什么是多租戶網(wǎng)絡？

多租戶網(wǎng)絡（Multi-Tenant Network）是一種在云計算環(huán)境中實現(xiàn)網(wǎng)絡資源虛擬化的關(guān)鍵技術(shù)，其核心目標是通過共享底層物理網(wǎng)絡基礎(chǔ)設(shè)施，為多個獨立租戶（用戶、企業(yè)或部門）提供邏輯隔離的專屬網(wǎng)絡環(huán)境，同時還要滿足動態(tài)性、安全性和服務質(zhì)量需求。

在傳統(tǒng)軟件項目中，服務商為客戶專門開發(fā)一套特定的軟件系統(tǒng)并部署在獨立的環(huán)境中。此時不同客戶間資源是絕對隔離的，不存在多租戶共享問題。而在SaaS（Software as a Service，軟件即服務） 模式下，軟件服務不再部署到客戶的物理機環(huán)境而是部署到服務商提供的云端環(huán)境。在云端環(huán)境下一些資源共享成為了可能，這使不同客戶可以共用一部分資源以達到高效利用資源的目的。

以公有云為例，云服務提供商所設(shè)計的應用系統(tǒng)會容納數(shù)個以上的租戶在同一個環(huán)境下使用。比如亞馬遜公司就在其數(shù)據(jù)中心為上千個企業(yè)用戶提供虛擬服務器，其中包括像Twitter以及華盛頓郵報等知名企業(yè)。同時可以按需啟用或回收資源（如為華盛頓郵報每日定時（某個時段）分配200臺服務器）；

那么問題來了，在提升資源利用率和降低成本的同時，多租戶也面臨數(shù)據(jù)隔離、性能干擾、安全風險和運維復雜度等各種挑戰(zhàn)?，F(xiàn)行的物理網(wǎng)絡必須實現(xiàn)網(wǎng)絡資源虛擬化，共享物理網(wǎng)絡拓撲，并為多租戶提供隔離的策略驅(qū)動的適應動態(tài)、快速部署的虛擬網(wǎng)絡。

多租戶網(wǎng)絡的實現(xiàn)

Underlay 底層網(wǎng)絡

Underlay 網(wǎng)絡指的是物理網(wǎng)絡設(shè)施，由交換機、光纜等網(wǎng)絡硬件構(gòu)成，負責底層數(shù)據(jù)的物理傳輸，運行高效的路由協(xié)議（如 BGP）實現(xiàn)互聯(lián)，通常采用 Spine-Leaf 架構(gòu)組網(wǎng)，負責提供提供穩(wěn)定帶寬、低延遲和高可靠性，這是多租戶網(wǎng)絡的基礎(chǔ)。

Overlay 虛擬化網(wǎng)絡技術(shù)

底層共享，邏輯獨立：VPC（Virtual Private Cloud，虛擬私有云）基于Overlay技術(shù)（如VXLAN、GRE、Geneve）在共享的物理網(wǎng)絡基礎(chǔ)設(shè)施上構(gòu)建租戶專屬的虛擬網(wǎng)絡層。每個租戶的流量通過隧道封裝（如24位VXLAN標識VNI）隔離，即使物理網(wǎng)絡相同，不同VPC的流量在邏輯上完全不可見。

通過BGP EVPN為不同租戶構(gòu)建獨立的虛擬網(wǎng)絡，支持靈活的業(yè)務擴展。

BGP EVPN（Border Gateway Protocol Ethernet Virtual Private Network）是一種結(jié)合了BGP 協(xié)議和EVPN 技術(shù)的標準化解決方案，主要用于構(gòu)建大規(guī)模、高性能的二層（L2）和三層（L3）虛擬化網(wǎng)絡，廣泛應用于數(shù)據(jù)中心、云服務、多租戶園區(qū)網(wǎng)絡等場景。其核心目標是通過控制平面優(yōu)化，實現(xiàn)高效的 MAC/IP 地址學習、靈活的多租戶隔離和網(wǎng)絡虛擬化。

在通用云數(shù)據(jù)中心和智算中心，隨著部署規(guī)模的增大，這些虛擬網(wǎng)絡技術(shù)的配置和維護可能變得復雜，如果配置不規(guī)范，可能導致租戶間沖突影響業(yè)務運行甚至嚴重的數(shù)據(jù)泄露。

如何在共享物理資源的前提下，確保每個租戶的服務質(zhì)量（QoS）？答案的核心在于智能化的網(wǎng)絡性能監(jiān)控體系。

多租戶網(wǎng)絡的運維挑戰(zhàn)

