服務(wù)器虛擬化技術(shù) 使CPU、內(nèi)存、磁盤、I/O等硬件變成可以動態(tài)管理的“資源池”,從而提高資源的利用率,讓IT對業(yè)務(wù)的變化更具適應(yīng)力。 IT系統(tǒng)是由網(wǎng)絡(luò)服務(wù)器存儲等諸多因素組成的,局部的創(chuàng)新并不會帶來IT系統(tǒng)的整體升級,于是存儲也需要虛擬化,而網(wǎng)絡(luò)也需要革新來滿足IT系統(tǒng)整體性能升級。
一、 服務(wù)器虛擬化帶來的問題
大二層技術(shù)的部署問題
將多臺服務(wù)器虛擬化為一個資源池需要所有的服務(wù)器都處在同一個二層域,因此像FabricPatch、Trill、SPB等各種各樣的大二層技術(shù)應(yīng)運而生,但是所有的這些大二層技術(shù),都要求所有的設(shè)備均支持該特性,在部署時又存在各種各樣的限制,所以這些技術(shù)并沒有大規(guī)模的應(yīng)用,必須要有一種革新的技術(shù)來解決大二層部署的問題。
管理邊界問題
服務(wù)器虛擬化前,計算與網(wǎng)絡(luò)邊界分明,管理分工明確,所有針對服務(wù)器的網(wǎng)絡(luò)策略在接入交換機(jī)上部署即可,但是,在引入服務(wù)器虛擬化后,虛擬機(jī)與物理網(wǎng)絡(luò)設(shè)備之間增加了一臺虛擬機(jī)交換機(jī),同一臺vSwitch之上的虛擬機(jī)間流量監(jiān)控、虛擬機(jī)的訪問控制均需要在vSwitch完成,但是vswitch一般是由主機(jī)管理人員進(jìn)行維護(hù),而由于技術(shù)原因,主機(jī)人員往往不會配置網(wǎng)絡(luò)策略,網(wǎng)絡(luò)管理員又沒有訪問vswitch的權(quán)限,這樣就導(dǎo)致了vswitch成為管理盲區(qū),而vswitch規(guī)模又非常巨大,從而使IT運維進(jìn)一步風(fēng)險增大,必須要有一種新的技術(shù)來解決vSwitch管理問題。
虛擬機(jī)遷移策略跟隨的問題
在服務(wù)器虛擬化前,一臺物理服務(wù)器對應(yīng)交換機(jī)一個物理端口,固定的IP地址,當(dāng)一個應(yīng)用系統(tǒng)部署完成后,整個架構(gòu)就已經(jīng)固定;當(dāng)服務(wù)器虛擬化后,部署虛擬機(jī)的一大好處就是增加業(yè)務(wù)部署的靈活性,提升業(yè)務(wù)的可靠性,所以虛擬機(jī)會在網(wǎng)絡(luò)中不斷的遷移,這就要求當(dāng)虛擬機(jī)遷移到新的服務(wù)器上后,相應(yīng)的網(wǎng)絡(luò)安全策略也隨之遷移到新的網(wǎng)絡(luò)設(shè)備上,當(dāng)前的大二層技術(shù),都只解決二層互聯(lián)問題,并沒有與虛擬機(jī)聯(lián)動的功能,因此無法做到虛擬機(jī)策略的跟隨,需要網(wǎng)絡(luò)運維人員手動完成配置的遷移,管理工作量巨大,同時由于是人工操作,誤操作風(fēng)險大,配置的遷移會增加整個IT系統(tǒng)的運營風(fēng)險,所以需要新的方案來解決虛擬機(jī)遷移策略跟隨問題。
多租戶安全隔離的問題
公有云的核心就是通過虛擬化技術(shù)實現(xiàn)資源池化,然后再通過安全隔離技術(shù)實現(xiàn)資源的再分配,把細(xì)分出來的資源租用給不同的用戶。現(xiàn)有的二層安全隔離域VLAN最大只有4K的空間,這對于公有云多租戶建設(shè)的需求來說是遠(yuǎn)遠(yuǎn)不夠的,需要有一種新的大二層隔離域技術(shù)來解決多租戶的安全隔離問題。
上述問題可以通過以下的方法來解決,通過設(shè)備虛擬化技術(shù)簡化物理網(wǎng)絡(luò)架構(gòu),提高物理網(wǎng)絡(luò)可靠性,降低運維難度;通過Overlay虛擬連接技術(shù)簡化虛擬機(jī)機(jī)連接,實現(xiàn)虛擬機(jī)與物理網(wǎng)絡(luò)的解耦;再通過VCF(Virtual Converged Framework)架構(gòu),實現(xiàn)網(wǎng)絡(luò)的集中控制和管理,從而實現(xiàn)虛擬機(jī)與虛擬網(wǎng)絡(luò)的聯(lián)動;而該架構(gòu)所采用的VXLAN協(xié)議支持一千六百萬個二層隔離域,也能夠滿足公有云建設(shè)中的多租戶隔離問題。
二、 網(wǎng)絡(luò)設(shè)備虛擬化
