云网融合是业务需求和技术创新并行驱动带来的网络架构深刻变革。云网融合包含云和网两个方面:以云为核心,云计算业务的开展需要强大的网络能力的支撑;以网络为核心,要借鉴云计算的理念实现网络资源的优化。随着云计算业务的不断落地,网络基础设施需要更好地适应云计算应用的需求,以确保网络的灵活性、智能性和可运维性。
电信云是云网融合的一个场景。电信云基于虚拟化、云计算等技术实现电信业务云化,以NFV、SDN为主要技术,以构建一个资源可全局调度、能力可全面开放、容量可弹性伸缩、架构可灵活调整的云化平台。电信云所需的自动化网络功能,是构建该云化平台的关键技术之一,它保证了运营商网络在云化转型过程中多个层面的网元之间通信的自动化调整、运维和网络安全防护,促使运营商最终实现网络的软化和云化。
电信云网络特点及其对云网融合的要求
电信云网络具有其自身的特点,对云网融合的要求与IT网络有很大不同,主要体现在如下几个方面。
虚拟终端类型多样,通信模式各有不同
电信云需要同时支持多种模式通信,网络功能复杂。
电信网元虚拟化场景多种多样,总得来说可以分为三类:负责控制、策略管理、网络运维以及计费的信令面网元,负责媒体业务转发和路由的用户面网元,以及同时具备以上两者功能的混合网元。
信令面网元的通信流量小,消耗带宽低,控制功能强,占用虚机的CPU资源大,一般推荐使用OVS类型的虚机端口进行通信,比如vPCRF;用户面网元流量大、带宽要求高,并且对时延较为敏感,比如vFW等,一般推荐SRIOV的部署模式;混合网元兼有信令面网元和用户面网元的特点,需要同一个虚机上部署多个、多种端口类型,也即多个SRIOV端口和OVS端口共存,例如PGW的虚拟化形式vGW。
根据运营商的特定要求,某些网元需要部署在物理服务器中,这样网络还需要支持裸金属服务器的网络通信;某些网元需要部署在容器中,还需要支持容器网络的通信。
可靠性、容灾要求高
电信网元不同于IT网元,对可靠性和容灾有严苛要求。一般来说,其可靠性要达到99.999%电信级别。这就要求电信云网络从各个层面提供可靠性和容灾保护,包括服务器设备、网卡设备、交换机设备、交换机链路、网关设备,至少要提供1+1的主备冗余。
除此之外,还要提供高效的备份恢复能力,提供异地容灾能力。对虚拟层面,配置虚机的重生和自愈等要提供自动化的网络调整能力。
网络安全要求高
电信网元的安全性要求极高,从物理组网层面到虚拟网络层面都有严苛的要求。
一般来说,物理组网要进行严格的组网隔离,部分运营商要求多层级的隔离。例如第一层级实现业务网络、存储网络和管理网络的隔离,并使用防火墙对跨不同的网络通信的防护。
在业务网络内部,又分为“对外暴露区域”“隔离区域”和“核心管控区域”,不同的的区域之间通过不同类型的防火墙实现等级保护;管理域和存储域又要划分不同的网络平面,不同的网络平面的互访严格禁止。
流量监测有特定要求
传统的电信网络有监测的要求,电信网络云化之后继承了这一要求;另外,电信云为了实现自动化的运维和网络分析,需要对网络中的信令和数据实时采集和分析。鉴于以上两个方面的驱动,在电信云网络中,需要具备精准、自动的数据布控和采集能力,特别是电信网元虚机终端在迁移和重生的时候,流量采集的策略要实现自动化跟随调整。
此外,采集的流量输送上也存在复杂的要求,例如,流量要是同时送外多个目的地,需要在多个分析仪上负荷分担(媒体面流量大,一个分析探针处理来不及处理,需要多个并行工作)。
网络协议要求高
电信网云多种多样,其对通信协议的要求也各有不同:静态路由、动态路由OSPF/ISIS/BGP、链路监测BFD,以及存在多个企业APN和业务链情况下,还要支持MPLS、GRE、QinQ等协议。
网络服务质量要求高
电信云网络中多种类型通信模式并存,不同的通信平面对网络的服务质量要求各不相同。一般来说,信令面的通信QoS要求高于媒体面的通信,媒体面的通信又区分多种业务等级,比如VoIP和上网业务。因此电信网络需要从承载层面支持QoS的保证机制,根据不同的业务需求,为其配备不同的QoS等级,在网络拥塞的情况下能保证高优先级业务的优先开展。
网络带宽要求高
网络动态调整的频率相比公有云低
电信云中的网元相比于公有云应用有一个特点,就是网元虚机数量和型号等都是提前规划好的,而且为了保证电信网元通信的可靠性和业务尽量不受影响,其部署、撤销、弹缩的操作频度相比于公有云的虚机也弱不少。从而,自动化要求相比于IT云的要求稍弱。
电信云网络部署推荐架构
电信云网络作为云网融合的一种场景,除了具备云网的一般特点之外,还有上述独有的特点和需求。根据电信云的特点,我们推荐的组网架构形式如图1所示。
电信云网络架构纵向分为DCGW、Spine和Leaf交换机三层。在DCGW外侧接防火墙和外网,在Leaf交换机接服务器,交换机采用堆叠或者ECMP(EqualCostMultiplePath,等价多路径)部署方案以提供高可靠性。横向根据功能不同,分为计算域、存储域和管理域,某些特定需求下还要从管理域划出特定的带外管理域。为了保证安全性,管理域、存储域与计算域的通信要经过管理防火墙的过滤和保护。
计算域的服务器上启用虚机、裸金属服务器或者容器,用于安装电信虚拟网元VNF,VNF之间及对外的通信采用云网联动的overlay网络,overlay网络通过SDN集中控制。VxLAN隧道封装,根据虚机的动态创建、销毁、扩缩容、重生及自愈,动态调整虚拟网络以满足VNF的通信要求;根据VNF的安全等级不同,又将其隔离为ExposedZone(暴露区域)、DMZZone(隔离区域)和CoreZone(核心管控区域)。ExposedZone的VNF主要是复杂的对外通信的路由型网元,比如核心网的vGW;DMZZone中建议部署不直接对外暴露但是需要与ExposedZone网元直接通信的VNF,例如vMME等;CoreZone的安全等级最高,主要部署核心签约数据网元等,比如HSS等,不同安全等级的Zone通信需要经过防火墙保护。
存储域主要部署存储服务器或磁阵,用于提供云存储,供VNF按需申请消费;控制域主要安装云控制节点和SDN控制器,用于实现对云、对网的联动控制和编排。
业界内已经对DC外部的P骨干网络、移动回传、城域、DCIunderlay网络的演进达成一致认识——采用SR作为演进技术路线。对于DC内部采用VxLAN的技术构建overlay的虚拟网络。DC内部可以视为一个L2VPN域,VNF相当于vDCL2VPN中的一个客户设备,特别是vRouter类的VNF,例如vGW或者vBRAS,是WAN网络的一部分,因此WANSR的路径编排需要包括此类VNF。
业界当前正在考虑如何对vDC内外采用同一技术,实现网络的统一演进。中兴通讯推荐使用SRoverVxLAN的方式(见图2)。层次上,将DC外部网络和DC内部的overlay网络实现互通和统一编排,既满足业务网络的统一协调和控制,又对DC内部的物理网络的影响降到最低,避免对底层网络功能过分依赖。
鉴于电信云网络的特殊架构和需求,NFV/SDN技术在网络中的部署也具有差异性,运营商和设备商需要针对电信云的特殊要求和关键功能,为其研制特定的方案并开发特定的功能。