DeepFlow 运营商行业云一体化虚拟网络管理平台实践

SDN in China

2020年5月25日

案例分享

某运营商行业云建设概要

在某省移动的发展战略中,做大办公云、行业云、物联云这三朵云,为企业单位注入数字化、智能化生产力,打造行业新连接生态的定位尤为重要。通过构建基于互联网架构的行业云,使得江苏移动行业云平台能够为相关业务开展提供所需的软件服务、基础架构云服务。目前已有数千台VMware的云平台,为满足其业务快速发展的需求,在新建数千台Openstack云计算平台的同时启动了对VMware平台的改造工作。

1

不同于其他行业云的地方在于,电信级行业云建设不但要满足传统安全、稳定和标准的要求,也需要适应“互联网+”新形势下移动互联、海量数据和自主可控的要求。某省移动行业云在建设过程中主要诉求包括:

  • 高弹性:应用云计算技术,实现资源弹性伸缩和横向扩展,为业务规模发展和快速响应提供技术保障;
  • 高标准:基于“一切资源服务化”的设计理念,以服务化模式支持业务能力快速构建、扩展、灵活编排和配置,支持智能化运维和规模化管理;
  • 高可用:实现高可用和可靠性能力保障,提供从业务层、数据层、基础架构层和数据中心的多活能力和安全保障;
  • 低成本:结合开源技术构建云平台,降低厂商锁定,通过x86服务器堆叠出存储、计算和网络资源,降低总体成本;
  • 低风险:可以根据租户和业务范围进行安全隔离,对故障影响能够做安全隔离,降低平台风险。

要具备响应政企业务的实际需求,同时要满足开放性、兼容性的一站式云平台;实现弹性计算、网络虚拟化、对象/块存储等云服务能力,同时向用户提供数据库、云通信等PaaS服务,具备完善的云平台整体安全架构及服务支撑体系,提升某省移动行业云品牌竞争力。

某省移动行业云面临的网络挑战

某省移动行业云肩负着承载和支撑业务快速发展的重任,项目实施明确要求采用软件SDN技术实现虚拟交换机、虚拟路由器等网络虚拟化能力,要求虚拟网络组件能够支撑单集群不少于500台服务器的网络构建能力;同时要求能够呈现虚拟网络流量和项目、资源、物理网络、业务网络之间的映射关系。

2

在云网络管理方面,要求能够对云数据中心南北向、东西向网络流量进行全面分析和展现(精细到网包、网流粒度);同时具备完整的端到端透视能力。此外,云平台要支持IP地址池功能、支持使用IPv6地址作为业务网络和相关的审计,并具备容器化平滑升级能力。

某省移动行业云面向运维人员统一的网络资源自动化管理(出口网络配置、集群扩展、LB/FW配置、安全隔离、多DC互通等)、集成的运维能力(整网拓扑视图、流量可视化、故障智能化、流量分析、网络测量、路径调度能力)并提供报表和报警管理功能;运维平台须能够长期保存历史TCP会话信息,并支持历史回溯;对数据中心虚拟网络进行多维度分析和监控须满足流量支持软件的采集方式,采集器支持网络流量过滤和去重等操作并在本地完成网流flow的生成等操作;要满足开放可扩展性原则,能够根据自定义策略将指定虚拟流量发送到第三方分析工具。

某省移动行业云坚持自主可控的原则,同时要兼容VMware、KVM、Hyper-V等主流虚拟化平台,提供性能监控功能并对外提供Restful等标准接口,能够与Zabbix、Nagios等集中监控对接,与其故障管理平台完成告警监控对接。

云杉网络与某省移动的合作

云杉网络DeepFlow® 已在国内金融、运营商、IDC等多个领域的领军企业落地部署。由于云杉网络多年积累的丰富的运营商应用场景和部署经验,云杉网络DeepFlow® 云网分析的能力通过了POC验证并得到了某省移动的肯定,在其行业云项目中得以快速落地。云杉网络DeepFlow® 以软件形态运行于Linux平台,采用分布式架构设计、支持标准X86硬件,组件包括控制器、采集器、分析器。系统从网流Flow的角度对云数据中心虚拟网络进行流量、性能和安全分析管理。

