1、何為云計(jì)算平臺(tái)

說到云計(jì)算平臺(tái)，不得不提開放平臺(tái)。去年以來，開放平臺(tái)這個(gè)字眼可謂是炙手可熱。自Facebook、Apple將開放平臺(tái)的成功演繹至極致，中國(guó)互聯(lián)網(wǎng)界便掀起了一股“開放潮”，新浪、百度、淘寶、360、人人、騰訊等互聯(lián)網(wǎng)巨頭，甚至是當(dāng)當(dāng)和京東等電子商務(wù)巨頭，都放言“逐鹿”開放平臺(tái)。

開放平臺(tái)有三層含義：

應(yīng)用平臺(tái)，為用戶提供應(yīng)用的統(tǒng)一入口，如Apple、Google、騰訊WebQQ的Appstore。

商務(wù)平臺(tái)，為第三方開發(fā)者提供統(tǒng)一的商務(wù)接口，減少和不同平臺(tái)接口之間的商務(wù)溝通成本。

云計(jì)算平臺(tái)，通過技術(shù)能力的開放，為第三方應(yīng)用提供實(shí)時(shí)可伸縮的計(jì)算資源、海量用戶運(yùn)維和客服、信息安全等后臺(tái)支持和應(yīng)用托管，可以在整個(gè)平臺(tái)實(shí)現(xiàn)第三方應(yīng)用的單一實(shí)例，如Google的GAE、Amazon的EC2、騰訊的opensns.qq.com。

無疑，這三者中，云計(jì)算平臺(tái)才能真正解決第三方開發(fā)者面臨海量用戶的諸多挑戰(zhàn)，對(duì)第三方開發(fā)者有著莫大的吸引力，可以實(shí)現(xiàn)互聯(lián)網(wǎng)巨頭們寡頭經(jīng)濟(jì)和長(zhǎng)尾經(jīng)濟(jì)兩手硬的如意算盤，被視為未來互聯(lián)網(wǎng)的制勝利器。因此，各互聯(lián)網(wǎng)巨頭也不惜投入巨資建設(shè)云計(jì)算平臺(tái)爭(zhēng)奪市場(chǎng)。據(jù)互聯(lián)網(wǎng)公開的資料，騰訊的云計(jì)算平臺(tái) opensns.qq.com開始建設(shè)僅4個(gè)月就取得出人意料的收獲：

已有108多款第三方應(yīng)用跑在騰訊云計(jì)算平臺(tái)上；

4個(gè)月應(yīng)用總安裝次數(shù)超過3億次；

日活躍用戶總數(shù)達(dá)到2千5百萬(wàn)，最高同時(shí)在線用戶超過400萬(wàn)；

有三款應(yīng)用平均日登錄超過千萬(wàn)，超過10款應(yīng)用平均日登錄過百萬(wàn)；

單個(gè)游戲月度分成收入超過1000萬(wàn)；

2、VLAN和IP規(guī)劃面臨挑戰(zhàn)

那么，和原有僅支撐內(nèi)部應(yīng)用的數(shù)據(jù)中心相比，云計(jì)算平臺(tái)的數(shù)據(jù)中心會(huì)面臨什么樣的新挑戰(zhàn)？

顯然，由于云計(jì)算平臺(tái)的核心是諸多第三方應(yīng)用的托管，業(yè)務(wù)隔離是首當(dāng)其沖的要解決問題，否則無法確保第三方應(yīng)用及數(shù)據(jù)的安全性。

從網(wǎng)絡(luò)的角度，業(yè)務(wù)隔離必須要從接入層能夠?qū)⒏鳂I(yè)務(wù)的服務(wù)器分開。網(wǎng)絡(luò)大師們不暇思索的給出了解決方案：VLAN。

不料，問題馬上來了。VLAN的規(guī)模如何確定，IP網(wǎng)絡(luò)劃分按照什么粒度進(jìn)行？

云計(jì)算平臺(tái)是典型的長(zhǎng)尾經(jīng)濟(jì)商業(yè)模式，這也就意味著托管的應(yīng)用數(shù)量龐大，大部分應(yīng)用的規(guī)模較小，但誰(shuí)也無法預(yù)知一覺醒來哪個(gè)應(yīng)用的用戶數(shù)量會(huì)暴漲，因此計(jì)算資源的伸縮性要求很大。

