虛擬以太網(wǎng)端口匯聚器(VEPA)是最新IEEE 802.1Qbg標(biāo)準(zhǔn)化工作的一個組成部分,其設(shè)計目標(biāo)是降低與高度虛擬化部署有關(guān)的復(fù)雜性。如果我們研究一下使用虛擬交換機(jī)的傳統(tǒng)方法就會發(fā)現(xiàn),它與VEPA方法存在很大的不同,VEPA使用戶可以深入了解虛擬化及聯(lián)網(wǎng)中的各項(xiàng)部署挑戰(zhàn)和需要考慮的因素。
當(dāng)您的物理主機(jī)上的監(jiān)視程序上有多臺虛擬機(jī)(每臺虛擬機(jī)都包含一套操作系統(tǒng)和多種應(yīng)用)時,這些虛擬機(jī)在相互通信和與外部世界通信時都要使用虛擬交換機(jī)。事實(shí)上,虛擬交換機(jī)是一種第2層交換機(jī),通常以軟件的形式在監(jiān)視程序內(nèi)運(yùn)行。每種監(jiān)視程序通常都有一個內(nèi)建的虛擬交換機(jī)。不同的監(jiān)視程序所含的虛擬交換機(jī)在能力方面也是千差萬別的。
當(dāng)虛擬交換機(jī)從聯(lián)網(wǎng)領(lǐng)域轉(zhuǎn)移到服務(wù)器領(lǐng)域時,就有必要針對虛擬環(huán)境對傳統(tǒng)的基于網(wǎng)絡(luò)的工具和解決方案進(jìn)行重新測試、重新定性和重新部署。從某些方面來說,這種變化會對虛擬化的快速擴(kuò)展和普及造成阻礙。
例如,傳統(tǒng)的網(wǎng)絡(luò)和服務(wù)器運(yùn)營團(tuán)隊(duì)是截然分開的,每個團(tuán)隊(duì)都有自己的流程、工具和控制范圍。由于虛擬交換機(jī)的原因,聯(lián)網(wǎng)進(jìn)入了服務(wù)器的范疇,因此像供應(yīng)虛擬機(jī)這樣的簡單任務(wù)也需要這些團(tuán)隊(duì)之間開展額外的協(xié)調(diào)工作,從而確保虛擬交換機(jī)的配置與物理網(wǎng)絡(luò)配置保持一致。
由于缺乏網(wǎng)絡(luò)中虛擬機(jī)之間流量的可視性,因此涉及到虛擬機(jī)之間通信的故障查找和監(jiān)視也變成了一項(xiàng)極具挑戰(zhàn)性的工作。而且隨著虛擬機(jī)數(shù)量的增長,單個服務(wù)器中的虛擬機(jī)目前已經(jīng)達(dá)到8至12臺,并且會在不久的將來達(dá)到32至64臺,因此,保護(hù)虛擬機(jī)彼此不受干擾,以及不受外界威脅的侵害都變成了一項(xiàng)需要認(rèn)真考慮的問題。
從防火墻到IDS/IPS,基于網(wǎng)絡(luò)的傳統(tǒng)設(shè)備和工具都需要針對這些高度虛擬化的環(huán)境重新開發(fā)、重新認(rèn)證和重新部署,從而確保虛擬機(jī)之間通過虛擬交換機(jī)的通信能夠滿足法規(guī)一致性和安全方面的要求。
由于在虛擬交換機(jī)方面缺乏標(biāo)準(zhǔn),因此會增加涉及不同監(jiān)視技術(shù)的培訓(xùn)、互用性和管理開銷,進(jìn)入使這些挑戰(zhàn)變得更加復(fù)雜。事實(shí)上,物理服務(wù)器正在變成一種全面的網(wǎng)絡(luò)環(huán)境,擁有自身的互用性、部署、認(rèn)證和測試要求。
有趣的是,這種趨勢與虛擬化最基本的優(yōu)勢之一是背道而馳的,即虛擬化能夠?qū)⒎?wù)器中過剩的容量以更高的效率來運(yùn)行各類應(yīng)用。目前,這種“服務(wù)器中的網(wǎng)絡(luò)”很有可能演變成這些過剩容量的消費(fèi)方,將CPU和內(nèi)存資源吞噬殆盡。
VEPA的方法
為應(yīng)用這些挑戰(zhàn),各方已經(jīng)提出了多種不同的解決方案,其中就包括VEPA。VEPA是一種虛擬交換機(jī)替代產(chǎn)品;它不僅進(jìn)入了標(biāo)準(zhǔn)化進(jìn)程,而且成為業(yè)界眾多廠商的一致選擇。
事實(shí)上,VEPA會將服務(wù)器上虛擬機(jī)生成的所有流量轉(zhuǎn)移到外部的網(wǎng)絡(luò)交換機(jī)上。外部網(wǎng)絡(luò)交換機(jī)接下來會為同一臺物理服務(wù)器上的虛擬機(jī)和基礎(chǔ)設(shè)施的其它部分提供連接。
