文/王松波

一、什么是公有云？

按照商业模式的不同，云计算一般被分成三类：公有云，私有云和混合云。公有云按照维基百科给出的定义如下：云计算是将计算作为一种服务交付给用户而不是一种产品；在这种服务中，计算资源、软件和信息如同日常的水、电一样通过互联网交付给计算机和其他的计算媒介。

因此，公有云是提供给公众公有计算资源的服务，并基于目前已经成熟的且得到广泛应用的互联网。由于是提供给公众服务，所以它必须保证任何人，在任何地点，通过各种接受服务的计算媒介（如PC机、移动手机、各种平板电脑、汽车电子等）都可以获得。如图1所示。

http://www.h3c.com.cn/res/201206/12/20120612_1372431_image001_747527_30008_0.jpg图1 互联网提供的公有云服务

公有云面向的群体是个人用户或团体用户，提供的服务包括各种公众性的的服务，既有传统的网络内容传送服务，同时发展了更多的应用（包括数据库服务，计算服务，虚拟计算资源租借服务，应用软件服务等）。公有云服务拓宽了过去互联网运营商的运营范围，给他们带来更多的商业服务门类，也给互联网用户带来更多方便接入到计算和应用的方式，互联网通过公有云也进一步发挥了世界范围内的大的计算平台的作用。

公有云的提供商一般是运营商和互联网内容提供商。在美国，老牌的AT&T及其Verizon等运营商纷纷提供公有云服务。一些互联网的内容提供商，目前也加入了公有云的服务。比如亚马逊、谷歌、微软等。

由此可见，公有云的出现，首先是基于互联网的发展。互联网从最初的互联互通，发展到现在，成为人类社会的各种社会活动（经济活动，生活，社交活动）的平台。但互联网的发展远没有停止，还在加速地向社会生活的纵深挺进。人类的活动离不开互联网，所以需要围绕着互联网的各种服务出现，云计算由此产生。

公有云需要提供公有的计算服务，对原来的互联网的功能赋予了新的内涵，拓展了互联网的功能范围，对原来互联网的网络架构也提出了挑战。过去的互联网主要面向的是实现互联互通的架构；但现在的互联网，需要承载是更多的应用和提供商业化的面向全球规模的公众服务。所以，互联网在伴随公有云的发展的同时，也在技术上面临新的技术挑战。

二、公有云的计算模型

http://www.h3c.com.cn/res/201206/12/20120612_1372432_image002_747527_30008_0.jpg图2 公有云的计算模型

（如图2所示）公有云的计算模型分为三部分。

ž   公有云服务接入部分

用户或团体（企业、政府等）通过公有云接入网络能够接入到公有云的服务提供点。

用户需要通过互联网的网络接入点（PoAS：Point of Access Service）输入服务请求，同时通过服务接入点获得相关的服务内容。用户的服务输入请求是基于HTTP的互联网服务连接（URL），服务的传送和接收也是基于HTTP的浏览器。可见，公有云内容传送的格式必须基于互联网要求的格式和协议。客户端可以基于普通的互联网浏览器客户端来获取服务。

服务接入点是公有云网络中一个重要的位置，它要负责处理对于服务的鉴权，即判断请求服务的用户是否有资格获得服务，对用户进行认证，对服务的请求内容进行鉴别，对服务的条件进行判断。同时，要根据请求服务的内容，判断哪个服务提供点PoSS（Point of Supply Service ）合适等。

ž   公有云平台

各种服务的API接口都处在这个网络中，这是公有云提供商部署的服务提供点的平台。这种网络是以集群的形式存在的，分布式地接入各个服务池。该平台网络负责发现可提供服务的分布式计算集群，组织协调计算资源，进行集成大数据量的计算。

公有云网络平台对公有云的服务提供封装，统一对用户提供封装的API入口。同时对用户的服务提供队列管理，区分服务的级别和服务响应的顺序。

公有云的平台网络属于运营商或公有云提供商私有的网络，一般位于运营商内部，他们通过服务接入点接入到公众网络中。

ž   公有云的管理监控

公有云服务必须基于统一的公有云管理、监控和服务资费。公有云的管理监控网络一般由单独的管理机构和运营商共同运营，并单独有一张网络对其服务进行配置、管理和监控，该网络是以私有的独立网络的方式接入到公有云的平台网络和公有云的接入网络，对服务进行端到端的监控。

