H3C VCF控制器高可靠性技术白皮书-V1.0

H3C VCF控制器高可靠性技术白皮书
Copyright © 2016 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，
并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录
1 引言 (1)
2 控制器的高可靠性机制 (1)
2.1 集群机制 (1)
2.1.1 集群概念介绍 (1)
2.1.2 集群运行机制 (3)
2.1.3 集群应用说明 (5)
2.2 控制器双网卡三层部署机制 (5)
2.2.1 双网卡机制介绍 (5)
2.2.2 双网卡机制的优势 (6)
2.3 逃生机制 (7)
2.3.1 自转发模型 (7)
2.3.2 流转发模型 (8)
2.4 业务可靠性 (8)
2.5 集群IP高可靠性 (8)
2.6 防攻击 (8)
3 网络的高可靠性部署 (8)
3.1 控制器集群常见的部署模式 (8)
3.1.1 双机模式 (8)
3.1.2 两主两备模式 (9)
3.1.3 多机模式 (9)
3.2 控制器插卡模式 (10)
3.3 网关高可靠性 (11)
3.4 接入可靠性 (12)
4 总结 (12)
1 引言
SDN（Software Defined Network，软件定义网络）是一种新型网络创新架构，其核心思想是将网络设备的控制层面与转发层面分离，以实现对网络流量的灵活控制，为核心网络及应用的创新提供良好的平台。

SDN引入了集中控制的概念，即在网络中引入了区别于传统网络架构的角色——SDN控制器，也就是运行SDN网络操作系统并控制所有网络节点的控制单元。

对于SDN而言，控制器的作用是不可或缺的。

SDN控制器负责整个SDN网络的集中化控制，控制网络中的各种资源，并为应用提供接口，各类应用通过调用控制器提供的接口来实现自己的网络转发需求。

但是，控制能力的集中化意味着控制器的可靠性和性能可能会成为组网瓶颈。

H3C VCF（Virtual Converged Framework，虚拟应用融合架构）控制器是H3C推出的一款SDN 控制器，它支持控制器集群和集群内分区，为客户提供高可靠的网络管理平台。

2 控制器的高可靠性机制
2.1 集群机制
2.1.1 集群概念介绍
1. OpenFlow协议
(1) 概述
OpenFlow是SDN架构中定义的控制器与转发层之间的通信接口标准：
•OpenFlow的核心思想是分离控制平面和数据平面，在二者之间使用标准的协议通信；数据平面采用基于流的方式进行转发。

•ONF确定将OpenFlow 1.3版本作为长期稳定分支。

H3C VCF控制器支持该协议版本。

(2) OpenFlow与SDN高可靠性
OpenFlow 1.3版本支持多控制器机制，大大提高了SDN网络的高可靠性和性能表现。

在OpenFlow网络中，Packet-In报文是SDN控制器和OpenFlow转发设备间交互最多的报文。

Packet-In报文的交互速度是衡量控制器性能的最关键指标；Packet-In报文交互的可靠性也直接反映了SDN网络的可靠性。

SDN通过多控制器机制，可以使得一台OpenFlow转发设备同时连接多台控制器，不同的控制器处于不同的角色完成不同的任务，实现了与OpenFlow转发设备交互的冗余备份，从而保证了控制器和OpenFlow转发设备间Packet-In报文交互的高可靠性。

多控制器机制中，一台OpenFlow转发设备可以同时连接多个控制器，不同的控制器具有不同的角色，被赋予不同的权限。

控制器的角色和权限如表1所示。

表1控制器角色
角色权限
Master 处于该角色的Controller拥有全部权限，可以下发流表项，查询统计信息，接收设备上报的状态信息，在多个Controller中仅能有一个Controller是Master角色
角色权限
Equal 处于该角色的Controller同样拥有全部权限，相对于Master角色，唯一不同的是可以有多个Controller处于Equal角色
Slave 处于该角色的Controller仅拥有部分权限，Controller to switch消息中不能下发流表项、Group 表项以及Meter表项，不允许修改接口配置和设备配置，不允许执行Packet Out操作。

异步
消息中，默认情况下设备不会上送Flow Remove消息和Packet In消息，仅能上送接口状态
变化消息，但是异步消息的上送能力可以通过Controller的设置异步消息进行修改
H3C基于OpenFlow 1.3的多控制器机制，细分OpenFlow 1.3中的角色定义，通过拓展创新，实现H3C VCF控制器集群，大大提高了SDN网络的高可靠性。

