▲ 云干货、云趣事 一点"蓝字"就有 ▲
SDN+云不仅是1+1=2。
第一章 私有云的神经系统
有这样一个故事——在白垩纪时期,恐龙是地球上的霸主,但是恐龙的神经系统却不是那么发达,对外界的刺激反应缓慢,踩到一个什么东西,要几个小时后才有感觉。虽然这只是一个笑话,但是恐龙体型巨大,却只有那么小的脑容量,也确实是件奇怪的事情。
在这里我们不去讨论恐龙的反应有多慢,而是要讲讲云计算。虽然感觉好像有点怪,不过要是把云计算的网络系统比喻为神经系统,把云计算的存储/计算能力比喻骨骼和肌肉,是不是就容易理解了呢?恐龙庞大的身躯,就像现在规模巨大的云计算一样,如果空有强壮的骨骼和肌肉,却没有强悍的神经系统辅佐,那么云计算规模再大,也是一个上古时期的传说了,无法承担新时代复杂的计算应用需求。
私有云的发展与规模
云计算给无数的用户带来了技术便利性,也让传统企业用户有了技术革新的机会——私有云市场的蓬勃发展即是明证。私有云能够有更高效的资源利用率、更便捷的管理、更灵活的扩展与升级,以及更契合业务的支撑能力,这让越来越多的传统企业用户将目光聚焦到云计算之上,以构建新型数据中心,为企业业务提供更好的支撑能力。
Tips:据IDC调查,2015年全球公有云服务的支出约700亿美元,2019年将超过1400亿美元。
私有云不是简单的设备堆积,虚拟化只是消除物理资源间隔的第一步。但在部署虚拟化之后,“虚机蔓延”问题带来一系列连锁性问题却是用户不得不面对的现实。
Tips:根据RightScale调查结果,2016年有31%的企业在私有云中运行超过1,000台虚拟机,而2015年超过1000个虚拟机的用户仅有22%。
拥有超过1000个虚拟主机的企业私有云已经占据了近1/3的份额,面对如此众多的“虚拟主机”,不仅仅是管理复杂的问题,更重要的是“性能”问题。就如恐龙一样,庞大的身躯如果没有高效的神经系统,那结局……而云架构数据中心的“神经”就是网络,或者说网络子系统——其要解决的难题比想象中要大得多。
云计算的神经系统
相比于传统“孤岛”式数据中心/IT架构系统,网络子系统主要解决的是“南北向”流量问题,即从业务层到数据库/存储底层的数据流通。但在云数据中心/云架构系统,其不仅仅是南北向流量,还要解决由于分布式技术广泛应用带来的“东西向”流量,分布式计算、分布式存储、虚机主机的动态迁移……都会导致比南北向流量大得多的东西向流量。在一般情况下,虚拟主机的网络流量都是用CPU来处理,这会占用计算资源,尤其是流量巨大时,必然会造成计算资源争夺。也有使用VXLAN卸载等技术手段来将这一部分工作从CPU卸载到网卡,但这一封装会增加报文长度,导致额外的网络流量,数据传输效率受到影响。
在规模较小的时候,传统架构的网络子系统利用性能更好的硬件、技术改良也许能够应对,一旦规模扩大,网络子系统就必须拥有更好的性能、更灵活的变更(管理)以及更高的效率等特点,如何构建新型网络子系统则成为横亘在云计算规模应用前的一大难题。
品高云SDN
作为国内最早一批开拓私有云市场的品高云,它推出的Bingo SDN环境就是为私有云配置的一套强大的网络/神经系统。
传统的企业级数据中心,大都是一个应用一套系统,因为服务器、存储、网络设备都比较贵,系统架构相对而言比较简单,大都通过交换机、路由器来实现互联,虽然性能有保证,但是基本没有灵活性,系统搭建完成后,除非业务变化,否则不会有什么变动;
在虚拟化和早期的私有环境中,SDI概念将计算、存储和网络环境都通过x86平台来组合实现,物理服务器、存储设备和网络设备都成为企业基础设施平台了,虽然用软件定义的资源池取代了传统架构的硬件设备,但是在网络端依然是依托交换机和虚拟路由器/网关在进行管理。很显然,即便用软件定义取代了部分硬件设备,但是单点的瓶颈依然存在,虽然具有了更强的灵活性,但是面对大规模私有云架构,传统的软件定义模式并不能解决所有的问题。
随着私有云的进一步发展,那些着力于推动私有云应用的企业就开始考虑搭建更适合大规模部署企业级的架构了,品高云作为在国内较早进入私有云领域的厂商,已经进化到品高云7.0时代,从品高云6.0版本就就具备了Bingo SDN环境,这是面对大规模私有云环境的一个出色的私有云网络解决方案。
