搭往雲端的橋樑
雲端運算下的網路架構
文／圖 陳啟川

不管是公有雲、私有雲，還是SaaS、PaaS、IaaS的服務模式，都必需藉由「網路」這個媒介來存取分享各項資源，所以「網路」可以說是達到雲端的天梯，但對目前幾乎所有的資料中心或企業來說，網路早已是必備的重要基礎架構，那究竟雲端運算下的網路架構有何差別呢？

---

從市調機構的報告或是看這幾月來雲端概念股的發燒，都顯示出雲端運算是未來企業關注發展的技術之一。之前我們已就開發、儲存、安全等各方面來看這個熱門的議題，而本期我們將就雲端運算中的網路架構來討論。


資料中心與企業辦公室的網路
無論是何種服務型態或部署架構的雲端運算，其目的都是要讓用戶端透過網路來存取遠端的各項服務（包括運算、儲存空間、軟體服務）。由於相關的資源都已不在本地端提供，所以不管對本地用戶或遠地的雲端中心來說，網路在雲端運算裡扮演最基本、關鍵的角色。而這裡面的網路可包括了3個部分：資料中心內部各項運算、儲存設備，雲端資料中心與資料中心，還有雲端資料中心到使用者（企業用戶）。本文將把討論重心放在資料中心與企業辦公室，而不以一般常見的IaaS、PaaS、SaaS做為區分的方式，因為這些服務型態屬於較上層的應用差異，落到底層網路的實體架構上則屬一致。


雲端網路的特性
在看雲端網路架構與傳統網路架構的異同時，首先我們還是回到雲端運算的重點，就是能夠迅速且彈性的切割包括網路、運算、儲存空間等各項資源，然後再立即的分享釋放到所需的客戶。由此來看，與現有環境的網路相較，雲端運算中的網路要什麼特別的需求呢？


高可靠性的網路
在雲端運算的概念下，本地端將不用建置相關的伺服器與儲存設備，自然也無需設立相關的備援機制。如此雖然可減少相關的IT支出，但集中資源的架構也讓資料中心網路的可用性要求更高，以免影響到所有的遠端使用者。對分支辦公室而言，網路可用性的重要也更加明顯，因為本地端已不再儲存相關的資料或提供相關的應用程式服務，所以一旦網路發生異常或斷線時，也代表者所有業務的中斷，使得雲端運算對網路可靠性的要求更為嚴格。


難以預估的網路流量變動
因應雲端環境能彈性分配資源的需求，讓整個雲端資料中心的網路型態更加動態且難以預測。瞻博網路(Juniper)台灣區技術總監游源濱說明，傳統自建的資料中心由於其員工人數與作業型態較為固定且熟悉，使得整個資料中心的網路流量較容易掌握預估；但在雲端環境下，服務供應商難以評估到各個用戶的作業型態，需隨著資源耗用的情況進行調整改變，讓整個雲端網路的變動性更大。


隨網路擴充日益複雜的架構
隨網路架構的擴張，再加上虛擬化技術的大量使用下，也促使既有的實體上承載更多的裝置，這些因素都會讓雲端網路複雜度呈倍數成長，而網路拓撲的複雜將導致發生風險的機率增加，使得維運管理成本的增加，而成為雲端網路需要面臨的挑戰之一。


彈性分配共用資源
從透過網路來存取資源的角度來看，游源濱指出雲端和傳統資料中心相當類似，傳統資料中心雖然也會將資源集中控管而具備經濟規模效益，但雲端不只是將伺服器集中化，更強調可以彈性的組態、共用資源，讓資源可以很快的被切割並分配給用戶使用。傳統資料中心在這方面因缺乏虛擬化的技術，在資源的分配上相對較缺乏彈性，無法立即的將運算能力切割給使用者。要達到資源的分配共享目的，伺服器的虛擬化只是其中之一，網路、儲存等基礎架構也要能配合虛擬化，才能達到資源的彈性共用。


