由于混合云和容器网络的出现,数据中心网络比以往任何时候都更加复杂。IT不再是遵循简单原则即可轻松取得成功的时代。现代数据中心网络更加复杂和自动化。在不久的将来,数据中心内的流量转发将变得简单。一个IP地址将与另一个IP地址通信。这些地址属于端点(endpoints)——与其他裸机主机或虚拟机通信的裸机主机或虚拟机。这些IP地址之间的路径被数据中心交换机称为路由表和桥接表中的条目。如果工程师需要查找两个IP端点之间的故障或某些异常行为,最好从查看在这两个路径之间构建的一些表开始。等价多路径和多机箱链路聚合增加了这个过程的复杂度,但总体来说,运营商还是可以找到一条合适的路径,让任何一个数据中心都可以建立路径,互相对话。Remark:Equal-costmultipath(ECMP):等价多路径路由是一种路由策略,其中下一跳数据包到单个目的地的转发可以发生在多条“最佳路径”上,这些路径在路由度量中计算top列表。多路径路由可以与大多数路由协议一起使用,因为它是仅限于单个路由器的每跳决策。它可以通过多条路径上的负载平衡流量显着增加带宽。然而,在实际应用中可能会遇到重大问题。一般来说,RFC2991讨论了多路径路由。2014年,电气和电子工程师协会(IEEE)将等效多路径(ECMP)或IEEE标准802.1Qbp合并到IEEE802.1Q-2014中,用于最短路径桥接。指定最短路径桥接中单播和组播流量的正向和反向路径作为确定性路径上的对称保险流,解决原始标准实施中的配置复杂性、管理能力和性能问题。事实上,端到端通信并不复杂。网络地址之间的转换、加密或数据挖掘很少发生。这些功能通常位于数据中心的边缘,与受信边界之外的设备进行通信。现代数据中心随着业务需求的变化,现代数据中心的网络架构看起来与过去略有不同。与过去设施相对单一的数据中心相比,现代数据中心是一个完整、统一的基础设施平台,各种应用程序都在其上运行。数据中心被视为一个整体;它是应用程序交付的引擎。越来越多的基础设施对应用程序开发人员是透明的。一个完全现代化的基础设施对于开发人员和应用程序来说似乎是抽象的而不是具体的。但是,开发人员不必为此担心。数据中心资源按需分配,平台智能分配资源。现代数据中心以分布式方式处理安全问题,协调资源的动态管理和卸载工作负载。而不是通过中央物理防火墙实施安全策略。与构建中央安全策略相比,安全管理人员将软件集的相关部分安装在相关主机和虚拟机上进行操作和管理似乎更容易。不需要基础设施,也不需要路由要求来执行这样的策略。在较高的层面上,我们一直在规划一个私有云架构,其中物理基础设施可以更简单地与公共云协作。因此,混合云架构越来越受欢迎,人们期望公共云操作将具有与私有云相同的安全性和连接性。分层随着混合云架构成为新常态,重要的是要注意这些趋势如何影响网络。不是简单地一个IP地址与数据中心中的另一个IP地址通信,而是可以协商路由表和桥接表以备不时之需。现代数据中心灵活性的基础设施更依赖于复杂的网络。推动这种复杂性的是对工作负载隔离、服务策略实施和安全性的需求。因此,与其说是IP地址的海洋,不如说现代数据中心更像是一层蛋糕。蛋糕底部是底层网络。这一层网络是所有其他网络服务的基础。也是网络工程师最熟悉的网络。当他们查看路由表和桥接表时,他们正在查看底层网络——数据中心的基础。但是,仅靠底层网络无法提供混合云所需的一切。对网络隔离工作负载(称为多租户)的需求越来越大。租户可以是应用程序、业务单位或客户。租户的流量可以通过虚拟局域网(VXLAN)进行扩展,通过封装技术与其他流量隔离。来自一个网段的流量被封装在VXLAN数据包中,并通过网络发送以在另一侧进行解封装。VXLAN是位于底层之上的第二层——覆盖层。它不仅提供流量分离,而且还通过VXLAN通过网络上的特定路径路由流量。假设数据中心需要通过特定的防火墙和负载均衡器转发流量。在现代网络中,防火墙和负载均衡器可能作为虚拟化网络功能存在,它们可能位于数据中心的任何位置。为了将流量准确地路由到需要去的地方,可以使用VXLAN封装在设备之间隧道传输流量,直到遍历所有需要的设备。防火墙规则在我们的覆盖蛋糕中形成了另一层。