光从以上的文字描述可能不太容易理解云计算的虚拟网络环境,那么我们就用图来描述:
私有云架构的第一个时代
这是一个典型的传统私有云环境,所有的物理服务器都通过交换机互联,通过网络节点(通常是一台1U的x86服务器)来分配相关的网络功能,所有的虚拟主机都由一台物理的网络设备来支持,是常见的一种私有云/虚拟化解决方案。
这也是早期企业级用户升级云计算的一个主要方案,因为在数据中心内,一套机柜内可以放置20台2U服务器,为了更好的使用感受,单台服务器通常配备双端口10GB网卡,因此还需要一个48口交换机结合网关/路由设备来支持网络环境。通过VLAN/VxLAN等功能,可以为用户提供不错的虚拟化计算环境。
计算机技术在快速发展,早期2U双路服务器只能提供8个核心的计算能力,而最新的Xeon SP平台已经可以在2U双路的服务器内提供56核112线程的计算能力;内存也从64GB扩展到1.5TB;这些进步发展相当于最新的2U双路服务在计算能力上14倍于早期产品(这才10年的光景,某些更新换代较慢的数据中心才换了两代服务器),意味着用户可以在一套物理服务器环境上运行更多的虚拟主机,如果用户对计算资源需求没有那么强的话,一套物理服务器环境支持超过100台虚拟主机是完全可行的部署方式,这时再看传统的私有云计算架构,就会发现——所有的流量都要经过物理设备中的网络控制单点。
传统的云网络大都把 Gateway 部署在一个物理节点上,这样既存在网络单点故障的可能,同时网关也将成为整个云网络的性能瓶颈;而且 Gateway 也是黑客攻击的一个重点对象……无论用户选择什么样的网络设备,只要存在流量的单点,当流量突破了这个设备的极限时 ,那么就意味着这套系统存在瓶颈了。
简单计算一下:一套机柜满配可以部署20台2U双路服务器,每台服务器上运行50个虚拟主机,那么在这个机柜内就存在20*50=1000个虚拟主机;要是传统物理环境,这就相当于一个50套机柜的小型IDC的服务器总量了,这么大规模的业务系统仅靠一台交换机+网络控制节点来支撑,其性能和可靠性显然无法满足业务所需,那么在这种情况下,必然会推动网络子系统架构的革新。
品高SDN系统
那么我们来看看品高云是怎么解决这样的问题。
两个物理服务器节点的品高云7.0示意图
我们可以看到,在每台物理节点上可以运行大量的虚拟主机,多台物理服务器构成一套SDN网络系统。这些物理服务器只是通过2层交换机互联,没有其他的3层网络控制节点(在传统私有云环境中,往往使用x86服务器平台来做3层以上的VR(虚拟路由器)/VG(虚拟网关)功能。
在品高云SDN环境中,SDN控制器使用分布式控制器代替了原有的集中式控制器,每一台物理服务器的操作系统层都有一个小型的分布式控制器进程,不但减少了硬件系统的开销,还消减了单点可能导致系统整体可用性。在品高云环境里,所有虚拟主机的连接、管理等网络服务都由品高云SDN分布式控制器来实现。在各个虚拟主机间没有业务流量的时候,SDN控制器将所有的虚拟主机网络都统一管理,因此在连接物理服务器的网络环境只需要支持2层协议就可以了,且在交换机的网络环境内消减了ARP广播,因此在基础网络环境内是一个干净的网络环境,可以充分支持多台物理服务器的网络服务。
品高云主控界面
品高SDN的特点
品高云的Bingo SDN controller 是一个分布式组件,采用统一的集中化管理,可以感知整体网络的情况,摆脱了臃肿的 Linux network stack 组件。具有多重的进程保护措施,并获得了大量相关的专利;遵循 ONF(open network foundation)的 SDN 标准,不存在网络单点,符合新一代云计算网络架构的发展趋势。
品高云SDN监控界面
品高云在私有云的租户隔离技术上没有选择VXLAN技术(只是在在异地多活环境中使用VXLAN来做隧道隔离),隔离方式基于OpenFlow环境,具有更好的隔离效果,不存在网管中心,因此某租户受到攻击时,其他租户不会受到任何影响。SDN采用的ARP广播抑制技术让用户的MAC地址被保护起来,在用户实例中,租户的信息得到了最大的保护。
