網(wǎng)絡(luò)自動(dòng)化編排技術(shù)淺析

1、網(wǎng)絡(luò)自動(dòng)化編排技術(shù)淺析本文通過闡述lank網(wǎng)絡(luò)編排的概念和實(shí)現(xiàn)技術(shù)，讓讀者了解網(wǎng)絡(luò)編排在驅(qū)動(dòng)網(wǎng)絡(luò)實(shí)現(xiàn)自 動(dòng)化過程中的核心作用和機(jī)制，能夠幫助客戶解決IT業(yè)務(wù)部署和調(diào)整時(shí)，因網(wǎng)絡(luò)操作的復(fù)雜 性而引入的耗時(shí)、低效、重復(fù)、易錯(cuò)等問題，實(shí)現(xiàn)網(wǎng)絡(luò)自動(dòng)化。一、什么是網(wǎng)絡(luò)編排？編 排（Orchestration），最早出現(xiàn)于藝術(shù)領(lǐng)域，指的是按照一定的目的對(duì)各種音樂、舞蹈元素進(jìn) 行排列，以期達(dá)到最好的效果。引申到IT網(wǎng)絡(luò)管理范疇，指的是以用戶需求為目的，將各種 網(wǎng)絡(luò)服務(wù)單元進(jìn)行有序的安排和組織，使網(wǎng)絡(luò)各個(gè)組成部分平衡協(xié)調(diào)，生成能夠滿足用戶要 求的服務(wù)。網(wǎng)絡(luò)編排實(shí)際上是用網(wǎng)絡(luò)抽象語言定義一個(gè)從用戶到業(yè)務(wù)服務(wù)的網(wǎng)

2、絡(luò)管道的過程。 編排后得到的、能滿足自動(dòng)化部署要求的網(wǎng)絡(luò)服務(wù)需要具有快速部署、動(dòng)態(tài)調(diào)整、重復(fù)使用 的能力。（）網(wǎng)絡(luò)服務(wù)編排 二、為什么需要網(wǎng)絡(luò)編排？在云計(jì)算時(shí)代，IT管理人員面臨 著各種各樣的難題（）。這些難題給網(wǎng)絡(luò)服務(wù)帶來了怎樣的影響，該如何看待網(wǎng)絡(luò)編排？ 服 務(wù)的三個(gè)困境 以某企業(yè)IT業(yè)務(wù)常規(guī)的部署為例，其要部署一個(gè)Exchange郵件服務(wù)器，并 為市場(chǎng)部門提供服務(wù)。首先系統(tǒng)管理員進(jìn)行計(jì)算資源的部署，然后網(wǎng)絡(luò)管理員根據(jù)要求配置 接入交換機(jī)的網(wǎng)絡(luò)資源，并根據(jù)需要對(duì)匯聚以及更上層節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)調(diào)配?？紤]到市場(chǎng)部門 人員使用該服務(wù)時(shí)，可能從公司內(nèi)部、分支辦事處、外出移動(dòng)辦公等不同地點(diǎn)采用LAN、V

3、PN 等方式接入，還需要在路由器網(wǎng)關(guān)、防火墻等節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)調(diào)配。（）。IT業(yè)務(wù)常規(guī)部署模式 在這個(gè)操作過程中，計(jì)算資源的自動(dòng)化交付因?yàn)榉?wù)器虛擬化技術(shù) 的廣泛應(yīng)用而比較容易實(shí)現(xiàn)，系統(tǒng)管理員可以以自助的方式申請(qǐng)VM資源服務(wù)并部署Exchange VM imageo相對(duì)于計(jì)算資源的點(diǎn)狀結(jié)構(gòu)，網(wǎng)絡(luò)由于其更為復(fù)雜的網(wǎng)狀和層次結(jié)構(gòu)，實(shí)現(xiàn)完全 自動(dòng)化部署比較困難;常規(guī)模式下的手工操作或借助于管理工具的操作，需要對(duì)網(wǎng)絡(luò)實(shí)時(shí)狀況 非常了解（比如拓?fù)洌?，涉及到的網(wǎng)絡(luò)節(jié)點(diǎn)范圍可能會(huì)非常多，非常容易出錯(cuò)。同時(shí)服務(wù)并不 是一成不變的（比如服務(wù)擴(kuò)容、服務(wù)器虛擬化所引入的VM遷移等），要求網(wǎng)絡(luò)配置隨之動(dòng)態(tài)調(diào) 整，常規(guī)模式