2. Team
多个VCF控制器可组成一个Team，共同来实现集群功能：
•在集群当前Leader控制器上修改的配置，会自动同步给Team中其他成员控制器。

•Team中所有的控制器位于一个二层或三层网络中（如为三层网络则需额外配置，具体请参见2.2 控制器双网卡三层部署机制），对外提供一个统一的北向IP地址，用于第三方软件调用控制器提供的REST API。

•VCF控制器集群和OpenFlow转发设备需要三层互访，只要三层可达即可。

•H3C VCF控制器集群当前支持最多128台控制器组成Team，并且可以支持的Leader最大数量为63。

3. 集群中的控制器角色
Team成员按功能分工的不同分为Leader和Member角色。

Leader负责集群的总体管理，北向IP地址也是配置在Leader的网卡上。

所有北向的REST API 都由Leader回应和处理，然后由Leader通过全局数据同步的机制同步给集群内部的其他控制器。

Member负责南向连接OpenFlow转发设备，通过SSL协议或者直接基于TCP相连。

•Leader也可以作为Member，以管理OpenFlow转发设备。

•H3C VCF控制器集群可以在一个Team中指定多个控制器作为Leader，并形成Leader控制器一主多备的主备关系，提高可靠性。

4. Region
为了更好地控制和管理大型SDN网络，可以将集群中的控制器进行分区（Region），以便管理不同数目和类型的网络设备。

•Region用于提供OpenFlow转发设备管理通道的冗余备份。

•H3C VCF控制器集群支持每个Region中有两台控制器，互为备份；对于一台OpenFlow转发设备而言，一台控制器作为Master为该OpenFlow转发设备下发流表，另外一台控制器作为Slave提供备份功能。

当Master发生故障时，Slave接替故障的Master，成为新的Master 继续为OpenFlow转发设备下发流表。

当Region内的控制器都故障时，集群会重新为
OpenFlow转发设备分配新的Region。

•Region可以配置为负载均衡模式或者主备模式。

•建议一个Region里面所管理的网络设备类型相同。

2.1.2 集群运行机制
1. 集群的构建
当前H3C VCF控制器最大可支持128台控制器的集群。

后加入集群的控制器上线时，Leader只需要对其进行单独的增量下发Team的配置，而无需重复操作之前已上线的控制器，从而实现Team 成员的动态加入。

•创建集群时需要明确指定各Leader的IP地址及其优先级。

•用户可以将两台控制器加入一个Region，以实现控制器流量的负载均衡和冗余备份。

2. Leader的选举
集群由多台控制器组成，其中一台控制器被选举为集群主管，负责管理和监控本集群中的所有成员控制器，该集群主管称为“当前Leader”。

控制器集群的当前Leader从配置为Leader角色的控制器中选举产生。

控制器集群中可以配置多个Leader，多Leader之间是备份关系。

在建立集群时，需要为不同的Leader配置不同的优先级，优先级最高的Leader将会被选举为当前Leader；当前Leader故障时，会从其他备份Leader中选出一个新的当前Leader，实现控制器集群和SDN网络的高可靠性，其选举机制如下：
(1) 每台Leader都选举自己为当前Leader，并将选票信息发送给其他的成员控制器。

选票中携带
了Leader重新选举前处理的最后一条事务ID。

事务ID是用来标识Leader当前数据的编码，
由系统自动生成，事务ID越大的表示数据越完整，该选票的优先级越高。

(2) 控制器收到其他成员的选票后，与本控制器的选票进行比较。

如果收到的选票优先级高于自身，
则更新本控制器的选票为优先级高的选票信息并发送给其他成员；如果选票的优先级低于自身，
则忽略该选票，并向其他成员发布本控制器的选票信息；如果选票的优先级相同，则继续比较
控制器的优先级信息。