分布式的SDN技术在每一台物理主机上都有一套SDN的环境,因此任何一台/套物理机的宕机都不会影响租户的业务应用。只有还有一台宿主机还能运行,这套网络环境就依然可用。据实测,部署了品高云SDN环境的单台宿主机,可以提供169W的并发连接性能,由此可见品高云SDN环境的性能强劲。在物理机(宿主机)环境下,品高云SDN支持5000台的超大规模环境,而虚拟主机则没有数量的限制。
品高云私有云环境内,SDN默认提供的虚拟网络带宽是万兆环境,用户也可以使用千兆链路聚合来提升带宽。企业客户在虚拟主机上的关键业务,就可以具有较高的网络性能,满足用户在私有云环境内的关键业务的需求。品高云在跨VPC或者异地双活环境中同样支持多种带宽的虚拟网络连接,满足用户私有云的高性能、高可用需求。
对于安全特性,品高云采用了两套手段进行详尽的管理。一是在管理权限和策略上使用了vpc,安全组,acl,对等连接等一系列内置可组合的安全功能,最大限度避免用户无意中的端口,漏洞,风险的出现,最大限度避免用户无意中的端口、漏洞的出现;二是联合第三方安全厂商,提供第三方的安全方案集成,目前在品高云中已经提供了10个不同安全厂商的多种类型的安全组件服务(山石网科的云格/云界、启明星辰、360企业安全、安全狗等主流安全厂商),可以满足用户各种不同层次的安全需求。
通过以上,相信您已经对Bingo SDN的整体有了初步了解。后续我们将会从私有云用户的使用角度,对品高云SDN系统进行系列的实战测试,相信会让你对私有云有更深刻的理解。
第二章 挑战万兆网卡性能
云计算环境的3大要素分别是计算、存储和网络,计算和存储相对较为成熟,有大量的商业方案和开源方案,用户可选的也比较多。相比计算和存储,网络容易被用户忽视,却会直接影响企业用户使用云计算的感受。
相比传统物理网络环境,虚拟网络架构下的交换机、路由器设备都由软件实现,SDN(软件定义网络)实现了传统网络设备的绝大多数功能,在传统网络环境中常见的路由器、网关和防火墙大都被SDN所取代,传统网络设备只留下了连接服务器的交换机。
神奇的SDN技术,充分借助了x86服务器在虚拟化和高性能方面的技术优势。各家云计算方案中的虚拟网络环境千差万别,实现方式也各不相同,但有一点是一致的——虚拟网络需要依靠服务器计算能力。在云计算规模越来越大的今天,能充分发挥计算实力的云计算服务商,往往都有一套出色的虚拟网络架构,比如在SDN架构中颇有心得的品高云SDN系统。
万兆虚拟网络环境
据IDC 2016年全球以太网市场调查报告显示:“10Gb以太网交换机一季度的收入20亿美元,同比增长1.2%;但是10Gb以太网交换机端口的出货量却增加了830万个,同比增长29.8%……数据显示10Gb以太网依然占据着企业级市场的主导地位”。
用户端大都选择了10Gb以太网,那么相应的在评估私有云网络时,标准自然也要跨进万兆的大门。在SDI(软件定义基础架构)潮流的驱动下,大量的虚拟服务器主机、SDS存储环境等都是网络带宽的消耗大户,因此评估私有云网络环境时,10Gb虚拟网络已经是一个必要条件。
企事录在品高云SDN环境下,围绕万兆虚拟网络展开多项测试和分析工作,为用户介绍选型/部署私有云环境时,虚拟万兆网络环境对企业级业务的意义。
01
高带宽能满足多核服务器的
计算性能优势群
在数据中心里,两路服务器是企业主流的选择,典型的两路Xeon E5-2650 v4服务器可以提供24核48线程的计算能力,这些服务器大都使用了双端口10Gb网卡来满足虚拟化/云计算的网络架构需求。一台物理服务器在私有云环境中,往往会承载了数十个虚拟服务器主机,如果停留在1Gb网络带宽下,几十个虚拟主机一起争夺网络带宽的画面不可想象。
因此用户要想让自身的企业级应用在云计算环境下具有较为出色的性能表现,除了较高配置的计算性能(计算核心和内存容量)外,云主机提供万兆虚拟网络是一个必要的条件。
02
高带宽带来的高I/O
对存储性能有明显的提升
