通过NFV部署管理

公有云服务提供商在公有云内部署NFV（Network function vertualization）， 向云管理平台（OpenStack/CloudStack）提供部署管理接口。租户在云管理平台提交需求，包括VSR的CPU数、内存、网段、子网规划，云管理平台通过接口将租户需求发送至NFV，由NFV组件AFC（Agile function controller）将需求转换为具体配置，云操作系统部署VSR，并通过初始化将配置下发（如图2所示）。

http://www.h3c.com.cn/res/201410/28/20141028_1946617_image002_842420_30008_0.jpg

图2. 管理部署

保证VSR高可靠性

VSR安装在虚拟平台上，作为VPC网关设备，其可靠性直接关系到用户的公有云业务体验。VSR支持通过VRRP或者IRF(Intelligent Resilient Framework)横向虚拟化技术实现高可靠性，建议将VSR安装在不同的物理服务器，保证物理服务器出现故障时，其他物理服务器上的VSR仍然可以为VPC提供网关服务，用户业务不受影响。

如果通过VRRP实现VSR的高可靠性，需要在两台VSR的公网口和私网口分别配置VRRP备份组，并且需要保证同一台VSR在公网口和私网口的VRRP组优先级一致，确保同一时间VPC网关的业务运行在同一台VSR上（如图3所示）。

http://www.h3c.com.cn/res/201410/28/20141028_1946618_image003_842420_30008_0.jpg

图3. 通过VRRP实现HA

使用VRRP方式可以利用简单的命令行配置，实现VSR的高可靠性。但是，由于业务将由一台VSR迁到另一台VSR，而两台VSR之间并没有各业务状态信息的同步，业务迁移时将发生短暂的中断后重新建立。

如果通过IRF和端口聚合可以实现VSR的高可靠性，并实现VSR设备的性能扩展，在VSR出现故障时，由于存在设备间的状态同步，可保证用户业务无缝切换至其他VSR。需要注意的是，进行IRF的VSR需要连接到同一台交换机，交换机同步配置端口聚合，保证交换机对聚合口进行端口切换时的同步配合（如图4所示）。

http://www.h3c.com.cn/res/201410/28/20141028_1946619_image004_842420_30008_0.jpg

图4. 通过IRF实现HA

2. 企业租户对VSR的管理配置

VSR支持企业租户通过SSH、Telnet等方式进行命令行配置，同时，VSR支持Netconf功能，可以通过运营商的云管理平台进行业务配置下发。VSR可以实现租户对虚拟网络的灵活定制。企业租户根据自己的网络需求，向VSR进行相应功能的配置下发，实现对公有云资源的控制管理。

以下分别以两种不同规模的企业租户举例说明。

企业A为一个中小企业（SMB租户），在公有云租用虚拟机向Internet用户提供服务：VSR为企业提供Internet网关服务，对其南北向流量进行处理，提供NAT、防火墙、VPN、可靠性等业务。

企业B为大型企业（Enterprise租户），存在企业的私有云及分支机构，在公有云租用虚拟机搭建混合云。通过VSR为企业B提供两类业务服务。

 1）VSR为企业提供Internet网关服务，对其南北向流量进行处理：

提供NAT、防火墙、可靠性、负载分担等业务满足向Internet提供服务的需求。

提供VPN（二层、三层）、路由等业务，满足租户私有云和公有云之间的互通业务。

2）VSR为企业提供公有云内部子网互通服务，对租户公有云内东西向流量提供服务。

根据企业A和企业B不同的VPC需求，通过定制相应的VSR功能模块，可以满足企业对VPC的需求（如表1所示）。

http://www.h3c.com.cn/res/201410/28/20141028_1946620_image005_842420_30008_0.jpg

表1. 租户定制业务