VMware所提供的vNetwork分散式交換機，能集中控管虛擬機器間的彼此網路，讓虛擬環境中的網路管理跳脫以往以實體主機為主的架構，讓虛擬伺服器在不同的實體主機上移動網路仍可正常運作，也同時支援如Cisco等廠商的虛擬化解決方案，讓從前在實體網路所能執行的網管控制也能夠應用到虛擬網路之上。


雲端網路關鍵在簡化架構
為了達到雲端網路的特性，企業或雲端服務供應商可從下列方式達到其需求：


模組化設計提高可靠性
雲端網路要提高其可靠性，甚至是電信等級（5個9，每年停機約5分鐘）的可用性時，Juniper技術經理楊正言指出可從硬體、軟體與網路架構三方面備援來著手。
首先是硬體備援，這邊指的是像具備處理器、電源供應器的備援機制來提高網路設備本身的高可用度。但不可忽略的是即使硬體本身沒有問題，軟體也會有需要昇級更新的情形，這方面就有賴網路作業系統的設計，讓網路設備具有容錯移轉的功能，以儘量降低甚至不中斷服務的時間。還有像採用模組化設計的軟體系統架構，讓設備的各個功能模組彼此獨立而不相互影響。楊正言指出像網管這種較容易在網路設備出現異常的功能，在採用模組化的設計下，即使出現異常也不會影響到其他正常的網路運作，且能單獨的重新啟動讓模組，回復網管功能的連線也不中斷使用者網路。
另外為了避免網路單點失誤所引起的網路中斷，通常在網路架構上會設計成兩兩備援的線路，雖然解決線路中斷的問題，但也會造成網路迴圈，當雲端網路架構不斷的擴大時，一旦線路發生中斷甚至會出現迴圈無法收斂，反而造成管理上的困難，這也是在提高網路可靠度時所要注意。
網路架構的簡化
如圖2所示，這是一個現有常見的三層式網路架構，由最上層的核心層(core layer)，與第二層具有流量負載、防火牆、入侵偵測與存取控制相關網路功能的聚合層(aggregation layer)，最後則是與伺服器相連的存取層(access layer)。伺服器後面又透過光纖交換器與後端儲存設備相連，由此層層的結構形成整個雲端資料中心的網路。


由核心層、聚合層、存取層構成的現有三層式網路架構。

前面已提到，為了提高線路的可靠度，在層層的網路設備上會再進行線路備援，當雲端網路隨著需求不斷擴大，不但容易造成大量的迴圈的同時，也會造成上層網路埠的大量消耗，形成難以管理的問題。因此游源濱便強調，雲端網路關鍵處在所謂的簡化。像Juniper所提的虛擬機箱(Virtual Chassis)技術，透過虛擬機箱的功能，藉由光纖的連結，讓兩地遠距的多個小型設備能虛擬化成一個大的機箱，而視作單一設備進行管理，如圖3所示。採用這樣的簡化架構，不但大量減少迴圈與網路埠的使用，更能有助於管理與網路異常時的除錯。另外還能將原本的聚合層進行簡化，整合到現有的核心層中，未來甚至要能整合不同的介面與裝置，將伺服器、儲存裝置等接入同一層，同時提供路由、交換、安全等功能的單層網路架構。


透過虛擬機箱的功能，讓多個小型設備能虛擬化成一個大的機箱，且將原本的聚合層進行簡化，整合到現有的核心層中，讓現有的3層式網路架構簡化為2層。


雲端網路動態的擴充能力
游源濱提到，在雲端架構下用戶的使用行為變得難以預測，可能因為某個熱門的應用程式讓網路流量大增。他舉例在單一資料中心裡，光是從iPhone裝置上的Google map應用便能產生2千4百萬的連線數。從中長期來看，雲端網路架構需具備彈性擴充的處理能力，像是以新增模組卡板的方式，不只要增加網路埠數以收容更多的線路設備，還要能提高處理流量，以符合雲端運算的動態需求，減少網路設備也同時達到簡化網路架構的目的。就短期來看，要因應某應用程式或單一事件所產生網路流量的暴增，則是考驗設備在每秒能所能處理新增連線的能力，如果無法即時的處理突然增加的連線需求，則可能會造成網路的壅塞甚至是中斷。


