網(wǎng)絡(luò)功能虛擬化(NFV)顯然在逐漸興起,全球運營商的生產(chǎn)部署量日益增加。運營商正在尋求創(chuàng)建靈活的,以軟件為導向的拓撲,可以按需提供服務(wù)并降低運營成本。從數(shù)據(jù)中心的性能角度來看,存在一個問題:在云端和企業(yè)數(shù)據(jù)中心工作的傳統(tǒng)IT虛擬化方法無法實現(xiàn)經(jīng)濟高效的支持運營商所需的以I/O為中心和時間敏感型的工作負載。
NFV,顧名思義,涉及將網(wǎng)絡(luò)功能從網(wǎng)絡(luò)設(shè)備中抽離,并以軟件來實現(xiàn)。工作負載和網(wǎng)絡(luò)資源可按需調(diào)整,這種即時供應(yīng)服務(wù)方式在運營商中有著顯著地上升空間,消除了網(wǎng)絡(luò)功能必須存在于硬件設(shè)備中導致的“服務(wù)敏捷”矛盾與過度供應(yīng)的資源庫。但是有一個棘手的難題破壞了這個美好的藍圖:數(shù)據(jù)中心的性能問題。
NFV數(shù)據(jù)中心要求在傳統(tǒng)的虛擬化IP數(shù)據(jù)中心,服務(wù)器需要相互通信。運營商需要支持數(shù)據(jù)中心的數(shù)據(jù)包處理和轉(zhuǎn)發(fā),并從數(shù)據(jù)中心到另一個地方進行實時服務(wù),其NFV的需求與企業(yè)大有不同。運營商需要“5 NINES”的可靠性和正常運行時間,并為業(yè)務(wù)服務(wù)提供嚴格的SLA、語音和視頻等實時服務(wù),不能存在抖動,延遲和丟包。新的基于NFV的服務(wù)(如按需帶寬和虛擬防火墻)也不能容忍延遲 - 例如,需要以毫秒為單位檢測到網(wǎng)絡(luò)攻擊。換句話說,NFV基礎(chǔ)設(shè)施需要更加穩(wěn)定和快速。
IHS Markit媒體與電信云數(shù)據(jù)中心研究實踐技術(shù)顧問、資深研究主管Cliff Grossner表示:“在IT世界中,架構(gòu)的建立都是以傳輸路徑擁塞為前提構(gòu)建,一旦發(fā)生數(shù)據(jù)擁塞,需要確保不影響工作負載的前提下實現(xiàn)快速故障轉(zhuǎn)移。而在運營商NFV方案中,架構(gòu)的設(shè)計目標旨在避免故障和延遲。如果存在服務(wù)器或軟件中斷、數(shù)據(jù)平面減速或宕機,則必須重傳所有數(shù)據(jù)包,導致網(wǎng)絡(luò)擁塞和服務(wù)中斷。”
虛擬網(wǎng)絡(luò)功能(VNF)在虛擬機的虛擬CPU中消耗了大量資源,導致性能的損失。支持vCPU,vMemory,vStorage等所需的龐大處理量會大大減慢程序的速度,小型的數(shù)據(jù)包給I/O系統(tǒng)提高線速吞吐量的帶來了更大的壓力。換句話說,傳統(tǒng)的運營商硬件是愚蠢但有效率的; 相比之下,虛擬基礎(chǔ)設(shè)施是聰明但緩慢的。
顯然解決這個問題的方法是提高處理能力,但是成本效益分析表示,虛擬機在服務(wù)器上占用容量,這意味著更多的x86服務(wù)器,更多的存儲,構(gòu)建或租用更多的數(shù)據(jù)中心空間,并雇用更多的人來管理它們,計算和存儲基礎(chǔ)設(shè)施的成本可能超過初始操作的節(jié)省量。
為了使成本最小化,其中一個方式是使VM盡可能密集。許多用戶還實施容器化,將更多的計算工作負載壓縮到單個服務(wù)器上,但密度越大,由于擁塞和大量的處理而導致性能下降的可能就越大。
Gartner數(shù)據(jù)中心融合副總裁兼杰出分析師Joe Skorupa表示:“運營商數(shù)據(jù)中心基礎(chǔ)設(shè)施必須考慮到可擴展性和基礎(chǔ)設(shè)施的成本 - 這意味著可以實現(xiàn)最高的容器和VM工作負載密度。但實際情況是,虛擬交換機(vSwitch),整個軟件堆棧從未針對I/O性能進行優(yōu)化。”
Intel在其技術(shù)簡介之一中坦言:“如果沒有非常周密的部署配置,基于虛擬化的解決方案可能帶來很大的不確定性:可以要求完成某些工作,并且成功完成,但是大家都不會確定時候可以完成。”