4、下的手工網(wǎng)絡(luò)操作將引起業(yè)務(wù)服務(wù)的長(zhǎng)時(shí)間中斷，已經(jīng)不能滿足當(dāng)前業(yè)務(wù)的要 求。如果還需要為其他部門建立一個(gè)類似的Exchange服務(wù)時(shí)，從設(shè)計(jì)到實(shí)施，所有的工作 都需要重新開始。無法從已有的服務(wù)中復(fù)用現(xiàn)有的基礎(chǔ)架構(gòu)和勞動(dòng)成果。當(dāng)通過網(wǎng)絡(luò)編排能 力交付網(wǎng)絡(luò)服務(wù)后，我們可以把實(shí)現(xiàn)一個(gè)業(yè)務(wù)網(wǎng)絡(luò)部署的預(yù)期時(shí)間，縮短到僅僅幾分鐘的時(shí) 間，從而實(shí)現(xiàn)網(wǎng)絡(luò)自動(dòng)化部署能力（）。使用網(wǎng)絡(luò)服務(wù)編排之后的IT業(yè)務(wù)部署模式 三、網(wǎng)絡(luò)編排對(duì)象的設(shè)計(jì)網(wǎng)絡(luò)編排的過程，可以簡(jiǎn)單理解為對(duì)抽象網(wǎng)絡(luò)對(duì)象的組織和調(diào)配，包含 網(wǎng)絡(luò)資源的分配調(diào)度等。對(duì)網(wǎng)絡(luò)對(duì)象的抽象設(shè)計(jì)可以拆分如下幾個(gè)方面。1.對(duì)網(wǎng)絡(luò)設(shè)備功 能進(jìn)行抽象在當(dāng)前技術(shù)環(huán)境下，IT管

5、理員所面對(duì)的不再是一成不變的設(shè)備環(huán)境，基礎(chǔ)設(shè)施 可能隨著需求而快速增長(zhǎng)。這種增長(zhǎng)既包括數(shù)量上的增長(zhǎng)，也包含廠商、設(shè)備型號(hào)的增加。 為了屏蔽不同廠商、不同型號(hào)設(shè)備的差異，使IT管理員的精力聚焦在服務(wù)本身，必須要做到 對(duì)網(wǎng)絡(luò)設(shè)備業(yè)務(wù)功能的抽象。從實(shí)現(xiàn)技術(shù)上看，對(duì)網(wǎng)絡(luò)/設(shè)備功能的抽象有兩種（）。1）基 于SDN相關(guān)的技術(shù)對(duì)網(wǎng)絡(luò)/設(shè)備功能的抽象。SDN的核心是對(duì)網(wǎng)絡(luò)的行為進(jìn)行集中編程控制， 就必然首先要對(duì)網(wǎng)絡(luò)設(shè)備的行為和能力進(jìn)行抽象。如OpenFlow技術(shù)就是將網(wǎng)絡(luò)抽象為簡(jiǎn)單的 基于流的轉(zhuǎn)發(fā)控制能力。在此基礎(chǔ)之上，可以抽象基于流的ACL、QwS、VLAN、VPN等功能。2） 基于傳統(tǒng)網(wǎng)絡(luò)技術(shù)（比如SN

