什么是多租戶網(wǎng)絡(luò)？

多租戶網(wǎng)絡(luò)（Multi-Tenant Network）是一種在云計(jì)算環(huán)境中實(shí)現(xiàn)網(wǎng)絡(luò)資源虛擬化的關(guān)鍵技術(shù)，其核心目標(biāo)是通過共享底層物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施，為多個(gè)獨(dú)立租戶（用戶、企業(yè)或部門）提供邏輯隔離的專屬網(wǎng)絡(luò)環(huán)境，同時(shí)還要滿足動(dòng)態(tài)性、安全性和服務(wù)質(zhì)量需求。

在傳統(tǒng)軟件項(xiàng)目中，服務(wù)商為客戶專門開發(fā)一套特定的軟件系統(tǒng)并部署在獨(dú)立的環(huán)境中。此時(shí)不同客戶間資源是絕對(duì)隔離的，不存在多租戶共享問題。而在SaaS（Software as a Service，軟件即服務(wù)） 模式下，軟件服務(wù)不再部署到客戶的物理機(jī)環(huán)境而是部署到服務(wù)商提供的云端環(huán)境。在云端環(huán)境下一些資源共享成為了可能，這使不同客戶可以共用一部分資源以達(dá)到高效利用資源的目的。

以公有云為例，云服務(wù)提供商所設(shè)計(jì)的應(yīng)用系統(tǒng)會(huì)容納數(shù)個(gè)以上的租戶在同一個(gè)環(huán)境下使用。比如亞馬遜公司就在其數(shù)據(jù)中心為上千個(gè)企業(yè)用戶提供虛擬服務(wù)器，其中包括像Twitter以及華盛頓郵報(bào)等知名企業(yè)。同時(shí)可以按需啟用或回收資源（如為華盛頓郵報(bào)每日定時(shí)（某個(gè)時(shí)段）分配200臺(tái)服務(wù)器）；

那么問題來了，在提升資源利用率和降低成本的同時(shí)，多租戶也面臨數(shù)據(jù)隔離、性能干擾、安全風(fēng)險(xiǎn)和運(yùn)維復(fù)雜度等各種挑戰(zhàn)。現(xiàn)行的物理網(wǎng)絡(luò)必須實(shí)現(xiàn)網(wǎng)絡(luò)資源虛擬化，共享物理網(wǎng)絡(luò)拓?fù)洌槎嘧鈶籼峁└綦x的策略驅(qū)動(dòng)的適應(yīng)動(dòng)態(tài)、快速部署的虛擬網(wǎng)絡(luò)。

多租戶網(wǎng)絡(luò)的實(shí)現(xiàn)

Underlay 底層網(wǎng)絡(luò)

Underlay 網(wǎng)絡(luò)指的是物理網(wǎng)絡(luò)設(shè)施，由交換機(jī)、光纜等網(wǎng)絡(luò)硬件構(gòu)成，負(fù)責(zé)底層數(shù)據(jù)的物理傳輸，運(yùn)行高效的路由協(xié)議（如 BGP）實(shí)現(xiàn)互聯(lián)，通常采用 Spine-Leaf 架構(gòu)組網(wǎng)，負(fù)責(zé)提供提供穩(wěn)定帶寬、低延遲和高可靠性，這是多租戶網(wǎng)絡(luò)的基礎(chǔ)。

Overlay 虛擬化網(wǎng)絡(luò)技術(shù)

底層共享，邏輯獨(dú)立：VPC（Virtual Private Cloud，虛擬私有云）基于Overlay技術(shù)（如VXLAN、GRE、Geneve）在共享的物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施上構(gòu)建租戶專屬的虛擬網(wǎng)絡(luò)層。每個(gè)租戶的流量通過隧道封裝（如24位VXLAN標(biāo)識(shí)VNI）隔離，即使物理網(wǎng)絡(luò)相同，不同VPC的流量在邏輯上完全不可見。

