虛擬化技術由于其在提高基礎設施可靠性和提升資源利用效率等方面的巨大優勢,應用越來越廣泛。同時,虛擬化技術本身也在快速發展,虛擬網絡接入領域,802.1Qbg、802.1Qbh等標準相繼推出,虛擬服務器高可用方面,HA、FT、DRS、DPS、vMotion等技術也在不斷演進。相應的虛擬化管理技術必須同步發展,才能解決虛擬化帶來的需求。
一、 虛擬化的技術和管理需求
1. 主流的服務器虛擬化技術簡介
在數據中心服務器領域,虛擬化技術目前仍處于快速發展的階段,IDC統計數據表明,VMware和Hyper-V處于領導者地位。KVM陣營由于Redhat的加入,將成為第三支最有力量的參與者(如圖1所示)。
圖1 虛擬化產品市場份額
從技術發展方向來看,服務器虛擬化的有四種分類(如表1所示),其中完全虛擬化技術是目前使用最為普遍的技術,VMware、Hyper-V、KVM、XEN等產品均已支持該技術。
技術分類架構產品技術特點
硬件虛擬化
QEMU(開源)在宿主上創建一個硬件 VM 來仿真所想要的硬件。獨立性、可靠性強。
速度非常慢(每條指令都必須在底層硬件上進行仿真)。
完全虛擬化
VMware:ESX
MS:Hyper-V
KVM(RedHat)
底層硬件由GuestOS通過 hypervisor 共享。
不需修改GuestOS。
良好的性能、動態調配資源。可以在同一臺主機中安裝異構的操作系統。
超虛擬化
--半虛擬化
Xen(Citrix):(注:其最新版本已支持完全虛擬化)
User-Mode-Linux(開源)需要為 hypervisor 修改客戶操作系統,
提供了與未虛擬化的系統相接近的性能
操作系統虛擬化
Parallels(Virtuozzo Container)
Linux-vServer(開源)
在操作系統本身之上實現服務器的虛擬化。要求對操作系統的內核進行一些修改。其優點是可以獲得原始性能。
表1 虛擬化技術分類
2. 虛擬化對管理的影響因素之一:vSwitch
服務器虛擬化引入了虛擬網絡交換機(vSwitch)的概念,如圖2所示,使用虛擬化軟件技術仿真出來的二層交換機,位于物理服務器中。vSwitch創建虛擬的網絡接口(vNIC)鏈接VM,并使用物理網卡連接外部的物理交換機。。
圖2 vSwtich結構
vSwitch的出現,對傳統的網絡管理方式產生了巨大的影響,主要體現在以下幾點。
1) 從網絡管理的范圍來看,不僅要覆蓋物理網絡設備(交換機、路由器、防火墻等),還要延伸到服務器內的網絡交換功能,因此需要有不同于SNMP/CLI等傳統的管理手段來管理實現對vSwitch的管理。
2) 從網絡的可視性來看,由于虛擬服務器和物理網絡之間多了一層vSwitch,使得傳統的基于網絡設備的網絡可視化管理手段失效(比如流量無法全部感知影響流量分析管理、終端接入無法感知影響網絡拓撲分析)
3) 從網絡的可控性來看,由于一個物理網絡接口下面將連接一個復雜的網絡結構,接入層的管控能力從原來針對一個終端擴展成針對一個網絡(包含多個VM終端),需要有手段區分每個VM終端來達到接入層的控制(而不僅僅是區分接入接口,因為接入接口下移到服務器內部的vSwitch上了)。
3. 虛擬化對管理的影響因素之二:遷移
為提供VM系統的可靠性,服務器虛擬化技術提供了VM遷移、高可用性(HA)、熱備容錯、資源池調度等特性,這些特性都會影響VM的物理部署位置,不僅使虛擬服務器在數據中心網絡中的物理位置的可視性變得困難,并且使得服務器接入物理網絡設備需要一定的網絡資源配置,其接入位置的動態性就要求物理網絡配置能提供隨需而動的管理能力。
以下以VMware舉例,介紹這幾種特性及對網絡管理的影響和需求。
1) VM遷移-vMotion
vMotion有幾種實現,目前對VM服務中斷影響最小、遷移性能最佳的實現方式是在線遷移(Live Migration),如圖3所示。一般物理機之間要采用SAN或NAS之類的集中式共享外存設備,同時考慮操作系統內存執行狀態的遷移[注:主流的內存遷移技術是預拷貝技術,通過多個輪次的增量拷貝,直至內存不再更新。不在此詳述],停機時間非常短暫。
圖3 vMtoion示意圖
2) 高可用性HA
有兩種HA模式:1)物理服務器故障,可在具有備用容量的其他生產服務器中自動重新啟動受影響的所有虛擬機(如圖4左所示);2)VM操作系統出現故障,HA 會在同一臺物理服務器重啟啟動受影響的虛擬機(如圖4右所示)。
圖4 HA場景示意圖
3) 熱備容錯(Fault Tolerance):
如圖5所示,原始實例創建一個在另一臺物理服務器上運行的實時影子,VM故障時可不重啟完成切換,防止由硬件故障導致的應用程序中斷,相當于熱備份。