6、MP/CLI等管理協(xié)議）實(shí)現(xiàn)對(duì)設(shè)備/網(wǎng)絡(luò)功能的抽象。網(wǎng)絡(luò)&設(shè)備功能抽象 2.對(duì)網(wǎng)絡(luò)服務(wù)的最小單元進(jìn)行抽象基于網(wǎng)絡(luò)設(shè)備功能的抽象，從表義性角 度出發(fā)設(shè)計(jì)可編排的最小單元作為網(wǎng)絡(luò)服務(wù)單元（網(wǎng)絡(luò)對(duì)象），包含設(shè)備（虛擬/物理）、Port（虛 擬/物理）、Link（End-End link、Net-Net link、End-Net link）、Network（L2/L3/flow-based）、 IP服務(wù)（DHCP/DNS/NAT）、安全服務(wù)（FW/LB/IPS）。作為網(wǎng)絡(luò)對(duì)象，每個(gè)網(wǎng)絡(luò)服務(wù)單元都會(huì)占 用一定的網(wǎng)絡(luò)資源（如交換機(jī)端口、帶寬、VLAN、IP地址池、隊(duì)列等），同時(shí)網(wǎng)絡(luò)對(duì)象還會(huì)有 其他的網(wǎng)絡(luò)屬

7、性，無法作為資源進(jìn)行統(tǒng)一分配（如優(yōu)先級(jí)、時(shí)延要求、有線/無線類型等等）。每個(gè)網(wǎng)絡(luò)服務(wù)單元都具有各自對(duì)應(yīng)的網(wǎng)絡(luò)/設(shè)備功能（對(duì)應(yīng)上面小節(jié)的抽象能力）。網(wǎng)絡(luò)服務(wù)單 元（網(wǎng)絡(luò)對(duì)象）作為后續(xù)編排的基本元素，為什么不直接采用抽象出來的網(wǎng)絡(luò)設(shè)備功能進(jìn)行編 排呢?事實(shí)上，這是目前一些編排軟件的做法，但這要求服務(wù)管理員具有非常豐富的專業(yè)知識(shí) 和經(jīng)驗(yàn)，對(duì)每個(gè)網(wǎng)絡(luò)功能和技術(shù)細(xì)節(jié)非常了解。這就使得服務(wù)的建立成為一個(gè)很大的技術(shù)壁 壘，使得服務(wù)編排變得比較困難。因此這種編排能力僅適合于非常專業(yè)的用戶。采用抽象層 次更高的網(wǎng)絡(luò)服務(wù)單元（服務(wù)對(duì)象）進(jìn)行編排，將為服務(wù)管理員提供更接近自然語言的設(shè)計(jì)能 力，與直接采用網(wǎng)絡(luò)設(shè)備功能

8、的編排對(duì)比，就相當(dāng)于面向?qū)ο缶幊毯徒Y(jié)構(gòu)化編程的區(qū)別，高 級(jí)語言和匯編語言的區(qū)別。同時(shí)在服務(wù)編排定義過程中，服務(wù)對(duì)象和具體物理網(wǎng)絡(luò)設(shè)備的關(guān) 聯(lián)綁定不是必須的，為網(wǎng)絡(luò)服務(wù)復(fù)用性提供了可能。3.對(duì)網(wǎng)絡(luò)模型進(jìn)行抽象從用戶對(duì)服務(wù) 的訪問路徑分析出發(fā)，可以抽象各類物理網(wǎng)絡(luò)的組網(wǎng)模型。例如：用戶從分支訪問遠(yuǎn)程數(shù)據(jù) 中心的完整路徑，其網(wǎng)絡(luò)模式可以分為用戶接入網(wǎng)絡(luò)、WAN網(wǎng)絡(luò)、DC核心、DC匯聚、DC接入、 虛擬服務(wù)器等幾個(gè)區(qū)域;網(wǎng)絡(luò)比較簡(jiǎn)單時(shí)，可以只有用戶接入網(wǎng)絡(luò)、WAN網(wǎng)絡(luò)、DC網(wǎng)絡(luò)。設(shè)計(jì) 者可以根據(jù)實(shí)際網(wǎng)絡(luò)設(shè)計(jì)目的抽象成不同網(wǎng)絡(luò)模型。比如只關(guān)注用戶接入和應(yīng)用服務(wù)器接入 的控制，在設(shè)計(jì)網(wǎng)絡(luò)模型時(shí)，就可以不必

