軟件定義網絡(SDN)和網絡功能虛擬化(NFV)可以帶來很多好處,但增加網絡抽象層是有代價的:對物理層鏈路的流量的可視性。
同時,越來越快的網絡也加劇了這一挑戰,因為現在幾乎沒有網絡監控、管理或安全工具可以在40Gbps或100Gbps運行。網絡數據包中轉(NPB),也被稱為網絡可視性控制器,它可以通過捕捉、過濾、聚合和優化流量來解決這個挑戰。這可以使1Gbps和10Gbps性能管理和安全系統在40/100Gbps網絡運行。但這些物理NPB能否有效在虛擬網絡基礎設施運行?并且,NPB功能本身是否可以虛擬化以用于軟件定義網絡中的“白盒”交換機嗎?
第一個問題的答案取決于用于創建虛擬網絡流量的工具和協議的要求。很多網絡和應用性能管理及安全工具需要從物理鏈路的總流量隔離個別流量或會話。
為了適應這一需求,NPB一直支持各種網絡分段、封裝和隧道協議,例如虛擬局域網、多協議標簽交換和GPRS隧道協議。
但比這些協議(特別是協議生態系統不斷發展)更重要的是能夠在2層網絡到7層網絡檢測和識別數據包,還有可以靈活地配置和編程NPB來剝離和切片數據包以優化監控應用程序,以及支持新興協議,例如VXLAN。
NPB必須還支持其他方法以提供對虛擬化基礎設施中流量的可視性。例如,思科和VMware虛擬交換機讓應用編程接口(API)可用于虛擬鏡像或SPAN端口。主機服務器內的vSwitch將流量從虛擬SPAN端口導向物理監控基礎設施,從而在單個高性能帶外可視性平面或監控架構提供物理和虛擬網絡可視性。
這種配置不僅不需要用于網絡監控的虛擬機,而且還不需要任何主機資源,這是完全無代理的方法,不會占用管理程序的額外負載。但這種配置的缺點是,當vSwitch超載時,數據包時間戳變得不精確,即使虛擬SPAN端口負載明顯小于在混雜模式運行vSwitch。監管有此限制,虛擬SPAN功能確實可以提高虛擬應用程序(完全在虛擬交換機內)間流量的可視性。
使用單獨物理元素(例如管理NIC)從虛擬SPAN端口導向流量可以避免純軟件做法的兩個額外的問題:不能確保全面的可視性,因為這是使用盡力傳輸來跨網絡流量的相同端口轉發復制流量;以及通用路由封裝(GRE)來分離復制流量會導致大型數據包的碎片,因為必須遵守網絡的最大傳輸單元(MTU)。
由于虛擬網絡作為到物理網絡的輔助或者覆蓋,同樣重要的是提供物理鏈路層可視性,特別是對于性能管理和安全工具。現在NPB可以很好地處理這些需求,對于SDN和NFV,這些相同的要求將繼續存在。
NPB作為虛擬網絡功能
對于虛擬化NPB功能本身的第二個問題,開放網絡基金會(ONF)在2014年3月推出了Sample Tap應用程序,而OpenFlow 1.4版本已經包括一個用例,用于使用類似NPB的功能來配置交換機。
ONF承認其Sample Tap并不是用于在生產網絡中發揮作用,而是作為一種教學工具來幫助程序員利用OpenFlow和OpenDaylight。NPB的配置和控制被虛擬化作為這項工作的一部分,而專門的NPB或者在“白盒”硬件中運行的簡裝NPB則可以處理對流量的實時線速復制和轉發。
供應商和一些用戶,特別是運營商和大型企業,需要考慮的問題是,構建自己的監控系統是否更具成本效益。部署示例應用程序完全不同于部署矩陣交換機或部署商品交換機平臺用于生產網絡—尤其是運行40Gbps或100Gbps的網絡。
就目前而言,基于交換機的監控系統有局限性,并需要進行顯著的業務變更。基于交換機的系統需要NPB來支持精確時間戳或高級功能,例如流量感知負載均衡和優化。這些功能可以幫助讓1/10Gbps工具有效地在40/100Gbps網絡運作。即使交換機性能提高,矩陣交換機將繼續在單獨的硬件運作以保持所有監控流量不在生產網絡。
通過利用兩層部署,即基本虛擬可視性層聚合端口和轉發流量到高級層來提供更深入的可視性、流量疏導和/或更高的性能,企業可以直接從虛擬主機捕捉更多流量。
與此同時,基于交換機的監控系統和專用NPB將會變得越來越開放,超越SDN協議和網絡虛擬化標簽,并暴露自己的API。這種分層的原因在于,專用NPB更符合成本效益,因為他們不需要另外的軟件開發人員,或者需要摒棄網絡架構,而部署新的但未必更有效的架構。
最后,很顯然的是,網絡解決方案需要接受遷移到SDN和NFV作為降低資本支出和運營費用的方法。在遷移過程中,新方法需要能夠提高性能和成本效益,而不需要轉移這些支出到軟件開發團隊,而不需要昂貴的新的運營模式,或者部署新的硬件和軟件僅僅是復制可視性平面的一部分。
網絡數據包代理創建的可視性平面現在是新的更高效運營模式的一部分,其本身必須也能夠像生產網絡一樣適應網絡虛擬化。出于這個原因,NPB應該成為SDN和NFV規劃的組成部分,其中可視性平面在虛擬化基礎設施中利用API來為基本用例提供成本效益解決方案,同時提高硬件加速的使用來實現高級功能、安全和高性能部署。
京公網安備 11010502049343號