網(wǎng)絡自動化編排技術淺析

一、 什么是網(wǎng)絡編排?

編排(Orchestration)，最早出現(xiàn)于藝術領域，指的是按照一定的目的對各種音樂、舞蹈元素進行排列，以期達到最好的效果。引申到IT網(wǎng)絡管理范疇，指的是以用戶需求為目的，將各種網(wǎng)絡服務單元進行有序的安排和組織，使網(wǎng)絡各個組成部分平衡協(xié)調(diào)，生成能夠滿足用戶要求的服務。網(wǎng)絡編排實際上是用網(wǎng)絡抽象語言定義一個從用戶到業(yè)務服務的網(wǎng)絡管道的過程。編排后得到的、能滿足自動化部署要求的網(wǎng)絡服務需要具有快速部署、動態(tài)調(diào)整、重復使用的能力。(如圖1所示)

圖1 網(wǎng)絡服務編排

二、 為什么需要網(wǎng)絡編排?

在云計算時代，IT管理人員面臨著各種各樣的難題(如圖2所示)。這些難題給網(wǎng)絡服務帶來了怎樣的影響，該如何看待網(wǎng)絡編排?

圖2 服務的三個困境

以某企業(yè)IT業(yè)務常規(guī)的部署為例，其要部署一個Exchange郵件服務器，并為市場部門提供服務。首先系統(tǒng)管理員進行計算資源的部署，然后網(wǎng)絡管理員根據(jù)要求配置接入交換機的網(wǎng)絡資源，并根據(jù)需要對匯聚以及更上層節(jié)點進行網(wǎng)絡調(diào)配?？紤]到市場部門人員使用該服務時，可能從公司內(nèi)部、分支辦事處、外出移動辦公等不同地點采用LAN、VPN等方式接入，還需要在路由器網(wǎng)關、防火墻等節(jié)點進行網(wǎng)絡調(diào)配。(如圖3所示)。

圖3 IT業(yè)務常規(guī)部署模式

在這個操作過程中，計算資源的自動化交付因為服務器虛擬化技術的廣泛應用而比較容易實現(xiàn)，系統(tǒng)管理員可以以自助的方式申請VM資源服務并部署Exchange VM image。相對于計算資源的點狀結構，網(wǎng)絡由于其更為復雜的網(wǎng)狀和層次結構，實現(xiàn)完全自動化部署比較困難;常規(guī)模式下的手工操作或借助于管理工具的操作，需要對網(wǎng)絡實時狀況非常了解(比如拓撲)，涉及到的網(wǎng)絡節(jié)點范圍可能會非常多，非常容易出錯。

同時服務并不是一成不變的(比如服務擴容、服務器虛擬化所引入的VM遷移等)，要求網(wǎng)絡配置隨之動態(tài)調(diào)整，常規(guī)模式下的手工網(wǎng)絡操作將引起業(yè)務服務的長時間中斷，已經(jīng)不能滿足當前業(yè)務的要求。

如果還需要為其他部門建立一個類似的Exchange服務時，從設計到實施，所有的工作都需要重新開始。無法從已有的服務中復用現(xiàn)有的基礎架構和勞動成果。

當通過網(wǎng)絡編排能力交付網(wǎng)絡服務后，我們可以把實現(xiàn)一個業(yè)務網(wǎng)絡部署的預期時間，縮短到僅僅幾分鐘的時間，從而實現(xiàn)網(wǎng)絡自動化部署能力(如圖4所示)。

圖4 使用網(wǎng)絡服務編排之后的IT業(yè)務部署模式

三、 網(wǎng)絡編排對象的設計

網(wǎng)絡編排的過程，可以簡單理解為對抽象網(wǎng)絡對象的組織和調(diào)配，包含網(wǎng)絡資源的分配調(diào)度等。對網(wǎng)絡對象的抽象設計可以拆分如下幾個方面。