虛擬設備的整合與切割
網路虛擬化不但可應用於設備的整合以簡化網路架構與管理，另一方面的也可用於切割分配資源。前面已強調雲端運算的精神在於能隨著用戶的需求，彈性的切割相關資源並分配給使用者。例如將路由器按客戶的不同而切割成不同的邏輯路由器（以Juniper來說，每顆實體路由器最多可劃分出15顆邏輯路由器），並指派獨立的介面(interface)給不同的客戶，讓其自行維護自己的路由表，與自行制定相關policy。當然這種邏輯路由相較實體路由器在功能上會有些限制，像是Graceful Routing Engine switchover（平穩路由引擎切換）、封包的映射/採樣、IPSec、Generalized MPLS（通用多協定標籤交換）的功能便無法支援。


具備雲端感知功能的網路
相對於Juniper簡化雲端網路架構的做法，另一網通大廠思科則提出所謂虛擬感知(Virtualization-Aware Networking)的雲端智慧解決方案。台灣思科新技術事業部業務開發經理陳世陽認為，現有3層式的網路架構是一個已經多年實際驗證，可穩定運作的網路架構，所以他指出思科的雲端網路在架構上並沒必要改變，但功能上卻有所有不同。
陳世陽將雲端運算的資料中心區分成網路、運算、儲存與管理的4個主要元件，讓此四者在虛擬化的環境中也能透過802.3的標準協定進行串連，而當伺服器、網路、儲存裝置與管理平臺都能支援此標準協定時，也表示這些設備具有了虛擬感知的能力。一旦設備在虛擬環境內進行移轉時，其相關的網路組態配置也會自動進行調整，以確保網路的不斷線。
思科把這種虛擬化網路交換技術稱為VN-Link，是架構在VMware ESX，用以取代原有VMware所提供的虛擬交換器(Virtual Switch)。與VMware內建的虛擬交換器相比，VN-Link提供了一個能橫跨不同網段，且更適合資料中心的虛擬網路管理平臺。目前支援VN-Link技術的有純軟體式的Cisco Nexus 1000V虛擬交換器與硬體式的Cisco Nexus 5000/7000系列交換機。 至於如何讓資料中心在既有的架構下整合到雲端，陳世陽說明一般會先與客戶進行訪談，然後評估資料中心內有多少機器會移轉到虛擬平臺，對一些較老舊的機器便可能不適合轉成虛擬機器。接著企業可開始選擇購買支援虛擬化技術的相關產品，或是以軟體安裝(Nexus1000V)方式讓既有的設備納入管理，讓不懂雲的設備能夠感知雲，最後再涵蓋在整個雲端管理平臺之下。


Cisco Nexus 1000V虛擬交換機包含兩個元件，一個是安裝在ESX平臺上的虛擬交換器(VEM,Virtual Ethernet Module)，另一個則是用以管理、設定VEM的管理模組(VSM,Virtual Supervisor Module)。


雲端下的企業辦公室網路
資料中心當然是雲端運算中的核心角色，但對其用戶端（企業辦公室）在雲端運算下會產生什麼影響？寬宇科技市場技術處產品經理陳建良認為，雲端運算下以公有雲對中小企業的效益最明顯，而要讓企業員工能正常使用雲端服務，最重要的就是對外網路的穩定度。但偏偏中小企業因成本考量比較不會使用像是專線這類較穩定的線路，多數是使用一般的ADSL連網。這在以前一般使用時，即使發生偶爾的斷線或許還能忍受，但如果企業開始採用雲端服務後，隨著網路使用時間與依賴性的增加，一旦發生斷線就會立即影響到企業的正常營運，對網路的穩定度就會要求更高。



