基于OpenNF创建丰富的重分配处理控制应用的详细分析 - FPGA/ASIC

1 介绍

网络功能（NFs），或中间件是以复杂方式检测和更改数据包和流的系统。比如：入侵检测系统（IDSs），负载均衡器，缓存代理等。NFs在确保安全性，提高性能和提供其他新网络功能方面起着关键性的作用。

最近，我们发现利用运行在通用计算资源上的基于软件的NFs来替代专用网络功能硬件越来越引起人们的兴趣，即被称为网络功能虚拟化（NFV）的趋势。同时，SDN被用来通过适当的NFs引流，从而执行决策和共同管理网络和网络负载。

结合NFV和SDN可以实现一类重要的管理应用，这类应用需要在多个网络功能实例（如网络负载均衡，弹性网络伸缩）之间进行动态分组包处理。在此类应用场景下，“NFV+SDN”可以帮助实现以下三个重要目标：（1）、在NF性能和可用性方面满足严格的服务等级协议（SLAs）；（2）、精确地监控和处理网络流，比如，对所有包含恶意软件的网络流，IDS都应该报警；（3）、最小化NF运营成本。然而，目前同时实现三个目标是不可能的，从根本上说需要比“NFV+SDN”能提供的更多的控制功能。

要知道为何？我们考虑这样一个场景，一个IDS过载，为了在吞吐量上满足SLAs，必须进行网络扩展（图1）。通过NFV，我们可以轻易地创建一个新的IDS实例，通过SDN，我们可以将一些正在进行的流网络路由到新创建的实例。然而，由于内部NF状态是不可见的，可能发现不了攻击。为了解决这个问题，SDN控制应用可以等待现有流的终止，且只重新路由新的流，但这样就延迟了过载的缓解，并且增加了破坏SLA的可能性。由于一些NF内部状态的不可复制或共享性，NF精确度也可能被破坏。

图1 需要扩展和负载均衡来满足吞吐量的SLAs和最小化运营成本的场景

在这个例子中，为了避免NF精确度和性能之间的权衡，唯一的办法就是允许一个控制应用能快速并且安全地对一些流的内部IDS状态从原始实例转移到新的实例，同时更新网络转发状态。类似的需求也出现在其他依赖动态重分配和分组处理的应用场景中，比如，快速升级NF和远程处理的动态调用。

在本文中，我们提出一种控制平面架构OpenNF，它提供内部NF状态和网络转发状态的高效、协作控制，使得NF实例之间的流能够快速、安全和细粒度的重分配。采用OpenNF，运营商能够创建丰富的重分配处理控制应用，这些应用能最佳地满足性能、可用性、安全性和成本目标，这样就避免了麻烦的权衡决策。

设计OpenNF的三个主要挑战如下：
C1: 解决竞争条件。这是重分配在线流时产生的最基本问题：当一些内部NF状态被转移时，数据包可能在转移开始后到达源实例，或者在状态转移完成之前到达目的源。除非特别小心，不然，基于这些可能丢失的或者乱序的数据包来更新NF状态，破坏了转移安全性。同样地，当从NF实例间复制状态时，同时发生的更新可能导致状态不一致，这些问题都可能降低NF的精确度。

为了说明竞争条件，我们引入两个新的结构：（1）、一个从外部观察的抽象事件，防止内部NFs的本地状态改变。（2）、一个用于更新网络转发状态的两阶段方案。我们展示了如何将两者结合起来以确保状态更新不会丢失，或者在状态转移时重新排序和共享状态保持一致。

C2：限制开销。第二个问题是保证重分配是高效的。NF实例之间的状态转移和共享会消耗NF CPU和网络资源。此外，为了避免丢失，重排和状态不一致，需要数据包缓冲，这会引入延迟和内存消耗。如果这些性能和资源消耗是无限制的，就无法满足严格的SLAs和有限的运营成本。

为了限制开销，我们提出了一个灵活的北向接口，用于控制应用明确地指定哪些状态进行转移，复制和共享，以及哪些保证执行（例如，无损耗）。

C3：以最小变化适应各种NFs。最后一个问题是确保我们的架构能适应以大量非入侵方式的各种各样的NFs。给NFs提供接口来创建/更新状态是一种方法，但是这种方法限定了内部NFs转态的结构，可能也不适合需要一些数据包处理逻辑的状态分配/访问。相反，我们为NFs设计了一种新的南向接口，允许控制器请求NF状态的进出口，而不改变NFs内部是如何管理状态的。

我们使用Floodlight实现了我们的北向接口API，利用这个API，我们开发了几个控制应用。我们也增加了四个NFs—Bro, Squid, iptables, 和PRADS，用于支持南向接口API。
     

　　　　　　　　　　　　　 查看评论 回复