(3) 控制器配置的优先级信息会在集群内同步，每个控制器节点都保存有整个集群内控制器的优先
级信息。

如果在步骤（2）中自身的选票信息与所收到选票的优先级相同，则继续比较两个节
点控制器的优先级。

如果自身的控制器优先级较低，则更新本控制器的选票为高优先级控制器
的选票信息并发送给其他成员；否则，将本控制器的选票信息发布给其他成员。

(4) 当半数以上Leader成员达成一致时，Leader选举结束。

如上选举机制保证了多个Leader控制器同时在线时，优先级高的控制器可以作为当前Leader启动；
而如果只有一个控制器在线时，也可以作为Leader启动。

同时，配置为Leader的高优先级控制器故障恢复后，当前Leader角色不会抢占，从而保证业务流处理的一致性。

3. Region的运行机制
根据OpenFlow 1.3中的多控制器机制，OpenFlow转发设备（可以是服务器上的虚拟交换机，也可以是物理交换机）可同时连接到两个控制器——即一个Region。

Region内控制器之间的数据是完全互相备份的，这就保证了当其中一个控制器故障时，Region内的另一个控制器可以快速接管，并且整个过程转发无丢包。

(1) Region内所管理的转发设备的分配
Leader控制器可以自动为OpenFlow转发设备分配Region，并将Region中所有的控制器IP地址通告给OpenFlow转发设备，从而可以使OpenFlow转发设备与控制器建立连接。

(2) 负载分担算法
集群的负载分担有两个层次的概念：一是把转发设备分担到不同的Region上，实现Region间的负载分担；另一个是在Region内控制器间的负载分担。

•Region间的负载分担实现如下：对于物理转发设备，用户可以在控制器上指定需要连接的物理转发设备的管理IP地址，实现负载分担的分配；对于虚拟交换机，由Team中的Leader 自动分配。

•Region内的负载分担实现如下：Region内的控制器根据哈希算法，将连接到该Region的转发设备大致均匀的分配到Region内的两台控制器上，即由不同的控制器作为转发设备的
Master控制器，实现两台控制器分别管理该Region的一部分转发设备，从而实现Region内的负载分担。

4. 故障检测和故障恢复处理
快速检测故障和故障恢复，是保证SDN网络高可靠性的基本要求。

H3C VCF控制器集群中，对控制器故障的发现依赖于高可靠、快速的故障检测机制：
•故障检测机制检测到控制器故障时，会通知Team中其他的所有控制器。

•其他控制器会检查该故障控制器是否为本Region内的控制器。

•如果为本Region内的控制器故障，则该控制器向故障控制器所管理的网络设备下发接管通知，作为Master接管这些转发设备。

•如果Region内控制器全部故障，则集群的Leader控制器会为该Region所管理的网络设备选择新的Region。

控制器故障恢复时，故障检测机制会通知当前Team内的所有控制器故障恢复：
•控制器会检查已恢复的控制器是否为本Region内的控制器。

•如果是本Region内的控制器故障恢复，并且用户配置要求负载分担，则将本控制器所连的转发设备信息发送给故障恢复的控制器，实现该控制器的数据同步。

•Region内的控制器根据哈希算法分配自己所管理的转发设备。

在整个故障及恢复过程中，只有VCF控制器的管理层面进行相关检测和操作，对已有的流量转发过程不构成任何影响，可保证零丢包；对于恰好在故障倒换过程中新建的流表，可能会有极少量丢包，可忽略不计。

5. ISSU实现
SDN网络运行过程中，对控制器的升级操作不可避免。

如何保证对控制器的平滑升级而不影响实际的转发业务，是衡量SDN网络高可靠性的重要指标。

H3C VCF控制器集群中，Region内的控制器可以实现ISSU升级；在升级过程中，SDN网络转发可实现零丢包。

(1) 用户选择一台控制器进行升级，将待升级控制器上的业务切换到Region内另外一台控制器上；
(2) 业务切换后待升级控制器将自动退出集群。

请用户对该控制器进行新版本升级操作，完成升级
后，该控制器将自动加入集群；
(3) 按上述步骤升级Region内的另外一台控制器，完成整个Region内所有控制器的ISSU升级。

(4) 升级完成后，业务在Region内的两台控制器间自动再次进行负载分担。

2.1.3 集群应用说明
图1H3C VCF控制器集群组网
如图1所示，在SDN组网中，多个控制器组成集群，北向提供唯一的IP地址；南向通过Region内备份和Region间备份，对所管理的转发设备提供负载分担和冗余备份：
•H3C VCF控制器目前单个集群支持128台控制器，从而实现网络规模的弹性扩展。