如果VLAN和IP網(wǎng)絡(luò)的粒度較粗，由于大部分應(yīng)用規(guī)模較小，這會(huì)帶來IP地址等資源的巨大浪費(fèi)。

如果VLAN和IP網(wǎng)絡(luò)的粒度較細(xì)，意味著當(dāng)應(yīng)用長(zhǎng)大時(shí)會(huì)分割在不同的VLAN和網(wǎng)絡(luò)中，如果涉及HA、虛機(jī)遷移等特殊需求還可能需要將業(yè)務(wù)進(jìn)行跨 VLAN和網(wǎng)絡(luò)的整合和遷移，這會(huì)招致業(yè)務(wù)部門的不滿。更糟糕的是，服務(wù)器虛擬化技術(shù)發(fā)展很快，當(dāng)服務(wù)器虛擬化1：4的時(shí)候，意味著網(wǎng)絡(luò)設(shè)備硬件端口規(guī)模不變的情況下網(wǎng)絡(luò)容量變成原來的4倍，如果服務(wù)器虛擬化在1：4的基礎(chǔ)上進(jìn)一步變成1：10網(wǎng)絡(luò)容量就會(huì)猛增為最初的10倍，很輕易就會(huì)擊穿VLAN和 IP網(wǎng)絡(luò)的規(guī)劃，應(yīng)用也將被迫進(jìn)行的跨VLAN和IP網(wǎng)絡(luò)的遷移，應(yīng)用的中斷將不可避免。

可是VLAN和IP網(wǎng)絡(luò)的粒度放大到什么程度才合適那？似乎暫時(shí)沒有答案。長(zhǎng)尾應(yīng)用和服務(wù)器虛擬化的發(fā)展很難準(zhǔn)確預(yù)知。

網(wǎng)絡(luò)大師們總是追求完美的，希望應(yīng)用盡可能避免遷移，于是，另一個(gè)方案出臺(tái)了。

網(wǎng)絡(luò)大師們現(xiàn)在不劃分細(xì)顆粒的VLAN和IP網(wǎng)絡(luò)了，干脆創(chuàng)建一個(gè)大VLAN，應(yīng)用的隔離通過PVLAN進(jìn)行，這樣IP網(wǎng)絡(luò)的劃分問題也迎刃而解了。似乎一切都完美了。

還沒等網(wǎng)絡(luò)大師們喘上兩口氣，就發(fā)現(xiàn)這個(gè)方案似乎也行不通。#p#

首先，從技術(shù)角度，單個(gè)VLAN的規(guī)模是有限制的，由于大量生成樹節(jié)點(diǎn)的計(jì)算會(huì)對(duì)作為根節(jié)點(diǎn)的三層設(shè)備的CPU產(chǎn)生沖擊，通常一個(gè)二層網(wǎng)絡(luò)難以超過 2000臺(tái)服務(wù)器（包括虛擬機(jī)）的規(guī)模。這樣規(guī)模的網(wǎng)絡(luò)對(duì)云計(jì)算平臺(tái)來說太小，需要建設(shè)多個(gè)網(wǎng)絡(luò)模塊，整個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)結(jié)構(gòu)的層次要增加，跨模塊的網(wǎng)絡(luò)性能又成為另外一個(gè)浮起的瓢。

其次，在服務(wù)器虛擬化的環(huán)境下，由于目前交換機(jī)還無法直接通過端口區(qū)分虛擬機(jī)，如果想使用PVLAN隔離虛擬機(jī)，服務(wù)器虛擬化平臺(tái)就必須支持PVLAN TRUNK，或者說母機(jī)內(nèi)置的虛擬交換機(jī)必須支持PVLAN TRUNK。目前業(yè)界僅Cisco的Nexus1000v可以支持，但限于vmware平臺(tái)，而更受互聯(lián)網(wǎng)行業(yè)青睞的開源解決方案尚無蹤影。

前一個(gè)問題，即將出臺(tái)的IETF的Trill標(biāo)準(zhǔn)，或者現(xiàn)在業(yè)界已有的解決方案，如Cisco的Fabric Path，可以在某種程度上解決，但后一個(gè)問題，網(wǎng)絡(luò)大師們就無解了。