管理监控网络对于公有云非常必要，因为互联网的计算服务不同于人类社会的其他类型服务，其商业模式在互联网平台上非常容易受到干扰，服务质量也非常薄弱，用户使用服务的需求方式又非常灵活。所以，公有云的管理监控网络为了更好地提供优质的公有云服务，必须变得更加智能化和自动化。

三、公有云的网络模型

根据公有云的计算模型，我们可以将公有云的网络模型分成三部分（如图3、表1所示）。

http://www.h3c.com.cn/res/201206/12/20120612_1372433_image003_747527_30008_0.jpg图3 公有云的网络模型

ž   公有云的接入网络：

云用户使用各种终端（平板电脑，智能手机等）通过互联网（包括移动互联网）进入公有云的计算服务中心，请求或获取公有云的服务。公有云基本的接入方式是宽带互联网,也可以是某种私有网络。公有云用户接入到公有云的服务中心要经过云用户的接入网关。该网关实现了用户的请求服务和数据中心服务应答的地址映射，即将用户的公网IP地址转换为私网IP地址，从而将数据中心的网络和公有云用户接入网络分隔开来。

在公有云接入服务的网络中，为了实现在互联网中安全可靠地提供服务项目（如在家办公的虚拟桌面、公司的协同办公等），需要采用多种网络技术（如VPN业务、QoS保障等）。本刊会在后续文章中详细介绍这些技术及其需求。

公有云接入网络将公有云的服务和互联网连接起来，是公有云用户接入公有云服务的管道，公有云服务的质量好坏与接入网络有很大关系。因此，公有云接入网络的QoS受到很大关注度，这是实现公有云服务的最重要环节。另外，接入网络的安全同样重要，管理网络需要对接入网络的流量和服务请求进行监控和认证。

ž   公有云的数据中心网络

即计算服务中心网络，是将服务器、存储等连接在一起的大型二层网络。如图2所示，在数据中心的资源虚拟化后，数据中心网络变成了扁平化的二层网络。数据中心的网络是私有网络，和接入网络及其管理网络隔离。每个虚拟机在产生的时候，都要到地址池中获取一个私网的IP地址和二层网络域（VLAN）。

数据中心网络是一个多租户网络。因为在数据中心网络需要提供给云计算用户服务，这些服务的计算节点（虚拟机）是按照云用户提供租借计算资源和应用软件服务的。在多租户网络中，需要保持各个租户之间的相互独立和隔离，需要为每个租户实施不同的网络服务和应用提供策略。同时，租户网络又是动态地变化网络，需要根据用户的请求，快速实现部署和配置，实现公有云的商业服务模式。

数据中心网络是一个融和网络，存储网络、数据网络、特殊应用网络完全融和在一起，所以要根据每种网络的需求不同，部署不同的网络策略。比如FC SAN网络，需要部署数据不丢失的网络协议（无损以太网），以确保存储FC网络融和到FCoE的融和网络中。

为了适应公有云的计算模型，数据中心网络流量模型也在改变。从传统的南北流量（north－south，即流量大多是从汇聚网络流向接入网络和计算节点）向东西（east－west，即计算节点之间并行计算和消息通讯，数据共享的网络流量）流量转换。所以对传统的数据中心网络协议提出挑战。过去的网络协议为了防止网络链路不出现环路，采用树状的网络拓扑，通过STP协议，实现从北到南一棵树（不特指MSTP）,许多网络链路被阻断。但在公有云的扁平化网络拓扑中，需要充分使用东西（east－west）的网络链路。所以，业界将三层网络路由协议（OSPF协议或IS-IS协议）的算法（即SPF，Shortest Path Forwarding)）应用到二层网络中，提出了TRILL或SPB协议，取消二层链路阻断的方式，并减少二层环路的产生，充分提高冗余二层链路的使用率，保证东西流量的并发，为公有云大规模并行计算提供网络流量的保证。 

