软件定义网络在商业银行的应用研究

在“大集中2.0”的实践过程中，中国光大银行总、分行应用系统都迁移至私有云，云中的计算、存储和网络资源由总行统一维护。此时总行的角色类似于云服务商，日常受理来自分行系统和应用的服务请求数量增长了30%，网络增长了70% 以上，维护压力巨大。此外，银行业通常对总分行互访、分行间互访以及分行内部的办公和生产互访有着严格的控制。总分行应用迁移至私有云的大集中模式面临着如何确保全行安全防护策略和防护等级不下降的挑战。由于传统网络架构和产品已无法满足我行对网络快速、敏捷、可编程以及精细化安全管理的需要，因此光大银行将网络架构的优化作为“大集中2.0”规划落地的重中之重。

一、对于业界主流软件定义网络技术的研究和思考

        根据光大银行“大集中2.0”对于网络的实际需求，我们认为当今在云计算中最重要的热点——软件定义网络（Software Defined Network，SDN） 能够较好地解决网络快速、敏捷地满足用户需求以及实现私有云中总分行精细化访问控制的需求。相对于传统网络，SDN 通过将网络的智能控制部分（控制平面）和硬件数据转发部分（数据平面）解耦，这样的网络架构可以实现灵活的功能定制化、管理集中化以及网络配置的可编程化。更重要的是，通过这些软件化能力可以实现与上层应用需求的接轨，帮助复杂的银行业务更快捷落地云计算的基础架构承载容器中，实现基础设施从传统架构到云架构的过渡。

        然而采用什么样的SDN 架构是影响整个私有云建设成败的关键问题。从SDN 第一个有影响的Openflow 协议被提出已经经历了近9 年的时间。与人们当初设想的迅猛发展形势形成鲜明对比的是，在很长一段时间内SDN 都是雷声大雨点小，真正在企业落地的案例并不多。这与Openflow 在最初的实现方式不无关系。作为控制器和交换机之间的协议，Openflow 代表了最经典的SDN 实现方式，其通过将所有底层网络的控制平面智能性抽取到运行软件的控制服务器层面，实现了SDN 定义中的控制和数据平面的解耦。当网络规模小、功能决策简单时，这种模型还能够很好地完成任务；而网络规模庞大、功能要求复杂时，控制器就很难在维护巨大流表的同时精细把控所有数据流转发的复杂策略。同时，控制器的横向扩展、冗余切换和相应的状态/ 功能策略的同步又带来网络的管理复杂性和整体运行的不稳定性等诸多问题。

        SDN 的困局并非是其基本思想的路线错误，通过开源开放、可编程、可定制化实现传统封闭式网络所达不到的灵活性和强大功能仍然是构建云计算网络环境的最佳途径。但达到此目的，并不一定非要抽取网络设备的所有智能性到控制器上去，网络依然可以通过保留一定的智能性而形成一个自治系统。这个自制系统一样可以是开源、开放的。目前业界在SDN的发展方向上主要分为以下两大阵营。

        策略控制。这种方案能让控制器“完全减负”，即网络自身完全解决本身的转发和其他的网络智能行为，仅抽走产生这些行为的“原因”交由控制器来控制，即所谓“策略”。这样通过策略控制器我们仍能控制各种网络行为以实现应用所需的灵活性和功能，而不会参与网络的转发行为。这类解决方案比较有代表性的是最大的SDN 开源社区Open Daylight 的GroupPolicy 解决方案。

        Openflow/Overlay 控制。这是使控制器“ 部分减负”的方案，来自于VMware 这样的主机虚拟化厂商。通过VxLAN 等网络虚拟化手段在传统网络上构建简单的Overlay 网络，控制器通过Openflow 协议对Overlay 网络实现控制平面功能，底层网络的可达性由传统网络协议自身完成，控制器得以部分减负。

        以上两种改良SDN 架构最核心的差异在于控制器对基础网络自身的控制平面是否干预。策略控制模式完全不干预而仅做策略设置；Openflow/Overlay控制模式则只针对Overlay 网络做控制平面干预。虽然只是微小差别却导致了其对网络策略视角的不同：策略控制模式的控制器完全从基础架构的通信任务中解耦，专职于策略管控，因而能够把云计算租户的应用需求总结为高度抽象的组策略模型并完成对网络的配置。这样不仅使网络策略更接近应用需求，而且屏蔽了底层基础架构对应用策略的干扰，减少了日常运维的复杂度，提高了银行私有云架构的灵活性和部署敏捷性。同时, 由于采用了更贴近于应用需求的策略模型，因而提供了许多独特的增值功能，包括有应用感知的健康检查、基于应用的流量优化、基于应用的故障追溯和路径跟踪展示等等，直接帮助云计算基础架构更好地支持复杂的应用系统架构，更加适合银行业务结构复杂的云计算部署环境。而Openflow/Overlay 控制器则缺少网络的高层管理，没有应用感知功能。这种模式更适合应用类型统一、业务策略简单、追求规模的互联网类云计算平台。