• 租戶差異化需求：不同租戶需定制網(wǎng)絡策略（如防火墻規(guī)則、VLAN劃分），但共享底層資源時配置易沖突。例如，VLAN劃分過細增加管理開銷，過粗則引發(fā)跨租戶干擾。
• 自動化程度低：依賴人工操作易出錯，且缺乏統(tǒng)一標準。某電商平臺需通過Intent-Based Networking策略實現(xiàn)故障路徑自動切換，依賴API與SDN集成。
• 擴展性瓶頸：單一控制器需支持超10萬監(jiān)控對象，且需兼容VXLAN/Geneve等云網(wǎng)絡協(xié)議，否則難以適應多云環(huán)境。

多租戶網(wǎng)絡配置工具

想分享一款用于多租戶網(wǎng)絡的配置工具：EasyRoCE-MVD（Multi-Tenant VPC Deployer ）。MVD能幫助用戶快速實現(xiàn)租戶隔離，參數(shù)、存儲、業(yè)務的多網(wǎng)聯(lián)動和自動化部署。

EasyRoCE Toolkit 是星融元依托開源、開放的網(wǎng)絡架構(gòu)與技術(shù)，為AI 智算、超算等場景的RoCE網(wǎng)絡提供的一系列實用特性和小工具，如一鍵配置RoCE，高精度流量監(jiān)控等…

• 根據(jù)配置腳本自動批量部署，支持圖形化界面呈現(xiàn)配置細節(jié)并遠程下發(fā)
• MVD工具可獨立運行在服務器上，也可以代碼形式被集成到第三方管理軟件

網(wǎng)絡設(shè)計規(guī)劃

首先是必不可少的網(wǎng)絡規(guī)劃，這一步需由工程師基于實際業(yè)務需求設(shè)計邏輯隔離，一般是采用 VLAN、VXLAN 技術(shù)劃分虛擬網(wǎng)絡，規(guī)劃 IP 地址池及子網(wǎng)，避免地址沖突。VLAN 適合較小規(guī)模，而 VXLAN 擴展性更好，適合大規(guī)模部署。

作為示例，我們在EasyRoCE-AID（AI基礎(chǔ)設(shè)施藍圖規(guī)劃）工具引導下快速完成網(wǎng)絡設(shè)計，并自動生成包含了以下信息的 JSON 配置文件(mvd.json) 作為 MVD 工具的輸入。

自動生成配置

MVD 工具將解析上一步驟得到的JSON文件中的設(shè)備信息、BGP鄰居信息，并為集群中的交換機生成對應配置。 運行過程示例如下：

tar -zxvf mvd.tgz #將MVD壓縮包上傳到服務器中，進行解壓： ./mvd.py –config mvd.json #運行工具 解析設(shè)備信息... Processing Devices: [==================================================] 100% (6/6) 解析 BGP 鄰居... Processing BGP Neighbors: [==================================================] 100% (6/6) 生成設(shè)備配置... Asterfusion-Leaf1 Generating Configs: [========------------------------------------------] 17% (1/6) Asterfusion-Leaf2 Generating Configs: [================----------------------------------] 33% (2/6) Asterfusion-Leaf3 Generating Configs: [=========================-------------------------] 50% (3/6) Asterfusion-Leaf4 Generating Configs: [=================================-----------------] 67% (4/6) Asterfusion-Spine1 Generating Configs: [=========================================---------] 83% (5/6) Asterfusion-Spine2 Generating Configs: [==================================================] 100% (6/6) 配置已經(jīng)生成完畢，設(shè)備信息如下：(略）

可視化呈現(xiàn)和遠程下發(fā)

用戶點進配置文件可看到配置下的具體信息，對其進行二次核對后再自行決定下一步操作，比如選擇批量下發(fā)或針對某一設(shè)備單獨下發(fā)。

多租戶網(wǎng)絡技術(shù)是云計算技術(shù)架構(gòu)中的重要環(huán)節(jié)，并形成了一種新型的云計算服務模型：NaaS（網(wǎng)絡服務）。位置等同于IaaS，PaaS及其SaaS。未來NaaS將會隨著云計算技術(shù)的發(fā)展，而不斷成熟，支撐服務于云計算的其他服務。拓展閱讀：

云服務的形式

• IaaS(Infrastructure-as-a-Service)：基礎(chǔ)設(shè)施即服務。消費者通過Internet可以從完善的計算機基礎(chǔ)設(shè)施獲得服務?；?Internet 的服務（如存儲和數(shù)據(jù)庫）是 IaaS的一部分。
• PaaS(Platform-as-a-Service)：平臺即服務。把服務器平臺作為一種服務提供的商業(yè)模式。通過網(wǎng)絡進行程序提供的服務稱之為SaaS(Software as a Service)，而云計算時代相應的服務器平臺或者開發(fā)環(huán)境作為服務進行提供就成為了PaaS。PaaS實際上是指將軟件研發(fā)的平臺作為一種服務，以SaaS的模式提交給用戶。
• SaaS(Software-as-a-Service)：軟件即服務。它是一種通過Internet提供軟件的模式，用戶無需購買軟件，而是向提供商租用基于Web的軟件，來管理企業(yè)經(jīng)營活動。