•一个控制器集群可以认为是同一个控制器，所有全局信息在集群内同步，北向提供统一的管理和控制IP地址；集群内的控制器切换，外界无感知。

•控制器集群支持连接负载分担：转发设备均匀分担到不同Region上，转发设备OpenFlow报文仅上送到对应的Region，避免了单一控制器的硬件性能瓶颈，实现了控制器规模随网络规
模的弹性扩展。

•H3C VCF控制器单元支持高性能控制交互，单个控制器单元最高可支持超过500Kpps新建连接性能，以32台控制器为例，整个集群的新建连接性能可超过（500×32）Kpps。

•通过集群扩展，控制器支持海量网元控制，单个控制器集群最大可支持800K个虚机接入。

•控制器集群支持ISSU不间断转发升级，且控制器和APP设计支持前向版本兼容。

2.2 控制器双网卡三层部署机制
2.2.1 双网卡机制介绍
在以往的数据中心网络中，VCF控制器通过一张网卡接入SDN网络，并通过该网卡的IP地址和OpenFlow交换机进行南向通信，同时也通过该网卡与云管理平台进行北向通信，当网卡发生异常时控制器就会退出SDN网络。

为了增强VCF控制器接入SDN网络的可靠性，可以使用双网卡方式接入，两张网卡相互备份，共同作为控制器接入网络的端口来使用。

图2 数据中心双网卡接入组网图
如图2所示的SDN 网络中，每个VCF 控制器通过两张网卡接入SDN 网络，为了达到较好的效果，两张网卡分别接入到不同的交换机上。

控制器上的两张网卡配置不同网段的IP 地址，并具备路由器功能，能够学习和发布路由。

在控制器上配置环回口IP 地址，该IP 作为控制器IP 地址，是其在网络中的唯一地址标识。

控制器可以通过该地址加入集群、建立南向或者北向连接，同时将控制器IP 地址通过网卡发布到中间网络中，中间网络设备以及GW/VTEP 会学习到控制器IP 地址的路由。

控制器与GW/VTEP 之间的南向连接通过控制器IP 地址进行，二者之间可以通过两张网卡中任意一个作为实际物理端口，当其中一个网卡发生故障时，控制器与GW/VTEP 之间的路由经过收敛后仍然可达，南向连接不受影响，通过这种方式实现了控制器南向网络连接的双网卡保护。

创建集群时，使用环回口地址作为控制器在集群中的地址，集群网卡选择环回口，集群IP 地址配置为32位掩码。

集群中的当前Leader 控制器会将集群IP 地址通过路由发布到中间网络中，网络中的设备访问集群IP 地址时就会直接访问到当前Leader 。

2.2.2 双网卡机制的优势
双网卡机制实现了控制器支持路由配置功能，支持多网卡三层接入和三层路径保护，支持提供统一的集群地址访问，具体有如下优点：
• 控制器可以对同一系统中内置的路由功能进行路由控制和发布，支持静态路由、OSPF 、BGP
协议配置。

控制器通过路由协议接入到用户网络中，学习网络中的路由并将自身可用的任何地址发布出去，实现网络设备与控制器之间灵活的路由策略，改善了目前控制器只能选择固定网卡接入到网络中的限制。

VCFC VCF控制器集群Region1
Region2VCFC GW VTEP
GW GW GW
VTEP VTEP VTEP VTEP VCFC VCFC
控制器使用环回口IP
地址；链路切换前后
地址不变
控制器IP需要通过
IGP/EGP路由等方式
将路由发布到网络
中。

红色连线为第
二张网卡
•控制器可以使用非网卡地址（比如环回口上配置的有效地址）建立集群或者与其他设备建立南北向连接。

该地址经过内置路由器发布之后，控制器之间只要路由可达即可正常加入集群，不
再有地域上的任何限制。

网络设备通过该地址和控制器建立南向或者北向连接时，控制器的每
一张网卡都可以三层接入到网络中，并作为控制器和对外设备之间的三层接口，当存在多个网
卡时可以形成三层接口备份，控制器上的单网卡故障不会影响控制器对外的网络连接服务，包
括集群内的连接、南北向的网络连接，较大的改善了控制器接入网络的性能。

