一、 什么是網絡編排?

編排(Orchestration)，最早出現(xiàn)于藝術領域，指的是按照一定的目的對各種音樂、舞蹈元素進行排列，以期達到最好的效果。引申到IT網絡管理范疇，指的是以用戶需求為目的，將各種網絡服務單元進行有序的安排和組織，使網絡各個組成部分平衡協(xié)調，生成能夠滿足用戶要求的服務。網絡編排實際上是用網絡抽象語言定義一個從用戶到業(yè)務服務的網絡管道的過程。編排后得到的、能滿足自動化部署要求的網絡服務需要具有快速部署、動態(tài)調整、重復使用的能力。(如圖1所示)

圖1 網絡服務編排

二、 為什么需要網絡編排?

在云計算時代，IT管理人員面臨著各種各樣的難題(如圖2所示)。這些難題給網絡服務帶來了怎樣的影響，該如何看待網絡編排?

圖2 服務的三個困境

以某企業(yè)IT業(yè)務常規(guī)的部署為例，其要部署一個Exchange郵件服務器，并為市場部門提供服務。首先系統(tǒng)管理員進行計算資源的部署，然后網絡管理員根據(jù)要求配置接入交換機的網絡資源，并根據(jù)需要對匯聚以及更上層節(jié)點進行網絡調配?？紤]到市場部門人員使用該服務時，可能從公司內部、分支辦事處、外出移動辦公等不同地點采用LAN、VPN等方式接入，還需要在路由器網關、防火墻等節(jié)點進行網絡調配。(如圖3所示)。

圖3IT業(yè)務常規(guī)部署模式

在這個操作過程中，計算資源的自動化交付因為服務器虛擬化技術的廣泛應用而比較容易實現(xiàn)，系統(tǒng)管理員可以以自助的方式申請VM資源服務并部署Exchange VM image。相對于計算資源的點狀結構，網絡由于其更為復雜的網狀和層次結構，實現(xiàn)完全自動化部署比較困難;常規(guī)模式下的手工操作或借助于管理工具的操作，需要對網絡實時狀況非常了解(比如拓撲)，涉及到的網絡節(jié)點范圍可能會非常多，非常容易出錯。

同時服務并不是一成不變的(比如服務擴容、服務器虛擬化所引入的VM遷移等)，要求網絡配置隨之動態(tài)調整，常規(guī)模式下的手工網絡操作將引起業(yè)務服務的長時間中斷，已經不能滿足當前業(yè)務的要求。

如果還需要為其他部門建立一個類似的Exchange服務時，從設計到實施，所有的工作都需要重新開始。無法從已有的服務中復用現(xiàn)有的基礎架構和勞動成果。

當通過網絡編排能力交付網絡服務后，我們可以把實現(xiàn)一個業(yè)務網絡部署的預期時間，縮短到僅僅幾分鐘的時間，從而實現(xiàn)網絡自動化部署能力(如圖4所示)。

圖4 使用網絡服務編排之后的IT業(yè)務部署模式

#p#

三、網絡編排對象的設計

網絡編排的過程，可以簡單理解為對抽象網絡對象的組織和調配，包含網絡資源的分配調度等。對網絡對象的抽象設計可以拆分如下幾個方面。

1. 對網絡設備功能進行抽象

在當前技術環(huán)境下，IT管理員所面對的不再是一成不變的設備環(huán)境，基礎設施可能隨著需求而快速增長。這種增長既包括數(shù)量上的增長，也包含廠商、設備型號的增加。為了屏蔽不同廠商、不同型號設備的差異，使IT管理員的精力聚焦在服務本身，必須要做到對網絡設備業(yè)務功能的抽象。

從實現(xiàn)技術上看，對網絡/設備功能的抽象有兩種(如圖5所示)。

1) 基于SDN相關的技術對網絡/設備功能的抽象。SDN的核心是對網絡的行為進行集中編程控制，就必然首先要對網絡設備的行為和能力進行抽象。如OpenFlow技術就是將網絡抽象為簡單的基于流的轉發(fā)控制能力。在此基礎之上，可以抽象基于流的ACL、QwS、VLAN、VPN等功能。