云计算环境中,存储是一个非常重要的项目。在私有云中最常见的是使用SDS(软件定义存储)架构,通过多台存储服务器构成的存储池来对外提供存储服务。在典型的云计算环境中,用户需要10W+IOPS的存储性能才能满足多租户的存储需求。要满足这样的指标,除了在SDS架构中使用SSD来加速存储性能外,10Gb的双路网络环境也是必要的配置。
03
虚拟网络的高带宽
会对管理提出严苛的要求
就像在物理网络环境中使用防火墙一样,如果用户都是万兆的网络链路,但对防火墙的需求不仅仅是千兆的十倍,复杂的网络矛盾在高速网络下回被成倍放大,以至于拖累整套网络环境。
在SDN的虚拟世界环境中也是如此,如果虚拟网络是10Gb链路,那么SDN控制器就需要消耗更多的计算/内存资源来完成相应的网络业务,当数据以10Gb的流量向SDN奔涌而来的时候,对SDN控制器就是一个巨大的考验,如果SDN控制器不够强壮,轻则系统卡顿,重则虚拟网络架构崩溃。
品高云SDN典型技术
在云计算环境中,针对网络环境有大量不同于物理网络环境的设置,在这里以品高云为例,介绍几个在云计算环境中经常会被用到的技术。
01
隐藏网关
在大规模云网络下多租户使用海量的自定义VPC,虚拟化网关容易成为网络的单点或者资源消耗。Bingo通过SDN以流表的方式实现分布式虚拟化隐藏式网关,这样的网关无单点,零消耗,并且可以抵御虚拟机恶意攻击。
02
虚拟网络环境内的广播抑制
品高云SDN系统在单VPC下可以支持5000台物理主机,支持的VM数量无上限,如此大规模的网络环境下,虚拟机之间的访问,可能会造成广播风暴,增加承载网络的压力,造成访问响应慢等问题。
注:SDN控制IP间的访问抑制了基础网络中的广播风暴。
03
无叠加转发
VXLAN是在云计算环境中经常用到的网络技术,但是叠加的数据包头多了50个字节,在超大规模部署下会影响带宽,品高云SDN采用了无叠加转发设计,对比物理网络只有1.2%损耗。
实战万兆虚拟网络
“网络性能好不好,打个流量就知道”。在物理网络时代,考察网络架构和性能基本是这样的套路,在虚拟网络时代,要考察网络环境的优劣,还是这样的方法。所不同的是在虚拟网络环境中,网络流量有两种可能:
一类是在同一台物理机内的虚拟服务器间的网络流量,这些数据包不通过服务器的物理网卡,直接在虚拟网络环境内完成,这样的网络带宽测试完全依赖于虚拟网络环境;
另一类是在两台物理服务器间,数据流量要经过物理网卡和物理交换机,更能体验整套私有云环境的网络性能。
经过前期对企业云业务的分析,最后终将品高云SDN性能测试第一阶段的平台选定在一套多台服务器的云计算环境中,大部分业务流量是跨物理服务器的,这样才能确保用户关键业务的可靠性。
测试环境是一套多租户的私有云环境,基于多台物理服务器,服务器间为双10Gb(双口10Gb网卡)网络环境,多个虚拟主机分散在不同的物理节点上。
跨NC万兆流量测试
得益于品高云SDN的控制,在同一个VPC下,基础网络内没有其他异常的网络流量,在VPC内各个虚拟主机没有网络负载时,分布在两台物理主机的VM主机,使用Netperf进行点对点的流量打压测试。
红色箭头代表网络流量走向,测试包尺寸涵盖了64字节~1518字节,测试成绩整理后汇总于下表:
上图是品高云虚拟网络带宽性能测试结果曲线。灰色曲线是无其他压力流量下的成绩,橙色曲线是跨NC有强流量压力时的性能曲线。从表中可以看出,虚拟网络性能在包尺寸1024时达到了8.447 Gbits/sec的带宽,接近了10Gb网卡的物理性能。即便同环境下有强压力流量的存在,品高云的虚拟网络依然能达到空载95%的性能,显示出品高SDN优秀的网络控制能力。
对标物理网络环境测试
我们在企事录的实验室用物理服务器环境下的10Gb物理网络环境进行了点对点的性能测试,得到如下结果:
从上表可以看到,物理网络在256包下就能获得8.805 Gbits/sec的带宽,而虚拟网络则要在1024包下才能获得8.4Gbits/sec的带宽。随后两者性能曲线几乎重合。在企业级用户的实际使用环境中,最小的数据包也要4K尺寸,因此企事录认为:在实际使用中,品高云虚拟网络带宽与10Gb物理网卡带宽相同,无明显性能差异。
总结
