《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于OpenFlow的簡(jiǎn)化云計(jì)算網(wǎng)絡(luò)架構(gòu)
基于OpenFlow的簡(jiǎn)化云計(jì)算網(wǎng)絡(luò)架構(gòu)
2014年微型機(jī)與應(yīng)用第23期
劉志國(guó)1,,肖延麗2
(1. 山東廣電網(wǎng)絡(luò)有限公司泰安分公司,山東 泰安 271000; 2. 泰山醫(yī)學(xué)院 研究生部,,山東 泰安 271016)
摘要: 云計(jì)算能夠提供快速,、靈活,、穩(wěn)定和可靠的服務(wù)?,F(xiàn)有的云計(jì)算網(wǎng)絡(luò)架構(gòu)非常復(fù)雜。為了提高云計(jì)算網(wǎng)絡(luò)的安全性,,并使其節(jié)能,、易管理,設(shè)計(jì)并實(shí)現(xiàn)了一種基于OpenFlow技術(shù)的簡(jiǎn)化的云計(jì)算網(wǎng)絡(luò)架構(gòu),。與現(xiàn)有的云網(wǎng)絡(luò)架構(gòu)相比,,簡(jiǎn)化的網(wǎng)絡(luò)體系結(jié)構(gòu)具有按需供給和安全性高等特點(diǎn)。
Abstract:
Key words :

  摘 要云計(jì)算能夠提供快速,、靈活,、穩(wěn)定和可靠的服務(wù)。現(xiàn)有的云計(jì)算網(wǎng)絡(luò)架構(gòu)非常復(fù)雜,。為了提高云計(jì)算網(wǎng)絡(luò)的安全性,,并使其節(jié)能、易管理,設(shè)計(jì)并實(shí)現(xiàn)了一種基于OpenFlow技術(shù)的簡(jiǎn)化的云計(jì)算網(wǎng)絡(luò)架構(gòu),。與現(xiàn)有的云網(wǎng)絡(luò)架構(gòu)相比,,簡(jiǎn)化的網(wǎng)絡(luò)體系結(jié)構(gòu)具有按需供給和安全性高等特點(diǎn)。

  關(guān)鍵詞: 云計(jì)算,;OpenFlow,;網(wǎng)絡(luò)架構(gòu)

0 引言

  云計(jì)算具有靈活、可擴(kuò)展,、容錯(cuò)性強(qiáng)等特征?,F(xiàn)有的云計(jì)算網(wǎng)絡(luò)架構(gòu)非常復(fù)雜,一個(gè)數(shù)據(jù)中心包括防火墻,、以太網(wǎng)交換機(jī),、服務(wù)器負(fù)載均衡器、服務(wù)控制引擎和入侵檢測(cè)等模塊,。對(duì)于每一次的服務(wù)都需要涉及到較多的設(shè)備,。云計(jì)算網(wǎng)絡(luò)架構(gòu)需要重新設(shè)計(jì)和簡(jiǎn)化。簡(jiǎn)化的網(wǎng)絡(luò)架構(gòu)必須易于維護(hù),、配置,能夠提供良好的服務(wù),,且具有較高的安全性,。本文采用OpenFlow技術(shù)建立了一種簡(jiǎn)化的云計(jì)算網(wǎng)絡(luò)架構(gòu)。防火墻,、服務(wù)器負(fù)載均衡器和以太網(wǎng)交換機(jī)都可以在一個(gè)設(shè)備上通過(guò)程序來(lái)模擬實(shí)現(xiàn),。這種新的綜合設(shè)備易于構(gòu)建、編程和管理,,同時(shí)簡(jiǎn)化的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)將降低運(yùn)營(yíng)成本,,提高云數(shù)據(jù)中心的運(yùn)營(yíng)靈活性。

1 現(xiàn)有的云計(jì)算網(wǎng)絡(luò)架構(gòu)