實(shí)現(xiàn)這一功能的方法是將一種新型轉(zhuǎn)發(fā)模式融入物理交換機(jī)中,使流量能夠從來時的端口“原路返回”,從而簡化同一服務(wù)器上虛擬機(jī)之間的通信。
“原路返回”模式(或稱“反射中繼”)可以在需要時將包的單一副本反向發(fā)送至同一臺服務(wù)器上的目的地或目標(biāo)虛擬機(jī)。對于廣播或組播流量,VEPA能夠以本地方式向服務(wù)器上的虛擬機(jī)提供包復(fù)制能力。
傳統(tǒng)上,多數(shù)網(wǎng)絡(luò)交換機(jī)都不支持這種“原路返回”模式行為,因?yàn)樗赡軙诜翘摂M世界中造成環(huán)路和廣播風(fēng)暴。然而,許多網(wǎng)絡(luò)廠商都開始支持這種行為,目的就是解決虛擬機(jī)交換的問題,而且使用簡單的軟件或固件升級即可實(shí)現(xiàn)。
IEEE的802.1Qbg工作組還努力將這種行為變成了標(biāo)準(zhǔn)。VEPA能夠以軟件的方式,作為監(jiān)視程序中的瘦層在服務(wù)器中實(shí)施,也可以作為網(wǎng)卡中的硬件來實(shí)施,在后一種情況下還可以與SR-IOV等PCIe I/O虛擬化技術(shù)結(jié)合使用。其中一個典型的例子就是Linux KVM監(jiān)視程序中提供的基于軟件的VEPA實(shí)施。
事實(shí)上,VEPA將交換功能移出了服務(wù)器,并且將其放回物理網(wǎng)絡(luò)中,而且讓外部網(wǎng)絡(luò)交換機(jī)能夠看到所有的虛擬機(jī)流量。通過將虛擬機(jī)交換移回物理網(wǎng)絡(luò),基于VEPA的方法使現(xiàn)有的網(wǎng)絡(luò)工具和流程可以在虛擬化和非虛擬化環(huán)境以及監(jiān)視程序技術(shù)中以相同的方式自由使用。
防火墻和IDS/IPS等基于網(wǎng)絡(luò)的設(shè)備,以及訪問控制列表(ACL)、服務(wù)質(zhì)量(QoS)和端口監(jiān)視等成熟的網(wǎng)絡(luò)交換機(jī)功能都可以直接用于虛擬機(jī)流量和虛擬機(jī)之間的交換,因此減少和消除了對虛擬網(wǎng)絡(luò)設(shè)備重新進(jìn)行昂貴的質(zhì)量判定、測試和部署的需求。
此外,VEPA將網(wǎng)絡(luò)管理控制層重新交給了網(wǎng)絡(luò)管理員,為所有與虛擬機(jī)相關(guān)聯(lián)網(wǎng)功能的供應(yīng)、監(jiān)視和故障查找提供了一個單一控制點(diǎn)。
將網(wǎng)絡(luò)功能從服務(wù)器卸載至網(wǎng)絡(luò)交換機(jī)能夠帶來諸多的優(yōu)勢,例如釋放服務(wù)器資源并將其用于更多的應(yīng)用,同時還可在虛擬和非虛擬服務(wù)器之間提供線速交換;從1Gbps至10Gbps,甚至可以達(dá)到40Gbps和更高的100Gbps。
因此,基于VEPA的方法有助于擴(kuò)大虛擬化部署,降低復(fù)雜性和成本,并且加快虛擬化的普及。
盡管基于VEPA的方法能夠帶來許多好處,但在某些環(huán)境下,虛擬機(jī)間流量的交換最好還是留在服務(wù)器內(nèi)部。例如,在有些環(huán)境下物理服務(wù)器要承擔(dān)虛擬機(jī)的巨大負(fù)荷,而且這些虛擬機(jī)之間的通信非常頻繁,因此為了將延遲降至最低程度,最好的方法是將虛擬機(jī)之間的流量留在服務(wù)器內(nèi)部。
在此類場景中,可能的方法之一是繞過基于監(jiān)視程序的軟件虛擬交換機(jī),利用新型網(wǎng)卡提供的交換硬件能力,即SR-IOV等基于入向I/O虛擬化的能力。同樣,在使用這種方法時,也需要權(quán)衡考慮完全使用“服務(wù)器中的網(wǎng)絡(luò)”模型時的安全和成本問題。
隨著服務(wù)器虛擬化的廣泛普及,服務(wù)器內(nèi)和服務(wù)器間虛擬機(jī)交換流量的復(fù)雜性都在不斷提高。基于VEPA的虛擬機(jī)間流量交換方法能夠?yàn)榛谔摂M交換機(jī)的傳統(tǒng)方法提供一種非常有趣且極具吸引力的替代方案。為了向網(wǎng)絡(luò)和服務(wù)器基礎(chǔ)設(shè)施提供支持VEPA的能力,此類技術(shù)的標(biāo)準(zhǔn)化工作正在緊鑼密鼓地進(jìn)行當(dāng)中。
京公網(wǎng)安備 11010502049343號