云计算数据中心Spine-Leaf模型简介

今天给大家介绍公有云或大中型私有云架构下数据中心下Spine-Leaf架构。
阅读本文，您需要有一定的HCIE数通基础，如果您对此还存在困惑，欢迎您查阅我博客内的其他文章，相信您一定会有所收获。

一、Spine-Leaf模型简介

Spine-Leaf模型示意图（注意：下图中，两个路由器实际上应该使用CE设备，且各个Leaf节点之间应该使用堆叠技术组网）如下：

相较于传统的接入层——汇聚层——核心层组网架构而言，Spine-Leaf模型一个最主要的特点就是只有Spine-Leaf两层，相当于是一个“胖树”结构。整体而言，组织架构比较“矮胖”。Spine-Leaf架构时云计算中心的基本架构，利用Spine-Leaf架构，可以实现云计算中心的网络虚拟化功能。通过与SDN和云平台结合，上述网络设备的配置都是由云平台和SDN自动生成或下发，而不需要网络管理员手动配置。
在Spine-Leaf架构中，Spine节点主要是起到连接各个Leaf节点的作用。Leaf节点可以分为很多种，其中，Server-Leaf节点的主要作用是连接含有多个虚拟机的实体机；Gateway节点的主要作用是作为“网关”，作为数据中心访问外网的出口；Service-Leaf节点的主要作用是为各个节点提供服务，Service节点的设备一般是防火墙、IDS等设备，可以根据租户的需要分配资源。

二、Spine-Leaf模型使用技术

尽管Spine-Leaf模型看上去比较“玄幻”，但是Spine-Leaf模型采用的确实很传统的网络技术，然而不可否认，Spine-Leaf模型所采用的配置技术比较复杂，也比较“高级”！Spine-Leaf模型主要采用了以下技术。

（一）VXLAN技术

VXLAN技术的作用是将整个Spine-Leaf节点组成一个完整的“大二层网络”，是Spine-Leaf互联的基础，同时也是Spine-Leaf技术的核心。各个节点之间通过VXLAN隧道，经Spine节点形成互联。VXLAN网关的部署方式可以采用分布式网关或者是集中式网关，在集中式网关中，采取多组多活VXLAN网关技术保证VXLAN网关的可靠性，防止单点故障，同时还可以减少单个设备作为网关的ARP表项、带宽等的瓶颈问题。

（二）防火墙相关技术

为了保证防火墙的可靠性，在这里我们也使用了防火墙的双机热备技术，这两个防火墙采取镜像模式，配置双机热备，形成负载分担并防止单点故障。同时为了给不同的租户提供服务，防火墙还必须使用虚拟系统技术，为各个租户开辟一个虚拟系统，根系统只包含基本的过滤或不配置安全策略。

（三）VPN相关技术

为了使得不同租户的网络形成隔离，在Spine-Leaf模型中还大量采用了VPN的相关技术，为每个用户分配一个VPN实例，将对应的BD域、Vbdif接口等划入到VPN中，同时为了VPN与实体机之间的交互，还需要采用VPN静态路由泄露等技术实现配置路由。

三、Spine-Leaf模型基本配置

Spine-Leaf模型配置比较复杂，使用华为eNSP模拟器而言，负载相对较高，因此，我并没有在我的计算机上实现完整的Spine-Leaf模型的配置。但是，我针对Spine-Leaf模型所采用的技术，对每个技术点拆开的情景完成了配置，这也可以看做是Spine-Leaf模型的技术基础。如果您对Spine-Leaf模型的配置感兴趣的话，可以查阅我下面的超链接文章。如果您对Spine-Leaf模型的配置有条件的话，想要实现完整的Spine-Leaf模型配置，也可以私信我或者在下方进行评论。
Spine-Leaf模型参考文章：
VXLAN配置实例（一）——VXLAN基本配置
VXLAN配置实例（二）——VXLAN跨子网互通
VXLAN配置实例（三）——VXLAN集中式双活网关
VXLAN配置实例（四）——VXLAN多租户网络隔离
VXLAN配置实例（五）——云计算数据中心访问外网典型配置实例（超级超级难的网络配置！！！）
防火墙虚拟系统资源分配配置实例
防火墙虚拟系统互访配置实例
防火墙透明模式下虚拟系统配置实例
防火墙双机热备配置实例（一）
防火墙双机热备配置实例（二）
防火墙双机热备配置实例（三）
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/119748502