3

DeepFlow® 通过与某省移动云平台对接,读取项目、用户、虚拟机、虚拟网络等资源信息,并将虚拟网络流量信息与资源信息相匹配以呈现虚拟网络流量和项目、资源、物理网络、业务网络之间的关联关系。通过用户自定义设置,DeepFlow® 能够基于接入网络IP地址、协议、端口或虚拟网络项目、网络、IP、协议、端口等过滤策略以及Payload截断等高级功能,将指定虚拟流量发送到第三方分析工具。

DeepFlow® 可对云数据中心虚拟网络的网流数据进行实时统计分析,包括流量速率均值趋势图、流量速率峰值趋势图、报文速率均值趋势图、报文速率峰值趋势图以及各IP地址的详细流量信息等。DeepFlow® 系统可保存云数据中心南北向和东西向网络原始网流Flow信息,并支持基于网流数据的端到端的数据查询。

4

通过对接云平台,DeepFlow® 理解了某省移动云平台VxLAN+Overlay层叠式虚拟网络架构,支持东西向独立项目网络或业务集群的网络流量分析展现。在端到端分析中,DeepFlow® 以资源组为单位,对有流量关系的资源组之间以分段的形式检测资源组之间或资源组内网络延迟RTT、流量吞吐、建立连接时的成功率、建立连接时的延迟RTT、重传次数、重传率、TCP并发连接数、主机繁忙程度等等网络指标趋势图。DeepFlow® 通过对云数据中心虚拟网络的网流数据进行安全分析,为云平台提供了如DOS攻击告警等功能,发生安全事件时系统将及时报警以降低风险。

客户价值

由于云计算技术的逐步发展,使得传统的数据中心网络已经不能满足新一代数据中心网络、扁平、虚拟化的要求。通过与云杉网络DeepFlow® 的合作,满足了其SDN建设目标,达成了如下效果。

云网一体化

云杉网络DeepFlow® 与某省移动的云平台实现了无缝对接,单台控制器可管理500个采集点并对某省移动私有云环境部署零依赖,让客户即插即用。真正实现了南北东西流量管理一体化,流量采集分发一体化。

实现自主可控

DeepFlow® 适配VMware、OpenStack等主流云平台,系统具备良好的开放性,提供丰富的API接口,第三方系统可以通过REST API访问管理界面的功能和原始数据信息,能够根据特殊需求提供功能定制,满足不同场景下网络分析需求或与第三方系统集成等需求。

提升服务水平

DeepFlow® 系统底层数据存储采用分布式数据库,可根据磁盘空间调整数据保存周期,所有历史数据支持通过原始流详情回溯查询分析,提升了运维服务能力。

云杉网络DeepFlow® 在某省移动的落地,提高了行业云的资源利用率和服务可靠性,降低了整体运维成本,满足自由业务系统和合作运营系统以及地方业务系统的安全需求。

df%e7%94%b3%e8%af%b7%e4%bd%93%e9%aa%8c

Related Posts

安全隔离、敏捷高效容器网络——打造中移金科电商业务承载基石

客户的网络架构是典型的两地三中心设计,每数据中心内部建设多个Region(安全域)。NSP-Controller(网络控制器)已完成对双数据中心所有现网网络设备的全量纳管,完成包括网络交换机、防火墙、负载均衡设备以及DNS等多种设备类型。目前纳管总服务器数量上千台,容器节点纳管数百台。通过部署三台NSP-Orchestrator(网络编排器)用于热备,当两地管理网络中断时,可切换至本地网络编排器进行本地管理,保持组网及管理能力的安全可控。

Read More

「直播回看」5GC和电信云构建云网络可观测性的必要性

“云原生可观测性分享会”第六期《5GC和电信云构建云网络可观测性的必要性》由云杉网络 售前解决方案专家 李飞演讲,针对5GC运维剖析为什么云网络可观测性是拉通5GC和网络云之间运维能力,讲解如何消除三层解耦的阻塞点,实现网络云和云上5GC业务高效、可靠的运行。

Read More