为进一步促进金融技术的发展和应用，深化西南金融机构之间的协调，提高服务实体经济水平，促进西部金融业的高质量发展，四川计算机协会金融分会联合金融电子杂志、中国信息通信研究所，由成都银行主办，2019年7月18日、19日举办2019中国成都金融技术发展BBS。

在稳步完善系统结构和云计算应用的过程中，中大型金融机构逐渐从传统的IT基础设施演变为云基础设施，面临着许多问题和挑战。云杉网络首席技术官张天鹏与西南国有银行分行、股份制银行、城市商业银行农村信用社等信息技术部门专家领导讨论了如何构建混合云SDN网络，分享了云网络在金融、运营商、交通等行业的综合云网络解决方案。以下是演讲记录。

SDDC的现状

不同的行业根据自己的业务特点对云计算基础设施有不同的要求。金融企业对网络的高可用性和合规性有很高的要求。SDDC是软件定义的数据中心，包括计算虚拟化、存储虚拟化和网络虚拟化。在构建SDDC时，我们不仅要考虑资源，还要考虑如何构建IT基础设施，以业务为核心，实现计算、存储和网络的按需软件定义。SDDC构建后，整个数据中心的IT技术架构以服务的形式交付给业务系统，实现资源管理和安排的高度自动化控制。未来软件定义的数据中心趋势是智能操作、维护和闭环控制，以满足业务的灵活扩展和平稳迁移。

在云计算的核心技术中，网络是一个重要而复杂的组成部分，包括物理网络、虚拟网络、业务网络、安全、合规、运维等因素。SDN是实现SDC网络规划的核心技术，主要体现在：

解决网络自动配置，从而获得大的灵活性和活性。网络本身是复杂的和复杂的。通过与云平台的连接，提供网络安排能力。通过与云平台的连接，提供网络安排能力。

目前，绝大多数公共云和私有云都采用了SDN技术。这是一个逐渐演变的过程。从传统数据中心物理资源的角度来看，计算资源、网络设备和存储资源虽然相关，但集成度不高。许多云平台在虚拟化计算、存储和网络后，以相互隔离的逻辑将资源交付给租户。在网络层面，VPCVPC是交付的逻辑隔离网络空间，类似于数据中心运行的传统网络。VPC中托管的是私有云上的服务资源，如云主机、负载IVAIC空间、云数据库等。交付的逻辑隔离网络空间可以通过安全组和网络ACL实现多层安全保护。同时，VPC和原始数据中心也可以通过VPN或专线连接，灵活部署混合云。

VPC是否满足了用户在公共云和私有云中的所有需求？在实践中，我们可以看到，新的业务系统VPC很好地解决了问题，但VPC并不能完美地解决需要与现有复杂IT环境兼容的企业的问题。公共云VPC的目的是提供多租户和资源隔离，强调业务的垂直性。例如，许多企业可以在公共云上部署自己的业务，这些业务通常没有特殊的关系。在特殊情况下，一些公共云实现了VPC和VPC之间的网络通道，但这远远不足以直接承载企业业务。

资源规划应以业务为核心，业务稳定性和技术风险可控性是技术选择的重要因素。在许多情况下，内部业务之间的相互访问非常频繁。对于金融客户的贷款业务，南北流量不到10m，但内部流量超过1G。业务区域之间有许多交互。在某些情况下，东西流量可能是南北流量的数十倍甚至数百倍。

此外，安全战略控制也是技术选择参考的一个重要因素。所有业务之间都应该有一个安全隔离机制。许多金融企业在IT环境中划分了不同的安全领域。一般来说，跨区域访问需要通过安全策略。因此，许多企业在实施云后，由于业务过于复杂，很难根据传统VPC的逻辑进行梳理，并采用了业务领域VPC的实施计划。即VPC对应的业务功能区，容易与原IT资源区对应，降低业务迁移的复杂性。

