咨询QQ:
      杂志订阅

      编辑

      网管

      培训班

      市场部

      发行部

电话服务:
 010-82024981
欢迎, 客人   会员中心   帮助   合订本   发布信息
设为首页 | 收藏本页
数据中心演进:从IP矩阵到多云
  • 2019CIOC全国CIO大会5月23日在乌鲁木齐盛大举办,来自全国的众多CIO共聚一堂,最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚,碰撞出属于CIO的精彩火花。

    2019CIOC全国CIO大会5月23日在乌鲁木齐盛大举办,来自全国的众多CIO共聚一堂,最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚,碰撞出属于CIO的精彩火花。
      
      以下为现场速记。
      
      JuniperNetworks(瞻博网络)华南区技术总监石钊
      
      石钊:首先,感谢大家多年来对Juniper的支持,我是Juniper华南区的技术总监石钊,我在Juniper工作的时间有16年,在IT网络领域工作了有20多年。但是我加入这个行业最早是在Dake(音译),大家可以知道这个时间。
      
      我今天的介绍分几个部分,第一是公司的介绍,因为大家可能对Juniper瞻博网络并不熟悉。第二是行业技术的变革,第三是网络发展的趋势和Juniper的一些探索,最后是总结。
      
      公司介绍,其实我们公司产品线是分三条产品线,路由、交换和安全。由于我是从安全方面进入这个公司的,在路由器领域Juniper从1996年就开始做,而且一开始是做最高端的路由器,在运营商骨干里面的路由器,因为Juniper的设计理念往往是一开始做就做最复杂、最核心的设备。第三,Juniper是在做交换机,研发的时间到现在有10年时间,这是我们最后的一条产品线。整个公司都是围绕着云的战略做的,我们有四个战略,包括企业、运营商、5G、IOT等等,我们都是围绕着云做未来战略的发展的。
      
      我们的客户群分布在各行各业,当然运营商肯定是一个比较大的行业。第二是OTT行业,国外的像昨天介绍的亚马逊、谷歌、Facebook、苹果都是我们的客户,国内的百度、腾讯、阿里都是我们非常重要的客户。制造业也有很多重要的客户,我不一一列举。
      
      Juniper的一个特点,我们是专注于创新的,这个图里面每一条都是Juniper对网络行业的创新,我们是最早做成网络设备,做成路由控制、转发、分离的网络设备,以前大家都说路由器都是X86架构的,但是Juniper是最早在路由器上实现芯片转发的。现在大家都说芯片很重要,Juniper一开始做路由器为什么能够在运营商的骨干里面得到使用,就是因为我们有自己的路由器芯片,就是我们自己研发的芯片。在网络领域很重要的一点就是要互联互通,大家要有开放性,大家的协议要有一个标准,这样才能够互联互通。也就是说,我们中国的运营商和国外的运营商,现在中国的企业要出海,你要到国外开办分公司也要互联互通,大家要遵循一个标准。以前很多标准是网络厂家定义的,Juniper是一个很重要的一个标准提出者。现在网络标准逐渐的有很多用户也参与进来,好比说我们的CIO也在这个网络、这个行业里面,因为他们是用户,也有自己的声音,所以他们也在提出他们的标准。Juniper一向是特别希望做成一个非常标准协议的公司,因为我们跟别的厂家不同,别的厂家可能是想用更多的私有协议绑住用户,但是我们是开放的协议,这也是我们的一个特点。
      
      这是数据中心的四象限图,左边是咨询公司Gartner提出的,Juniper处在四象限右上角的领导者地位。因为我们做数据中心交换机的时间其实也就是10年而已。右边这个图是FORRESTERWAVE,现在都说做软件定义的网络,它底层是有硬件的,这个时候我们Juniper公司也是处在这个图右上角领导者的上限。所以在数据中心领域,Juniper也在逐渐的发力。
      
