2018年3月21日至22日,由中国信息通信研究院主办、中国通信标准协会支持的“OSCAR开源产业大会”在国家会议中心举行。
作为会议的子论坛之一,银行发展论坛于22日下午举行。
李晓峰:谢谢你,Xi先生。对每个人来说,去云端真的不容易。无论您使用行业云还是自建私有云,都会涉及到这些。我国的中小银行规模也各不相同。例如,每个人都将城市银行分为中小型银行。一些城市银行非常大,典型的是北京银行和上海银行,它们非常大。因此,中小型银行也有办法构建自己的私有云来开展基于云的讨论。以下主题都将涉及自建私有云。首先,来自中国银联电子支付研究所的SDN技术专家元航将向我们介绍金融行业的SDN开源控制器技术。过去,我们是垂直分层的,水平划分为多个领域。但是如果你是一个互联网企业,并且都是强大的网络,那么就有一个问题。中国银联已经讨论了这方面的问题。今天我们将分享讨论的结果。我们欢迎你。
以下是这次演讲的文字记录:
元航:谢谢。很高兴今天能在这里讨论中国银联的研究成果。我的课题是开源SDN控制器技术的研究。私有云始于2011年。2011年10月,我们获得了国家云计算项目的批准。中国银联也是唯一入选该项目的金融机构。2012年,我们已经开始了原型试验,自主开发并生产了云技术平台的原型架构。2013年,公司各部门开始推进试点应用。对于2014年的大规模应用,该公司的关键产品已经登陆云平台。2015年深化应用。2016年将进入金融行业云研究,2017年将初步完成金融云联合研究生态。它将与许多证券、保险和金融公司合作,并将联合这些机构发起关于SDN技术和工业技术的讨论和研究。在此基础上,成立了openstack工作组。我们是中国最早的基于开源的云计算生产平台。
这张图片展示了我们的部署,分为三个云:生产云、研发测试云和研发演示云。生产云主要负责我们业务生产系统的运营。测试云的研究和开发是我们的测试项目和测试行动。我现在负责原型示范、运输和技术储备的研究。这是我们银联业务的应用情况。有很多生意。相对核心的业务已经登陆云平台。我们已经开始为未来两年做计划,包括一个接一个的核心业务转向云计算。我们将努力在几年内完全实现云计算。我们还将承担外部组织的云应用。
说了这么多,人们总是说银联进行基于开源的云计算研究。2017年,我们的关键技术将主要在云网络上实现相关突破。我们的SDN还部署在生产云上。我们采用了两种解决方案。首先,商业硬件解决方案是基于华为的交流解决方案,开源软件解决方案是基于中子,而开放堆栈版本是从E到L版本。该银行的云端支付统一应用已经登陆SDN云平台。以上是总体进展,下面的重点网络也进行了相应的研究。第一个是异质SDN区域的互连。这一成就主要基于多租户跨域云资源弹性效应的内部构建。二是开源SDN控制器的ODL软件研究,这也是今天报道的具体内容。第三,云网络监控平台,针对如何在新的SDN网络架构下进行云网络的智能运维,我们制作了一个云网络监控平台,这次是关于开源SDN控制器的研究报告。
优化点一,可靠性优化。对于硬件来说,软件方案的缺陷尤其明显,一个是可靠性,一个是性能,一个是可扩展性。我们对这三个方面进行了相关的优化。一是优化可靠性,实现分布式路由架构,突破网络节点瓶颈,实现分布式数据分发。第二个是ARP拾取。网络是不同的。广播域范围很大,影响很大。在实施ARP提取后,可以消除网络风险。第三个是防火墙并行访问方案。我们希望防火墙与云区并行连接,外部网关不能设置在防火墙上,以保证防火墙的可靠性。为什么并联?即使不通过防火墙,也能保证业务的稳定性。
除了可靠性优化,还有性能优化和数据传输路径的简化。首先,精简服务器系统的网络软件。有两座OVS大桥,下面是一座(英国)大桥,下面是一座越南大桥。我们希望直接将虚拟机与一个层连接起来。网络传输跳数减少。我们希望网络端的流量不会通过网络进行路由,路由功能将直接在OVS实现。
