由中國(guo)信(xin)息通(tong)信(xin)研究(jiu)院主辦、中國(guo)通(tong)信(xin)標準化協會(hui)支持的"OSCAR開源(yuan)產業大會(hui)"在國(guo)家會(hui)議中心舉行。

銀(yin)行業發展(zhan)論壇作(zuo)為大會分論壇之一，于(yu)22日下午(wu)召(zhao)開。

李曉楓：感(gan)謝習總(zong)，確實上云(yun)對(dui)大(da)(da)家(jia)來講不是(shi)(shi)一件(jian)易(yi)事，無論你(ni)采用行(xing)(xing)(xing)(xing)業(ye)云(yun)方(fang)式還是(shi)(shi)采用自建(jian)私有云(yun)，這(zhe)些都會涉及(ji)到。我(wo)(wo)們國(guo)家(jia)的(de)(de)(de)中(zhong)小銀行(xing)(xing)(xing)(xing)也是(shi)(shi)規模不等(deng)的(de)(de)(de)，比如大(da)(da)家(jia)把城商(shang)行(xing)(xing)(xing)(xing)列(lie)為中(zhong)小銀行(xing)(xing)(xing)(xing)，有的(de)(de)(de)城商(shang)行(xing)(xing)(xing)(xing)很大(da)(da)，典型的(de)(de)(de)是(shi)(shi)北(bei)京銀行(xing)(xing)(xing)(xing)、上海(hai)銀行(xing)(xing)(xing)(xing)，非常大(da)(da)，所以中(zhong)小銀行(xing)(xing)(xing)(xing)也有自建(jian)私有云(yun)的(de)(de)(de)方(fang)式來開(kai)展上云(yun)的(de)(de)(de)探討。我(wo)(wo)們下(xia)面幾個(ge)話題(ti)都會涉及(ji)到自建(jian)私有云(yun)，首先請(qing)(qing)中(zhong)國(guo)銀聯電子支付(fu)研究院SDN技術專家(jia)袁航給我(wo)(wo)們介紹金融(rong)行(xing)(xing)(xing)(xing)業(ye)SDN開(kai)源控制器技術。過去我(wo)(wo)們是(shi)(shi)垂直分(fen)(fen)層，水平分(fen)(fen)域，但是(shi)(shi)如果(guo)你(ni)按互聯網(wang)企業(ye)，都是(shi)(shi)大(da)(da)而強的(de)(de)(de)網(wang)絡，那就(jiu)有問題(ti)。中(zhong)國(guo)銀聯在這(zhe)方(fang)面有探討，今(jin)天將就(jiu)探討的(de)(de)(de)成(cheng)果(guo)進行(xing)(xing)(xing)(xing)分(fen)(fen)享，我(wo)(wo)們有請(qing)(qing)。