      第二个,我们想跟大家分享一下应用驱动的网络变革。从这个图可以看到这十几年来我们的应用和网络的关系,最早看到的移动性没有现在这么多,现在大家更多的上网是用手机和笔记本电脑,手机上的APP逐渐的越来越多。我前段时间也参加这个会议,听到一些银行的CIO提到,他们银行可能有100多个APP给用户的手机使用,为什么有这么多APP?他希望用户对这个企业有更多的粘性,每天跑一下这个APP,看一下你的APP的情况,尽量多的让企业和用户发生联系。因为现在互联网的发展,很多人说我都不去银行了,那你不去银行,你跟银行的交互就是通过APP。银行说无论是几个APP,越多越好,只要让用户和银行发生虚拟的连接,这是最好的。
      
      网络也应这些变化发生了很多的变化,可以看到网络设备以前有很多状态和服务,尤其是网络里面存在很多防火墙、负载均衡等等设备,现在网络设备的状态和服务逐渐是在减少的过程。在功能上面也是越来越简单,以前网络协议有很多种,现在大家慢慢的把这些协议整合了,协议的数量就越来越少。主要的协议以前会有IGP、BGP,这是一些网络的协议,数量非常多,现在协议的数量逐渐减少了,逐渐整合到BGP等几个少数的协议上面来,网络协议的结构越来越简单。
      
      因为现在制造工艺发生了质的变化,所以现在的速率会非常大,以前是万兆的服务器,今年我们看到了很多企业部署了25G接入的服务器,它的骨干到了100G。我们今年很多交换机会出400G的接口,所以整个的吞吐能力会非常大。同时单设备的容量的趋势不是越走越大的,这个是什么意思呢?以前我们像一个设备越做越大、越做越复杂,现在网络规划架构上的调整是单个设备不是让它越做越大,而是越做越小,这个设备靠横向扩展,把设备的吞吐能力提高起来,单个设备不会占用那么多CPU和内存。因为单设备的容量和状态都减少了,所以我们整个网络里面的每个设备是变小了,但是设备的数量增加了。我们的自动化一定要提上日程,以前人手管理一台非常大的网络设备,现在不能靠人手管理几十台、几百台小设备,必须要自动化运维非常多的小设备。最后我们的网络设备会逐渐开放很多API接口,同时也会有虚拟化的,用户可以自定义一些应用跑到我们的网络设备上面去。这是我们看到的网络和应用交互的影响。
      
      现在有一个热门的话题是“云”,其实我们看到传统上有数据中心,现在大家提到私有云,其实私有云是数据中心的一个升级版,因为传统数据中心的结构不是弹性扩展的网络架构,所以数据中心变成私有云才是弹性扩展的架构。有了私有云,但是我们还有公有云,前两年大家提到混合云,就是一个企业里面既要有私有云、又要有公有云。但是公有云有一个问题,每个云和云之间是完全不同的,没有一个统一的标准。也就是说,企业里面都说一定要上云,但是大家想到没有,上云是不是一个单行道,你上了云以后,从一个云迁移到另一个云怎么做?
      
      像我们看到国外几个云之间的竞争,往往是我提供一个API,让你从AWS云自动的迁移到谷歌云里面,但是谷歌不会说我给你提供一个API或者是提供一些套件,让你把谷歌云里面的东西迁移到别的云,永远不会,厂商给你提供的是一个单行道的工具。现在大家提到了“多云”的概念,多云是什么呢?一个企业至少要有几个私有云,同时公有云要用两家以上不同的,这样才不会被某一个公有云绑定。而且现在的公有云还有一个问题,它的服务质量定义上并没有太多的保证。所以我们看到一些大中型的企业的说法是,一个企业的IT实力是真正体现在他的私有云做得好不好,这是企业的实力。
      
