2.5　管理架构

从架构的角度来看有多个API位置全部从YANG模块推导出来。控制器通常根据网元YANG模块（网络接口、路由、服务质量等）配置网元（网络中的路由器和交换机），如图2-3所示。

图2-3　管理架构

Controller（控制器）专注于一个特定的网络域或特定的技术。在Controller之上，Orchestrator（编排器）基于网络YANG模块的API配置一个或多个控制器。考虑到图2-3中的架构，让我们介绍北向和南向接口的概念。从控制器的角度来看（举例），北向接口是指向编排器的接口，而南向接口是指向Server（服务器）的接口。运维人员还可以基于服务交付YANG模块，自动化编排器北向接口以创建/修改/删除其服务。服务YANG模型是面向软件应用程序的管理接口，而设备YANG模型通常连接到物理或虚拟设备。典型的服务示例是第3层虚拟专用网（L3VPN），它涉及网络中多个设备的配置，在每个点上配置网元YANG模块。然后在控制器中分解该服务，在控制器中配置所需的服务器。

请注意，在两个不同的系统中不必将控制器和编排器分开：编排器可以处理控制器系统的任务，或者直接连接到没有任何控制器功能的网元。有些系统可以在这里扮演各种角色，比如OpenDaylight[11]、Network Services Orchestrator（NSO）、Contail和CloudOpera等。

回到不同类型的YANG模块，在跨供应商开发的情况下，为行业标准化的网元YANG模块提供了一些更容易的自动化。另一方面，由于运营商倾向于在竞争中脱颖而出，因此服务交付YANG模块主要是私有的。除了L3VPN服务交付（RFC 8299）和L2VPN服务交付（很快成为RFC）的标准化之外，还有两个显著的例外。有关不同YANG模块类型的更多详细信息请参见“YANG模块分类”（RFC 8199）和“服务模块说明”（RFC 8309）。

需要标准机制来允许系统所有者控制对不同类型用户的YANG树中特定部分的读、写和执行访问。网络配置访问控制模型（NACM；RFC 8341）通过ietf-netconf-acm YANG模块为NETCONF和RESTCONF的操作层和内容层指定访问控制机制。这是YANG模型驱动中最常用的基于角色的访问控制（RBAC）机制。