•控制器组成集群时，可以提供统一的集群地址供外部设备访问，通过灵活的控制策略可以确保由Leader控制器使用该地址对外服务。

集群内Leader角色发生变化后，新的Leader控制器
会使用相同的集群地址向外提供服务，集群内的角色变化不会被外部设备感知，达到了真正意
义上的统一北向服务。

2.3 逃生机制
H3C创造性的研发了控制器故障时的逃生机制，在控制器发生故障时，网络设备可切换为自转发模式。

2.3.1 自转发模型
自转发模型下，控制器负责Overlay网络的灵活部署，转发表项由Overlay网络交换机自学习，即VXLAN L2 GW上自学习主机MAC和网关MAC信息，VXLAN IP GW上可以自学习主机ARP信息并在网关组成员内同步。

如图3所示，自转发模型下，控制器提前下发所有的隧道、VSI、AC口配置相关配置，可以在VTEP 设备上开启自学习模式，ARP报文在上送控制器的同时会在VXLAN隧道内泛洪。

在控制器故障时，基于ARP泛洪机制，VTEP设备可自主学习到转发表项，对现有业务不会带来任何影响；当控制器恢复后，需要获取其故障期间新增、迁移虚拟机对应的ARP，完成ARP在控制侧与交换机侧的平滑。

图3控制器逃生
2.3.2 流转发模型
流转发模型下，控制器负责Overlay网络部署、主机信息维护和转发表项下发，即VXLAN L2 GW 上的MAC表项在主机上线时由控制器下发，VXLAN IP GW上的ARP表项也由控制器在主机上线时自动下发，并由控制器负责代答和广播ARP信息。

这种模式下，如果设备和控制器断开连接，设备会临时切换到自转发状态进行逃生。

未进入逃生模式之前，所有的ARP会上送控制器，由控制器下发流表项，VXLAN L2 GW上为MAC 表项，VXLAN IP GW上为ARP表项。

进入逃生模式后，交换机进入传统模式，VXLAN L2 GW自学习MAC，VXLAN IP GW自学习ARP，原有业务正常转发。

2.4 业务可靠性
控制器支持配置备份和备份文件的导出，以便定期备份控制器配置信息；同时控制器支持导入备份文件，以便在需要时及时恢复配置。

支持网关设备配置的自动保存。

控制器下发到网关设备上的配置定期自动保存，确保设备配置及时保存不丢失，实现业务的不间断和高可靠。

2.5 集群IP高可靠性
创建集群时，可以为集群指定一个虚拟的集群IP地址。

集群的北向可以通过这个统一的集群IP与上层平台对接，集群IP由当前Leader控制器管理并提供服务；当前Leader控制器故障后，新的集群当前Leader会自动接管该集群IP，切换过程中上层平台不感知。

集群在初始时也使用集群IP与南向设备进行通信，待集群建立成功后再由当前Leader分配实际的控制器管理南向设备，从而实现负载均衡。

2.6 防攻击
控制器支持IP-MAC防欺骗功能。

控制器收到vSwitch上送的ARP报文后，从报文中获取源IP和源MAC地址，然后同控制器保存的合法数据进行对比。

若两者不一致，控制器将下发Drop流表，使得欺骗的数据报文后续直接做丢弃处理。

控制器支持ARP限速功能。

用户可以通过控制器提供的REST API对设备进行ARP限速，防止ARP 攻击。

控制器支持网关ARP探测限速功能。

用户可以通过控制器配置网关上的VSI虚端口发送ARP报文的最大速率，防止大规模ARP探测报文的冲击。

3 网络的高可靠性部署
3.1 控制器集群常见的部署模式
3.1.1 双机模式
双机模式需要两台控制器，角色分别是主备Leader，并且构成一个Region。

Region内可以进行负载分担，负责整个网络的管理。

当其中一台控制器故障后，另外一台控制器会接管整个网络；当故障的控制器恢复后，网络节点会在两台控制器之间重新进行负载分担，避免出现整网节点都由未故障的控制器进行管理的情况。

当两台控制器均发生故障时，原来处于流转发模式的设备会切换为自转发模式，原有的业务保持不中断，但是无法处理新上线的业务，如新vSwitch或虚机上线等；当控制器恢复后，设备会重新切换为流转发模式，并接管新上线业务的处理。

