JuniperNetworks马绍文：云计算最好的SDN控制器

【.com原稿】采访马绍文是在全球网络技术大会上。SDN专场听众很多，座无虚席。很多听众站着听，听到激动人心的话，纷纷举起手机拍照。当时他是JuniperNetworks亚太区高级产品总监，刚刚在SDN环节讲完《云计算需要什么样的 SDN 控制器》。记者随后采访了他，听他讲述瞻博网络眼中的SDN发展之路。马绍文在全球网络技术大会上的演讲　　SDN：颠覆传统带来更多创新可能　　马绍文告诉记者，在人们的传统意识中，创业不仅需要大量的人力物力，还需要意味着它必须经得起时间的检验。对于一家初创公司来说，三五年还处于起步阶段。然而，云计算的出现颠覆了这一切。　　越来越多的企业借助云平台快速积累财富。一家日本公司发布了基于云平台构建的精灵宝可梦游戏。它在短时间内被全球1亿用户下载，公司收入直线上升。在没有云平台的时代，简直不可想象。　　马绍文指出，这种颠覆在传统电信运营商市场依然存在。在传统的Ops运营模式中，运营商购买路由器、交换机和防火墙。一次配置后，它们可能一年内不会更改。但在云运营模式时代，全网需要转向DevOps模式来适应云计算。DevOps可以帮助客户在物理网络之上创建虚拟化网络。如何维护和管理这个虚拟化网络，离不开SDN控制器的帮助。　　云计算需要什么样的SDN控制器？　　他把业界常见的SDN控制器大致分为三类：　　第一类是专注于路由器WAN的控制器。此类控制器控制大约100+路由器节点，使用标准路由协议BGP/PCEP/SegmentRouting等；　　第二种是专注于数据中心交换机的控制器。这种类型的控制器控制着大约1000+个路由器节点，通常会在两个TOR交换机之间创建一个VTEP隧道，使用Openflow等方法；　　第三种是专注于Cloud的控制器。这种类型的控制器控制着10,000多个虚拟路由器/虚拟交换机。最突出的特点是不再主要管理路由器/交换机，而是在hypervisor层面进行管理和控制（vRouter/OVS），采用BGP/XMPP/OVSDB，打造vPEEVPN/L3VPN网络。　　马绍文着重讲解了最重要的SDN控制器，专注于云端。Google使用Andromeda控制器进行网络虚拟化、管理虚拟机和Docker。“瞻博网络的Contrail控制器也实现了类似的功能。”　　他说Contrail的基本设计思想是在每个数据中心服务器的Hypervisor中虚拟出一个vRouter。多个VM/Docker将连接到此vRouter的不同TenentVRF。同时，GRE/UDP/VXLAN作为vRouter之间的外层隧道，内层标签用于标识不同的VRF。vRouter相当于传统L3VPN和EVPN的一个vPE功能。vPE用户端不再连接CE设备，而是为VM/Docker提供连接。　　简单地说，如果客户有10,000台服务器，在部署JuniperContrail之后，10,000台服务器的vRouter就变成了一个大型虚拟化路由器，为多租户隔离提供类似VPN的连接。在Contrail云SDN控制器下使用此数据中心网络。客户通过Openstack/Kubernets的GUI创建的VM/Docker的IP地址，RT/RD信息网络VRF信息由vRouter回传给Contrail控制器，分发给所有其他vRouter实现内部互联数据中心。并且Contrail可以通过BGP协议向MXDCGW路由器发送更新，新创建的VM/Docker将立即被外部互联网的客户访问，从而实现大规模数据中心的云部署。　　马绍文还提到，很多企业用户网络规模小，商业模式简单。他们不想使用复杂的网络SDN控制器，但他们仍然需要云平台。对于有此类需求的客户，瞻博网络提供了另一种无需控制器的简化云部署版本。“这个新的OpenstackEVPN/VXLAN插件已经在2016年9月开始支持，我们也为SecurityGW提供了相应的Neutron插件。