  現(xiàn)有的云計(jì)算網(wǎng)絡(luò)架構(gòu)在服務(wù)層有很多不同的元素,,包括路由器,、防火墻、以太網(wǎng)交換機(jī),、光纖通道交換機(jī)和服務(wù)器負(fù)載均衡器等設(shè)備[1],。云計(jì)算網(wǎng)絡(luò)使用防火墻來(lái)保護(hù)服務(wù)器和存儲(chǔ)器,防火墻的功能為允許或拒絕基于一個(gè)規(guī)則集的網(wǎng)絡(luò)傳輸,。負(fù)載均衡器實(shí)現(xiàn)各服務(wù)器之間的負(fù)載共享,。

  在云計(jì)算網(wǎng)絡(luò)架構(gòu)中,數(shù)據(jù)中心包含許多服務(wù)設(shè)備,。該數(shù)據(jù)中心通過(guò)核心路由器連接到互聯(lián)網(wǎng),,并通過(guò)一個(gè)匯聚層聚合服務(wù)層設(shè)備。服務(wù)層設(shè)備包括防火墻、負(fù)載均衡器等,。所有的服務(wù)層設(shè)備連接到匯聚層,,并通過(guò)匯聚層設(shè)備進(jìn)行交換或路由。用戶(hù)可以靈活地提交業(yè)務(wù),,基于每個(gè)服務(wù),,網(wǎng)絡(luò)體系結(jié)構(gòu)可以是不同的。一些用戶(hù)可以選擇負(fù)載均衡服務(wù)和防火墻服務(wù),;另一些用戶(hù)則可以根據(jù)固定的業(yè)務(wù)量,,選擇靈活的計(jì)費(fèi)服務(wù)。網(wǎng)絡(luò)架構(gòu)可以根據(jù)所提供業(yè)務(wù)的不同而變化,。接入層包括虛擬接入設(shè)備,、服務(wù)器和存儲(chǔ)器。接入層提供服務(wù)器和網(wǎng)絡(luò)之間的物理連接,。該網(wǎng)絡(luò)結(jié)構(gòu)和配置非常復(fù)雜,,不易操作。

2 OpenFlow技術(shù)

  OpenFlow[2-3]是2007年9月由斯坦福大學(xué)提出的一種未來(lái)互聯(lián)網(wǎng)技術(shù),。OpenFlow技術(shù)的目標(biāo)是允許研究人員在網(wǎng)絡(luò)上運(yùn)行創(chuàng)新和實(shí)驗(yàn)的方案,。為了維護(hù)和支持OpenFlow的規(guī)范,2008年相關(guān)研究人員在斯坦福大學(xué)建立了OpenFlow交換機(jī)論壇,。OpenFlow作為一個(gè)功能模塊添加到現(xiàn)有的以太網(wǎng)交換機(jī),、IPv4路由器和WiFi接入點(diǎn)上,其擁有一個(gè)內(nèi)部流表[4]和標(biāo)準(zhǔn)化的接口,,用來(lái)添加和刪除流表項(xiàng),。OpenFlow交換機(jī)論壇定義了流表和OpenFlow控制器,能夠通過(guò)遠(yuǎn)程遙控器來(lái)控制OpenFlow設(shè)備,。

  在傳統(tǒng)的交換機(jī)或路由器中,,數(shù)據(jù)平面的報(bào)文轉(zhuǎn)發(fā)和控制平面的路由處理決定都是在同一臺(tái)設(shè)備上進(jìn)行。主機(jī)控制和數(shù)據(jù)處理功能在一起,,使網(wǎng)絡(luò)設(shè)備變的復(fù)雜而且不靈活,。OpenFlow采用“Clean slate”的將數(shù)據(jù)平面和控制平面分離的設(shè)計(jì)方法。在一般情況下,,數(shù)據(jù)平面負(fù)責(zé)報(bào)文處理和轉(zhuǎn)發(fā),,而控制平面負(fù)責(zé)數(shù)據(jù)流的處理。外部的OpenFlow控制器負(fù)責(zé)管理控制平面,。有了此功能,,研究人員可以實(shí)時(shí)地在網(wǎng)絡(luò)上運(yùn)行創(chuàng)新的協(xié)議,以驗(yàn)證實(shí)驗(yàn)方案,,而不必受制于網(wǎng)絡(luò)設(shè)備出自不同的廠(chǎng)商,。通過(guò)OpenFlow協(xié)議,,OpenFlow控制器控制流表和交換機(jī)的狀態(tài),以及流信息,。OpenFlow的可編程特性使網(wǎng)絡(luò)管理員可以動(dòng)態(tài)地配置和管理OpenFlow網(wǎng)絡(luò),,從而提高管理和維護(hù)的效率。