2) 基于傳統(tǒng)網絡技術(比如SNMP/CLI等管理協(xié)議)實現(xiàn)對設備/網絡功能的抽象。

圖5 網絡&設備功能抽象

2.對網絡服務的最小單元進行抽象

基于網絡設備功能的抽象，從表義性角度出發(fā)設計可編排的最小單元作為網絡服務單元(網絡對象)，包含設備(虛擬/物理)、Port(虛擬/物理)、Link(End-End link、Net-Net link、End-Net link)、Network(L2/L3/flow-based)、IP服務(DHCP/DNS/NAT)、安全服務(FW/LB/IPS)。

作為網絡對象，每個網絡服務單元都會占用一定的網絡資源(如交換機端口、帶寬、VLAN、IP地址池、隊列等)，同時網絡對象還會有其他的網絡屬性，無法作為資源進行統(tǒng)一分配(如優(yōu)先級、時延要求、有線/無線類型等等)。

每個網絡服務單元都具有各自對應的網絡/設備功能(對應上面小節(jié)的抽象能力)。網絡服務單元(網絡對象)作為后續(xù)編排的基本元素，為什么不直接采用抽象出來的網絡設備功能進行編排呢?事實上，這是目前一些編排軟件的做法，但這要求服務管理員具有非常豐富的專業(yè)知識和經驗，對每個網絡功能和技術細節(jié)非常了解。這就使得服務的建立成為一個很大的技術壁壘，使得服務編排變得比較困難。因此這種編排能力僅適合于非常專業(yè)的用戶。

采用抽象層次更高的網絡服務單元(服務對象)進行編排，將為服務管理員提供更接近自然語言的設計能力，與直接采用網絡設備功能的編排對比，就相當于面向對象編程和結構化編程的區(qū)別，高級語言和匯編語言的區(qū)別。同時在服務編排定義過程中，服務對象和具體物理網絡設備的關聯(lián)綁定不是必須的，為網絡服務復用性提供了可能。

3.對網絡模型進行抽象

從用戶對服務的訪問路徑分析出發(fā)，可以抽象各類物理網絡的組網模型。例如：用戶從分支訪問遠程數(shù)據(jù)中心的完整路徑，其網絡模式可以分為用戶接入網絡、WAN網絡、DC核心、DC匯聚、DC接入、虛擬服務器等幾個區(qū)域;網絡比較簡單時，可以只有用戶接入網絡、WAN網絡、DC網絡。設計者可以根據(jù)實際網絡設計目的抽象成不同網絡模型。比如只關注用戶接入和應用服務器接入的控制，在設計網絡模型時，就可以不必關注WAN網絡、DC核心/匯聚節(jié)點。

編排時根據(jù)網絡模型對網絡服務單元進行組織和配置，網絡模型的復雜度決定了服務編排的復雜性。

同時對用戶的真實物理網絡也要按相應的網絡模型進行資源管理，為后面所述的服務實例化過程中，服務單元和物理設備的綁定關系計算提供輔助。

#p#

四、網絡服務的編排

1.基于網絡模型對服務單元進行排列組織

根據(jù)實際網絡組網需求，首先選擇使用的網絡模型。然后使用預先抽象設計的網絡服務單元(網絡對象)作為編排的基本元素，在所選擇的網絡模型中，將這些網絡服務單元按照一定的排列方式進行組合、編排、連接，形成一條端到端的網絡服務管道。

圖6 網絡服務編排GUI舉例

2.對網絡服務單元的功能參數(shù)賦值，形成可分發(fā)的網絡服務

對編排的網絡服務管道上的每個服務單元，根據(jù)需要設定具體的參數(shù)，為之分配網絡資源(IP地址、路由、VLAN ID、ACL配置及用戶認證配置等)，最終形成可分發(fā)使用的網絡服務(如圖7所示)。

