多租户网络运维破局：自动化配置实战

什么是多租户网络？

多租户网络（Multi-Tenant Network）是一种在云计算环境中实现网络资源虚拟化的关键技术，其核心目标是通过共享底层物理网络基础设施，为多个独立租户（用户、企业或部门）提供逻辑隔离的专属网络环境，同时还要满足动态性、安全性和服务质量需求。

在传统软件项目中，服务商为客户专门开发一套特定的软件系统并部署在独立的环境中。此时不同客户间资源是绝对隔离的，不存在多租户共享问题。而在SaaS（Software as a Service，软件即服务） 模式下，软件服务不再部署到客户的物理机环境而是部署到服务商提供的云端环境。在云端环境下一些资源共享成为了可能，这使不同客户可以共用一部分资源以达到高效利用资源的目的。

以公有云为例，云服务提供商所设计的应用系统会容纳数个以上的租户在同一个环境下使用。比如亚马逊公司就在其数据中心为上千个企业用户提供虚拟服务器，其中包括像Twitter以及华盛顿邮报等知名企业。同时可以按需启用或回收资源（如为华盛顿邮报每日定时（某个时段）分配200台服务器）；

那么问题来了，在提升资源利用率和降低成本的同时，多租户也面临数据隔离、性能干扰、安全风险和运维复杂度等各种挑战。现行的物理网络必须实现网络资源虚拟化，共享物理网络拓扑，并为多租户提供隔离的策略驱动的适应动态、快速部署的虚拟网络。

多租户网络的实现

Underlay 底层网络

Underlay 网络指的是物理网络设施，由交换机、光缆等网络硬件构成，负责底层数据的物理传输，运行高效的路由协议（如 BGP）实现互联，通常采用 Spine-Leaf 架构组网，负责提供提供稳定带宽、低延迟和高可靠性，这是多租户网络的基础。

Overlay 虚拟化网络技术

底层共享，逻辑独立：VPC（Virtual Private Cloud，虚拟私有云）基于Overlay技术（如VXLAN、GRE、Geneve）在共享的物理网络基础设施上构建租户专属的虚拟网络层。每个租户的流量通过隧道封装（如24位VXLAN标识VNI）隔离，即使物理网络相同，不同VPC的流量在逻辑上完全不可见。

通过BGP EVPN为不同租户构建独立的虚拟网络，支持灵活的业务扩展。

BGP EVPN（Border Gateway Protocol Ethernet Virtual Private Network）是一种结合了BGP 协议和EVPN 技术的标准化解决方案，主要用于构建大规模、高性能的二层（L2）和三层（L3）虚拟化网络，广泛应用于数据中心、云服务、多租户园区网络等场景。其核心目标是通过控制平面优化，实现高效的 MAC/IP 地址学习、灵活的多租户隔离和网络虚拟化。

在通用云数据中心和智算中心，随着部署规模的增大，这些虚拟网络技术的配置和维护可能变得复杂，如果配置不规范，可能导致租户间冲突影响业务运行甚至严重的数据泄露。

如何在共享物理资源的前提下，确保每个租户的服务质量（QoS）？答案的核心在于智能化的网络性能监控体系。

多租户网络的运维挑战

• 租户差异化需求：不同租户需定制网络策略（如防火墙规则、VLAN划分），但共享底层资源时配置易冲突。例如，VLAN划分过细增加管理开销，过粗则引发跨租户干扰。
• 自动化程度低：依赖人工操作易出错，且缺乏统一标准。某电商平台需通过Intent-Based Networking策略实现故障路径自动切换，依赖API与SDN集成。
• 扩展性瓶颈：单一控制器需支持超10万监控对象，且需兼容VXLAN/Geneve等云网络协议，否则难以适应多云环境。

多租户网络配置工具

想分享一款用于多租户网络的配置工具：EasyRoCE-MVD（Multi-Tenant VPC Deployer ）。MVD能帮助用户快速实现租户隔离，参数、存储、业务的多网联动和自动化部署。

EasyRoCE Toolkit 是星融元依托开源、开放的网络架构与技术，为AI 智算、超算等场景的RoCE网络提供的一系列实用特性和小工具，如一键配置RoCE，高精度流量监控等…

• 根据配置脚本自动批量部署，支持图形化界面呈现配置细节并远程下发
• MVD工具可独立运行在服务器上，也可以代码形式被集成到第三方管理软件

网络设计规划

首先是必不可少的网络规划，这一步需由工程师基于实际业务需求设计逻辑隔离，一般是采用 VLAN、VXLAN 技术划分虚拟网络，规划 IP 地址池及子网，避免地址冲突。VLAN 适合较小规模，而 VXLAN 扩展性更好，适合大规模部署。

作为示例，我们在EasyRoCE-AID（AI基础设施蓝图规划）工具引导下快速完成网络设计，并自动生成包含了以下信息的 JSON 配置文件(mvd.json) 作为 MVD 工具的输入。

自动生成配置

MVD 工具将解析上一步骤得到的JSON文件中的设备信息、BGP邻居信息，并为集群中的交换机生成对应配置。 运行过程示例如下：

tar -zxvf mvd.tgz #将MVD压缩包上传到服务器中，进行解压： ./mvd.py –config mvd.json #运行工具 解析设备信息... Processing Devices: [==================================================] 100% (6/6) 解析 BGP 邻居... Processing BGP Neighbors: [==================================================] 100% (6/6) 生成设备配置... Asterfusion-Leaf1 Generating Configs: [========------------------------------------------] 17% (1/6) Asterfusion-Leaf2 Generating Configs: [================----------------------------------] 33% (2/6) Asterfusion-Leaf3 Generating Configs: [=========================-------------------------] 50% (3/6) Asterfusion-Leaf4 Generating Configs: [=================================-----------------] 67% (4/6) Asterfusion-Spine1 Generating Configs: [=========================================---------] 83% (5/6) Asterfusion-Spine2 Generating Configs: [==================================================] 100% (6/6) 配置已经生成完毕，设备信息如下：(略）

可视化呈现和远程下发

用户点进配置文件可看到配置下的具体信息，对其进行二次核对后再自行决定下一步操作，比如选择批量下发或针对某一设备单独下发。

多租户网络技术是云计算技术架构中的重要环节，并形成了一种新型的云计算服务模型：NaaS（网络服务）。位置等同于IaaS，PaaS及其SaaS。未来NaaS将会随着云计算技术的发展，而不断成熟，支撑服务于云计算的其他服务。拓展阅读：

云服务的形式

• IaaS(Infrastructure-as-a-Service)：基础设施即服务。消费者通过Internet可以从完善的计算机基础设施获得服务。基于 Internet 的服务（如存储和数据库）是 IaaS的一部分。
• PaaS(Platform-as-a-Service)：平台即服务。把服务器平台作为一种服务提供的商业模式。通过网络进行程序提供的服务称之为SaaS(Software as a Service)，而云计算时代相应的服务器平台或者开发环境作为服务进行提供就成为了PaaS。PaaS实际上是指将软件研发的平台作为一种服务，以SaaS的模式提交给用户。
• SaaS(Software-as-a-Service)：软件即服务。它是一种通过Internet提供软件的模式，用户无需购买软件，而是向提供商租用基于Web的软件，来管理企业经营活动。