繼《vSwitch最佳實踐:認識虛擬化網絡(上)》,本文將繼續介紹虛擬網絡的挑戰。
虛擬網絡挑戰
網絡團隊通常不具備虛擬化環境的管理權限。事實上,虛擬化會帶來許多新的網絡問題,包括流量可見性有限、需要實施新的網絡策略、手工修復vSwitch和網絡配置,VM遷移造成的I/O帶寬壓力。除了這些技術問題,虛擬化也會引起虛擬化管理和網絡管理的沖突。
諸如此類的許多問題是由于相同主機VM之間的流量不會流出服務器并進入物理網絡,因此網絡團隊很難監控或管理這些流量。缺少可見性也意味著網絡防火墻、QoS、ACL和IDS/IPS系統無法監控物理網絡的數據傳輸。
而且,標準和分布式的vSwitch交換機的管理都不簡單。管理員只能控制主機上物理NIC的上行端口,無法控制vSwitch上存在的諸多虛擬端口。
為了解決這些問題,網絡團隊需要新的網絡管理和安全產品,如Reflex System的虛擬管理中心、Altor Networks的虛擬防火墻和Catbird的vSecurity。所有這些產品都有專門設計的主機虛擬網絡流量安全、監視、控制功能。
使用網絡邊緣技術改進vSwitch管理
網絡專業人員在處理網絡環境中新的虛擬網絡交換機(vSwitch)層時,可能會遇到管理、策略實施、安全性和擴展性問題。
網絡工程師能在一系列網絡邊緣虛擬技術中尋找解決方法。這些技術包括分布式虛擬交換(DVS)技術,它可以通過一個外部管理系統來控制多個虛擬交換機的數據。Nexus 1000v交換機就是思科的DVS產品。
邊緣虛擬橋接技術(EVB)通過虛擬機流量流的vSwitch可見性和緊密策略控制,解決了vSwitch管理問題。最后,EVB提供一種基于標準的解決方案,從而不需要在虛擬機管理程序中調用軟件交換技術。
將來,可能會出現單根I/O虛擬化(single root I/O virtualisation,SR-IOV)技術,它將基于軟件的虛擬交換機轉移到PCI NIC硬件上,并為邊緣網絡技術提供硬件支持,從而解決了vSwitch和虛擬流量管理問題。
使用分布式交換機實現控制
由于認識到網絡團隊實現虛擬化就是為了更好的監控和管理虛擬流量,思科開發了Nexus 1000v分布式虛擬交換機(vSwitch)。這種分布式虛擬交換機將對虛擬主機內的虛擬網絡管理權交回給網絡管理員,從而解決服務器和網絡團隊之間的沖突,在宿主上實現更嚴密的安全性和可管理性。
思科Nexus 1000v分布式虛擬交換機由虛擬超級管理模塊(VSM)和虛擬以太網模塊(VEM)組成,它與虛擬環境的其他組件一起保障數據傳輸流暢。
思科還開發了Nexus 1010v,它是VSM虛擬設備的物理版本,可替代在ESX和ESXi主機上運行的VSM。
常規VMware vSwitch與思科Nexus 1000v:如何選擇?
在傳統的VMware vSwitch、VMware的vNetwork分布式交換機(頂級Enterprise Plus 版本中有)和第三方的思科Nexus 1000V之間選擇,需要考慮很多問題。
一方面,基礎版vSwitch是免費的,它有一個便捷的管理界面,支持VMware界面的所有基礎特性,這個界面對經驗豐富的管理員來說很熟悉。而思科Nexus 1000V需要付費,它的管理界面更復雜,但是它支持一些高級的思科IOS特性,從長遠來看有價格優勢,并且能保護更深層次的安全。
Open vSwitch為網絡管理員提供流量控制和可見性
Open vSwitch是一種替代思科Nexus 1000v的開源軟件,專門管理多租賃公共云計算環境,為網絡管理員提供虛擬VM之間和之內的流量可見性和控制。但是,由Citrix支持的Open vSwitch仍不能在VMware環境中使用。
Open vSwitch項目由網絡控制軟件創業公司Nicira Networks支持,旨在用虛擬化解決網絡問題,與控制器軟件一起實現分布式虛擬交換技術。這意味著,交換機和控制器軟件能夠在多個服務器之間創建集群網絡配置,從而不需要在每一個VM和物理主機上單獨配置網絡。這個交換機還支持VLAN中繼,通過NetFlow、sFlow和RSPAN實現可見性,通過OpenFlow協議進行管理。它還有其他一些特性:嚴格流量控制,它由OpenFlow交換協議實現;遠程管理功能,它能通過網絡策略實現更多控制。
現在,OpenFlow和由軟件定義的網絡技術在網絡領域的作用越來越大,分析顯示Open vSwitch正獲得更多的關注:它在vSphere環境中的應用在增多。
京公網安備 11010502049343號