二、光大银行在软件定义网络技术上的实践

        基于上述分析，光大银行最终选择了成熟度更高、建设风险更低的基于策略控制模式的商用SDN 解决方案，并在私有云建设中进行了应用和部署（如图1所示）。在光大银行的SDN 网络中包含了骨干（Spine）和叶子节点（Leaf）交换机及SDN 控制器。其中交换机可为数据中心提供1G/10G/40G 的无阻塞端口，未来还可平滑升级至100G 以太网。SDN 控制器具备链路状态检测、应用数据传输以及强大的可编程性和集中管理能力。与传统SDN 控制器不同，光大银行使用的控制器不受交换机数据和控制平面的影响，即使控制器离线，网络也能够对终端变化做出响应。

        通过该套网络，光大银行的私有云实现了如下三项功能。

        确保了总分行、分行间以及分行内部应用系统的网络访问控制和安全隔离，实现了同一VLAN 内部应用的安全访问控制，确保了云架构下各项安全策略和规范的实施。

        通过云管理平台对SDN 控制器北向接口的调度，实现了网络访问关系开通和变更的自服务申请以及自动化部署，提升了应用系统部署效率和需求部门的用户体验，并大大降低了网络运维工作量。经统计，基于SDN设备能够有效降低网络变更数量50% 以上。

        通过SDN 控制器提供的链路状态监控手段和排错工具，如针对二层多路径下的链路丢包率监控以及对故障链路的自动隔离，针对应用系统的网络传输质量监控等功能，大大提升了网络监控的深度和可视化，缩短了网络故障根源分析的时间。同时也为应用监控提供了更有针对性的基础数据。

        总体而言，SDN 网络技术的应用确保了光大银行“大集中2.0”科技战略的成功落地，满足了私有云对网络快速、敏捷部署的需求。

三、光大银行在软件定义网络技术的自主可控探索

        随着私有云建设的不断深入以及SDN 网络运维经验的积累，光大银行发现商用SDN 控制器的原生功能仍然有一些不足，例如：

        用户的网络变更需求能够通过自动化功能实现，但是网络管理员的运维需求自动化程度较低，操作量大，需要进行二次开发以减轻工作量，提高变更效率和准确性；当应用架构较为复杂时，SDN 控制器预置的应用模型相对简单，仅能够体现单个应用系统的访问关系，无法反映和监控多套应用之间的关联关系，需要进行二次开发以满足需求；在日常运维工作中，SDN 控制器提供的监控信息不足，部分深度监控指标和策略没有在管理员界面中展现，仅提供了Restful 接口，无法直接部署高级监控策略和自动化任务，需要进行二次开发以提升SDN 网络整体的可维护性；目前SDN 网络的策略管理和自动化实施主要通过云管理平台调用SDN 控制器的北向接口完成，后续如使用多家厂商的SDN 产品，通过现有的云管理平台实现多厂商SDN 控制器的统一调度，管理的开发量大、难度高，需要考虑通过其他技术和产品保证未来SDN 网络发展的可扩展性和整合能力，避免被单一厂商的产品和方案锁定。

        考虑到上述情况，并响应银监会对于银行业进行自主可控能力建设的号召，光大银行着手进行SDN 控制器功能优化以及产品整合的开发，力争逐步实现对SDN 网络技术的自主可控。在仔细评估了各种技术方案后，光大银行最终选择使用OpenStack/Neutron 作为软件定义网络自主可控建设的技术方案，并在其基础上进行了定制开发。之所以选择OpenStack/Neutron 技术，主要原因如下：目前OpenStack 是最活跃的开源云计算项目，Neutron 是OpenStack 核心项目之一，能够提供云计算环境下的软件定义网络功能，同时支持多种软硬件SDN解决方案，包括目前市场主流的网络厂商的商用产品；Neutron 实现上采用了模块化设计，易于扩展。能够通过插件支持多种软硬件SDN 方案，用户在此基础上可以进行各项功能的调整和优化，定制化开发难度相对较低。

        现在光大银行已逐步尝试基于OpenStack/Neutron进行SDN 网络高级功能的自主研发，并将私有云的网络控制由云管理平台直接调度SDN 控制器改为云管理平台通过OpenStack/Neutron 间接调度SDN 控制器的两级模式。通过对OpenStack/Neutron 的二次开发，光大银行的SDN 网络的可维护性大大提升，能够帮助网络管理员更便捷高效地完成维护工作；能够依据用户提交的网络访问关系自动生成各个应用系统的关联关系，实现了应用系统网络健康状态的全局化、可视化深度监控，以及应用告警发生后的网络故障诊断和快速定位。此外，基于OpenStack/Neutron 光大银行的SDN 网络已具备多厂商产品的融合能力，在一定程度上确保了针对软件定义网络后续发展的自主可控。

        光大银行对于软件定义网络的研究与应用源自于“大集中2.0”的战略规划和私有云的实施。从商业产品入手，通过逐步对软件定义网络技术的了解、熟悉，并结合开源软件的优势，最终形成了满足光大银行自身需求，并适合在银行推广的软件定义网络建设方案和实践经验。

（文章来源：金融电子化杂志）

扫码即可手机
阅读转发此文