      数据中心怎么向私有云的架构迁移,传统是自建数据中心,没有任何的公有云。现在我们要走多云的架构,这个时候是多种公有云和私有云的结合,就是传统数据中心的升级版。原来的数据中心是分区的,每一个区前面放两台防火墙做网络的边界,搭一些交换机,里面是服务器。我在部署服务器的时候,可能第一步就要想我把这个服务器放到哪个区里面,这是分区的概念,物理上就分好了。现在的做法是在云计算环境下整体资源的池化,我们把自己数据中心的资源池化,同时把公有云和私有云整体打通,把他的资源统一做一个资源池。原来的数据中心是一个二层环路架构,很多时候会有广播或者环路,大家知道一旦发生环路网络基本上就不能运行了。比如说我在医院里面为什么挂号挂不了,为什么网络呼叫中心也不行呢?很多时候是传统二层架构环路的问题导致的,它的广播域比较大。现在基本上在云计算的环境里面,私有云的搭建更多的是用三层IP矩阵架构,因为它避免了二层环路。
      
      原来的数据中心吞吐不够怎么做,我可能是把一个设备2U、3U变成十几U或者占几个机架,单一设备越长越大,以更换的方式。但是长得再大单一设备都是有极限的,它会受到限制,现在扩展的方式是靠Scale-out的方式扩展,就是小盒子的方式。同时是由人工管理变成自动化管理。原来接入网的边界都在交换机上,我们的安全策略也要靠近终端在边界上,所以我们的安全策略是在架顶交换机的接口上面,但是现在是在服务器上面。我们有虚拟的路由器,网络的边界就到服务器里面去了,因为服务器里面本身也有一个虚拟的网络设备。如果网络设备到了服务器里面,网络安全策略的边界也会放到服务器的虚拟网络设备里面去。
      
      第三个,介绍一下怎么做多云环境下的迁移。我们刚才提到架构上的改变其实是最重要的,所以第一点就是选私有云的架构。而Junipe看到的架构是IP矩阵的架构,无论是对于很大的数据中心或者很小的数据中心,这个架构都是适合的。包括现在国内的几家云计算供应商,包括腾讯、阿里或者国外的亚马逊等等,他们全部都是矩阵的架构。当然国内的一些企业、我们的一些客户现在也逐渐的把他的数据中心变成这样的一个IP矩阵的架构,他就不靠这个生成树了,里面是负载均衡,全部是可用的状态。
      
      这里是物理上的IP矩阵架构,但是如果我要做网络的隔离,因为我原来是有多个安全区的,我把多个安全区的架构映射到IP矩阵架构的时候,这个时候就要引入一个叠加网络的概念。也就是说,我原来的每一个安全区可以当作叠加网络里面的一个租户,所以说叠加网络是可以做到更好的用户隔离和不同应用的隔离,而这种隔离是靠路由进行隔离的,和其他厂家提到的靠防火墙、靠ACL是不同的。这种实施方式里面有两种,一种是控制器方式、一种是无控制器方式,也就是说部署了可以和原来的方式比较接近,也可以和未来基于控制器的方式和方向演进。
      
      最后这个是多云,就是把私有云和公有云多个网络打通,然后实施统一的安全策略,把它当作一个资源池来处理。这里面提到有Juniper的Contrail控制器,我前面提到Juniper是非常讲究开放标准的公司,这个Contrail其实Juniper是有一个开源版本的,很多企业选择控制器的时候是选择Juniper的Contrail,我们有一个开源版本。Juniper也提供对用户的支持,这个时候就是商业版,其实核心功能是基本一样的。控制器这一块是有一个控制器,右边这个AppFormisx是数据收集和监控分析的软件套件,通过这个软件套件实现对网络状态遥测的可视化,利用一些机器学习能力对网络的调度做出相应的自动化反应。
      
      这是私有云的扩展,刚才我提到小规模和大规模都可以用这个架构。我们可以看到这个小小的规模里面是有6台交换机的,它可以做成基于IPcross的架构。这个是大规模的,上面这一层是骨干节点可以横向扩展,下面的也可以横向扩展。在这里可以有很多台骨干,有很多台叶子节点,如果你想提高叶子节点到骨干的带宽,你就把上面这层设备进行增加。如果你觉得这个扩展方式还不够,你还可以进一步的再搭一层网络,整个这里面可以看到它的扩展性是非常灵活的,无论是小规模、还是大规模都可以适应,而且可以做到不同的收敛比,每一跳上去的带宽到底是1:1的收敛还是1比几的收敛。
      