圖5 FT場景示意圖
4) 動態資源調度:
基于預先設定的規則,跨資源池動態平衡計算、分配資源。如圖6所示,管理員可以將Exchange server和Apache Server移動到其他物理服務器,使SAP系統得到更多的空閑資源。
圖6 動態資源調度示意圖
4. 遷移對網絡管理的影響和需求分析
在上述場景中,VM位置都發生了改變,VM能否正常運行,不僅需要在服務器上的資源合理調度,網絡連接的合理調度也是必須的。
圖7 VM、網絡遷移示意圖
如圖7所示,如果把虛擬機VM1從物理服務器pSrv1遷移到物理服務器pSrv2上,其網絡連接從原來的由pSRV1上虛擬交換機vSwitchA的某個VSI(屬于VLAN100的端口組)接入到邊緣物理交換機Edge Switch1,變成由pSRV2上vSwitchB的某個VSI接入到Edge SwitchB。若遷移后對應的EdgeSwitch的網絡配置不合適,則VM1遷移后就可能不能正常使用。比如原先對VM1的訪問設置了ACL,以屏蔽非法訪問;或設置了QoS,以保障VM1上業務運行帶寬等服務質量。都需要在發生VM創建或vMotion時同步調整相關的網絡連接配置。并且,為了保證VM的業務連續性,除了虛擬化軟件能保證VM在服務器上的快速遷移,相應的網絡連接配置遷移也需要實時完成,即網絡需要具有“隨需而動”的自動化能力,這也就需要利用虛擬化軟件提供管理API。目前主要的API技術有如下幾種。
1) VMware ESX/ESXi的管理API
VMware對外提供的管理接口主要是vShpere API(如圖8所示),管理系統可通過調用API接口對VMware進行管理。
圖8 VMware管理接口
2) Hyper-V的管理API
微軟的Hyper-V提供了類似VMware vCenter的集中管理產品SCVMM(System Center Virtual Machine Manager),并可以提供WMI和powerShell形式的API接口管理能力。
3) 通用的虛擬化API
為解決虛擬化產品管理的兼容性問題,業界出現了針對虛擬化的通用API技術,典型的是Libvert技術(如圖9所示)。注:Libvert目前支持KVM、Xen、VMware等主流虛擬化產品。
圖9 Libvert技術架構
[page]
二、 虛擬化趨勢下的可視性管理
服務器虛擬化后,虛擬服務器規模劇增,以及虛擬化軟件的遷移特性使虛擬服務器在數據中心網絡中的物理位置的可視性變得困難。當業務系統異常時,需要從服務器、網絡各方面進行分析診斷,對網絡管理員來講,需要清楚虛擬服務器VM位于哪個物理服務器、通過哪個物理網絡交換機接口接入網絡,甚至需要了解vSwitch上的網絡配置(比如VLAN),特別是服務器和網絡的邊界鏈接的可視性。如果對這些信息無法可視化管理,就無法有效的分析和定位故障。
因此需要使用服務器虛擬化管理技術將虛擬化網絡相關信息納入到統一的資源可視化管理中。
1. 虛擬資源視圖
通過虛擬資源視圖,可以查看物理服務器、虛擬交換機、VM的資源從屬關系信息。同時在虛擬交換機管理視圖中,其提供了服務器中虛擬網絡的配置能力(端口數量、端口組、VLAN、和物理網卡的綁定關系等)。在虛擬機的管理視圖中,可以提供分配的計算資源、GuestOS信息的可視性等功能。
2. 虛擬網絡拓撲
拓撲是最為直觀的管理方式,通常的網絡拓撲由于沒有計算虛擬化相關數據,無法得到各個虛擬服務器VM和物理服務器、vSwitch的從屬和鏈接關系,各個VM是零落到整個拓撲、不同網段中的獨立節點,而且VM的數量遠遠大于物理服務器的數量,最終出現的是一個大量、雜亂、無關的拓撲。
通過虛擬網絡拓撲可以解決這個問題,管理系統在拓撲計算中使用虛擬網絡的拓撲數據,提供清晰簡潔的物理拓撲,所有虛擬節點都聚合到物理服務器節點上;同時又能體現物理服務器內部的虛擬世界。如圖10所示,可以看到展示物理服務器(ESX)、虛擬交換機(vSwitch)、虛擬機(VM)之間的從屬或連接關系。同時,通過ESX和物理交換機之間的連接關系,可展示ESX所在的物理位置。
圖10 虛擬網絡拓撲實例
三、 虛擬化趨勢下的流量可視性管理
數據中心中不僅僅存在著外部對數據中心應用的訪問流量,在數據中心內部應用之間反而存在著更為大量的數據交換,掌握這部分流量的分布以及對網絡的需求,對保障其業務的正常運行有更大的意義。而當業務大量部署在虛擬服務器上時,如何感知虛擬服務器之間的流量就變得非常重要。
1. 從網絡側分析虛擬化流量的可視性
對于傳統虛擬化技術中的VEB vSwitch模式,虛擬機VM之間的相互流量直接在vSwitch上交換,網絡是無法感知的(如圖11所示)。因此通過傳統的網流分析手段分析流量比較困難。
