[Network] Windows Server 2016 攻略 (八) - SDN 軟體定義網路

  • Article

        Windows Server 2016 攻略系列文章分 Compute / Storage / Network 三大主題,其中 Compute 與 Storage 已由先前文章涵蓋介紹:

 Compute Storage

新世代虛擬化平台 Hyper-V

 SDS 軟體定義儲存

為雲端而生的極簡平台 Nano Server

 資料備援新選擇 Storage Replica

整合雲端元素的容錯移轉叢集

 儲存資源品質管控機制 Storage QoS

三月份將帶來 Network 主題兩篇技術攻略:

  • SDN 軟體定義網路 (即本文)
  • 新世代虛擬網路交換器 Switch Embedded Teaming (預定 3/14 發佈)

本篇文章您可以看到以下內容:

前言

        微軟新世代 Windows Server 2016 雲端作業系統,在 2014 年 10 月 1 日時正式發佈第一版的「技術預覽(Technical Preview,TP1)」版本,接著在 2015 年 5 月發佈 TP2 技術預覽版本、2015 年 8 月發佈 TP3 技術預覽版本。最新版本,則是在 2015 年 11 月時所發佈的 TP4 技術預覽版本。

        本文中,將說明及安裝微軟新世代 Windows Server 2016 雲端作業系統當中,「軟體定義網路(Software Defined Network,SDN)」技術內的重要角色「 網路控制器(Network Controller) 」,以及透過 SDN 技術管理「 網路功能虛擬化(Network Functions Virtualization,NFV) 」運作環境,進而幫助企業或組織在資料中心內建構網路虛擬化環境。

(上圖為網路控制器(Network Controller)架構示意圖   圖片來源: TechNet Library – Network Controller )

網路控制器簡介

        網路控制器的運作概念來自於微軟管理 Azure 公有雲環境的經驗,也就是希望能夠在資料中心內提供基礎架構「 集中、可程式化、自動化管理、組態設定、監控、故障排除 」等機制,而非傳統環境中必須要管理人員逐台登入相關實體或虛擬設備進行管理的困擾。

       網路控制器為高可用性及高可擴充性的伺服器角色,並且提供相對應的「 應用程式開發介面(Application Programming Interface,API) 」,以便允許網路環境中的相關設備能夠與網路控制器進行通訊作業。

       你可以在「 網域 」或「 非網域 」環境中部署網路控制器,當網路控制器運作在網域環境時,那麼與網路設備之間的通訊便是透過 Kerberos 進行驗證程序,倘若是運作在非網域環境時則是透過憑證進行驗證程序。

       事實上,網路控制器與網路設備進行溝通作業時,所提供的 API 還可以區分為「 南向 API 」及「 北向 API 」:

  •   南向 API( Southbound API ): 用於「  探索  」網路環境中的網路設備,以及其它在網路環境中運作的網路元件,同時還能「 檢測 」組態配置內容是否正確。
  • 北向 API( Northbound API ): 用於「  管理、監控、配置  」的 API,你可以使用 Windows PowerShell 或 REST API  來進行管理作業,屆時的 System Center Virtual Machine Manager 2016 也將提供網路控制器的 GUI 管理介面。

( 上圖為網路控制器管理 NFV 網路虛擬化功能    圖片來源: TechNet Library – Network Function Virtualization )

安裝網路控制器角色

       在 Windows Server 2016 運作環境中,若要安裝網路控制器伺服器角色非常簡單,只要透過伺服器管理員即可完成安裝作業,但必須要重新啟動主機才能夠使安裝程序套用生效。

(上圖為透過伺服器管理員安裝網路控制器 )

( 上圖為網路控制器伺服器角色安裝完成 )

當然,管理人員也可以透過 PowerShell 指令達成安裝網路控制器伺服器角色的目的。

NFV 網路功能虛擬化

      在 Windows Server 2016 雲端作業系統當中,可以支援下列多種網路功能達成 NFV 網路功能虛擬化,並透過網路控制器進行管理實體網路 IP Subnets、VLANs、Layer 2 / Layer 3 Switches…等管理作業:

  • 軟體式負載平衡器(Software Load Balancer)
  • 站台對站台閘道器(Site-to-Site Gateway)
  • 轉送閘道器(Forwarding Gateway)
  • GRE 通道閘道器(GRE Tunnel Gateway)
  • BGP(Routing Control Plane)
  • 分散式多租戶防火牆(Distributed Multi-Tenant Firewall) 

分散式多租戶防火牆

      分散式多租戶防火牆又稱為「 資料中心防火牆(DataCenter Firewall) 」,管理人員可以透過網路控制器進行集中式的管理,它座落在 Hypervisor 及 VM 虛擬主機之間,同時管理人員可以透過資料中心防火牆,有效控制「 東西(East-West) 」、「 南北(North-South) 」的網路流量。

      簡單來說,資料中心防火牆便是具備網路層(Network Layer)、5-Tuple(協定、來源端連接埠、目的端連接埠、來源端 IP 位址、目的端 IP 位址)、可設定狀態(Stateful)等功能的多租用戶防火牆,以便幫助企業或組織在資料中心運作環境中,透過這樣的防護機制有效提升多租用戶的VM虛擬主機安全性及使用者操作體驗。

( 上圖為資料中心防火牆運作架構示意圖    圖片來源: TechNet Library – Datacenter Firewall Overview )

欲知最新 Network 系列歡迎鎖定 TechNet 台灣 粉絲團!