      我们通过这个架构实现了类似于主机虚拟化的功能,我们把整个网络看作一台物理的服务器。我们跟主机的虚拟化很相似,有一台物理的服务器我们可以虚拟成很多台虚拟机,我们的物理网络也可以把它虚拟成为很多个逻辑上的叠加网络。这个逻辑上的叠加网络,网络和网络之间是路由做隔离,同时可以加入任何的安全策略、访问控制列表等等,实现高可靠和高安全性。这些细节我就跳过去了,其实讲的是我们可以兼容你的传统环境,也可以兼容你的新的环境,都是可以兼容的。
      
      整个架构里面是有控制器、有网络设备、还有云的出口,我们把它叫云网关,私有云里面有自己的私有云的云网关,公有云里面也可以虚拟化出来一个设备做它的云网关。通过这个云网关把你的私有云和公有云网络打通,而且中间的连接全部都是加密的。因为大家担心云架构的安全性,这里面的密钥都是你自己控制的,所以它的安全性非常好。而且它的安全策略全部都是到边界的,物理网络的边界在交换机的物理接口上,云计算的公有云环境下是在主机里面的网络设备里面,这个安全性也是比较好的。
      
      这里可以看到,目前来说我们已经跟亚马逊的AWS、谷歌云等几个公有云打通了,现在我们还和国内的阿里云进行研发,针对他做将来跟阿里云多云的打通。云里面的访问也是加密的,云和云之间的访问也可以是加密的。所以我们整个的方案里面可以看到,我们提供了SMOC,安全、可视、自动编排、高可靠的连接性,这个连接性和别的厂家不一样,我们通过路由的打通做隔离,这个是多一层的安全性,其他厂家可能是靠ACL,ACL、微策略我们也是有的。可视性方面我们也是做得相对好一些,我们可以把整个流量在设备示图上看到。中间这个是流量示图。
      
      最后提一下我们的几种场景:
      
      第一种场景是没有虚拟化的,是裸金属服务器生命周期管理。也就是说,你的服务器放到网络里面去之后,你可以自动获取IP地址,然后推策略,可以把你的软件版本自动更新。如果你希望把服务器下线的时候,我们可以自动的点击图形界面几下,这个服务器就会自动的跳到一个下线的状态里面去,这个时候服务器对你的网络就没有任何影响了。同时可以在交换机实施访问列表,实时的查看状态。
      
      第二是Openstack云合作场景,我们的Contrail是做网络处理服务器。
      
      第三是我们也跟别的厂家像VMWARESDDC场景,我们也可以实现安全性。我们的设备通过了他的认证。
      
      第四是我们和超融合厂家NUTANIX也进行了合作,我们可以把网络构建出来,同时把安全策略自动下发。
      
      第五是我们和容器环境可以实现网络连接和安全策略。
      
      第六是OPENSHIFT合作场景,我们也是红帽子的合作伙伴,我们有很多API的接口互通。我们可以和多种云、多种负载,在多个部署环境下都可以得到统一的实现,
      
      最后总结一下,Juniper是一个专注于做网络的厂家,我们的产品全部都是网络的产品,我们横跨了网络里面的路由、交换、安全三条重要网络产品线,同时我们对于云计算的多云场景具有丰富的实施和部署经验。同时我们的Contrail套件是开源的,可以帮助企业更好的上云,实现多云环境下的资源池的控制和部署。谢谢大家!
      
      编辑:Harris
      
      

    2019CIOC全国CIO大会5月23日在乌鲁木齐盛大举办,来自全国的众多CIO共聚一堂,最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚,碰撞出属于CIO的精彩火花。