我们的一些客户已经采用这种方式部署轻量级云应用。”　　容器云是大趋势　　马绍文也表达了对一些新的IT技术的态度。马绍文表示，Dockers一定是一种趋势，现在很多Web大客户都采用了Docker。随着Kubernetes和Openshift的逐渐成熟，欧美的中小客户在2015/2016年开始使用Kubernetes和Juniper的Contrail部署一些容器云，比如TCPCloud和LITHIUM。“2017年国内客户支持的可能会越来越多。”　　他还给记者举了个例子，JuniperNetworks的一个客户，TCPCloud在欧洲做了很多智慧城市的项目。很多停车场的路灯、充电站和变电站的传感器都是相连的。因为它有非常多的传感器，对于物联网（IoT）应用，如果使用虚拟机（virtualmachine），这就需要服务器有非常大的CPU/内存容量。在这种情况下，使用轻量级容器云可以提供更好的优化能力。　　关于容器云的安全问题，马绍文表示，大家主要担心的是容器云在做微分段的时候会出现一些安全问题，或者不同Docker之间的安全防护不是很好。对此，JuniperNetworks将Contrail和Kubernetes一起使用，通过容器间的虚拟路由器对其进行管理，将业务规则（rules）、防火墙、深度包检测（DPI）等功能串在服务链中。从而提高容器的安全性。　　“客户之所以选择Docker，是因为可以获得轻量级的解决方案。因为同一个服务器，以前客户可能只能启动10个虚拟机，但如果用Docker，同样的容量，同样的CPU内存，我至少可以做100个Docker。”马绍文举了个例子，比如给一辆自动驾驶汽车分配一个Dockers应用，如果是基于已有的虚拟机，客户点击一个按钮，虚拟机可能要等10分钟才能启动离开和对，但是如果是Dockers，基本上是所见即所得，大大提高了客户体验。　　自动化和机器学习的先行者　　关于大家非常关心的IT运维，瞻博网络也做了大量的自动化提升工作。据马绍文介绍，美国6大OTT客户中有5家是JuniperNetworks的客户，如Google、Facebook、Twitter、Amazon、Apple。JuniperNetworks之所以被他们认可，除了硬件性能优秀之外，最大的优势就是自动化运维能力非常强。他告诉记者，由于OTT客户认为JuniperNetworks的自动化工具构建的很好，他们开放了JuniperNetworks的一些通用做法，要求其他厂商实现类似的开放配置协议（openconfig）、NETCONF等基本功能。而这些自动化工具已经嵌入到瞻博网络JunosOS中。　　他举了个例子。在拥有数千台交换机的大型数据中心，JuniperNetworks提供了一个图形界面NetworkDirectorGUI，它不需要任何命令行配置。可以在GUI中构建三个或五个级别。CLOS架构实现IP地址自动配置、BGP配置、EVPN、VXLAN配置，可以监控BGP协议的运行。　　不仅如此，瞻博网络的机器学习也走在了市场的前面。当其他人还在谈论机器学习时，瞻博网络已将机器学习嵌入到两个SDN控制器中。“openContrail集成了一个大数据分析引擎，然后处理网络的异常情况。另一个就是我们的NorthStar，广域网的流量设计，即将发布的版本也会有大数据分析。”马绍文还透露，瞻博网络安全产品线的重点之一是大数据分析。它可以将用户流量发送到亚马逊AWS或阿里云进行特殊处理、清洗和分析。如果拓扑有问题，可能是某个接口被屏蔽了。这就是软件定义的安全网络(SDSN)。　　记者在采访中发现，瞻博网络在很多技术的研究上都领先于市场，瞻博网络的市场布局往往是悄然完成的。技术成果的收获已经开始。让记者惊叹的是他们对技术的执着。他们可以在浮躁的环境下静下心来默默工作。匠心难得，未来可期。【原创稿件，合作网站转载请注明原作者和出处为.com】