SDN交换机在不同场景的云计算网络作用解析

或者性能不可预测，有的是客户的某些服务器是定制化的服务器，有的是出于安全考虑，从物理上就不想跟别人共享，还有的则是用户自带服务器，压根就不想云服务提供商来动，等等，总之原因是千奇百怪，但是都是客户真实需求。

　　对于这个需求，如果使用Vlan组网，那还是比较容易搞定的，不用SDN交换机也勉强可以，因为要做隔离的话，直接在普通交换机上配置Vlan就行了。但是一旦使用Tunnel，那问题就来了，Tunnel VTEP配置在哪里？有人说可以在服务器上只起一个虚机，然后也安装vSwitch，这样当然也可以做，但是性能受损，不是客户希望的，相当于欺骗客户;还有人说专门设计一个特殊的vSwitch，安装在服务器上，这样理论上肯定也行，但是工作量就大了（不仅仅是设计这个vSwitch的工作量，还有云平台控制的工作量），一般人搞不定。更何况，如果是用户自带设备根本不想你去动，这两种办法都行不通。对于这个场景，包括VMware在内的很多专业网络虚拟化解决方案提供商，一般的做法都是通过一台硬件SDN交换机作为VTEP Gateway，来将这些物理服务器接入到虚拟网络中去，物理服务器不需要做任何事情。而且这种场景对作为VTEP Gateway的SDN交换机来说，还有一个比较重要的要求，是目前用某大牌交换芯片的所有交换机都做不到的，那就是需要交换机既能支持Tunnel bridging，也能支持Tunnel RouTIng（否则没法做分布式L3 Gateway），当前用该大牌芯片的交换机只能支持前者，无法支持后者。思科的ACI之所以能支持后者，是因为他们用了自己一颗芯片。当然，该芯片提供商后面的芯片据说会解决这个问题。

　　盛科网络的SDN交换机，用的是自研交换芯片，从第一代芯片开始就支持Tunnel bridging & rouTIng。 目前针对这个场景的SDN交换机已经大量部署和即将部署在多个公有云中。该场景架构见下图（注：SDN的控制协议未必是OpenFlow，也可以是私有协议）

　　场景3：使用硬件SDN交换机接入硬件防火墙

　　云计算网络中使用硬件防火墙，这个很常见。特别是企业私有云，托管云，甚至公有云里面也有。很多用户明确提出，我原来用我的硬件防火墙用得很好，你要让我上云可以，一定要把我的硬件防火墙用起来。那问题就来了，以前在传统网络中，用户数据想经过防火墙，很简单，把防火墙串接在网络出口或者配置一个ACL把流引过去就可以了。但是在云计算的网络里面，有可能某个防火墙只是为某几个用户或者某一组应用服务的，甚至这个防火墙压根就这个用户自带的，你不能把它物理上串接在网络出口，必须要将流量引到放在某个机柜的防火墙上，但是这个时候用传统ACL不合适，因为VM是动态产生的，策略也可能动态变化，你需要动态在交换机上配置ACL。用什么来做最合适？毫无疑问是SDN交换机，动态策略跟随，本来就是SDN的强项，思科的ACI最核心的东西就是动态策略跟随。

　　如果云计算网络中使用了Tunnel，那问题会更麻烦，因为很多硬件防火墙不支持Tunnel，必须要有另外一个地方终结Tunnel，然后将Tunnel转换成Vlan送到防火墙，谁来做这个事情最合适？毫无疑问，那就是支持Tunnel的SDN交换机。

　　有人说这样的话防火墙仍然会受4K Vlan的限制。其实不然，因为Tunnel向Vlan转换的时候，这里的Vlan可以是每端口唯一的，而不需要是全局唯一的。当然，这个也需要交换机能支持才行。盛科的SDN交换机就可以很好地支持这个需求。

　　场景4：使用硬件SDN交换机支持多个Hypervisor混合组网

　　说是多个Hypervisor，其实最多的还是说VMware跟其它Hypervisor的混合组网。因为无论是KVM还是Xen，那些开源的云平台或者第三方中立的私有云平台都能支持得很好，云平台可以完全控制这些Hypervisor。但是VMware是一个闭源的Hypervisor，没办法随心所欲控制。很多客户都用了VMware以前的老产品，现在VPC比较热，无论是赶时髦也好，还是真的有需求也好，他们都想能支持VPC，特别是基于Tunnel Overlay的VPC。有人说，那好办啊，VMware不是有NSX专门来干这事吗？尽管它提供了对OpenStack的driver，但是NSX非常贵，一般客户用不起或者觉得不划算。这些客户要引入一些开源的KVM，XEN，但是又不想丢弃以前的VMware，还想让这些Hypervisor一起组成VPC网络。那怎么办呢？

一个有效的解决方案就是使用SDN交换机接入使用了VMware的服务器，云平台调用vCenter的接口配置VMware，使用Vlan标识租户的network，然后在SDN交换机上，将Vlan转换成Tunnel，如果要让VM的流量送到防火墙去做过滤，也都可以通过SDN交换机去做。该方案已经由我们