通過BGP EVPN為不同租戶構(gòu)建獨(dú)立的虛擬網(wǎng)絡(luò)，支持靈活的業(yè)務(wù)擴(kuò)展。

BGP EVPN（Border Gateway Protocol Ethernet Virtual Private Network）是一種結(jié)合了BGP 協(xié)議和EVPN 技術(shù)的標(biāo)準(zhǔn)化解決方案，主要用于構(gòu)建大規(guī)模、高性能的二層（L2）和三層（L3）虛擬化網(wǎng)絡(luò)，廣泛應(yīng)用于數(shù)據(jù)中心、云服務(wù)、多租戶園區(qū)網(wǎng)絡(luò)等場景。其核心目標(biāo)是通過控制平面優(yōu)化，實(shí)現(xiàn)高效的 MAC/IP 地址學(xué)習(xí)、靈活的多租戶隔離和網(wǎng)絡(luò)虛擬化。

在通用云數(shù)據(jù)中心和智算中心，隨著部署規(guī)模的增大，這些虛擬網(wǎng)絡(luò)技術(shù)的配置和維護(hù)可能變得復(fù)雜，如果配置不規(guī)范，可能導(dǎo)致租戶間沖突影響業(yè)務(wù)運(yùn)行甚至嚴(yán)重的數(shù)據(jù)泄露。

如何在共享物理資源的前提下，確保每個(gè)租戶的服務(wù)質(zhì)量（QoS）？答案的核心在于智能化的網(wǎng)絡(luò)性能監(jiān)控體系。

多租戶網(wǎng)絡(luò)的運(yùn)維挑戰(zhàn)

• 租戶差異化需求：不同租戶需定制網(wǎng)絡(luò)策略（如防火墻規(guī)則、VLAN劃分），但共享底層資源時(shí)配置易沖突。例如，VLAN劃分過細(xì)增加管理開銷，過粗則引發(fā)跨租戶干擾。
• 自動(dòng)化程度低：依賴人工操作易出錯(cuò)，且缺乏統(tǒng)一標(biāo)準(zhǔn)。某電商平臺(tái)需通過Intent-Based Networking策略實(shí)現(xiàn)故障路徑自動(dòng)切換，依賴API與SDN集成。
• 擴(kuò)展性瓶頸：單一控制器需支持超10萬監(jiān)控對(duì)象，且需兼容VXLAN/Geneve等云網(wǎng)絡(luò)協(xié)議，否則難以適應(yīng)多云環(huán)境。

多租戶網(wǎng)絡(luò)配置工具

想分享一款用于多租戶網(wǎng)絡(luò)的配置工具：EasyRoCE-MVD（Multi-Tenant VPC Deployer ）。MVD能幫助用戶快速實(shí)現(xiàn)租戶隔離，參數(shù)、存儲(chǔ)、業(yè)務(wù)的多網(wǎng)聯(lián)動(dòng)和自動(dòng)化部署。

EasyRoCE Toolkit 是星融元依托開源、開放的網(wǎng)絡(luò)架構(gòu)與技術(shù)，為AI 智算、超算等場景的RoCE網(wǎng)絡(luò)提供的一系列實(shí)用特性和小工具，如一鍵配置RoCE，高精度流量監(jiān)控等…

• 根據(jù)配置腳本自動(dòng)批量部署，支持圖形化界面呈現(xiàn)配置細(xì)節(jié)并遠(yuǎn)程下發(fā)
• MVD工具可獨(dú)立運(yùn)行在服務(wù)器上，也可以代碼形式被集成到第三方管理軟件

網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃

首先是必不可少的網(wǎng)絡(luò)規(guī)劃，這一步需由工程師基于實(shí)際業(yè)務(wù)需求設(shè)計(jì)邏輯隔離，一般是采用 VLAN、VXLAN 技術(shù)劃分虛擬網(wǎng)絡(luò)，規(guī)劃 IP 地址池及子網(wǎng)，避免地址沖突。VLAN 適合較小規(guī)模，而 VXLAN 擴(kuò)展性更好，適合大規(guī)模部署。