1. 對網(wǎng)絡設備功能進行抽象

在當前技術環(huán)境下，IT管理員所面對的不再是一成不變的設備環(huán)境，基礎設施可能隨著需求而快速增長。這種增長既包括數(shù)量上的增長，也包含廠商、設備型號的增加。為了屏蔽不同廠商、不同型號設備的差異，使IT管理員的精力聚焦在服務本身，必須要做到對網(wǎng)絡設備業(yè)務功能的抽象。

從實現(xiàn)技術上看，對網(wǎng)絡/設備功能的抽象有兩種(如圖5所示)。

1) 基于SDN相關的技術對網(wǎng)絡/設備功能的抽象。SDN的核心是對網(wǎng)絡的行為進行集中編程控制，就必然首先要對網(wǎng)絡設備的行為和能力進行抽象。如OpenFlow技術就是將網(wǎng)絡抽象為簡單的基于流的轉(zhuǎn)發(fā)控制能力。在此基礎之上，可以抽象基于流的ACL、QwS、VLAN、VPN等功能。

2) 基于傳統(tǒng)網(wǎng)絡技術(比如SNMP/CLI等管理協(xié)議)實現(xiàn)對設備/網(wǎng)絡功能的抽象。

圖5 網(wǎng)絡設備功能抽象

2.對網(wǎng)絡服務的最小單元進行抽象

基于網(wǎng)絡設備功能的抽象，從表義性角度出發(fā)設計可編排的最小單元作為網(wǎng)絡服務單元(網(wǎng)絡對象)，包含設備(虛擬/物理)、Port(虛擬/物理)、Link(End-End link、Net-Net link、End-Net link)、Network(L2/L3/flow-based)、IP服務(DHCP/DNS/NAT)、 安全服務(FW/LB/IPS)。

作為網(wǎng)絡對象，每個網(wǎng)絡服務單元都會占用一定的網(wǎng)絡資源(如交換機端口、帶寬、VLAN、IP地址池、隊列等)，同時網(wǎng)絡對象還會有其他的網(wǎng)絡屬性，無法作為資源進行統(tǒng)一分配(如優(yōu)先級、時延要求、有線/無線類型等等)。

每個網(wǎng)絡服務單元都具有各自對應的網(wǎng)絡/設備功能(對應上面小節(jié)的抽象能力)。網(wǎng)絡服務單元(網(wǎng)絡對象)作為后續(xù)編排的基本元素，為什么不直接采用抽象出來的網(wǎng)絡設備功能進行編排呢?事實上，這是目前一些編排軟件的做法，但這要求服務管理員具有非常豐富的專業(yè)知識和經(jīng)驗，對每個網(wǎng)絡功能和技術細節(jié)非常了解。這就使得服務的建立成為一個很大的技術壁壘，使得服務編排變得比較困難。因此這種編排能力僅適合于非常專業(yè)的用戶。

采用抽象層次更高的網(wǎng)絡服務單元(服務對象)進行編排，將為服務管理員提供更接近自然語言的設計能力，與直接采用網(wǎng)絡設備功能的編排對比，就相當于面向?qū)ο缶幊毯徒Y構化編程的區(qū)別，高級語言和匯編語言的區(qū)別。同時在服務編排定義過程中，服務對象和具體物理網(wǎng)絡設備的關聯(lián)綁定不是必須的，為網(wǎng)絡服務復用性提供了可能。

3.對網(wǎng)絡模型進行抽象

從用戶對服務的訪問路徑分析出發(fā)，可以抽象各類物理網(wǎng)絡的組網(wǎng)模型。例如：用戶從分支訪問遠程數(shù)據(jù)中心的完整路徑，其網(wǎng)絡模式可以分為用戶接入網(wǎng)絡、WAN網(wǎng)絡、DC核心、DC匯聚、DC接入、虛擬服務器等幾個區(qū)域;網(wǎng)絡比較簡單時，可以只有用戶接入網(wǎng)絡、WAN網(wǎng)絡、DC網(wǎng)絡。設計者可以根據(jù)實際網(wǎng)絡設計目的抽象成不同網(wǎng)絡模型。比如只關注用戶接入和應用服務器接入的控制，在設計網(wǎng)絡模型時，就可以不必關注WAN網(wǎng)絡、DC核心/匯聚節(jié)點。