以下為演講實錄：

袁(yuan)航：謝(xie)謝(xie)，今天很高興在這(zhe)里和大(da)家(jia)一(yi)起(qi)討論(lun)中(zhong)國銀(yin)聯(lian)(lian)的(de)(de)(de)研(yan)(yan)究成(cheng)果。我的(de)(de)(de)題目(mu)是《基于開(kai)(kai)源SDN控制器(qi)技術(shu)的(de)(de)(de)研(yan)(yan)究》。私有(you)(you)云(yun)是在2011年(nian)開(kai)(kai)始(shi)的(de)(de)(de)，2011年(nian)10月份我們獲得(de)國家(jia)云(yun)計算項(xiang)目(mu)批準(zhun)，中(zhong)國銀(yin)聯(lian)(lian)也是唯(wei)一(yi)一(yi)家(jia)入(ru)選該項(xiang)目(mu)的(de)(de)(de)金(jin)(jin)(jin)融(rong)機構。2012年(nian)我們已(yi)經開(kai)(kai)始(shi)原型(xing)試用(yong)，自主研(yan)(yan)發，生(sheng)產(chan)云(yun)技術(shu)平(ping)臺原型(xing)建(jian)設。2013年(nian)試點應用(yong)，公司(si)各部門開(kai)(kai)始(shi)推試點應用(yong)。2014年(nian)規模應用(yong)，公司(si)重點產(chan)品已(yi)經在云(yun)平(ping)臺落地。2015年(nian)深化應用(yong)。2016年(nian)步(bu)入(ru)金(jin)(jin)(jin)融(rong)行業云(yun)研(yan)(yan)究，2017年(nian)初步(bu)建(jian)成(cheng)金(jin)(jin)(jin)融(rong)云(yun)聯(lian)(lian)合(he)研(yan)(yan)究生(sheng)態，和許多證(zheng)券、保險、金(jin)(jin)(jin)融(rong)公司(si)都(dou)有(you)(you)合(he)作，聯(lian)(lian)合(he)這(zhe)些機構，針(zhen)對SDN技術(shu)，行業技術(shu)，展開(kai)(kai)討論(lun)和研(yan)(yan)究。基于此(ci)，組建(jian)了openstack工作組。我們是國內最早基于開(kai)(kai)源的(de)(de)(de)云(yun)計算生(sheng)產(chan)平(ping)臺。

這張圖是(shi)我(wo)(wo)(wo)們(men)(men)的部署(shu)情況，分三(san)個云(yun)：生產(chan)云(yun)，研(yan)(yan)發測(ce)試云(yun)，研(yan)(yan)究示(shi)范云(yun)。生產(chan)云(yun)主要是(shi)承擔我(wo)(wo)(wo)們(men)(men)業務(wu)生產(chan)系統運(yun)行，研(yan)(yan)發測(ce)試云(yun)是(shi)我(wo)(wo)(wo)們(men)(men)測(ce)試項目和測(ce)試動作(zuo)，我(wo)(wo)(wo)現在(zai)負責(ze)原型示(shi)范運(yun)維和技術儲備相(xiang)關研(yan)(yan)究。這是(shi)我(wo)(wo)(wo)們(men)(men)銀聯業務(wu)應用(yong)情況，有(you)很(hen)多業務(wu)，相(xiang)對(dui)核心的業務(wu)已(yi)經(jing)在(zai)云(yun)平臺落地，后(hou)面兩年我(wo)(wo)(wo)們(men)(men)已(yi)經(jing)開始規劃，包括(kuo)核心業務(wu)陸續上云(yun)，爭(zheng)取幾年后(hou)能夠完全實現云(yun)化，我(wo)(wo)(wo)們(men)(men)也承擔外(wai)部機構的云(yun)應用(yong)。

