作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。

前文談到軟體定義網路方案的要件:網路能夠被『集中管理配置』以及『提供開放API供外部系統呼叫』。但此條件之外,各個廠商就會採用不同的方式及架構來做出符合其訴求與特色的SDN方案了。本篇內我們先和大家討論兩種不同的硬體式SDN方案的比較,以及其方案優勢及較不適用的情境。

首先第一種我們稱做專屬型的硬體式SDN方案,許多大家熟悉的硬體網路廠商SDN方案如Cisco的ACI,對岸的華為,或Arista的Cloud Vision都廣義地屬於這一類。這一類方案會具備此廠商專屬的SDN控制器提供集中的網路組態管理以及對外API的接入口;而此SDN控制器則僅會控制此廠商甚至特定型號的實體交換器。

圖說:第一類SDN方案:專屬型硬體SDN

以這類SDN方案來說,能夠透過交換器上硬體晶片提供低延遲、高頻寬的大量網路封包轉發,而且達成多台網路交換器的集中配置,並透過API與plugin整合常見的雲平台 (vRealize Automation, Openstack…) 或敏捷式開發組態管理工具 (Ansible, Puppet, Chef…)。這類廠商通常都已經是網路硬體設備大廠,是企業信任且已經在使用的資料中心網路廠商。

基於硬體晶片的SDN方案能夠把網路二層三層功能做得很好很快速,但兩個問題:資料中心內的網路功能僅需要考慮二層三層嗎?這一類方案能夠進行虛擬化環境或container的管理運作嗎?

通常資料中心內二層三層的快速轉發是所謂的stateless服務,一個個網路封包能夠很快速地藉由ASIC晶片或TCAM table進行高速的轉送。但資料中心的上層服務通常都是具備狀態,需要處理Stateful的連線。防火牆功能必須具備連線表 (connection table),負載平衡器需要session table,NAT功能需要NAT連線表,VPN功能…而這類功能基本上就不是硬體晶片擅長的部分,在業界通常都是以軟體方案提供。所以問題來了:當用戶希望以軟體定義方式提供”所有”的資料中心網路功能時,他們會發現,這一種方案能提供的是網路二層三層,交換與路由的SDN整合。但談到防火牆、負載平衡器、NAT等等上層服務時,就不是這類方案擅長的部分,而需要和其他的方案整合,大幅增加環境的複雜度以及一堆客製、版本不合、功能缺乏的問題。

而其二,當轉發層是硬體交換機,此時這類方案對於虛擬化方案或新穎的container方案的管理及可視性就大幅降低了。硬體交換機要怎麼看到兩個虛機間的封包傳輸?兩個在同一個host內的container交換,硬體交換機要怎麼控制?在現代化資料中心,業務虛擬化比例常都接近80%以上甚至到100%的環境,此類硬體SDN方案的應用情境就極度縮減了,或是又必須搭配很多的agent-base方案來進行控制。而同樣的,這是這類方案在架構上就先天就不易支援虛擬化或容器架構的弱點。

但此類硬體SDN方案是有重要的使用情境的:如果大家現在要建新的資料中心,或是現有資料中心的核心網路要進行提升,企業原本就會有專案預算進行實體交換器的採購。與其採用傳統架構、分散手動管理的交換器,IT肯定會考慮是不是在建立資料中心核心網路的同時,也導入軟體定義網路方案來達成集中管理的目的,更進一步搭配目前會後續可能會導入的雲平台 / 自動化方案。也因此,我們會看到在全球或台灣,一些大型的建廠或新建資料中心的資訊專案內,常是這類專屬硬體式方案的活躍時機。

同時有另一種趨勢我們稱其為開放型的硬體SDN方案,代表的廠商像是Big Switch Networks以及cumulus networks。

圖說:第二類SDN方案:開放型硬體SDN

這一類方案,SDN廠商提供的是控制器,但底層的網路交換器則提供開放、標準的選擇,或是大家常用所謂的”白牌交換器”來稱呼。這些白牌交換器比如說大家熟知的智邦 (Accton) / 廣達 (Quanta) / Dell等通常會遵循開放的標準如ONIE (Open Network Installation Environment),所有遵循這標準的交換器都能透過cumulus或是Big Switch Networks的方案進行集中式的控管。下面的鏈結內有列出目前所有支援ONIE標準的交換器廠商與型號。 http://www.opencompute.org/wiki/Networking/ONIE/HW_Status

因為交換器採用標準、開放的硬體配置以及公版的晶片,這類方案在價格上即使把控制器端納入與第一類方案比較也是較為低廉。第一類方案內擅長的網路二層三層快速轉發、集中管理、程序化配置也都是此類方案能夠達成的優勢,也因此,大家可能逐漸在一些IT新聞上看到部分大型的雲資料中心開始大量地導入此種方案。

但同樣的,因為第二類方案也著重在硬體交換器的集中管理與配置,第一類方案遭受到的弱項:網路四到七層的服務缺乏,虛擬環境/Container環境的管理與可視性,也同樣是這類方案的弱點。我們可以說,第一類方案(專屬式硬體SDN方案)及第二類方案(開放式硬體SDN方案)彼此間是競爭者,而適用的場景均集中在建立新資料中心或提升現有資料中心的核心網路底層。

下一篇網誌,我們要繼續和大家討論第三種分類:網路虛擬化SDN方案,或是一般來說業界所稱的Overlay-SDN方案,架構及使用場景與前兩種有什麼不同。