ž   公有云的管理控制网络

公有云的管理人员可以通过专有网络或互联网对公有云的数据中心的资源和业务进行管理配置和部署。公有云的管理网络渗透在公有云的网络架构设计中。

管理控制网络是为公有云运营和管理维护人员对公有云的计算资源和应用提供管理、部署和配置的接口和工具。比如，网络服务的管理人员，可以通过该网络对公有云网络进行配置，监控。存储管理人员可以通过该网络部分对存储设施进行配置和管理、维护；应用管理人员可以基于该网络对公有云的用户配置和部署相关的服务等。

管理控制网络是公有云运营的核心网络，所以对其安全性和可靠性要求是非常高的。在公有云的部署中，可以为公有云的管理者提供多种接入到管理资源的途径。比如在大型的数据中心中，管理网络是同数据中心网络及生产网络分开的。需要设置单独的IP地址资源池和管理VLAN资源池。为了加强管理和控制的安全，要为每组管理人员（比如网络管理组、存储管理组、软件管理组等）分配不同的管理域，确保其管理的空间和其管理角色相符。另外，在管理网络中，经常使用防火墙，对不同的管理域配置策略，确保其管理监控的空间在许可的范围内。

管理控制网络还要有日志管理和维护操作的数据库。对公有云的整个运营状况进行实时的跟踪和监控。在对应的存储网络和日志数据库中，都要有相关的网络配置的策略和通过网络实现热备份等措施。

所以，管理控制网络对数据中心网络在安全性和可靠性及其策略部署方面提出了更高的技术要求，这使得目前的公有云的管理控制网络对网络设备厂家提出了控制平面和数据平面分离；管理平面和控制平面分离，以及策略平面和管理平面分离的网络设计架构。

表1 公有云三种网络的比较 

四、公有云网络示例

以下以OpenStack的公有云网络模型为公有云网络架构实例作以说明。

http://www.h3c.com.cn/res/201206/12/20120612_1372434_image004_747527_30008_0.png图4 OpenStack的网络模型

OpenStack是一个开源的公有云平台。在网络设计中，有一个单独的模块——Nova-Network，专用于网络的管理和配置。Nova-Network在数据中心网络支持大二层的网络拓扑，可以实现三种模式的网络部署：扁平化二层网络，扁平化动态分配地址二层网络，VLAN及其动态分配地址网络。Nova-Network主要对Nova-Compute计算集群的虚拟机分配IP地址和VLAN；虚拟机实例的IP地址的分配是私网地址，采用动态地从预先配置的IP地址池获取；各个虚拟机按照这三种网络部署模式，可以组成一个跨越物理服务器的二层虚拟交换机 (br100),以二层交换的方式实现虚拟机和虚拟机之间的通讯。

在云用户接入网络中，可以通过Nova-Network模块，配置云用户接入网络，公有云接入网络支持VPN接入（IPSec VPN）或IP三层网络接入方式。Nova-Network对公有云的服务接口（Nova-API）节点分配了动态的公有IP地址，这样云用户可以通过这些接入方式穿越互联网，通过服务接口，获取相关的云服务。

管理网络在OpenStack Nova中主要是Nova-Controller的网络。每个Controller通过管理域的IP网段和Nova-Compute的节点通讯，也是通过Nova-API的管理接口对各个工作节点进行配置和管理。

可见，在OpenStack Nova的网络中，通过不同域的划分，通过接口模块实现各个独立的网络进行通讯。这三部分网络融和在一起，构筑成公有云的网络服务架构。

五、结束语：

公有云网络是一个复合网络，它改变了以往网络的单一模式。公有云的网络架构是要适应云计算的服务商业模式，满足公有云用户管理和应用的需求。而且由于公有云的部署是面向互联网，所以服务的用户群和计算资源的需求是大规模的；如何使资源通过网络变得更加柔性和智能，是公有云网络发展的重要挑战。