說了這(zhe)么(me)多，一(yi)(yi)直(zhi)說銀(yin)聯(lian)基(ji)(ji)(ji)于(yu)開源進(jin)行(xing)(xing)(xing)云(yun)(yun)(yun)(yun)計算研(yan)究。2017年(nian)，我們的(de)關鍵技術主要在云(yun)(yun)(yun)(yun)網(wang)絡上(shang)進(jin)行(xing)(xing)(xing)相關突(tu)破，我們的(de)SDN也(ye)已經在生產云(yun)(yun)(yun)(yun)上(shang)落地(di)部(bu)署，我們采用兩(liang)種(zhong)方案。第(di)(di)一(yi)(yi)個(ge)(ge)(ge)，商業硬(ying)件(jian)(jian)解決是(shi)采用華為的(de)AC方案，開源軟件(jian)(jian)方案基(ji)(ji)(ji)于(yu)neutron來做(zuo)的(de)，openstack版(ban)本從E版(ban)到L版(ban)。銀(yin)行(xing)(xing)(xing)業云(yun)(yun)(yun)(yun)閃付統一(yi)(yi)APP，基(ji)(ji)(ji)于(yu)SDN云(yun)(yun)(yun)(yun)平臺上(shang)已經落地(di)。上(shang)面是(shi)大體(ti)進(jin)展(zhan)，下面聚焦(jiao)網(wang)絡也(ye)進(jin)行(xing)(xing)(xing)了相應的(de)攻關。第(di)(di)一(yi)(yi)個(ge)(ge)(ge)是(shi)異構(gou)(gou)SDN區域互聯(lian)，這(zhe)個(ge)(ge)(ge)成果主要是(shi)在內部(bu)構(gou)(gou)建(jian)一(yi)(yi)個(ge)(ge)(ge)基(ji)(ji)(ji)于(yu)多租戶(hu)跨域云(yun)(yun)(yun)(yun)資(zi)源彈性效果，第(di)(di)二個(ge)(ge)(ge)是(shi)開源SDN控(kong)制器ODL軟件(jian)(jian)研(yan)究，也(ye)是(shi)今天匯(hui)報(bao)(bao)具(ju)體(ti)內容(rong)。第(di)(di)三個(ge)(ge)(ge)，云(yun)(yun)(yun)(yun)網(wang)監管平臺，針對(dui)新的(de)SDN網(wang)絡架(jia)構(gou)(gou)下，怎么(me)對(dui)云(yun)(yun)(yun)(yun)網(wang)絡進(jin)行(xing)(xing)(xing)智(zhi)能(neng)運(yun)維，我們做(zuo)了云(yun)(yun)(yun)(yun)網(wang)監控(kong)平臺，本次(ci)我匯(hui)報(bao)(bao)開源SDN控(kong)制器方面的(de)研(yan)究。

優(you)(you)化點一(yi)，可(ke)(ke)靠性(xing)(xing)優(you)(you)化。對(dui)于(yu)硬件來(lai)說，軟件的(de)(de)方案不完善地方是(shi)(shi)(shi)特別明顯的(de)(de)，一(yi)個是(shi)(shi)(shi)可(ke)(ke)靠性(xing)(xing)，一(yi)個是(shi)(shi)(shi)性(xing)(xing)能，一(yi)個是(shi)(shi)(shi)可(ke)(ke)擴展性(xing)(xing)，我(wo)們針對(dui)這三(san)個方面進行了(le)相關(guan)的(de)(de)優(you)(you)化。第一(yi)個是(shi)(shi)(shi)可(ke)(ke)靠性(xing)(xing)優(you)(you)化，實(shi)現分(fen)布式路(lu)由(you)架構，打破網(wang)(wang)絡(luo)化節點瓶頸(jing)，實(shi)現分(fen)布式數據發放(fang)。第二個是(shi)(shi)(shi)ARP代答，網(wang)(wang)絡(luo)異制，一(yi)個廣播域范圍非常大(da)，影響也會很大(da)，實(shi)現ARP代答之后，可(ke)(ke)以消除網(wang)(wang)絡(luo)風險。第三(san)個是(shi)(shi)(shi)防(fang)(fang)火(huo)(huo)墻并(bing)聯接(jie)(jie)入(ru)方案，我(wo)們希望防(fang)(fang)火(huo)(huo)墻并(bing)聯接(jie)(jie)入(ru)到云區域里面，而(er)且(qie)不能把外部網(wang)(wang)關(guan)設在防(fang)(fang)火(huo)(huo)墻上，也是(shi)(shi)(shi)為了(le)保證防(fang)(fang)火(huo)(huo)墻的(de)(de)可(ke)(ke)靠性(xing)(xing)。為什么并(bing)聯接(jie)(jie)入(ru)？即(ji)使不通(tong)過防(fang)(fang)火(huo)(huo)墻也能保證業務(wu)的(de)(de)穩(wen)定(ding)性(xing)(xing)。