9、關(guān)注WAN網(wǎng)絡(luò)、DC核心/匯聚節(jié)點(diǎn)。編排時(shí)根據(jù)網(wǎng) 絡(luò)模型對(duì)網(wǎng)絡(luò)服務(wù)單元進(jìn)行組織和配置，網(wǎng)絡(luò)模型的復(fù)雜度決定了服務(wù)編排的復(fù)雜性。同時(shí) 對(duì)用戶的真實(shí)物理網(wǎng)絡(luò)也要按相應(yīng)的網(wǎng)絡(luò)模型進(jìn)行資源管理，為后面所述的服務(wù)實(shí)例化過程 中，服務(wù)單元和物理設(shè)備的綁定關(guān)系計(jì)算提供輔助。四、網(wǎng)絡(luò)服務(wù)的編排1.基于網(wǎng)絡(luò)模型 對(duì)服務(wù)單元進(jìn)行排列組織根據(jù)實(shí)際網(wǎng)絡(luò)組網(wǎng)需求，首先選擇使用的網(wǎng)絡(luò)模型。然后使用預(yù)先 抽象設(shè)計(jì)的網(wǎng)絡(luò)服務(wù)單元（網(wǎng)絡(luò)對(duì)象）作為編排的基本元素，在所選擇的網(wǎng)絡(luò)模型中，將這些 網(wǎng)絡(luò)服務(wù)單元按照一定的排列方式進(jìn)行組合、編排、連接，形成一條端到端的網(wǎng)絡(luò)服務(wù)管道。 網(wǎng)絡(luò)服務(wù)編排GUI舉例2.對(duì)網(wǎng)絡(luò)服務(wù)單元的功能參數(shù)賦值

10、，形成可分發(fā)的網(wǎng)絡(luò)服務(wù)對(duì)編排的網(wǎng)絡(luò)服務(wù)管道上的每個(gè)服務(wù)單元，根據(jù)需要設(shè)定具體的參數(shù)，為之分配網(wǎng)絡(luò)資源（IP地 址、路由、VLAN ID、ACL配置及用戶認(rèn)證配置等），最終形成可分發(fā)使用的網(wǎng)絡(luò)服務(wù)（）。其 中網(wǎng)絡(luò)服務(wù)單元和實(shí)際物理設(shè)備節(jié)點(diǎn)的綁定關(guān)系可以在編排時(shí)靜態(tài)指定，或在服務(wù)實(shí)例化時(shí)/ 部署時(shí)動(dòng)態(tài)綁定（比如VM接入網(wǎng)絡(luò)的物理端口可能動(dòng)態(tài)變化的）。網(wǎng)絡(luò)模型不僅僅為方便編 排的設(shè)計(jì)和規(guī)劃過程，因?yàn)橛脩粼谠O(shè)計(jì)網(wǎng)絡(luò)模型時(shí)，同時(shí)考慮了用戶的真實(shí)物理網(wǎng)絡(luò)組網(wǎng)結(jié) 構(gòu)，所以在動(dòng)態(tài)綁定服務(wù)單元和物理網(wǎng)絡(luò)節(jié)點(diǎn)的計(jì)算環(huán)節(jié)中，網(wǎng)絡(luò)模型也有非常重要的作用。 網(wǎng)絡(luò)服務(wù)的形成 五、網(wǎng)絡(luò)編排的關(guān)鍵技術(shù)根據(jù)網(wǎng)絡(luò)服務(wù)編排End

