在传统的Openstack HCI超融合系统中,网络组件Neutron承担网络里面所有的三层路由流量的转发,但是Neutron单点网络节点部署使网络在性能(包括带宽和延迟),QoS和安全性上有严重的问题,体现在以下几方面:
1. Neutron单点瓶颈引起的网络吞吐量和高可用冗余问题
2. Neutron软件转发引起的高延迟,降低了上层应用的性能(如大数据应用)
3. Neutron被DDoS攻击导致所有租户网络功能失效
4. Neutron耗费CPU资源进行包转发
图1 HCI超融合Openstack架构
Pica8提供1G/10G/25G/40G/100G的SDN交换机,性能优越的PicOS网络操作系统致力于将交换机硬件转发的优势融入Openstack HCI产品中。网络控制平面采用Pica8特有的SDN混合模式(Crossflow),把原生Neutron提供的三层虚拟路由,Floating IP绑定,负载均衡等网络功能,卸载到高性能硬件交换机上,极大的提高了Openstack HCI的网络吞吐带宽,降低延迟,并对东西向南北向流量,存储流量,管理流量的进行QoS区分,避免重要流量发生丢包。另外,由于采用硬件交换机转发,避免了Neutron节点被DDoS攻击的可能性。
PicOS SDN超融合网络方案从网络性能(带宽,延迟,QoS服务质量),安全(防御DDoS)方面解决了Openstack原生Neutron软件网络组件的缺陷,极大地提高了系统的综合性能。
1. 东西向三层流量由Neutron软件转发offload到硬件路由转发。
2. 南北向FloatingIP绑定(D-NAT)由Neutron软件修改IP地址变为硬件转发和修改IP地址
3. 南北向负载均衡功能(Loadbalance)变成由硬件来完成负载均衡
4. 硬件完成流量QoS服务质量区分,有效的区分管理网络流量,业务网络流量,存储网络流量,并给予他们不同的服务质量和带宽分配。
5. 三层流量转发可以获得硬件级别的低延迟
6. 由于以上功能都转移到硬件完成,所以避免了DDoS攻击某个PublicIP而影响和阻塞整个网络功能节点(即攻击只局限于某个虚拟机,不影响整个物理网络)。或者某些租户虚拟机占用太多东西向带宽影响整个网络节点的转发性能。
7. 可以实现类似思科ACI的Hairpin流量转发(VEPA转发模式)并镜像任意虚拟机之间的通信流量(包括同一个物理服务器的VM之间的通信)
