根据一些供应商、分析师、权威人士和赞助商发言人的说法,OpenFlow和SDNs总体上是第二次出现。根据同一人群,他们的属性包括:
- 以数量级降低网络成本
- 打破垄断供应商在网络中的霸权
- 支持真正的虚拟化,具有跨地理边界的完全工作负载迁移
- 简化拓扑和现代化分割
- 提供可扩展的、机器可读的api
- 让你写自己的协议
- 动态路由“大象流”的基于流的路由具有更好的链路利用率
这样的例子不胜枚举……而且它切面包的效果也比午夜电视广告中宣传的Ginsu更好。
很久以前,在“内容网络”时代,我就吸取了教训,相信自己的宣传,相信自己的公关,不要对新技术采取相当务实的观点。我认为DNS把戏将成为网络架构的主要部分,当与DNS Anycasting和基于http的流检查相结合时[我甚至从它那里得到了一些没有任何价值的专利,没有人应该实现!我记得“面向应用的网络”将彻底改变我们构建网络的方式,而网络将拥有真正的应用层智能和信息路由集成- [是的,发生了)。我记得“基于身份的网络”,那时每个设备都会迅速采用802.1x,策略会绑定到你的802.1x身份验证,网络会动态地适应你的用户配置文件[那是一个赢家,我们与NAC合作,为另一种带内设备创造了市场]。“工作组计算”,因为,当然,工作组需要在同一地址结构,对给我们跨院生成树的宝石?[辉煌……导致了我所见过的最糟糕的网络设计——很高兴Geoff Haviland的报纸在98年开始纠正这些错误。]
因此,每隔几年,网络行业就会发明一些新术语,其主要目的是激发IT采购商的想法,给他们一个新的口号来产生预算,希望推动安装基础的更新,以便我们这些供应商能够实现季度预定目标。有时,这些的网络模因有价值,有时没有:目前正在流行的两个是“Fabric”和“Software Defined Networking/OpenFlow”。(SDN/OpenFlow是一个树/苹果的说法——所有的苹果长在树上,不是所有的树都能长出苹果。OpenFlow是SDN的一种形式,但OpenFlow并不是SDN的唯一形式——它只是被谈论最多、被问及最多的一种形式,而且是当前最热门的一种形式,具有相当丰富的舞蹈功能,所以我将在本文的其余部分使用它。)SDN在广义上是一种能够使用软件可编程api来控制主要存在于搜索网络软件系统中的功能的机制,如拓扑构造、地址学习和分布、访问控制和安全等。
我不是一个反对新技术的人。那些很了解我的人都知道,我能全神贯注于下一件大事的速度,比从皮克斯(Pixar)电影《飞屋惊天》(up)中挖出一只狗来指出一只松鼠还要快。“但偶尔你会从悬崖上拉回来,看看周围,问问现在的技术能真正解决什么问题?”当前的路线图是什么样子的?它将让我们解决哪些新问题?它们值得解决吗?我们目前所处的轨道,在战术和战略上对客户的影响最大吗?
有时候事情通过了考验,应该继续投资。有时他们不。在这一点上,我不认为我已经对SDN/OpenFlow做出了个人的判断,但是我暂停一下来看看它,并想分享一下我自己的观察。
用例是一个需要考虑的重要因素。目前我能找到的OpenFlow的最佳用例是那些申请GENI研究基金来做OpenFlow研究的人,他们需要它作为正式的需求来资助他们使用OpenFlow的项目。[是的,这听起来像家庭聚会上的速配。]
我看到的最常见的非学术性/娱乐性用例是识别一些被探测到的数据的大量feed,这些feed被认为是跨越相当多的交换机的有趣的,然后通过探针复制或重定向该流以进行进一步分析。这减少了对昂贵的探测/嗅探器的需求,并让您以一种相当不错的方式管理此类部署的成本。它还将OpenFlow控制器设置为策略分发点的一种形式,并将每个启用/控制的交换机设置为策略实施点,因为识别感兴趣的流,并将其重定向或复制为策略实施的一种形式。[这比尝试用SPAN、acl、VLAN泛型、GRE aps和PBR以及我们传统网络CLI操作者声称能够支持的其他所有方式来手动处理这些问题要好得多]。如果我能看到一些流量,点击一个看起来很漂亮的流量,然后通过出现在我的嗅探器上的一些软件魔法,跨越三到五次网络跳,而不会将数据到处溢出,那么我就会感到很开心。
我也听说过其他用例,但大多数情况下,这些其他用例需要某种形式的厂商对当前OpenFlow 1.0/1.1规范的扩展(悬而未决的1.2规范中可能会提到,也可能不会提到)。这些包括:
- 构建一个大型的平面网络,让OpenFlow控制器设置拓扑并控制整个网络中的所有MAC和ARP学习。
- 通过识别更大的“大象流”,然后将它们移动到不会与其他延迟敏感流量竞争的路径,从而在链路聚合组之间实现更高效的负载平衡和共享。
- 为所有MAC和IP学习启用集中控制平面,并通过MAC学习、ARP表响应和GRE隧道等有趣的应用程序启用分布式分段控制,而不影响底层拓扑。
我看到的对上面提出的用例的一些挑战(但不是对分布式嗅探器,这似乎听起来很合理)是:
1)一家供应商最近宣布他们的交换机支持OpenFlow,但在成本上没有任何差别。是的,这里我们需要一个简单的现实检验:OpenFlow开关的成本并不比非OpenFlow开关低。商品的硬件成本是一样的。你仍然需要一个控制平面CPU,一些DRAM和NVRAM,一个PCB把他们加上,以及你选择的开关硅,物理,电源,等等。因此,从资本支出的角度来看,OpenFlow网络的成本不会低于传统网络。