圖11 VEB模式流量模型
目前正在形成標準的VEPA(802.1Qbg)方案中,VM間的流量必須通過外部網橋進行交換(如圖12所示),網絡具有完全的流量可視性,只要網流分析管理軟件能夠將觸角延伸到VEPA外部網橋上即可。該模式要求對應網橋支持NetStream、NetFlow、SFlow能力。
圖12 VEPA、Multi-Channel模式流量模型
2. 從服務器內部分析虛擬化流量的可視性
除了從網絡側進行流量的可視性感知,還可以以一定的手段從虛擬機內部進行進行流量分析。比如,利用vSwitch端口的混雜模式特性,當vSwitch的相應端口配置為混雜模式時,與該端口連接的探測服務器就能鏡像觀測到該vSwitch上的所有流量。當然,探測服務器就必須作為一個VM才能連接到vSwitch上。
如圖13所示,流量采集器(探針)可以作為一個VM部署到需要監控的物理服務器上,并將采集的流量數據輸出到外部的流量分析軟件進行分析。該方式要求探針部署到服務器內部,而不是重要網絡節點附近。相當于降低了探針的部署位置,部署的數量可能會比較多。
圖13 基于vSwitch端口混雜模式的流量采集
[page]
四、 虛擬趨勢下的自動化配置遷移
1. 基于VMware vCenter的配置遷移方案
圖14 基于VMware的虛擬網絡配置遷移原理
如圖14所示,該方案的關鍵在于網管系統的虛擬化環境的拓撲可視化能力,定位出VM連接到的物理網絡交換機的接入位置以下發VM對應的網絡配置。如圖17所示,一個VM可能有一個或多個vNic,通過一個或多過vSwitch連接到外部物理交換機。如果要準確定位VM連接的物理網絡交換機的接入位置,vSwitch和pSwitch都需要支持必要的二層拓撲協議,比如LLDP協議。以VMware產品為例,其最新版本(vSphere5.0)已經開始支持LLDP協議,但僅在vDS(虛擬網絡分布式交換機)上支持LLDP,普通的vSwitch并不支持,虛擬服務器接入位置定位的準確性很難保證。
圖15 VM的物理網絡接入位置定位
除此之外,本方案還存在一個控制精細度問題。在VEB vSwtich模式下,多個VM可以通過一個物理接口連接到鄰接物理交換機,即VM和物理接口是N:1的關系。如圖16所示。
圖16 VEB、Multi-Channel物理端口映射對比
在此模式下,對物理交換機的配置控制粒度只能到物理接口級,針對數據中心“隨需而動”的配置自動化遷移,通常情況下會出現多個VM的配置都重復下發到一個物理接口上,很難做到針對每一個VM的精細化網絡配置管理。
2. 基于802.1Qbg的配置遷移方案
擬定義的802.1Qbg標準(目前是draft1.6版本)在解決這些問題上提出了新的思路。
802.1Qbg標準首先解決了精細化控制最優的解決方法,即在鄰接物理交換機出現了vPort的概念。這類邏輯虛接口可以實現和VM對應的vNic/VSI的1:1對應關系。VM遷移時,只需在對應的鄰接物理交換機上動態創建一個vPort,并將VM對應的網絡配置Profile綁定到vPort上。不會對其他vPort產生影響。同時遷移前對應的鄰接物理交換機只需要簡單的將對應的vPort邏輯接口刪除即可,不存在反向去部署的復雜性問題。
其次,802.1Qbg的VDP特性解決了VM接入定位準確性的問題,即通過VDP通告,鄰接物理交換機學習到連接接入的VM信息和對應的網絡連接配置信息,并主動向網管系統請求對應的網絡連接配置profile,減少了網管系統進行VM接入位置定位的步驟。
該方案過程如圖17所示。
圖17 支持VDP的虛擬網絡配置遷移
整體來看,引入802.1Qbg VDP后,不依賴網管系統對VM接入物理網絡的定位能力,提高了網絡配置遷移的準確性和實時性。同時,服務器系統管理員和網絡管理員職責劃分也將更加明確。對系統管理員來講,只需要關注網絡提供的虛擬服務器到鄰接交換機的鏈接;而對網絡管理員而言,則只需要關注針對不同的應用系統(或VSI類型)應提供什么樣的網絡接入配置。這樣在IaaS中,網絡和服務器之間就產生了一種服務概念的抽象――鏈接即服務(CaaS,Connection as a service)。
五、 結束語
虛擬化服務器、網絡的融合管理已經成為當前企業IT、數據中心建設IaaS能力的必要元素,各廠商都在相關領域進行嘗試,也出現了不同的虛擬化軟件廠商和網絡廠商的聯盟,不同的實現方案。另一方面,標準化工作和管理技術的研究也在快速進行,在虛擬化管理領域我們仍需緊跟虛擬化技術的發展,才能更好地提供可視、可控的虛擬網絡管理能力。
京公網安備 11010502049343號