作為示例，我們?cè)?span style="background-color:rgb(187,191,196);color:rgb(36,91,219);">EasyRoCE-AID（AI基礎(chǔ)設(shè)施藍(lán)圖規(guī)劃）工具引導(dǎo)下快速完成網(wǎng)絡(luò)設(shè)計(jì)，并自動(dòng)生成包含了以下信息的 JSON 配置文件(mvd.json) 作為 MVD 工具的輸入。

自動(dòng)生成配置

MVD 工具將解析上一步驟得到的JSON文件中的設(shè)備信息、BGP鄰居信息，并為集群中的交換機(jī)生成對(duì)應(yīng)配置。 運(yùn)行過程示例如下：

tar -zxvf mvd.tgz #將MVD壓縮包上傳到服務(wù)器中，進(jìn)行解壓： ./mvd.py –config mvd.json #運(yùn)行工具 解析設(shè)備信息... Processing Devices: [==================================================] 100% (6/6) 解析 BGP 鄰居... Processing BGP Neighbors: [==================================================] 100% (6/6) 生成設(shè)備配置... Asterfusion-Leaf1 Generating Configs: [========------------------------------------------] 17% (1/6) Asterfusion-Leaf2 Generating Configs: [================----------------------------------] 33% (2/6) Asterfusion-Leaf3 Generating Configs: [=========================-------------------------] 50% (3/6) Asterfusion-Leaf4 Generating Configs: [=================================-----------------] 67% (4/6) Asterfusion-Spine1 Generating Configs: [=========================================---------] 83% (5/6) Asterfusion-Spine2 Generating Configs: [==================================================] 100% (6/6) 配置已經(jīng)生成完畢，設(shè)備信息如下：(略）

可視化呈現(xiàn)和遠(yuǎn)程下發(fā)

用戶點(diǎn)進(jìn)配置文件可看到配置下的具體信息，對(duì)其進(jìn)行二次核對(duì)后再自行決定下一步操作，比如選擇批量下發(fā)或針對(duì)某一設(shè)備單獨(dú)下發(fā)。

多租戶網(wǎng)絡(luò)技術(shù)是云計(jì)算技術(shù)架構(gòu)中的重要環(huán)節(jié)，并形成了一種新型的云計(jì)算服務(wù)模型：NaaS（網(wǎng)絡(luò)服務(wù)）。位置等同于IaaS，PaaS及其SaaS。未來NaaS將會(huì)隨著云計(jì)算技術(shù)的發(fā)展，而不斷成熟，支撐服務(wù)于云計(jì)算的其他服務(wù)。拓展閱讀：

云服務(wù)的形式

• IaaS(Infrastructure-as-a-Service)：基礎(chǔ)設(shè)施即服務(wù)。消費(fèi)者通過Internet可以從完善的計(jì)算機(jī)基礎(chǔ)設(shè)施獲得服務(wù)。基于 Internet 的服務(wù)（如存儲(chǔ)和數(shù)據(jù)庫）是 IaaS的一部分。
• PaaS(Platform-as-a-Service)：平臺(tái)即服務(wù)。把服務(wù)器平臺(tái)作為一種服務(wù)提供的商業(yè)模式。通過網(wǎng)絡(luò)進(jìn)行程序提供的服務(wù)稱之為SaaS(Software as a Service)，而云計(jì)算時(shí)代相應(yīng)的服務(wù)器平臺(tái)或者開發(fā)環(huán)境作為服務(wù)進(jìn)行提供就成為了PaaS。PaaS實(shí)際上是指將軟件研發(fā)的平臺(tái)作為一種服務(wù)，以SaaS的模式提交給用戶。
• SaaS(Software-as-a-Service)：軟件即服務(wù)。它是一種通過Internet提供軟件的模式，用戶無需購買軟件，而是向提供商租用基于Web的軟件，來管理企業(yè)經(jīng)營活動(dòng)。