2)另一家供应商最近宣布,他们的Openflow开关已经测试了大约80到100k个流量。对您来说,这听起来可能是一个很大的数字,但对于非常结构化的环境中的许多实现来说,这实际上并不坏。但让我们来看看这个现实:今天的一个模块化交换机每秒可以转发50亿个数据包,[是的,十亿个大写的B]。一个承载运行VDI的虚拟服务器的10GbE端口可能需要1000到2000个流,一个web服务器可能超过10k处于活动状态,一个服务器负载均衡器大约需要100万个流,10GbE防火墙也是如此。基于闪存的ssd正在迅速克服IOPS的瓶颈,即将大多数数据中心网络性能控制到每台主机几百/几千个流量,并迅速在主机上超越NxGbE。雷竞技电脑网站再加上英特尔的Romley芯片组,那么,你就有了熔毁的秘诀,而且马上就会缺少流表。当流缓存满时,特定于供应商的行为可能会有所不同,但最常见的是以圣经的方式发送数据包,或者在控制平面上转发(是的,1.2兆比特/秒的ToR交换机上的最佳控制平面是1-2Gb,不是很漂亮)。
3)另一家供应商告诉我,为了在网络上对转发表进行编程,他们在2 - 3层网络上的流量设置速度现在降到了250毫秒,这听起来还不算太糟。但在那四分之一秒内,当你收到第一个数据包(假设它是一个UDP流,在一个10Gb的链接上以5Gbps),你将以625MB/秒/端口接收,你将不得不缓冲156.25 MB的数据。缓冲区的成本往往很高,这就是为什么大多数厂商都没有在成本优化的10Gb ToR交换机上使用大型缓冲区的原因(2MB到9MB是目前的一种规范,有一两个更深入一些,但也有相应的定价)。事实上,大多数为主干网/主干网设计的模块化交换机也没有缓冲能力来支持存储这么多数据。
一个ToR交换机与64端口的10GbE有9MB的缓冲区:如果10%的端口有一个流开始在50%的线速度,它将产生937MB的数据在前250毫秒。在设置流之前,交换机将删除99.04%的数据。一旦设置好了流,它们就会转发,假设交换机上的流表可以处理基础设施中可见的流的聚合数量。看看上面的第2点,然后问自己:“当SQL Slammer命中时,我的边缘开关发生了什么?”是的,我又一次和自己约会了一点,但是SQL slammer填充了大多数供应商交换机上的流缓存,导致他们把所有流量都推到控制飞机上,然后导致交换机崩溃。这在整个网络中级联。当时,Cisco Catalyst 6500 Supervisor是少数拥有m-trie拓扑派生缓存的设备之一,这种缓存能够在不消耗流表的情况下进行转发。它一直在运行,因为它没有做流量追踪。512k流表和1M流表的开关熔化。(注意:现在大多数供应商的交换机都使用TCAMs和拓扑派生的缓存系统,其中TCAM是预先填充了基于路由表、连接的路由和IP主机表的转发信息——他们使用这个的原因很简单负载下的确定性性能。)
4)将网络扁平化以便可以将任何工作负载放到任何位置的任何服务器上的概念在视觉上很吸引人,特别是对于服务器和虚拟化管理员。如今,他们必须按照网络团队的要求,将强制适应工作负载绑定到非常静态且不灵活的IP寻址体系结构中。是的,我在这里说得有点精到,但双方都有一个观点——我们这些网络人员在自动化我们的工具包、制作能够实现机器对机器接口的编程接口以及使用VT100仿真远离我们所钟爱的80x24字符终端方面还不是最好的。我们喜欢自己作为一个药师的地位,致力于一个叫做网络的奇怪黑盒子的工作,这个黑盒子做一些疯狂的巫毒学的东西,但让所有东西都能说话。与此同时,我们也花了15年的时间试图获得预算来重新构建我们的网络,使它最终稳定下来,不会经常崩溃。就在我们还有一秒钟喘息的时候,某个虚拟化新贵进来了,他说我们需要重新开始,因为他想把虚拟机放到整个创建过程中。
这个问题正从多个角度被攻击——而不是通过判断哪一个是最好的,因为那就像挑选明年的超级碗冠军一样武断,现在让我们列出一些竞争者:
-覆盖传输虚拟化
-位置/标识分离协议
-VXLAN:虚拟局域网扩展,
-网络虚拟化GRE
-OpenFlow具有供应商支持的属性和隧道(通常是GRE或GRE衍生物),
-H-VPLS等等。
它们中的大多数都不是以任何方式设计来协同工作的,通常会提供“另一种标记格式”供您筛选,并可能在您的基础设施中引入另一个单点故障。时间会告诉我们。我打赌最后那些最容易设置并且对基础设施(VM/服务器端和网络端)影响最小的将会胜出,但这只是因为历史已经说明了这一点。
5)最后的挑战是炒作工厂本身。控制你的网络:提供无与伦比的灵活性,为大象流路径,确定路线和桥接路径,以避免不稳定的标准L2/3控制飞机,从供应商束缚解放自己,利用商品的成本效益开关,从单点管理整个网络,所有与10-tuple匹配引擎,支持也许4000流动和流动设置的速度每秒几千10-terabit数据中心环境中数以百万计的流动,雷竞技电脑网站这已经行不通了。但等到我告诉你,这些流程序通过一个远程控制器,实际上还不存在,要么连接到开关带内的网络被控制,这将明显不工作,或者通过另一个单独的管理网络,这就变成了一个大规模的潜在来源中断你从未见过的,如果一个行为不端的开关控制网络可以取出数十或数百个生产开关。足够地说…