一、 研究背景情况
(一) 问题和挑战
银联基于 OpenStack开源技术的金融云平台已运行 5年,目前已达数千台级物理服务器规模,银联互联网、移动支付等关键业务,特别是提供多样化支付服务的全渠道系统均已运行在云平台之上,有效支撑了银联业务创新,在支付产业日益开放和用户体验互联网化的趋势下,银联也在积极探索更加开放和灵活的技术体系,探索云平台在服务内部需要的同时,兼顾未来向外部开放,向金融行业提供开放的、共享的云服务。软件定义网络(Software-defined networking ,即SDN)是这一演进过程中必须的技术组成。
然而SDN现阶段还处在发展和变革中,新兴的“软件定义”提供商主动开创却缺乏历史积累,传统的“硬件设备”提供商顺应变革却局限于历史包袱,都在给SDN的技术选择上提出了挑战。特别是在金融机构,SDN演进战略缺乏顶层指导、选型体系缺乏统一标准以及技术数据缺乏中立来源三大问题影响了现阶段的技术决策。
因此在银联云平台面临下一代基于SDN的云平台升级之时,在金融行业数据中心架构向开放、高效演进变革之际,银联依托国内金融行业首个电子商务与电子支付国家工程实验室的研究资源,构建了一个基于SDN的下一代云平台的准生产级创新研究实验环境,致力于为各金融与非金机构的合作伙伴提供安全高效的前瞻性技术服务,为包括银联在内的金融行业未来生产环境中SDN以及其他关键技术升级做好技术验证。
(二)软件定义网络研究成果
我们构建了一个42个物理节点规模的基于SDN的新一代云平台,实现了以下应用和技术成果:
应用成果
-
完成银联创新研究实验环境基础设施即服务(IaaS)建设,基于Openstack L版定制,支持了生物识别、区块链等金融创新研究应用。
技术成果
-
异构兼容能力,实现多SDN技术模式不同网络区域的统一管理,硬件与软件SDN方案混合,商业与开源方案并存;
-
高可用能力,基于商业SDN高可用组的自动编排,基于容错x86服务器的纯开源SDN控制器高可用优化,目标设计值5个9(需要长时间运行后确认),故障切换时间优化至5-10秒(还在向1秒内优化中);
-
自动化能力,Overlay逻辑虚拟网络元素的拖拽自动生成,实现网络资源组的一键开通,包括虚拟路由、负载均衡、防火墙、VPN以及相关网络安全配置参数等;
-
运维能力,网络可视化和拓扑自动发现,基于性能考虑的与SR-IOV等底层技术的集成。
(三)技术应用指导思想
网络的本质是实现节点到节点之间的数据流转发,传统业务网络流量模型相对简单固定,因此可通过有效的区域规划实现以南北向流量为主的网络运维;云数据中心面临“互联网+”新业务流量模型,其中尤其多租户的云服务模式,使网络东西流量大幅增加,传统网络区域规划管理模式受到挑战。
因此下一代云平台的SDN技术应用需要的是可以任意管理控制网络数据流转发与大小的网络技术,在注重安全的金融数据中心中传统“区域隔离安全网络模型”将转向“应用隔离安全网络模型”的运维管理模式,将秉承弹性、透明、积木化的三大云计算技术理念。
面向应用隔离安全网络模型的运维管理模式中,是以应用为中心的网络资源服务提供方式,云数据中心的应用是弹性变化的,因此网络资源的开通与回收需要紧密跟随应用的运行状态进行弹性变更,相应的安全控制模式也需要动态调整。
SDN网络技术是控制与数据分离的网络技术,因此SDN网络控制技术应能屏蔽不同网络数据传输设备的差异性,在满足业务性能需求前提下,网络业务的部署与运行应无需关心具体底层网络技术的实现。
在云网络规模不断增长,功能不断完善的情况下,通过定义良好的接口和协议,实现服务模块标准化后的“即插即用”,从而以模块组装的方式提升网络规模,加强网络服务能力。
二、软件定义网络的技术理解
我们认为在传统金融企业数据中心,上层多租户和多应用的网络资源需求,使SDN实践落地时必须考虑基础SDN网络技术,以及NFV(Network Function Virtualized,非电信级)技术,基础SDN网络技术是指2~3层的协议和其控制器,NFV技术是指4~7层的网络功能虚拟化,此外云平台网络资源编排定制化也是SDN用户友好性的关键工作。