中央策略管理器逐个主机插入防火墙规则。每个主机都有自己的一组规则来管理传入和传出设备。拆分已知负载是确保可扩展数据中心安全的实用方法。容器添加了更多网络复杂性的通配符。容器网络是一种由命名空间、代理服务器和网络地址转换管理的新兴技术,它使容器能够相互通信,而在另一层之外工作。容器是一种紧凑的操作系统虚拟化方法,用于将应用程序或服务与在同一容器主机上运行的其他服务分开。为启用此功能,每个容器都具有操作系统、进程、文件系统、注册表和IP地址的视图。就虚拟机中预期的功能而言,容器类似于网络。每个容器都有一个连接到虚拟交换机的虚拟网络适配器,用于传入和传出流量。要在同一主机上强制分离容器,请为安装了网络适配器的每个WindowsServer和Hyper-V容器创建网络框。WindowsServer容器使用主机vNIC捕捉到虚拟交换机。Hyper-V容器使用合成VMNIC(不受实用程序VM影响)连接到虚拟交换机。容器终结点可以附加到主机本地网络(例如NAT)、物理网络或通过Microsoft软件定义网络(SDN)堆栈创建的覆盖虚拟网络。运营商的困惑现代数据中心网络架构的复杂性是运营商面临的潜在问题。大多数网络问题都与连接或性能有关。应该能够连接但不能连接的两个端点是一个问题。两个端点已连接但通信速度不如预期是另一个问题。使用组漫游方法解决连接问题。从一个网络设备到另一个网络设备,遵循数据包到达其目的地所采用的路径。当已知实际IP端点时,这很简单。在现代数据中心中,底层用于传输VXLAN或其他覆盖数据包。最重要的是,我们添加了防火墙规则,然后可能还有网络地址转换或代理服务;数据包丢失变得更加困难,充满了细微差别。为了诊断连接问题,运营商需要知道数据包的来源和目的地——包括容器、虚拟机或裸机主机、管理该数据包的防火墙策略、数据包封装和要遵循的服务链。假设操作员了解应用程序流程并在IT组织中毫无障碍地运行它,这似乎还不错。当然,在实际情况下,这种情况是很少见的。在桥接和路由表中查找媒体访问控制和IP地址只是更复杂的故障排除过程的一小部分。再加上现代基础设施往往是短暂的,运营商可以解决过去发生的问题,但不能重建。事实上,性能挑战更难诊断。接触给定对话的网络设备数量可能涉及虚拟操作系统、管理程序软交换机、虚拟防火墙、架顶式交换机、主干交换机,以及一直到另一个端点的方式。当某些工作负载位于公共云中时,事情会变得更加复杂。将基础架构或平台作为服务纳入等式意味着在我们进行故障排除时会添加诸如高延迟之类的变量。行业反应我们坚持知识产权。由于我们在需要额外功能的同时被困在IP中,所以叠加层就在这里。Overlays允许我们引导和隔离流量,功能非常重要。有了它,我们可以将我们的基础设施视为一个资源池,随意增加和减少容量。这个问题成为管理我们添加到环境中的网络复杂性之一。网络行业以多种方式迎接这一挑战。首先是接受。如果我们同意这里存在复杂性,那么我们将提供工具,使我们能够发现或可视化网络上正在发生的事情。例如,思科为运营商提供增强工具,以解决其以应用程序为中心的基础设施平台上的端到端连接问题。VMware最近收购了Arkin,这是一种可视化工具,可将工作负载与防火墙策略和VXLAN分段相关联,并与自然语言搜索引擎配对。有效的故障排除和可视化工具越来越成为现代数据中心平台的优势。但是,有些人通过创建转发方案并在可能的情况下覆盖来避免复杂性。例如,Romana.io开源项目依赖于分层IP寻址方案与基于主机的防火墙规则相结合来创建分段和中央安全策略。开源项目Calico与之类似。Romana.io和ProjectCalico都非常有趣,因为它们提供了可扩展到大型数据中心的转发方案,同时还处理了安全性和分段要求,而无需重叠。也许今天最大的问题不是如何处理网络复杂性,而是如何提供支持解决方案的人员。一种想法是自动化将减少IT人员。作为一个拥有20年IT基础设施经验的老手,我不这么认为。例如,当遇到非常复杂的网络问题时,需要有经验的IT人员及时解决问题。当自动化失败时,组织不只是想与他们的供应商保持联系。他们还需要具备专业知识的专业人士来解决问题。