3 基于OpenFlow技術(shù)的簡(jiǎn)化云計(jì)算網(wǎng)絡(luò)架構(gòu)

  基于OpenFlow技術(shù)的簡(jiǎn)化云計(jì)算網(wǎng)絡(luò)架構(gòu)包括網(wǎng)絡(luò)設(shè)備整合,、按需供給和安全網(wǎng)絡(luò)三方面,。

  3.1 云計(jì)算網(wǎng)絡(luò)設(shè)備整合

  采用一個(gè)新的網(wǎng)絡(luò)整合設(shè)備以簡(jiǎn)化云網(wǎng)絡(luò)架構(gòu)。這種簡(jiǎn)化的云計(jì)算網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)可以提高網(wǎng)絡(luò)運(yùn)行,、管理和維護(hù)的效率,,減少工作量。

  使用OpenFlow技術(shù)以鞏固原有的云計(jì)算網(wǎng)絡(luò)設(shè)備,。傳統(tǒng)的云計(jì)算數(shù)據(jù)中心匯聚層處于第二層和第三層的邊界上,,數(shù)據(jù)中心包含防火墻和服務(wù)負(fù)載均衡器等。新提出的架構(gòu)使用單一的OpenFlow設(shè)備,。OpenFlow設(shè)備能夠?qū)崿F(xiàn)所有匯聚層的交換特性和服務(wù)層的服務(wù)功能,,包括防火墻、服務(wù)負(fù)載均衡器等功能,。這些服務(wù)層的功能通過(guò)軟件和配置實(shí)現(xiàn),,并提供給OpenFlow,通過(guò)OpenFlow的協(xié)議和控制器接口進(jìn)行交換,。OpenFlow控制器的接口定義了添加,、刪除、修改和獲取信息等操作功能的流表,。

  OpenFlow設(shè)備的鏈路狀態(tài)、節(jié)點(diǎn)信息,、流表和鏈路利用率可以很方便地通過(guò)控制器的接口進(jìn)行監(jiān)測(cè),。基于12元組流表配置,,OpenFlow交換機(jī)可以實(shí)現(xiàn)防火墻,、負(fù)載均衡器、交換機(jī)等功能,。服務(wù)功能可以通過(guò)OpenFlow控制器部署和配置,,并放置在OpenFlow控制器之外。不是所有的數(shù)據(jù)包都必須傳遞到OpenFlow控制器進(jìn)行處理,,在此架構(gòu)中,,流表對(duì)防火墻功能的配置可以根據(jù)用戶(hù)的要求進(jìn)行預(yù)定義。與這些預(yù)定義相匹配的數(shù)據(jù)包不會(huì)傳遞到OpenFlow控制器,,因此OpenFlow控制器不需要處理大量的工作,。

  3.2 按需供給

  云計(jì)算能夠靈活地對(duì)虛擬化資源進(jìn)行按需供給,。當(dāng)用戶(hù)預(yù)訂時(shí),云計(jì)算服務(wù),、虛擬機(jī)和網(wǎng)絡(luò)設(shè)備將立即響應(yīng)這些請(qǐng)求,,而傳統(tǒng)的網(wǎng)絡(luò)設(shè)備無(wú)法實(shí)現(xiàn)動(dòng)態(tài)提供服務(wù)功能。另一方面,,采用OpenFlow技術(shù)能夠提供動(dòng)態(tài)網(wǎng)絡(luò)服務(wù),,OpenFlow設(shè)備網(wǎng)絡(luò)是具有可編程、易于設(shè)置和按需配置等特性的云計(jì)算網(wǎng)絡(luò),。