我们优化了可扩展性。目前,包含在云区域中的租户只能位于云区域中。如果多个云区域相互连接,它们只能通过三层路由策略打开。我们的租户可以跨区域安排和部署资源。这样,我们的云的可扩展性可以大大提高,资源的灵活性也可以提高。根据需要改进的软件的SDN,我们提出了自己的想法。
这是我们基于上述的计划,基于ODL作为一个开源控制器,这是网络架构图,它通过ML2连接openstack。这是基于优化点的能力计划,基于以上三个优化点,我们组织了基于开源软件的能力,以最小化我们的工作量,ODL本地的能力已经实现了许多能力。第一种是分布式路由,第二种是分布式ARP拾取,这自然简化了物理机的内部链路。除了ODL本地功能之外,我们还基于以上三个优化点提出了其他功能。第一是跨区域互联,第二是防火墙排水。
为了实现额外的能力,ODL的本土能力需要加强,特别是跨区域互联。它有丰富的场景,如果场景丰富,需要修改以下基本功能。
跨区域互联。我们的跨区域互联系统已经在核心网络区域建立了自己的云。不同的租户网络可以通过这个隧道转移到另一个区域。我们ODL原有的区域内部网络与国际扶轮外部接口,然后转移到另一端。我们需要从内部考虑两个问题。一是发送过程,如何将跨区域通信的流量引入防火墙,以及如何对防火墙进行泄流。第二是接收过程。分布式网关如何接收具有内部网ip的租户流量并支持到浮动IP的分布式路由?
防火墙排水,我们集成了openstack静态路由功能,通过配置相关的静态路由,生成响应openflow流量表,并发送到OVS进行数据传输。对接静态路由功能,监控并获取静态路由数据,获取租户防火墙内部接口的MAC地址,生成流量表,并发送给OVS。这是一个流程表架构。前面匹配IP数据包,哪个租户的流量和IP是什么,包括配置IP地址。第二是实现支持去浮动IP的分布式路由。我们专门分析了这种情况的原因。有两个原因:分布式vrouter的外部接口不具备接收外部流量的能力。虚拟机位置不能处于分布式状态。这也是我们必须解决的问题。
第一个问题是实现路由器外部接口对传入流量的数据接收能力。它没有ARP响应能力。当数据包出现在这个接口上时,我不知道地址是什么。第一步是设计一个流程表来请求外部接口的ARP响应。流程表设计如下。ovs为外部接口添加了一个流程表来响应ARP请求。第二是虚拟机的定位能力。如果向所有地区的所有OVS人大量分发,所有OVS人将在收到请求后对请求作出回应。有两种情况:第一种是目标虚拟机正好在物理节点中。第二,目标虚拟机不在物理节点中。如果它恰好在物理机器节点中,通过路由将它直接发送到物理机器会更容易。如果不是,路由功能将首先在接收到物理机时向目标物理机播放,然后目标将被转发。这是我们的想法。
我们的方案进行性能测试。这项测试是在10兆瓦的环境中进行的。测试结果仍然是优化的。总体而言,时间平均减少了68%,带宽平均增加了39%,优化能力显著提高。最后是我的工作总结和下一步的工作计划。该计划仍有改进的余地。支持浮动IP的方案仍需优化。控制器的高可用性还不成熟。目前,它只是一个开源社区的高可用性方案。鉴于金融业的高可用性要求,我们需要设计另一个具有金融特性的高可用性方案。这是我们的下一个工作计划。L4-L7层的规划并不完美,还有一个防火墙,但是如何增加负载平衡以及如何做到这一点。在后续工作中,除继续完善ODL方案外,还启动了跨数据中心的多云协同资源管理技术联合研究项目,希望更多合作伙伴参与。右边是我们的二维码,我们的相关进展和研究成果也将在二维码上发表。如果你感兴趣,你可以发现,里面还有很多干货。我的演讲到此结束,谢谢!
心灵鸡汤:
标题:元航:基于开源SDN控制器技术的研究
地址:http://www.yunqingbao.cn/yqbxx/434.html