SDDC建设目标

当用户构建SDDC时，他们将面临各种困难。首先，许多企业客户拥有不止一个数据中心或一套资源池，而数据中心的整体IT架构不是一天建成的。历史上有不同制造商的设备和不同类型的资源池。混合资源池是正常的。二是服务交付。原来，纯手动配置网络和安全策略的时代已经过去。我们必须实现高度自动化的方式，为业务部门实现自我服务能力。我们不需要每天开始端口和配置策略，而是需要解放人力资源。第三，必须满足合规性，包括业务合规性、监管要求和其他保证合规性。最后，可用性必须满足高可用性和灾难容忍性的要求，并满足SLA服务的要求。

在云杉网络和企业客户的诸多实践中，混合云架构是一种相对灵活的方式，可以使企业业务逐渐从传统IT演变为云计算架构。本方案包括云杉NSP混合云网络服务和Deepflow text-indent: 0;'>

企业的业务可能部署在多个数据中心，每个数据中心因为构建的时期不同，可能有裸机、虚拟化、容器等类型的资源池，还有些业务部署在了不同的公有云上。在这些基础资源之上可以构建混合云的云管平台，SDN能把上述的资源网络打通，以服务化、按需定义的方式交付给业务。

混合云网络分为两部分。第一部分是资源网络控制。这里有公共云和私有云资源。它可以建立一个统一的Overlay网络。该网络以VPC为基础，可以统一管理和连接传统网络。从资源属性的角度来看，网络控制包括两部分：一是资源池内部或云内部控制。这里的重点是如何虚拟化资源池网络，如何提高性能、可扩展性和高可用性。二是云间互联，即资源池与资源池之间的互访管理。基于此网络，我们提供多种业务隔离服务，如边界网关、DC边界防火墙、负载平衡等，满足网络隔离、安全可控等保证合规服务。

第二部分是混合云网络的可视化监控。目前，流行的架构是通过在云中部署各种数据探针，将数据收集并发送到大数据分析平台。基于该平台，可以进行网络全景显示、业务故障分析、网络诊断分析和可追溯性分析。

从整体混合云管理平台的角度来看，我们可以从网络层面为异构资源提供网络虚拟化解决方案、跨数据中心网络边界服务和混合云网络安排解决方案。从虚拟网络运维层面，为多租户业务提供虚拟网络流量采集、虚拟网络性能监控、虚拟网络策略管理和虚拟网络路径诊断解决方案。

NSP网络服务平台

从软件架构的角度来看，混合云的SDN控制器逻辑不仅是设计最佳架构，还考虑现有的网络架构，如流行的Fabric架构，以及传统的访问-聚合-核心网络架构；物理网络和虚拟网络的实现逻辑。从资源池的角度来看，由于业务需要支持裸机、容器、OpenStack、VMware等类型的资源池，以及公共云的对接。控制器的核心有两层，一层是布局层，另一层是控制器层。布局层主要为云管提供统一的网络布局和服务，主要控制下层云资源。

要解决网络虚拟化的核心问题

当需要支持大型基础设施时，网络虚拟化解决方案场景的主要问题包括以下四个方面：

如何支持弹性扩展，目前流行的网络架构是VxLAN网络，EVPN改进了控制平面，解决了大规模问题。如何支持高性能的东西流量，在许多业务系统中，东西流量远远大于南北流量，随着网络规模的扩大，这个问题将更加突出。分层解耦，云平台运维管理不仅存在技术问题，而且团队责任边界的划分也成为一个常见的问题。例如，如何定义云网络中网络团队和系统团队的管理边界，网络团队大多是管理设备。云资源池启动后，谁负责虚拟网络。为了澄清这一逻辑，我们需要解耦网络和系统，并将网络作为多资源池的标准服务。如何支持多制造商的设备，因为没有人愿意被制造商绑定。如果技术解决方案可以支持多个制造商，这意味着未来的业务扩展将更加灵活，不受人们的控制。

上图显示了一个数据中心架构。从业务的角度来看，该架构可以有不同的不同（Bord三种平台，Lea平台。Leeeic行业是Seaf，Seeic行业是Seaf，Seve平台是Leaf）。此外，资源池的规模非常大，有数十或数百个Rack，可能包括不同类型的资源池，对于网络虚拟化，有Supe系统，Supe机器支持多个资源池设备API类型丰富，功能强大，如果每个功能支持基本难以实现，而且核心系统不是SDN目标，通过该机器系统Lugin系统，采用该机器系统的网络边界结构，各种开放式云云云云云云云连接