除(chu)了(le)可(ke)靠性(xing)優化以(yi)外，還有性(xing)能(neng)優化，精簡數據傳輸路徑，首先是服務器系統網(wang)(wang)(wang)(wang)絡軟(ruan)件精簡，有兩(liang)個OVS網(wang)(wang)(wang)(wang)橋，下面有一個（英文）網(wang)(wang)(wang)(wang)橋，再往下是vm，我們希(xi)望用一層直接連接vm.網(wang)(wang)(wang)(wang)絡傳輸跳數減少(shao)，我們希(xi)望跨網(wang)(wang)(wang)(wang)端的流量不再通過網(wang)(wang)(wang)(wang)絡進(jin)行路由傳輸，直接在OVS上實現路由的功能(neng)。

我們(men)(men)對擴展(zhan)(zhan)性的優化，當(dang)前我們(men)(men)一個云區(qu)域所(suo)包(bao)含的租戶(hu)只能(neng)在云區(qu)域里面，如果多個云區(qu)域進(jin)行互(hu)聯打通(tong)的話，只能(neng)通(tong)過三(san)層路由策略來進(jin)行打通(tong)，我們(men)(men)租戶(hu)可(ke)以跨區(qu)域進(jin)行資(zi)源調度與(yu)部(bu)署，這樣的話也可(ke)以大大提高我們(men)(men)云的可(ke)擴展(zhan)(zhan)性，提高資(zi)源的靈活性。針對軟件的SDN待完善的地方，提出我們(men)(men)自己的想法。

這是(shi)我們(men)基(ji)(ji)(ji)于(yu)上述(shu)規劃(hua)之(zhi)后，基(ji)(ji)(ji)于(yu)ODL作(zuo)為開源控制器，這是(shi)網絡架構(gou)圖，上面通過(guo)ML2對接openstack.這個(ge)(ge)是(shi)基(ji)(ji)(ji)于(yu)優(you)化點的能(neng)力(li)規劃(hua)，基(ji)(ji)(ji)于(yu)我們(men)上述(shu)三個(ge)(ge)優(you)化點，我們(men)對能(neng)力(li)進行(xing)整理(li)，基(ji)(ji)(ji)于(yu)開源軟件盡(jin)量(liang)減少我們(men)的工作(zuo)量(liang)，ODL原生能(neng)力(li)已經實現很多能(neng)力(li)。第一個(ge)(ge)是(shi)分(fen)布式路由，二是(shi)分(fen)布式ARP代答(da)，天生對物理(li)機內部鏈路精簡。除了ODL原生能(neng)力(li)之(zhi)外，我們(men)基(ji)(ji)(ji)于(yu)上述(shu)三個(ge)(ge)優(you)化點提出附(fu)加能(neng)力(li)，第一個(ge)(ge)是(shi)跨區域(yu)互(hu)聯，第二個(ge)(ge)是(shi)防(fang)火墻引(yin)流。

為了實現附(fu)加能(neng)力，需要對ODL原生能(neng)力進行(xing)增強，特別是跨(kua)區域(yu)互聯(lian)，是一個場(chang)景(jing)的豐(feng)富，場(chang)景(jing)豐(feng)富就要對下面的基礎能(neng)力進行(xing)改造。

跨區(qu)域互聯，我(wo)們(men)的(de)跨區(qu)域互聯系統(tong)已經實現(xian)在核(he)心網區(qu)域搭建一(yi)個(ge)自己的(de)云，不同(tong)租戶(hu)網絡可以(yi)通過這個(ge)tunnel傳到另外一(yi)個(ge)區(qu)域中(zhong)，我(wo)們(men)的(de)ODL原區(qu)域內(nei)部網絡在外部對(dui)接RI，然后(hou)輸送到另一(yi)端，內(nei)部我(wo)們(men)需要考(kao)慮兩個(ge)問題。一(yi)個(ge)是發出(chu)過程，如(ru)何(he)將跨區(qu)域通信(xin)的(de)流量引入到防(fang)火墻(qiang)上，防(fang)火墻(qiang)引流工作。第二個(ge)是接收過程，分布式網關如(ru)何(he)接收帶有內(nei)網IP的(de)租戶(hu)流量，支持去loating ip的(de)分布式路由。