其中網絡服務單元和實際物理設備節(jié)點的綁定關系可以在編排時靜態(tài)指定，或在服務實例化時/部署時動態(tài)綁定(比如VM接入網絡的物理端口可能動態(tài)變化的)。

網絡模型不僅僅為方便編排的設計和規(guī)劃過程，因為用戶在設計網絡模型時，同時考慮了用戶的真實物理網絡組網結構，所以在動態(tài)綁定服務單元和物理網絡節(jié)點的計算環(huán)節(jié)中，網絡模型也有非常重要的作用。

圖7 網絡服務的形成

#p#

五、網絡編排的關鍵技術

根據(jù)網絡服務編排End to End的要求，用戶接入、網絡管道、應用接入是網絡服務的三個關鍵位置。由于計算虛擬化技術的使用，應用接入位置可能是動態(tài)遷移變化的;同時用戶訪問方式的多樣性，其接入位置也可能是動態(tài)的，使得中間的網絡管道也有一定的動態(tài)性。網絡編排服務是否有效，這三個位置的跟蹤和計算能力是非常關鍵的。

1.應用服務器/VM的接入位置。要求精確定位和跟蹤VM到網絡接入交換機的端口，并將編排的網絡服務動態(tài)部署/遷移到接入端口上。傳統(tǒng)的技術主要是拓撲計算能力，除了要求全網設備支持LLDP等二層鄰居發(fā)現(xiàn)協(xié)議，管理軟件能還要有效跟蹤全網MAC表變化，這便存在著實時性和準確性的問題。目前802.1Qbg協(xié)議很好的解決了這個問題，(如圖8所示)通過服務器和交換機的VDP交互，實時感知虛擬計算資源的遷移和部署，通過和管理軟件的協(xié)同，實現(xiàn)網絡服務的自動化部署和調整，從而實現(xiàn)網絡資源的動態(tài)遷移。

圖8 基于802.1Qbg實現(xiàn)VM的網絡接入位置動態(tài)定位

2. 用戶接入位置?？梢曰诟鞣N終端跟蹤技術(如用戶接入身份認證、BYOD方案等)，從而支持本地LAN接入、WLAN接入、遠程VPN接入、移動SSL VPN接入等各種接入方式的用戶位置跟蹤和定位。

3、網絡管道路徑分析。主要是基于網絡拓撲技術，必須有完整、準確的拓撲，才能實現(xiàn)編排服務的有效部署和動態(tài)調整。該技術分為以下兩個方向。

1)HopByHop的網絡控制方式，要求全網(特別是廣播域內)的拓撲必須完整和準確?；谕負溆嬎憔W絡服務的管道路徑，逐點部署網絡服務配置，連接用戶和應用。如在SDN模式下，管理員可以基于現(xiàn)網拓撲，靜態(tài)指定網絡管道，或根據(jù)策略動態(tài)選擇網絡路徑。

2)Overlay的網絡tunnel管道控制方式，如VPN、VXLAN、NVGRE等技術，可以直接在用戶和應用之間建立一個三層網絡管道，網絡僅僅提供一個透明的管道，部署和動態(tài)調整相對簡單的多。

六、 結束語

利用網絡服務編排，IT部門可以真正快速便捷的實現(xiàn)服務建立與部署，真正的進入網絡自動化的時代。通過評估模型的建立與配置，服務使用者可以直觀并快捷的實現(xiàn)對服務的綜合評價與監(jiān)控。由此，IT管理員將徹底從云服務建立、調整、擴容等繁雜的配置工作任務中解脫出來，而將主要精力聚焦于為客戶提供高效率、高質量、高保障的服務上來，并真實的體會到技術的進步所帶來的效率提升。同時SDN技術在網絡領域是非常符合服務編排的一個基礎架構。可以基于SDN的抽象網絡接口設計網絡服務單元，進而實現(xiàn)網絡服務的編排能力。