混合云网络编排

网络安排作为核心功能，面临着几个挑战。首先，当现有业务迁移到云中时，如何满足既定业务的在线要求？云网络部署架构的许多场景都是根据VPC设计的，而规划VPC是首要考虑因素。二是现有的投资保护，云后不可能废弃所有原始设备，需要考虑旧的好处。三是灵活的扩展，如何在多数据中心之间实现资源灵活的扩展，实现高可用的业务。最后是业务隔离，如何确保不同业务之间有足够的安全防治手段。

这是一个逻辑图，它是基于VPC概念的扩展，即在一个VPC中，可以包括多个Region数据中心和多种类型的资源池，包括网络和安全服务，并通过SDN技术实现网络的扁平化，并将上述资源和服务集成到一个网络中。以下是云资源区，如OpenStack或VMware资源池，以提供资源访问。倒数第二层是资源访问的网络接入层，包括二、三层网络连接能力。倒数第三层称为虚拟路由交换，VRouter为核心，南连接资源池，中间连接DCI，基于DCI构建Overlay网络。VPC不再局限于某一地区的资源池，而是可以跨数据中心添加南北防火墙和网络的功能。

这种扩展VPC给客户带来了很大的灵活性，比如秒杀的业务场景。许多企业数据中心的资源是有限的。在赶上促销活动时，如果Region的资源不能满足要求，则需要灵活地扩展到其他Region，业务需要跨数据中心。为了满足这一需求，我们提供了跨数据中心混合云网络布局方案。其效果是利用NSP网络布局方案开放两个不同地区的数据中心、不同厂家的网络设备、网络防火墙和负载平衡，满足秒杀业务灵活扩展的要求。

网络服务交付交付网络服务

从混合云数据中心管理和运营的角度来看，如何在保护原设备资产投资的前提下，为租户提供差异化的网络服务，即满足性能需求和服务交付效率，为用户带来更多的灵活性。

上图左侧是云管，右侧是逻辑池，一般放在eervic和eaf中。这个资源池可以把数据中心南北的安全服务放在一个池里包括为DCI和ISP的接入提供网络和安全服务。

deepflow网络可视化分析平台

从整个软件定义的数据中心的部署来看，在根据业务需要以软件的形式配置网络后，下一步将面临虚拟网络运行和维护监控的问题。Depflow从虚拟网络流量的收集、分发和分析三个层面，收集和发送遥测数据、日志数据和网络包数据到大数据引擎，并在与云平台信息相关后进行多维分析和可视化显示。

可视化平台流量采集有两个技术难点：

精确采集，传统的网络流量采集方案是从开关进行分光和镜像，东西流量非常大，成本非常高，如何通过SDN进行更细粒度访问控制，实现精确的数据采集是关键因素。虚拟网络流量分布，如果你想分析南北流量相对简单，但目前的虚拟网络技术并不特别成熟，行业缺乏统一的规范。Depflow提供整体虚拟网络流量采集和分销能力，包括Openstack、VMware和支持容器，收集不同网络资源池的流量，发送到后端安全分析、审计等工具，满足合规要求。

根据上述流量数据采集，分发后的目标是解决业务问题。在业务方面，Deepflow全景图功能，可以看到VPC、子网、虚拟机产生的流量。性能分析是对业务的流量分析，包括南北和东西流量。分析的KPI指标包括RTT、重传、延迟等。，为用户提供快速故障定位和诊断的能力，并以可视化的方式呈现问题的根源，作为团队之间责任定位的依据。端到端诊断是另一个重要功能，支持虚拟网络节点、物理网络组件、VLAN/VxLAN的转换和流量表项的变化。

总结

最后总结SDC规划理念，混合云架构是企业数据中心建设的未来趋势，在此基础上构建新资源池形成IT基础设施统一规范，通过SDN技术实现业务平稳迁移、旧、风险控制，然后通过网络自动化、服务能力提高运行效率，满足综合运行维护监控系统。