雖然存在隱性的影響性能的問題,但這些問題可以通過相應(yīng)的技術(shù)來解決,以保證數(shù)據(jù)中心的性能。
加速進入NFV解決性能問題的一種方法是CPU固定,涉及在特定主機的特定物理CPU(pCPU)上運行特定虛擬機的虛擬CPU(vCPU)。將vCPU與硬件耦合可最大限度地減少處理時間,調(diào)度在同一處理器上執(zhí)行的進程可通過減少諸如高速緩存未命中的性能降級事件來提高其性能。
但這存在一個問題,Grossner表示:“這需要創(chuàng)建到網(wǎng)卡的直接連接,消除了vSwitch從而消除了性能低效。但問題是,如果企業(yè)采取了這樣的方式就無法真正實現(xiàn)虛擬機的遷移,這就有悖于用戶進入虛擬環(huán)境的目的,即將應(yīng)用程序和功能實現(xiàn)輕松遷移。”
具有加速功能的智能網(wǎng)絡(luò)適配器和網(wǎng)卡(NIC)使得運營商能夠從vCPU卸載功能。這些功能可以通過芯片上的更有能力的系統(tǒng)(SoC)在網(wǎng)卡上實現(xiàn),使得堆棧上留存容量增多。
Grossner表示:“數(shù)據(jù)包處理變得越來越重要,我們看到FPGA進行編碼,處理CPU內(nèi)核的協(xié)議,防火墻以及進行其他類型的處理。我們預(yù)計運營商將大量投資于具有比通常由企業(yè)購買的適配器更高的ASP的可編程NIC。”
運營商當然愿意為可編程NIC支付更多的費用,雖然這意味著每個端口的成本大大提高,但獲得的回報是可以從更昂貴的CPU中卸載功能。
將數(shù)據(jù)平面開發(fā)套件(DPDK)與Open vSwitch(OVS)結(jié)合使用可以獲得更好的I/O性能,以釋放更多CPU資源。DPDK優(yōu)化數(shù)據(jù)包接收操作,消除Linux網(wǎng)絡(luò)堆棧中的多個中斷,上下文切換和緩沖區(qū)副本,以實現(xiàn)數(shù)據(jù)包性能的多重改進。OVS還利用DPDK庫來繞過虛擬機管理程序內(nèi)核并提高數(shù)據(jù)包性能。
另一個方式是使用加速器,它可以構(gòu)建在NIC之上,使得整個vSwitch或分布式虛擬路由器(DVR)操作的重要部分卸載到該NIC。Mellanox營銷副總裁Kevin Deierling解釋說:“通過這些加速器,你可以獲得十多倍的NFV性能突破。在已經(jīng)有防火墻的情況下,如果受到了DDoS攻擊可以將惡意數(shù)據(jù)包丟棄。如果您想在數(shù)據(jù)中心的NFV應(yīng)用程序中嘗試這樣做,那么每秒鐘就會有數(shù)百萬個數(shù)據(jù)包。一旦它開始丟棄惡意數(shù)據(jù)包,CPU將會拒絕任何請求操作,并中斷服務(wù)。通過作為網(wǎng)絡(luò)中數(shù)據(jù)路徑操作的一部分的智能網(wǎng)卡,它能夠在惡意數(shù)據(jù)包進入CPU之前加以判斷并丟棄惡意數(shù)據(jù)包。它可以查看數(shù)據(jù)包,作出決定,并在網(wǎng)絡(luò)中觸發(fā)CPU之前采取行動。”
Skorupa指出,將vSwitch的性能提升10倍將實現(xiàn)整體服務(wù)器資本支出減少90%,將從根本上實現(xiàn)NFV的經(jīng)濟性。在可預(yù)見的未來,運營商將采用大膽的方法來解決數(shù)據(jù)中心的性能問題。
他說:“優(yōu)化,資本成本和績效需要在一個維度上進行研究。PoP中有很多不同的工作負載,有路由,安全網(wǎng)關(guān),邊界會話控制器,防火墻,3G/4G,WAN優(yōu)化,為這些搭建通用的基礎(chǔ)設(shè)施將是一個挑戰(zhàn)。得益于Intel和AMD的最新芯片,您可以插入加速器卡和DSP以實現(xiàn)多種功能,獲得用于路由和優(yōu)化的靈活堆棧。”
原文鏈接:https://www.sdxcentral.com/articles/analysis/data-center-nfv-performance/2017/05/
京公網(wǎng)安備 11010502049343號