将以上网络流量模型总结分析,可以归纳简化为两种互通流量模型,即跨POD过防火墙互通和跨POD不过防火墙互通。在云管平台跨POD互通业务接口指令模板中,增加防火墙状态使能开关来决定是否过防火墙。另外考虑到流量模型的对称,在过墙的场景下要求双侧POD内均过墙。
跨POD互通不过防火墙流量,租户流量在本地接入VTEP封装进本地VXLAN隧道,到达POD内SDN-GW解开本地VXLAN封装,并重新封装进互联VXLAN后发往对端POD内SDN-GW。流量达到对端POD内SDN-GW后解开互联VXLAN封装,再封装进相应租户本地VXLAN隧道。不同业务的跨POD互通流量应予以隔离,需要为每组业务互通流量规划一个单独的VNI和VRF,并将VNI和VRF绑定。
跨POD互通过防火墙流量模型,租户流量到达POD内SDN-GW解开本地VXLAN封装后通过VLAN二层转发送往防火墙,防火墙处理完毕后送回SDN-GW,SDN-GW重新封装进互联VXLAN后发往对端POD内SDN-GW。流量达到对端POD内SDN-GW后解开互联VXLAN封装,通过VLAN二层转发送往本POD内防火墙,防火墙处理完毕后送回SDN-GW,SDN-GW再将流量封装进相应租户本地VXLAN隧道。
不同业务的跨POD互通流量应予以隔离,需要为每组业务互通流量规划一个单独的VNI和VRF,并将VNI和VRF绑定。对于部分需要经过负载均衡设备处理的业务流量,可以由云管平台统一编排流量经过相应的负载均衡。
5.大规模SDN数据中心南北向流量简述大规模SDN数据中心对南北向流量的处理,在引入多POD组网后,增加了南北汇聚交换机。由南北汇聚交换机分别上连互联网防火墙、IP专网和专线路由器。南北汇聚交换机在互联网南北业务流量的处理上工作在二层透传模式,三层分别终结在SDN-GW和外网防火墙。在进出IP专网和专线的南北流量处理上可以视具体情况工作在二层透传或者三层模式,工作在三层模式需要配置VRF进行不同业务流量的隔离。