001.jpg

  按需供給的云計(jì)算服務(wù)網(wǎng)絡(luò)架構(gòu)如圖1所示,。首先,客戶(hù)可以通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)門(mén)戶(hù)網(wǎng)站,,該門(mén)戶(hù)網(wǎng)站具有服務(wù)平臺(tái)和網(wǎng)絡(luò)平臺(tái),。云服務(wù)和網(wǎng)絡(luò)服務(wù)必須由云提供商來(lái)提供。云服務(wù)包括虛擬機(jī),、IP多媒體子系統(tǒng)以及Hadoop,;網(wǎng)絡(luò)服務(wù)包括流計(jì)費(fèi)、分布式拒絕服務(wù)(DDoS)攻擊防御和防火墻等網(wǎng)絡(luò)服務(wù),。一旦用戶(hù)提交云服務(wù),,訂閱的服務(wù)將會(huì)立即提供。OpenFlow控制器負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的在線(xiàn)供給技術(shù),,用戶(hù)提交訂閱的服務(wù)后,,云服務(wù)和網(wǎng)絡(luò)功能將會(huì)立即提供相關(guān)服務(wù)。

  3.3 安全網(wǎng)絡(luò)

  安全問(wèn)題一直是云計(jì)算的主要問(wèn)題,,關(guān)于安全的議題科研人員已經(jīng)進(jìn)行了大量的研究工作,。本文專(zhuān)注于身份管理和可用性,以提高云計(jì)算網(wǎng)絡(luò)安全的能力,。身份管理可以讓每一個(gè)客戶(hù)端都有自己的身份來(lái)訪(fǎng)問(wèn)云服務(wù),。通常身份驗(yàn)證是在服務(wù)器側(cè)進(jìn)行,網(wǎng)絡(luò)安全由數(shù)據(jù)中心的入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)負(fù)責(zé),。攻擊者對(duì)數(shù)據(jù)中心進(jìn)行攻擊時(shí),,其流量將占用大量的網(wǎng)絡(luò)資源,因此該解決方案效率較低,。如果網(wǎng)絡(luò)設(shè)備具有檢查每個(gè)數(shù)據(jù)包身份的能力,,就沒(méi)有必要將身份數(shù)據(jù)包發(fā)送到服務(wù)器進(jìn)行確認(rèn)。在OpenFlow控制器端,,OpenFlow交換機(jī)可以檢驗(yàn)數(shù)據(jù)包的身份,,只有擁有有效身份證件的數(shù)據(jù)包才會(huì)允許通過(guò)。

  另一方面,,可用性保證客戶(hù)端能夠正常地訪(fǎng)問(wèn)云服務(wù),。許多安全威脅,,例如IP欺騙、DDoS攻擊,、病毒感染等,,會(huì)嚴(yán)重危害云服務(wù),甚至導(dǎo)致其停止服務(wù),。在OpenFlow控制器端實(shí)現(xiàn)了基于OpenFlow的DDoS攻擊防御[5],,同時(shí)在云計(jì)算網(wǎng)絡(luò)上部署IPS防止入侵。

002.jpg

  云計(jì)算網(wǎng)絡(luò)的安全部署集成了按需供給應(yīng)用,,如圖2所示,。一旦客戶(hù)端的云服務(wù)請(qǐng)求被批準(zhǔn),客戶(hù)端的ID將在OpenFlow控制器進(jìn)行注冊(cè),,并在OpenFlow交換機(jī)添加相應(yīng)項(xiàng),。只有可識(shí)別的信息才能傳遞給服務(wù)器。當(dāng)OpenFlow交換機(jī)接收到的數(shù)據(jù)包與流表不匹配時(shí),,該數(shù)據(jù)包將被發(fā)送到OpenFlow控制器,。控制器將驗(yàn)證其ID是否在許可的客戶(hù)端名單上,。如果ID已經(jīng)被注銷(xiāo)或者無(wú)效,,則該數(shù)據(jù)包將被丟棄或發(fā)送給安全設(shè)備(如IDS或IPS),作進(jìn)一步檢查,。作為一個(gè)高度安全的網(wǎng)絡(luò)結(jié)點(diǎn),,網(wǎng)絡(luò)必須具有OpenFlow的ID驗(yàn)證、DDoS攻擊防御和IPS設(shè)備等功能,。