品高云在自研SDN架构的支持下,在虚拟主机中提供真实的万兆(媲美10Gb物理网卡)虚拟网络环境,可以满足私有云用户复杂的企业级业务的网络需求。即便在其他业务占据了同链路的网络带宽,品高云SDN环境也能给用户提供90%的可用网络带宽,使得用户在复杂的高带宽网络中获得高可靠和高可用的云计算环境。
第三章 分布式云计算环境性能实测
云服务,尤其是公有云服务之所以受到越来越多企业用户的青睐,除了云计算本身具有的池化间隔的物理资源、统一按需分配,以及理论上无限可扩展的特点之外,其很大部分原因还在于,云计算给用户提供了一套自动化的整体解决方案,用户可以聚焦在与企业业务息息相关的应用层的研发之上,而无需额外关注底层基础设施的建设与运维。
既然用户可以集中精力在自身应用上,那么应用部署的难易,部署后的应用效果,都成为用户评估云计算架构的主要内容。因此企事录在实测了了品高云提供的优秀的万兆虚拟网络网络架构后,自然将目光转向了分布式应用环境的部署和应用,希望借助实际的部署案例来诠释品高云的品质。
实战品高分布式架构
尽管对于中小企业而言,采用公有云提供的电子邮件应用(如软件即服务)更加简单便捷,但对于中大型规模企业用户而言,自建邮件系统仍具有很大意义,也是企业用户不可或缺的关键应用之一。往更大的范围说,即使企业不需要自己搭建邮件系统,分布式邮件服务的范式对私有云/公有云上的分布式应用也有很大的参考价值——譬如,腾讯的微信本质上也是基于邮件服务的模式发展而来。
回到企业市场,微软公司推出的电子邮件服务器(Exchange Server)解决方案以其部署简单、功能多样、管理便捷以及扩展方便等特点而受到广泛接受,使用基于Exchange Server的ESRP(Exchange Solution Reviewed Program,微软公司推出)性能评估方案来测试和评估IT系统(包括计算、存储和网络子系统)的综合性能水平,也广受解决方案供应商和企业用户的认可。
企事录实验室通过构建一个分布式邮件服务的环境来验证品高云在企业关键应用中的综合性能表现,并评估随着需求的增长,品高云的水平扩展能力与性能表现。下图为企事录构建的邮件服务器集群架构示意图:
企事录实验室基于品高云构建的邮件服务器集群示意图。安装多个同等配置的Exchange Server(均为4 vCPU,8GB内存)以构建邮件服务器集群,每个Exchange Server上均设置多个Exchange数据库,并均分为活跃数据库(Active DB)和备用数据库(Passive DB)以满足高可用需求。
基于Exchange Server所构建的邮件服务器集群测试环境,虽然对计算子系统有一定的需求,但更多的是评估存储子系统的综合表现(包括性能和容量),同时,在集群环境下,其对网络子系统的性能也有很高的要求(包括带宽和延时)。并且,因为我们构建的Exchange Server集群是一个贴近真实的测试环境,在测试过程中,缓存(Cache,这里主要是内存和闪存)作为整体解决方案的一部分,也将对测试结果带来较大的影响。
在测试环境构建方面,企业录实验室采用微软公司的Exchange Server 2013来构建高可用的邮件服务器集群,每个Exchange Server上均挂载1个500 GB大小的卷(Volume)用于Exchange Server数据库。
值得注意的是,在真实应用环境中,Exchange Server通常会有主(Active DB)备(Passive DB)数据库的设置,以满足某一个或多个Exchange Server故障停机后的业务不中断需求。但在本次测试中,Exchange Server上的所有数据库均为活跃数据库(Active DB),即假定某一台或几台Exchange Server故障后,在满负载环境下,邮件服务器集群是否能够按照既定设计目的正常运行,从而实现业务连续性。企事录实验室以3个Exchange Server为一个集群(一个DAG)起步进行测试,随着测试的深入,不断增加集群中Exchange Server的数量,来验证品高云的水平扩展能力和综合性能表现。在3-5-7个Exchange Server测试环境下,品高云的综合性能表现(如下图):
