對象的設計

網(wǎng)絡(luò )編排的過(guò)程，可以簡(jiǎn)單理解為對抽象網(wǎng)絡(luò )對象的組織和調配，包含網(wǎng)絡(luò )資源的分配調度等。對網(wǎng)絡(luò )對象的抽象設計可以拆分如下幾個(gè)方面。

1. 對網(wǎng)絡(luò )設備功能進(jìn)行抽象

在當前技術(shù)環(huán)境下，IT管理員所面對的不再是一成不變的設備環(huán)境，基礎設施可能隨著(zhù)需求而快速增長(cháng)。這種增長(cháng)既包括數量上的增長(cháng)，也包含廠(chǎng)商、設備型號的增加。為了屏蔽不同廠(chǎng)商、不同型號設備的差異，使IT管理員的精力聚焦在服務(wù)本身，必須要做到對網(wǎng)絡(luò )設備業(yè)務(wù)功能的抽象。

從實(shí)現技術(shù)上看，對網(wǎng)絡(luò )/設備功能的抽象有兩種(如圖5所示)。

1) 基于SDN相關(guān)的技術(shù)對網(wǎng)絡(luò )/設備功能的抽象。SDN的核心是對網(wǎng)絡(luò )的行為進(jìn)行集中編程控制，就必然首先要對網(wǎng)絡(luò )設備的行為和能力進(jìn)行抽象。如OpenFlow技術(shù)就是將網(wǎng)絡(luò )抽象為簡(jiǎn)單的基于流的轉發(fā)控制能力。在此基礎之上，可以抽象基于流的ACL、QwS、VLAN、VPN等功能。

2) 基于傳統網(wǎng)絡(luò )技術(shù)(比如SNMP/CLI等管理協(xié)議)實(shí)現對設備/網(wǎng)絡(luò )功能的抽象。

圖5 網(wǎng)絡(luò )設備功能抽象

2.對網(wǎng)絡(luò )服務(wù)的最小單元進(jìn)行抽象

基于網(wǎng)絡(luò )設備功能的抽象，從表義性角度出發(fā)設計可編排的最小單元作為網(wǎng)絡(luò )服務(wù)單元(網(wǎng)絡(luò )對象)，包含設備(虛擬/物理)、Port(虛擬/物理)、Link(End-End link、Net-Net link、End-Net link)、Network(L2/L3/flow-based)、IP服務(wù)(DHCP/DNS/NAT)、 安全服務(wù)(FW/LB/IPS)。

作為網(wǎng)絡(luò )對象，每個(gè)網(wǎng)絡(luò )服務(wù)單元都會(huì )占用一定的網(wǎng)絡(luò )資源(如交換機端口、帶寬、VLAN、IP地址池、隊列等)，同時(shí)網(wǎng)絡(luò )對象還會(huì )有其他的網(wǎng)絡(luò )屬性，無(wú)法作為資源進(jìn)行統一分配(如優(yōu)先級、時(shí)延要求、有線(xiàn)/無(wú)線(xiàn)類(lèi)型等等)。

每個(gè)網(wǎng)絡(luò )服務(wù)單元都具有各自對應的網(wǎng)絡(luò )/設備功能(對應上面小節的抽象能力)。網(wǎng)絡(luò )服務(wù)單元(網(wǎng)絡(luò )對象)作為后續編排的基本元素，為什么不直接采用抽象出來(lái)的網(wǎng)絡(luò )設備功能進(jìn)行編排呢?事實(shí)上，這是目前一些編排軟件的做法，但這要求服務(wù)管理員具有非常豐富的專(zhuān)業(yè)知識和經(jīng)驗，對每個(gè)網(wǎng)絡(luò )功能和技術(shù)細節非常了解。這就使得服務(wù)的建立成為一個(gè)很大的技術(shù)壁壘，使得服務(wù)編排變得比較困難。因此這種編排能力僅適合于非常專(zhuān)業(yè)的用戶(hù)。

采用抽象層次更高的網(wǎng)絡(luò )服務(wù)單元(服務(wù)對象)進(jìn)行編排，將為服務(wù)管理員提供更接近自然語(yǔ)言的設計能力，與直接采用網(wǎng)絡(luò )設備功能的編排對比，就相當于面向對象編程和結構化編程的區別，高級語(yǔ)言和匯編語(yǔ)言的區別。同時(shí)在服務(wù)編排定義過(guò)程中，服務(wù)對象和具體物理網(wǎng)絡(luò )設備的關(guān)聯(lián)綁定不是必須的，為網(wǎng)絡(luò )服務(wù)復用性提供了可能。

3.對網(wǎng)絡(luò )模型進(jìn)行抽象

從用戶(hù)對服務(wù)的訪(fǎng)問(wèn)路徑分析出發(fā)，可以抽象各類(lèi)物理網(wǎng)絡(luò )的組網(wǎng)模型。例如：用戶(hù)從分支訪(fǎng)問(wèn)遠程數據中心的完整路徑，其網(wǎng)絡(luò )模式可以分為用戶(hù)接入網(wǎng)絡(luò )、WAN網(wǎng)絡(luò )、DC核心、DC匯聚、DC接入、虛擬服務(wù)器等幾個(gè)區域;網(wǎng)絡(luò )比較簡(jiǎn)單時(shí)，可以只有用戶(hù)接入網(wǎng)絡(luò )、WAN網(wǎng)絡(luò )、DC網(wǎng)絡(luò )。設計者可以根據實(shí)際網(wǎng)絡(luò )設計目的抽象成不同網(wǎng)絡(luò )模型。比如只關(guān)注用戶(hù)接入和應用服務(wù)器接入的控制，在設計網(wǎng)絡(luò )模型時(shí)，就可以不必關(guān)注WAN網(wǎng)絡(luò )、DC核心/匯聚節點(diǎn)。