正當(dāng)網(wǎng)絡(luò)大師們行將崩潰的時(shí)候，一根救命稻草飄然而至，那就是即將發(fā)布的IEEE的802.1Qbg、Qbh標(biāo)準(zhǔn)。不管Qbg和Qbh雙方如何爭(zhēng)相表明己方的優(yōu)勢(shì)，事實(shí)上兩者的最終目標(biāo)是一致的，那就是要在接入交換機(jī)上通過虛擬端口的方式提供虛擬機(jī)在網(wǎng)絡(luò)端口層面上的感知。

于是，當(dāng)Qbg和Qbh商用后，接入層交換機(jī)就可以使用PVLAN的手段進(jìn)行業(yè)務(wù)隔離，不管是物理機(jī)還是虛擬機(jī)。

然而事情還沒結(jié)束，Qbg和Qbh并不是原有的交換機(jī)和服務(wù)器網(wǎng)卡所能支持的。交換機(jī)可以在建設(shè)數(shù)據(jù)中心時(shí)適當(dāng)超前選擇hardware ready的設(shè)備，當(dāng)標(biāo)準(zhǔn)出來軟件升級(jí)即可，甚至可以在原有數(shù)據(jù)中心更換接入層交換機(jī)。可是服務(wù)器的網(wǎng)卡選擇并不是由網(wǎng)絡(luò)大師們確定的，互聯(lián)網(wǎng)企業(yè)定制的服務(wù)器要更換新型網(wǎng)卡也不是那么容易，更何況現(xiàn)存的大量服務(wù)器更換網(wǎng)卡幾乎不太可能。最重要的一點(diǎn)，目前沒有任何網(wǎng)絡(luò)設(shè)備廠商承諾Qbg和Qbh會(huì)有 PVLAN的特性支持，也許他們目前的重點(diǎn)是確保能夠成為標(biāo)準(zhǔn)之一，還顧不上這樣的細(xì)節(jié)。

終于，網(wǎng)絡(luò)大師兩眼一黑，昏倒在地。

3、VLAN+ACL卷土重來

網(wǎng)絡(luò)大師被速效救心丸救醒，因?yàn)樵朴?jì)算平臺(tái)正在建設(shè)中，網(wǎng)絡(luò)規(guī)劃不可缺少。

吸取了之前的經(jīng)驗(yàn)和教訓(xùn)，網(wǎng)絡(luò)大師們決定暫時(shí)拋開那些尚未發(fā)布的標(biāo)準(zhǔn)，立足于目前可用的技術(shù)。

于是，VLAN和IP網(wǎng)絡(luò)劃分又開始了，這次網(wǎng)絡(luò)大師們?nèi)匀粵Q定做一個(gè)盡可能大的二層網(wǎng)絡(luò)，所不同的是，不再考慮PVLAN的隔離方式，而采用VLAN ACL的方式進(jìn)行訪問控制實(shí)現(xiàn)隔離，虛擬機(jī)的母機(jī)和接入層交換機(jī)采用vlan trunk的方式連接。這樣現(xiàn)有的交換機(jī)和虛擬化平臺(tái)都可以支持，唯一需要新增加的，就是ACL管理的工具系統(tǒng)，這對(duì)于研發(fā)能力超強(qiáng)的互聯(lián)網(wǎng)企業(yè)，算是小菜一碟了。

還有一個(gè)對(duì)于網(wǎng)絡(luò)大師們是好消息的事情是，業(yè)界有些網(wǎng)絡(luò)設(shè)備廠商已經(jīng)開始支持基于標(biāo)簽的訪問控制，比如Cisco的TrustSec，可以將訪問控制的矩陣規(guī)模極大的縮小，雖然需要新的網(wǎng)絡(luò)設(shè)備型號(hào)才能完全支持，但至少事情已經(jīng)在網(wǎng)絡(luò)大師們可控制的范圍內(nèi)了。

網(wǎng)絡(luò)大師們興沖沖的帶著最新的方案去和業(yè)務(wù)部門研討，希望得到業(yè)務(wù)部門的支持，趕緊把ACL管理系統(tǒng)開發(fā)出來。

業(yè)務(wù)部門的一席話差點(diǎn)又讓網(wǎng)絡(luò)大師眼前一黑：“我們現(xiàn)在在服務(wù)器上用IPTables和Ptables做業(yè)務(wù)隔離，如果性能會(huì)不夠，再考慮別的方式”。