随着Exchange Server数量的增加,邮件服务器集群所能支持邮箱总数随之增长(蓝线),在7个Exchange Server环境下,品高云可支持1.4万个邮箱,(受限于总的存储容量)每个邮箱大小为250MB。图中橙色虚线为参考线,数据源自企事录根据微软官网公布数据整理的物理服务器所支持的最大邮箱数量,并不代表实际的极限性能水平;散列点则表示使用SAN或者融合设施(闪存用作缓存)实现的最大邮箱数量,数据同样来自微软官网。
测试结果表明,随着标准Exchange Server的增加,邮件服务器集群规模增加,其所能支持的邮箱用户总量亦线性增长。需要注意的是,ESRP测试重点考虑存储子系统的综合表现,包括性能和容量。如果尽可能提高存储的性能(比如使用SSD),出于高可用目的,Exchange服务器会将数据散布到集群内的其他节点之上(比如多副本机制),存储性能的提升,必然导致网络子系统的更大压力。本次测试的意义就在于,人为提高存储性能,从而考量品高云SDN网络在邮件服务器集群应用中的稳定性、可靠性与可扩展性。
在本次测试中,当Exchange Server数量从3个逐步增加到7个时,其存储子系统性能(包括容量)随之线性增长。由于采用了高性能的SSD,随着集群内节点数量的增加,其性能随之增加,而由此对网络产生倍增的性能需求。但从测试结果可以看到,从3节点集群逐步扩展到7节点,整个邮件服务器集群支撑的邮箱数量越多,对网络子系统的压力越大,但品高云的SDN方案很好地支撑了这一应用场景,并且可靠性、稳定性与可扩展性都得到了验证。
由7台Exchange Server构成的单一应用服务器集群已属于较大规模集群,为了实现业务连续性,通常也会从应用层面保证数据的高可用,比如本次测试中所使用的DAG,以及2副本设置,会对网络子系统提出一定要求(如带宽和延时)。品高云SDN的分布式网络设计也为此测试项目提供了必要保障,上一篇实测带宽在万兆虚拟网络环境下可以获得媲美物理网卡的带宽,即便在同宿主机高压力并发时,品高云SDN也能很好的保障业务的流畅。
品高云的企业级架构特色
品高云对大型企业的业务有较强的优化能力,在品高的多个客户的环境中,品高云的优化技术都显著提升了云计算环境的性能优势。
凭借品高SDN在网络性能上的优势,云计算环境中的计算、存储和网络的最后一个瓶颈被打通,为了能够在云计算环境中供给用户媲美物理环境的性能,品高云还围绕用户关心的海量数据传输、检索等应用,引入各种新的技术为用户提供更好的云计算体验。下面将介绍几个典型的品高特色技术。
01
S3数据湖
传统物理网络构架受限核心交换总带宽的瓶颈,在今天的用户选型中已经落伍了;而性能较好的CLOS网络构架,随着用户的重新部署或改造,都面临着高成本的威胁,在于云计算时代,任何过高的成本都会被大多数用户放弃。
上图就是传统架构进化到品高云SDN数据湖的对比。品高云的网络结构不是简单的高性能SDN环境,还依托了品高云在存储部署结构上的改进。
品高云的数据湖是将S3服务、分布式存储直接部署到业务节点上,并利用SDN的引流技术,使数据流减少访问核心交换的几率,直接流向业务节点内的分布式存储环境。通过这种架构有效的解决了用户在海量数据量下的带宽瓶颈问题。
SDN加速-S3性能对比测试图
可以看到,在大并发流量场景下,SDN加速后的上传速率和下载速率都有极大的提升,使用户可以获得更好应用体验
02
Greenplum集群
基于容器的Greenplum计算集群环境在大流量的应用场景中常有不确定的因素,特别是在高并发时服务可能出现的响应慢/不可用的情况,用户对GP的性能与稳定性有疑问。
品高云支持的Greenplum 处理特点是,在处理大数据时,会启动多个实例和进程去执行相同的操作。且处理的都是不同的数据分片,因此实际上就是实现了GP的并行处理。这对于视频、图像等对象存储领域和在线查询、公告等应用环境下,品高云的GP(容器+虚拟机)性能非常接近物理环境的带宽,据品高云内部测试数据显示:
容器网络性能-物理网络性能对比图