控制器建议使用双网卡配置，两张网卡分别连接两台交换机，以确保单交换机故障或控制器单网卡故障后该控制器仍然可以正常工作。

3.1.2 两主两备模式
两主两备模式需要四台控制器，构成两个Region，每个Region各有一个Leader和一个Member 角色的控制器成员。

两个Region间进行负载分担，负责整个网络的管理；而Region内部也同样可以进行负载分担，负责本Region内网络节点的管理。

当某Region内的一台控制器故障后，Region内的另外一台控制器会接管整个Region的网络管理；
当故障的控制器恢复后，网络节点会重新在Region内的两台控制器之间重新进行负载分担，避免出现整个Region的网络节点都由之前未故障的控制器进行管理的情况。

当整个Region的两台控制器都故障时，另外一个Region会接管故障Region的网络管理；当故障的Region恢复后，网络节点会重新在Region之间进行负载分担，避免出现整网的网络节点都由之前的未故障Region进行管理的情况。

如果整个集群的控制器都故障，原先处于流转发模式的设备会切换为自转发模式，原有的业务保持不中断，但是无法处理新上线的业务，如新vSwitch或虚机等；当控制器恢复后，设备会重新切换为流转发模式，并接管新上线业务的处理。

控制器建议使用双网卡配置，两张网卡分别连接两台交换机，确保单交换机故障或控制器单网卡故障后该控制器仍然可以正常工作。

3.1.3 多机模式
1. 多机部署模式介绍
多机部署模式参考分布式集群的多数派原则，集群内Leader的数目必须为大于等于3的奇数，Leader最好是均匀分布在多台交换机上，增强可靠性。

因网络环境故障等问题，可能会导致控制器集群分裂，即原集群内的部分控制器和其他控制器无法通信。

具体来说，集群分裂分两种情况：
•第一种情况：整个集群有效的Leader控制器数量不满足一半以上时，整个集群会被挂起，不再允许对集群进行配置变更，原有的业务保持不中断，但是无法处理新上线的业务，如新
vSwitch或虚机等；
•第二种情况：集群出现了分裂，例如分裂成两个集群，则拥有Leader数量较多的子集群（即Leader数目大于分裂前集群的Leader总数一半）仍然能正常工作，原有业务和新上线业务不
受影响；而拥有Leader数量较少的子集群（即Leader数目小于分裂前集群的Leader总数一
半）将停止工作，其下管理的主机和设备将被分配给Leader数量较多的子集群管理，这样的
话原有业务和新上线业务都不受影响。

控制器故障恢复后，分裂的子集群会重新合并为一个集群，同时将进行下述信息合并，之后就可以正常运行：
•新增的vSwitch主机信息合并；
•新上线的VM信息合并。

2. 多机模式（四台）
四台控制器多机模式部署时，包括3个Leader角色和1个Member角色。

它们构成两个Region，两个Region间进行负载分担，负责整个网络的管理；而Region内部也同样可以进行负载分担，负责本Region内网络节点的管理。

整个集群按照上文介绍的多数派原则运行。

同时，控制器建议使用双网卡配置，两张网卡分别连接两台交换机，以确保单交换机故障或控制器单网卡故障后，该控制器仍然可以正常工作。

3. 多机模式（五台）
五台控制器多机模式时，包括3个Leader角色和2个Member角色。

与四台控制器的多机模式部署相比，该模式下当前Leader不加入Region，不承担网络管理的角色，主要承担集群管理和数据同步的功能。

另外，集群的控制器使用双网卡配置，整个集群的控制器可以连接三台交换机：
•非当前Leader的控制器可以分别连接两个交换机，确保单交换机故障或控制器单网卡故障后，控制器仍然可以工作。

•当前Leader可以一张网卡连接另外的交换机，另外一张网卡连接上述两个交换机中的一个，这样可以更大程度保证集群的高可靠性。

在大规模网络场景下，使用五台控制器的多机模式进行部署，既可以提升集群性能，也可以更大程度地保证集群的高可靠性。

3.2 控制器插卡模式
如图4所示，控制器支持以S12500-X插卡的形式部署，1台S12500-X最多支持2块控制器插卡，2块VCF控制器插卡形成双机模式的集群。

最多可以支持4块控制器插卡的HA模式，包括两台Leader和两台Member控制器；VCFC-A和VCFC-B其中的任意一块插卡出现故障，整个集群仍能正常运行。