4 簡(jiǎn)化云計(jì)算網(wǎng)絡(luò)架構(gòu)的實(shí)現(xiàn)

  為了實(shí)現(xiàn)所設(shè)計(jì)的簡(jiǎn)化云計(jì)算網(wǎng)絡(luò)架構(gòu),,使用OpenFlow交換機(jī)來(lái)替換現(xiàn)有的負(fù)載均衡器、防火墻和以太網(wǎng)交換機(jī),。這種實(shí)現(xiàn)方案可以簡(jiǎn)化云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)體系結(jié)構(gòu),。

  OpenFlow交換機(jī)必須實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和訪(fǎng)問(wèn)控制列表(ACL)等基本功能以取代防火墻。首先,,服務(wù)器的IP地址是私有IP地址,所以需要NAT功能變換公網(wǎng)IP地址為私有IP地址,。其次,,需要實(shí)現(xiàn)ACL功能,OpenFlow交換機(jī)流表中有12個(gè)元組,,可以靈活地為ACL功能設(shè)置特定的規(guī)則,。通過(guò)實(shí)現(xiàn)NAT和ACL功能來(lái)代替防火墻。

  還需要OpenFlow交換機(jī)具有負(fù)載均衡功能,。對(duì)于同時(shí)向同一個(gè)服務(wù)器發(fā)送相同請(qǐng)求的情況,,實(shí)現(xiàn)平均分配各個(gè)請(qǐng)求到多個(gè)服務(wù)器,,各服務(wù)器對(duì)請(qǐng)求提供相同的服務(wù)。其結(jié)果為相同請(qǐng)求的吞吐量將平均發(fā)送到多個(gè)服務(wù)器,。通過(guò)原來(lái)的以太網(wǎng)交換機(jī)的功能,,實(shí)現(xiàn)了簡(jiǎn)化的云計(jì)算網(wǎng)絡(luò)架構(gòu)的功能。

5 結(jié)論

  近年來(lái)云計(jì)算已經(jīng)成為最熱門(mén)的話(huà)題之一,。原來(lái)的云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)體系結(jié)構(gòu)非常復(fù)雜,,簡(jiǎn)化的云計(jì)算網(wǎng)絡(luò)架構(gòu)旨在實(shí)現(xiàn)網(wǎng)絡(luò)的安全性、敏捷性,,整合能源效率,。該架構(gòu)包括網(wǎng)絡(luò)設(shè)備整合、按需供給和安全性,。

參考文獻(xiàn)

  [1] 寧軍. 云計(jì)算趨勢(shì)對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的影響[J]. 信息通信技術(shù), 2013(1):38-41.

  [2] MCKEOWN N, ANDERSON T, BALAKRISHNAN H, et al, OpenFlow: enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008,38(2):69-74.

  [3] 蔡進(jìn)科,顧華璽,盧冀,等. 基于Openflow 網(wǎng)絡(luò)的高可靠性虛擬網(wǎng)絡(luò)映射算法[J]. 電子與信息學(xué)報(bào), 2014,36(2):396-402.

  [4] 朱永慶,陳華南,唐宏. 基于OpenFIow協(xié)議的 MSE 設(shè)備實(shí)現(xiàn)方法研究[J]. 電信科學(xué), 2013,29(12):134-138.

  [5] YUHUNAG C, MINCHI T,YaoTing C,et al. A novel design for future on-demand service and security[C]. 2010 IEEE 12th International Conference on Communication Technology, 2010:385-388.


此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。