如图所示,在品高SDN支持的容器环境中,GP的性能可以达到物理网络的93%,可以满足用户大数量高性能的网络带宽需求。
03
SDN+LVS负载均衡
品高SDN通过对数据包首帧信息进行分析,直接创建二层的加速通道,充分发挥物理网络的带宽,品高云SDN+LVS负载均衡后,可以获得优秀的表现,在KVM实例下,可以获得百万的稳定连接;在负载均衡环境下,可以获得最高160W的连接数。
LVS测试曲线
测试环境(数据来源品高云):
NC规模:(CPU: 80,内存: 314 GB)
客户端实例:50台(CPU:2,内存: 2 GB)
后排服务器实例:20台(CPU: 4,内存: 8 GB)
总结
通过企事录在品高云生产环境中的测试,结合品高云特有的技术,我们认为品高SDN在性能上已经接近物理网络的指标,特别是在高负载的分布式应用场景下,品高云具有极强的可用性,能够为用户在复杂的企业级应用环境下提供良好的使用感受。
第四章 云计算的安全,是个大事
每隔一段时间,云计算领域就会出现泄露或者安全相关的新闻,似乎只要是云服务商,都有安全相关的问题,于是乎,公有云的安全问题在这个时候总会被拿出来点评一番。
注:上述消息引自云头条公众号
虽说云计算依托大型数据中心、规模化应用和强大的运维体系等优势环节,让云主机的可靠性远超传统小型数据中心。但是云计算并不是世外桃源,原本存在的安全问题在云上依然存在,甚至问题的维度更多了——除了用户主机端的安全问题,支撑云计算底层的服务器硬件、网络和存储等环节,在资源池化的模式下,带来了更多安全上的问题。
在云计算领域中有这样的一个观点:目前的云计算环境,有两个典型的安全问题需要用户重视。
第一个就是开源软件漏洞。和商业软件不同,开放源码的软件是由世界各地的程序员维护开发的,虽然具有开放的平台,但是动辄数十万行的开放源代码在用户端部署应用时容易被第三方利用。相比传统的商业软件,开源系统存在不可控的安全隐患。
第二个是传统的木马、黑客程序。虽然云主机提供了系统安装镜像,但是用户在安装和部署应用环境时,有可能安装带有后门的程序,前一阵爆出的基于某平台开发环境的漏洞就是一个典型的案例。
安全对于用户而言是头等大事,甚至在某种情况下是决定企业生死的命门。传统数据中心虽然也会出现宕机、崩溃、甚至丢失数据的问题,但是相比企业关键业务数据的泄露,运维能搞定的都不算大事。
云上安全的思考
单纯的从技术分析——云主机本身是安全的,云存储本身也是安全的,因为它们设计之初就是给用户提供高性能、高可用的计算/存储环境,只要在这两个框架下满足了用户的需求,那么就可以认为它是称职的角色。但是网络做为连接资源池的重要通道,面对的环境却大不一样了。物理网络时代用户可以通过防火墙等设备来防护网络安全问题,可是在大规模的虚拟网络时代,用户数据像洪水般奔腾在虚拟的环境中,传统的网络保护手段难以保护大规模虚拟网络下的安全。
虚拟网络同样有两个关键的安全问题。
第一,云网络环境大都缺乏东西向的安全防护。在大数据、大规模的分布式SDN虚拟环境下,此时依托物理核心交换机的传统方案无法满足安全控制的需要。在分布式SDN网络中,物理网关不在核心交换机上,而是虚拟分散在各个SDN控制器中。此时虚拟主机的东西向流量并不经过核心交换机,传统的IDS/IPS方案就难以发挥作用。
第二,对接容器网络缺乏标准。数据中心的网络边界下沉到虚拟化网络中,传统的安全产品无法探测云内部的网络流量。边界安全产品,旁路安全产品,甚至是插件式的软件安全产品都需要深度改造。
与软件定义网络的安全体系同样也分为两部分,一是云平台自带的,二是NFV方式。
品高云平台安全攻略
在品高SDN的体系中,引入了VPC安全域的概念,虚拟网络可以使用VPC实现多租户间的网络隔离,并且多VPC(私有网络)环境下都能提供独立的网络功能,支持各种网络场景的落地需求。
品高云在VPC环境下,为用户提供了多样化的安全功能:
IP与MAC绑定:虚拟机IP与MAC绑定,私自修改则引起网络中断,防止IP盗用、私接设备的等安全隐患;
安全组:针对虚拟机的类似于虚拟防火墙的安全规则集合,可以自定义虚拟机的访问端口,实现虚拟机之间的安全访问控制;