防(fang)火墻引流(liu)，我(wo)們(men)集成(cheng)(cheng)了openstack靜態(tai)路由(you)(you)功(gong)能(neng)，通(tong)過配置(zhi)相(xiang)關靜態(tai)路由(you)(you)，生成(cheng)(cheng)響應的(de)openflow流(liu)表(biao)，下(xia)發至(zhi)OVS中進(jin)(jin)行數(shu)據傳輸(shu)。對(dui)接靜態(tai)路由(you)(you)功(gong)能(neng)，監控并獲取靜態(tai)路由(you)(you)數(shu)據，獲取租戶防(fang)火墻內(nei)部(bu)接口MAC地址(zhi)，生成(cheng)(cheng)流(liu)表(biao)，下(xia)發至(zhi)OVS.這是(shi)一個(ge)流(liu)表(biao)架構，前(qian)面(mian)匹配IP包(bao)，到底是(shi)哪個(ge)租戶的(de)流(liu)量(liang)，IP是(shi)什么，包(bao)括(kuo)對(dui)IP地址(zhi)進(jin)(jin)行配置(zhi)。再是(shi)實現(xian)支持去floating IP的(de)分布(bu)式路由(you)(you)，我(wo)們(men)對(dui)原(yuan)因具體(ti)分析，兩個(ge)原(yuan)因：分布(bu)式vrouter外(wai)部(bu)接口不(bu)具備(bei)接收(shou)外(wai)部(bu)流(liu)量(liang)的(de)能(neng)力(li)。分布(bu)式狀態(tai)下(xia)無法對(dui)虛(xu)擬機位(wei)置(zhi)進(jin)(jin)行定位(wei)。這也是(shi)我(wo)們(men)要解決的(de)問題(ti)。

第(di)(di)一(yi)個(ge)(ge)(ge)(ge)問(wen)題，實現路由(you)器外部接口(kou)(kou)對(dui)外來流量的(de)數(shu)據接收能力，它(ta)沒(mei)有一(yi)個(ge)(ge)(ge)(ge)針對(dui)它(ta)的(de)ARP響(xiang)(xiang)應(ying)(ying)能力，我(wo)在上(shang)這個(ge)(ge)(ge)(ge)接口(kou)(kou)發生數(shu)據包的(de)時(shi)候，我(wo)不知道(dao)地址是(shi)什么，我(wo)們第(di)(di)一(yi)步就(jiu)要設(she)計針對(dui)請(qing)求外部接口(kou)(kou)ARP響(xiang)(xiang)應(ying)(ying)的(de)流表(biao)，這個(ge)(ge)(ge)(ge)流表(biao)設(she)計就(jiu)是(shi)下(xia)面這個(ge)(ge)(ge)(ge)樣子。ovs中(zhong)(zhong)加入外部接口(kou)(kou)響(xiang)(xiang)應(ying)(ying)ARP請(qing)求的(de)流表(biao)。第(di)(di)二個(ge)(ge)(ge)(ge)是(shi)虛擬機(ji)(ji)的(de)定位能力，如(ru)果(guo)是(shi)全量下(xia)發所(suo)有區域(yu)內所(suo)有的(de)OVS中(zhong)(zhong)，接到請(qing)求之后(hou)，所(suo)有的(de)OVS都(dou)會響(xiang)(xiang)應(ying)(ying)這個(ge)(ge)(ge)(ge)請(qing)求，這里有兩個(ge)(ge)(ge)(ge)情況：第(di)(di)一(yi)個(ge)(ge)(ge)(ge)是(shi)目(mu)(mu)標(biao)(biao)虛擬機(ji)(ji)剛好(hao)(hao)在該(gai)物理(li)節(jie)(jie)點中(zhong)(zhong)。第(di)(di)二個(ge)(ge)(ge)(ge)是(shi)目(mu)(mu)標(biao)(biao)虛擬機(ji)(ji)不在該(gai)物理(li)節(jie)(jie)點中(zhong)(zhong)。如(ru)果(guo)正(zheng)好(hao)(hao)在物理(li)機(ji)(ji)節(jie)(jie)點中(zhong)(zhong)的(de)話就(jiu)比較容易(yi)了(le)，直接通(tong)過路由(you)發送到物理(li)機(ji)(ji)就(jiu)可以了(le)。如(ru)果(guo)不在的(de)話，先把路由(you)功能在接收到物理(li)機(ji)(ji)的(de)時(shi)候，打到目(mu)(mu)標(biao)(biao)物理(li)機(ji)(ji)當中(zhong)(zhong)，然后(hou)進行目(mu)(mu)標(biao)(biao)轉發，這是(shi)我(wo)們的(de)思路。