影響網路穩定的因素
穩定度的表現除了最明顯的斷線外，另一個就是在回應時間的長短上。網路的回應時間除了與線路品質、機房距離等相關外，陳建良就客戶的經驗來看，回應時間還會隨著網路頻寬使用率有所變化，當使用率愈高，回應時間就會愈高。一旦回應時間過長，便可能讓遠端伺服器以為網路中斷，而出現網頁應用程式的無法回應的情況。陳建良提到，一般ADSL網路實際使用的頻寬有達到其所宣稱的7、80%就不錯，像是8M/12M這類較高頻寬，甚至有可能只有5、60%；相較之下光纖網路的穩定度較高，約可達80%以上。所以企業網管人員在測試回應時間時，應同時檢查在線路使用正常與滿載不同情況下的回應情況，以瞭解其中的區別；也可透過一些工具或廠商協助，對企業網路使用行為做較長期的監控，才能瞭解企業網路的真實情形，才能判斷當員工反應網路過慢時是頻寬不足還是頻寬不穩定所造成。


以負載平衡提高網路的穩定性
企業要能夠順利的導入雲端服務，在網路方面主要考慮穩定度與頻寬不足的情況，以免發生網路過慢甚至是斷線情況的發生。這方面可使用一些具備線路負載平衡與容錯備援的頻寬管理設備，以確保企業的網路連線穩定不中斷。
透過頻寬管理設備，企業可同時申請數條不同服務供應商的線路，連接到該設備以增加企業對外的網路頻寬，透過頻寬管理機制，可讓不同線路的頻寬獲得最有效率的利用，當其中一條線路異常中斷時，也能自動啟動線路的容錯備援，避免網路中斷的情況發生。
在雲端的應用上，陳建良提到，公雲服務的應用可透過上述方式來確保網路的穩定。但在私雲架構的應用由於服務並不對外，所以像寬宇科技的AscenLink便提供一種Tunnel Routing的通道路由技術，結合多條線路在機房與辦公室間建立虛擬的通道，讓兩地間的區域網路可透私有IP進行連結，且避免VPN單一線路斷線。不但能增加通道的頻寬，在傳輸時還會將封包打散分配在不同的線路上，且支援AES加密，以減少封包遭人側錄洩密的風險。


動態的頻寬管理分配
網路頻寬負載在市場上由來已久，其產品從低階到高階都有，像UTM這類多功能的網路設備也會具有這樣的功能。其中的差異除了設備本身的處理效能與硬體穩定外，對頻寬分配的演算法也有所不同，有些僅能提供固定的權重分配方式，較好的頻寬管理設備則能按現有網路剩餘頻寬的大小，再決定將流量導入剩餘頻寬較多的線路，呈現一個動態分配的處理，甚至是將延遲時間也放入演算法綜合計算，以算出最適合的線路。除此之外，能支援承載線路的種類、數量也是要注意的地方。
要確保雲端應用服務的網路品質，除了網路的負載備援機制，還有其他像是頻寬管理(QoS)、網路應用加速這類的解決方案都各有其適用的情況，並有助於提高網路傳輸的品質，讓雲端服務的用戶獲得更好的使用者體驗。但套句廣告上的台詞「先求不傷身體，再講效果…」，企業網路的應用一定要先能保證網路的正常連線後，才能去要求品質、效能的改善，否則一旦發生斷線，再好的優化機制也無用武之地。


雲端有助於現有技術的推展
在全民瘋雲的同時，也開始有雲端泡沫的說法出現，撇開「雲端」這個被過度消費的名詞不談，其實雲端中的網路架構所?述的不是僅僅適用在雲端運算的環境，裡面所提到的對資源的彈性切割與分配共用的觀念，及大量透過網路連結取得這些共用資源則是必然的趨勢。而文中所提到的模組化設計、虛擬化技術、負載平衡、頻寬管理、網路應用加速等也都是在「雲端」這個議題出現之前便有的技術，但是「雲端」應用的出現，無疑的會「加重」且「加速」這些技術的使用，這或許是在一窩蜂競逐雲端的風潮下，對IT人員而言更需關注且務實的態度。