11、to End的要求，用戶 接入、網(wǎng)絡(luò)管道、應(yīng)用接入是網(wǎng)絡(luò)服務(wù)的三個(gè)關(guān)鍵位置。由于計(jì)算虛擬化技術(shù)的使用，應(yīng)用 接入位置可能是動(dòng)態(tài)遷移變化的;同時(shí)用戶訪問方式的多樣性，其接入位置也可能是動(dòng)態(tài)的， 使得中間的網(wǎng)絡(luò)管道也有一定的動(dòng)態(tài)性。網(wǎng)絡(luò)編排服務(wù)是否有效，這三個(gè)位置的跟蹤和計(jì)算 能力是非常關(guān)鍵的。1.應(yīng)用服務(wù)器/VM的接入位置。要求精確定位和跟蹤VM到網(wǎng)絡(luò)接入交 換機(jī)的端口，并將編排的網(wǎng)絡(luò)服務(wù)動(dòng)態(tài)部署/遷移到接入端口上。傳統(tǒng)的技術(shù)主要是拓?fù)溆?jì)算 能力，除了要求全網(wǎng)設(shè)備支持LLDP等二層鄰居發(fā)現(xiàn)協(xié)議，管理軟件能還要有效跟蹤全網(wǎng)MAC 表變化，這便存在著實(shí)時(shí)性和準(zhǔn)確性的問題。目前802.1Qbg協(xié)議很好

12、的解決了這個(gè)問題，（） 通過服務(wù)器和交換機(jī)的VDP交互，實(shí)時(shí)感知虛擬計(jì)算資源的遷移和部署，通過和管理軟件的 協(xié)同，實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)的自動(dòng)化部署和調(diào)整，從而實(shí)現(xiàn)網(wǎng)絡(luò)資源的動(dòng)態(tài)遷移。基于802.1Qbg實(shí)現(xiàn)VM的網(wǎng)絡(luò)接入位置動(dòng)態(tài)定位 2.用戶接入位置。可以基于各種終端跟蹤技術(shù)（如用戶 接入身份認(rèn)證、BYOD方案等），從而支持本地LAN接入、WLAN接入、遠(yuǎn)程VPN接入、移動(dòng)SSL VPN接入等各種接入方式的用戶位置跟蹤和定位。3、網(wǎng)絡(luò)管道路徑分析。主要是基于網(wǎng)絡(luò) 拓?fù)浼夹g(shù)，必須有完整、準(zhǔn)確的拓?fù)洌拍軐?shí)現(xiàn)編排服務(wù)的有效部署和動(dòng)態(tài)調(diào)整。該技術(shù)分 為以下兩個(gè)方向。1）HopByHop的網(wǎng)絡(luò)控制方式，要求全網(wǎng)（特別是廣播域內(nèi)）的拓?fù)浔仨毻?整和準(zhǔn)確?；谕?fù)溆?jì)算網(wǎng)絡(luò)服務(wù)的管道路徑，逐點(diǎn)部署網(wǎng)絡(luò)服務(wù)配置，連接用戶和應(yīng)用。 如在SDN模式下，管理員可以基于現(xiàn)網(wǎng)拓?fù)?，靜態(tài)指定網(wǎng)絡(luò)管道，或根據(jù)策略動(dòng)態(tài)選擇網(wǎng)絡(luò) 路徑。2)Overlay的網(wǎng)絡(luò)tunnel管道控制方式，如VPN、VXLAN、NVGRE等技術(shù)，可以直接 在用戶和應(yīng)用之間建立一個(gè)三層網(wǎng)絡(luò)管道，網(wǎng)絡(luò)僅僅提供一個(gè)透明的管道，部署和動(dòng)態(tài)調(diào)整 相對(duì)簡(jiǎn)單的多。六、結(jié)束語利用網(wǎng)絡(luò)服務(wù)編排，IT部門可以真正快速便捷的實(shí)現(xiàn)服務(wù)建 立與部署，真正的進(jìn)入網(wǎng)絡(luò)自動(dòng)化的時(shí)代。