子网ACL:SDN针对子网的安全控制手段,可以自定义出入的允许和拒绝规则及优先级,实现子网级别的安全访问控制;
子网分化:通过子网微分段的手段实现子网内IP之间的APR隔离,避免ARP嗅探引起的ARP攻击、ARP欺骗的行为;
隐藏式虚拟化网关:SDN构建的虚拟化隐藏网关,避免因黑客攻破网关而引起的大范围安全事件;
自定义路由:SDN支持自定义路由,可将流量路由至防火墙接受检测,实现流量过滤;
弹性IP地址池:防止传统NAT一对多方式引起的范围式入侵行为,采用一对一的方式保证NAT转换的安全性;
物理网关对接:SDN对接物理网关,可在物理网关和机房叠加安全防护策略;
VPC隐藏隔离:实现VPC内不同安全组间的网络数据隔离,解决APR欺骗和攻击的行为;
VPC对等连接:实现跨VPC网络内网数据通信的互联服务,避免跨VPC互通需求下需要外网或其他设备接入带来的安全隐患;
云平台NFV安全策略
安全是没有上限的,除了品高云自带的安全架构外,品高云采用了目前云计算领域中处理安全问题公认的有效手段-----NFV。支持耦合第三方安全厂商,通过将不同安全的网络能力采取编排的手段,变为云中的一个网元,实现安全功能,如此可以充分发挥不同安全厂商在边界安全、杀毒、网络分析、加密等领域的优势,提供给云主机用户更好的安全使用体验。
品高云NFV策略有以下四个安全优势:
01
可扩展的软件定义网络安全体系
软件定义安全通过支持各种标准的网络引流技术,让第三方可以在安全体系上接入自己的网络安全技术,实现网络安全功能与服务的叠加,形成网络安全生态体系。
02
东西南北向分离管控机制
东西流量通常是数据流量,南北流量通常是业务流量,用户对它们的管理控制要求是不同的,因此需要区别对待,实现分开监控并使用不同的网络策略进行管理和控制。
03
非插件式的全网漏洞扫描技术
通过对网络的扫描,网络管理员能了解容器网络的安全设置和运行的应用服务,及时发现系统及应用的安全漏 洞,能有效避免黑客攻击行为,做到防患于未然。
04
网络入侵蔓延回溯和控制技术
通过SDN网络感知回溯技术,可以记录从入侵开始,到入侵被发现的全过程网络行为,跟踪与定位入侵的蔓延范围。通过网络策略阻断蔓延的受控制的容器节点,防止入侵潜伏与二次攻击。
可以使用中这样的比喻来说明云计算的安全目前需要的是什么:“云计算的安全需要大量的“朝阳群众”,群防群治,不能单纯依靠负责安全的“警察”,那样的安全会出现各种意想不到的漏洞。”
目前品高云已经支持对接的边界防护(包括WAF/IDS/IPS/数据库审计等):山石网科、启明星辰、有云、昂楷;网络分析:科来;加密:安全狗;杀毒:360虚拟化安全、趋势。未来还将逐步对接更多的安全厂商的产品,提供给用户更好更安全的云计算环境。
品高云支持的安全厂商产品(朝阳群众)矩阵:
总结
品高云SDN的独特架构为用户提供了从硬件到虚拟层的全面安全防护,相比开源环境和纯商业化的云平台,依托品高SDN的云计算平台可以提供用户更好更安全的云计算生态。
亲们,您有任何需求,请吩咐小表妹吧!扫码联系 24 小时在线客服品高云家的小表妹,我们将为您提供贴心到位的顾问式服务。
关注公众号回复“SDN”可下载报告。
阅读原文:http://mp.weixin.qq.com/s?timestamp=1512141417&src=3&ver=1&signature=oeHSp2xNs6m*nd7dxlKsmboMA8xszKAAZ93EbC1XzmRuEHnKAiwYxd1kbr9ioJerxGO06z0fcGth5SullMd1hPaiL7ElHguDAN8muFi5HpKWhf0t-as0MHfJX4Yp4nYtoyT7DxwKTD3UK8TuYiXStYIigWh9FCQu3JN8KoXxtgo=&devicetype=Windows-QQBrowser&version=61030004&pass_ticket=qMx7ntinAtmqhVn+C23mCuwc9ZRyUp20kIusGgbFLi0=&uin=MTc1MDA1NjU1&ascene=1
网友评论