Apollo

- 虚拟网络 · 高扩充性、高性能 · 可视化网络安全监控平台 -

诺云提供的SDN overlay虚拟网络安全管理平台,Apollo。是由专为虚拟网络开发的网络平台--APC,及可视化网络安全监控平台--Cloudview所組成。

為使用者提供高扩充性、高性能、彈性的虚拟网络解决方案。

APC

APC (Application Policy Controller) 是诺云专为虚拟网络开发的网络平台,对OpenStack虚拟网络安全管理方面的欠缺进行了深度改进。

目前市面上常见的虚拟网络管理平台,大多以连通虚拟机为主要目的,而没有为虚拟网络加入足够的安全功能。同时,NFV(Network Function Virtualization)目的也是只让虚拟机加入网络来提供特定的网络服务。

而APC则是从另外一个角度理解了网络:

  • 以安全管控、流量控制为视角(网络的连通只是个基本功能)。
  • 通过策略(Policy)的设定方式来定义网络设备间的连通能力与情况。

例如,两个虚拟设备间的网络互通,传统方式是先连通两个虚拟设备,然后在该虚拟连接线上再加上安全规则,这安全规则附属于虚拟连接线。而APC的方式则是用安全策略来管理虚拟连接,把安全策略绑定到虚拟设备,当虚拟设备迁移时,安全策略会跟随着虚拟设备迁移。

随着服务和应用的变化,传统的虚拟机进化出如今的容器,但是网络还是停留在连通的层次上。不同的服务源自不同的需求。业界已经开始采用策略来定义服务,但网络处于相对原始的状况,使得网络与安全跟不上服务的脚步。

特性

APC提供以GUI为基础的操作界面,此界面有如下功能:

  • 提供网络拓扑图
  • 提供每个网络虚拟化设备的高级功能
  • 在网络拓扑显示界面,能以拖拽方式配置网络

APC并不会替换掉全部网络服务/功能,因而对现网而言,不论是硬件亦或是软件的虚拟机都能接入APC,让已有的投资的不会被浪费。
目前,我们能把以下两种策略和EPG绑定:

  • 安全策略
  • QoS策略

OVN是一套开源的虚拟网络平台,它基于 OVS (OpenVSwitch) 这一开源虚拟交换机来提供虚拟网络功能。

OVS社区已经发展很多年了,可以说是SDN的始祖。随着层出不群的各种需求、各种服务,OVS也演化出不同的网络虚拟化产品,OVN便是其中一种。

EPG (End-Point Group),是End-Point的集合,一个End-Point表示一个网络接口。传统网络都依附在某个项目,例如在OpenStack中,网络接口是某个Project下的网络接口,没有任何的安全策略是为接口而设定的。

OpenStack安全组(Security Group)依附在Project中,当网络虚拟机的接口生成后,安全组会绑定到这些虚拟机网络接口。

但对于网络而言,每一个虚拟的网络组件也是有网络接口的,但却没有安全组可以和这些接口绑定。APC通过EPG这个概念,把每一个网络接口分组,然后把策略绑定到这些EPG上。通过这种方式,无论是虚拟机还是网络组件都能应用策略。

微服务是通过一群进程的集合体来实现某项应用,这些进程各自独立运作,需要时会调用其它进程的接口。部署时以微服务为单位。 Cloud Native(云原生)服务就是一种微服务。目前,云原生服务的主要应用案例是容器。

为什么说APC是为云原生服务而设计的?因为APC以End-Point Group (EPG)为基础来设定安全策略,每个微服务的进程或是容器的网络接口,我们视为End-Point(EP),根据EPG的分组规则,相同目的/设置的EP都被归类给相同的EPG。当服务被部署时,APC将根据规则为新增的网络接口(EP) 绑定不同的EPG。

APC/OVN与其它虚拟网络对比

APC OVS Midonet DragonFlow PLUMgrid
产品定位/特色 有强大安全管理功能的网络虚拟化平台 虚拟交换机 网络虚拟化平台 网络虚拟化平台 网络虚拟化平台
Neutron plugin OVN OVS Midonet DragonFlow plumgrid
第一个版本发布时间 2017 2009 2010 2015
开源社区生态评分 中等
Midokura主导
一般
华为主导
HA/LB功能 支持 不支持 支持 支持 支持
安全管理细粒度大小
DPDK 支持 支持 支持 支持 不支持
开发语言 C C和Python Java Python C
分布式网络架构

APC的虚拟网络架构

下图是Nocsys完整解决方案的架构图,APC不关心物理网络的配置,只要能让物理网络通连通就行。

APC不仅仅是一个完全封闭的虚拟网络系统,APC也能与物理网络互联互通。要是在APC虚拟网络里设定的Policy一离开虚拟网络便无效,那么APC提出的意义就不存在。因而APC也能与Nocsys物理网络产品ACF协同工作,将APC的Policy应用于物理网络和物理服务器。

在网络监测方面,Nocsys ClouView产品通过APC取得网络实时流量状况。让运维人员能够提早发现问题,及时启动应对方案。

APC提供硬件与软件网关,网关能做到以L2/L3方式与物理网络连接。此网关可以不止一台,APC能够提供多台网关实现HA与LB。因而与物理网络对接时能采用L2 MLAG或是L3 ECMP方式连接。

在数据库方面,OVN目前提供一个中央数据库来转换虚拟机或是容器管理平台的逻辑网络成为物理网络,但因为目前只有一台数据库,无法进行HA或LB。而APC可以提供三台中央数据库来实现HA/LB。

在管理平台上,目前流行着OpenStack/Mesos/Docker/Swarm/Kubernetes。对APC而言,支持它们都没有问题。

只要这些管理平台通过OVN/APC提供的插件,就能与APC虚拟网络对接。APC应用范围不限于虚拟机,容器/微服务都没有问题。