1. SD-WAN组网介绍
SD-WAN(Software-Defined Wide Area Network,软件定义广域网络)将 SDN 技术应用到广域网场景,SD-WAN 用于连接地理分布范围较广、分支机构较多的企业网络、数据中心、互联网应用及云服务,帮助用户降低广域网的开支和提高网络连接灵活性,SD-WAN常见组网如下图所示:
图1 企业SD-WAN与数据中心组网
图1中企业总部、各分支机构、数据中心以及云上环境共同组成企业私有网络,通过SD-WAN Controller集中管理,实现机构自动化互联、业务自动部署和资源灵活调度,同时可根据业务需要申请Internet链路或MPLS专线,为不同业务访问提供不同SLA保障。SD-WAN方案具备如下优点:
- 成本低:灵活组网,提升链路利用率,数据压缩,节省广域网带宽;
- 体验优:智能调度,保障关键业务,多云互联;
- 运维简单:零接触部署,分钟级开局,可视化运维,分钟级故障定位;
- 安全性高:站点安全,隧道安全;
企业自建的数据中心,通常用来部署其关键业务应用,出于可靠性和安全性的双重考虑,通常会建设双活或者灾备数据中心。多个数据中心之间进行业务同步和备份,同时分支和总部用户会访问数据中心业务。此场景下,SD-WAN网络作为数据中心业务的承载网络,为数据中心租户业务提供互访和隔离能力,同时利用智能选路能力,可优化数据中心之间互访体验。
2.数据中心跨SD-WAN融合组网方案
目前在企业部署数据中心业务时,都是分别通过各自场景的DC Controller进行自动化操作,比如在DC Controller上部署租户VPC、子网、终端接入以及访问外网等业务,在SD-WAN Controller上部署站点、WAN侧互联、LAN侧互联、应用组等业务。但跨场景的业务拉通上,比如数据中心出口Border设备与SD-WAN站点设备之间的互联配置,目前都是需要管理员分别规划配置,无法做到自动化。
越来越多企业希望在部署跨数据中心租户业务时,能够做到数据中心出口与SD-WAN站点之间LAN侧的自动化打通,节省业务部署时间,简化管理员操作复杂度。另外,企业希望数据中心之间的租户业务互访时,能够在SD-WAN网络中进行SLA保障。
为实现客户上述需求,有以下两种实现方案:
方案一:
以DC Controller为主,集成SD-WAN控制器,通过DC Controller调用SD-WAN Controller接口,与SD-WAN Controller配合,实现跨场景之间的业务自动化部署和SLA保障;
方案二:
通过上层编排模块,实现跨数据中心与SD-WAN之间业务自动化部署和SLA保障,DC Controller与SD-WAN Controller各自负责本场景内业务,不相互交互;
以上两种方案都是可行方案,相比较而言,方案一存在以下缺点:
- 耦合性较大,DC Controller需要对接SD-WAN Controller,需要获取SD-WAN相关业务,不同厂家的SD-WAN
- Controller业务模型可能不同,需要进行模型适配; DC Controller通常部署在内部管理网中,而SD-WAN Controller通常部署在公网,两者直接交互存在网络安全隐患,某些客户场景可能不满足等保要求;
- 多数据中心互联,每个数据中心都有独立DC Controller,以哪个Controller为主进行操作是问题;
总体来说,方案一存在耦合性较大和使用场景限制,方案二通过增加上层编排模块,减少各场景Controller之间耦合性,控制模块与编排模块分工明确,是优选方案。
数据中心之间业务互访通常分为普通IP出口方式和DCI互联方式,本文介绍普通IP出口方式,并通过SD-WAN的LAN侧VPN实现业务隔离。
3. 数据中心跨SD-WAN融合组网的实现
3.1上层编排模块对接各场景控制器
上层编排模块需要对接DC Controller和SD-WAN Controller,通过添加Controller地址、端口、账户和密码等信息,将Controller对接起来。上层编排模块可以支持与各场景Controller进行业务同步,将各场景现存业务同步到编排模块,也支持与各场景Controller的业务审计,用于向下同步配置到各场景Controller上。
图2 跨场景组网架构
3.2上层编排模块实现跨场景统一编排
对接了各场景DC Controller后,就可以通过上层编排模块进行跨场景业务编排,实现互联部分自动化部署,具体流程如下:
- 上层编排模块规划数据中心出口网络配置,包含出口网关Border选择、出口互联地址和VLAN分配、出口路由协议选择等,并联动规划与之对应SD-WAN站点设备的LAN侧配置,保持与数据中心出口网关侧一致,比如:VPN与Border 外网VPN一致,路由协议配置对应、互联地址属于同网段、VLAN一致等;
- 上层编排模块分别调用各场景DC Controller进行业务仿真,进行配置下发、连通性和资源占用校验;
- 仿真通过后,上层编排模块调用各场景DC Controller,将业务部署到各DC Controller生产态,业务正式下发完成。
3.3上层编排模块实现跨场景SLA保障
业务部署完成后,上层编排模块就可以针对该业务进行跨场景SLA保障,业务模型如下图所示:
图3 跨场景SLA保障业务模型
具体编排流程如下:
- 上层编排模块上配置SD-WAN的应用组和应用策略,指定应用组的网络范围和应用SLA策略,策略中指定对应DSCP值,将该应用组下发到SD-WAN Controller上;
- 上层编排模块上选择数据中心租户VPC,将该VPC与SD-WAN应用组绑定,表明使用该应用策略的租户VPC,上层编排模块将VPC与之对应的DSCP值绑定,下发到DC Controller上;
- DC Controller在该VPC出口设备Border上下发配置,为该VPC流量设置对应DSCP值;
- SD-WAN Contrller在对应的站点设备为匹配该DSCP的流量进行智能选路,保障该VPC流量在SD-WAN网络中的SLA;
- 如实际组网中部署了具有智能分析能力的模块,则可以通过分析模块进行流量监控,查看该VPC流量在DC和WAN场景中的转发路径和SLA质量情况;
- 对于不同租户VPC跨数据中心互访,可创建不同外部网络,分别对应站点LAN侧VPN,实现租户VPC之间跨SD-WAN业务隔离。
3.4异构厂家对接方法
以上提到的组网方式中,编排层和各场景DC Controller都为同一厂家。实际组网中往往存在跨厂家情形,如SD-WAN网络和数据中心网络分别为不同厂家。这种情况可以在编排层提供插件能力,厂家各场景DC Controller提供插件部署在编排层上,将编排层的标准业务模型转换为厂家自身的业务模型,进行业务模型适配,实现跨厂家的异构对接。
4总结
总之,通过上层的编排模块,解决了企业数据中心跨SD-WAN场景的业务自动编排,以及针对数据中心特定租户VPC流量在跨SD-WAN网络时进行SLA质量保障的需求,在业务自动化部署以及业务重保时,有重要意义。新华三集团研发的H3C AD-DC Super Controller就是这样的一种产品,通过对接H3C AD-DC Controller和H3C AD-WAN Controller,实现跨场景的业务自动化部署和SLA保障。