我們的(de)(de)(de)(de)(de)方案(an)進行(xing)性能上的(de)(de)(de)(de)(de)測(ce)試，這個是(shi)(shi)(shi)在萬兆環境下(xia)(xia)進行(xing)的(de)(de)(de)(de)(de)測(ce)試，測(ce)試出來(lai)的(de)(de)(de)(de)(de)結果還(huan)是(shi)(shi)(shi)優化很多(duo)的(de)(de)(de)(de)(de)，整體來(lai)看，時間平均降低了(le)68%，帶(dai)寬平均提(ti)(ti)高(gao)39%，優化的(de)(de)(de)(de)(de)能力提(ti)(ti)高(gao)還(huan)是(shi)(shi)(shi)比較顯著的(de)(de)(de)(de)(de)。最后是(shi)(shi)(shi)我的(de)(de)(de)(de)(de)工(gong)作(zuo)總(zong)結與下(xia)(xia)一步工(gong)作(zuo)計(ji)(ji)劃。方案(an)還(huan)有需(xu)要(yao)待完(wan)善的(de)(de)(de)(de)(de)地方，支持(chi)去floating IP方案(an)仍需(xu)優化，控(kong)制(zhi)器高(gao)可用不成(cheng)熟，目(mu)前只是(shi)(shi)(shi)開(kai)源社區高(gao)可用方案(an)，針(zhen)對金(jin)融行(xing)業高(gao)可用高(gao)要(yao)求我們要(yao)再設計(ji)(ji)一個具有金(jin)融特色的(de)(de)(de)(de)(de)高(gao)可用方案(an)，這是(shi)(shi)(shi)我們下(xia)(xia)一步工(gong)作(zuo)計(ji)(ji)劃。L4-L7層(ceng)方案(an)不完(wan)善，防火墻有，但是(shi)(shi)(shi)負載均衡該(gai)怎(zen)么加，該(gai)怎(zen)么弄。后續(xu)工(gong)作(zuo)，除(chu)了(le)針(zhen)對ODL方案(an)進行(xing)繼續(xu)完(wan)善的(de)(de)(de)(de)(de)話(hua)，現在也發(fa)起了(le)跨數據中(zhong)心多(duo)云協同資源管理技術(shu)聯(lian)合研(yan)究(jiu)課題，希望更(geng)多(duo)合作(zuo)伙伴參與進來(lai)。右(you)邊是(shi)(shi)(shi)我們的(de)(de)(de)(de)(de)二維(wei)碼，我們相關進展(zhan)和研(yan)究(jiu)成(cheng)果也會在二維(wei)碼上發(fa)布，大家(jia)有興趣(qu)的(de)(de)(de)(de)(de)話(hua)可以了(le)解一下(xia)(xia)，里(li)面干貨內容還(huan)是(shi)(shi)(shi)挺多(duo)的(de)(de)(de)(de)(de)。我的(de)(de)(de)(de)(de)演講就(jiu)到這里(li)，謝謝大家(jia)！

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類線，屏蔽模塊，配線架及相關(guan)模塊配件的研發和生(sheng)產。