設(shè)備虛擬化技術(shù)主要包括多虛一技術(shù)橫向虛擬化IRF2、縱向虛擬化IRF3,一虛多技術(shù)MDC。
m IRF2主要是把相同型號的多臺設(shè)備虛擬化為一臺設(shè)備,具有統(tǒng)一的控制平面,統(tǒng)一的管理入口,是目前絕大多數(shù)數(shù)據(jù)中心所采用的設(shè)備虛擬化技術(shù)。
m MDC把經(jīng)過IRF2虛擬化后的設(shè)備再虛擬化為多個MDC,每個MDC具有自己獨立的控制平面、獨立的硬件系統(tǒng),不同的MDC之間是物理隔離的,對外界來說,一個MDC就是一臺物理交換機(jī),因此能夠把多余的端口劃分到新的MDC里,提升設(shè)備利用率。
m IRF3實現(xiàn)不同型號設(shè)備的虛擬化,縱向維度上支持對系統(tǒng)進(jìn)行異構(gòu)擴(kuò)展,即在形成一臺邏輯虛擬設(shè)備的基礎(chǔ)上,把一臺盒式設(shè)備作為一塊遠(yuǎn)程接口板加入主設(shè)備系統(tǒng),以達(dá)到擴(kuò)展I/O端口能力和進(jìn)行集中控制管理的目的。
通過IRF2和IRF3技術(shù),把各區(qū)域匯聚交換機(jī)與接入交換機(jī)進(jìn)行全面的虛擬化,實現(xiàn)扁平化的架構(gòu)(如圖1所示),從而有效簡化網(wǎng)絡(luò),提高網(wǎng)絡(luò)可靠性。網(wǎng)絡(luò)的扁平化架構(gòu)還可以減少網(wǎng)絡(luò)管理設(shè)備數(shù)量,使數(shù)據(jù)中心網(wǎng)絡(luò)布線更加方便,大二層網(wǎng)絡(luò)也更加適合虛擬機(jī)的部署和遷移,同時數(shù)據(jù)轉(zhuǎn)發(fā)平面的虛擬化,方便網(wǎng)絡(luò)自動化編排。
圖 1 全虛擬化架構(gòu)
三、 網(wǎng)絡(luò)連接虛擬化
1. Overlay技術(shù)概述
Overlay在網(wǎng)絡(luò)技術(shù)領(lǐng)域,指的是一種網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)模式,其大體框架是對基礎(chǔ)網(wǎng)絡(luò)不進(jìn)行大規(guī)模修改的條件下,實現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載,并能與其它網(wǎng)絡(luò)業(yè)務(wù)分離,并且以基于IP的基礎(chǔ)網(wǎng)絡(luò)技術(shù)為主。OverlayOverlay技術(shù)是在現(xiàn)有的物理網(wǎng)絡(luò)之上構(gòu)建一個虛擬網(wǎng)絡(luò),上層應(yīng)用只與虛擬網(wǎng)絡(luò)相關(guān)。一個Overlay網(wǎng)絡(luò)主要由三部分組成:邊緣設(shè)備、控制平面和轉(zhuǎn)發(fā)平面(如圖2所示)。邊緣設(shè)備是指與虛擬機(jī)直接相連的設(shè)備,控制平面主要負(fù)責(zé)虛擬隧道的建立維護(hù)以及主機(jī)可達(dá)性信息的通告,轉(zhuǎn)發(fā)平面是承載Overlay報文的物理網(wǎng)絡(luò)。
圖 2 Overlay架構(gòu)圖
當(dāng)前主流的Overlay技術(shù)主要有VXLAN,NVGRE和STT,這三種二層Overlay技術(shù),大體思路均是將以太網(wǎng)報文承載到某種隧道層面,差異性在于選擇和構(gòu)造隧道的不同,而底層均是IP轉(zhuǎn)發(fā)。如表1所示為這三種技術(shù)關(guān)鍵特性的比較。其中VXLAN利用了現(xiàn)有通用的UDP傳輸,成熟性極高。總體比較,VLXAN技術(shù)相對具有優(yōu)勢。
表1 IETF三種Overlay技術(shù)的總體比較
2. VXLAN報文轉(zhuǎn)發(fā)
Overlay的本質(zhì)是L2 Over IP的隧道技術(shù),在服務(wù)器的vSwitch、物理網(wǎng)絡(luò)上技術(shù)框架已經(jīng)就緒,并且從當(dāng)前的技術(shù)選擇來看,雖然有多種隧道同時實現(xiàn),但是以L2 over UDP模式實現(xiàn)的VXLAN技術(shù)具備較大優(yōu)勢,并且在ESXi和Open vSwitch、當(dāng)前網(wǎng)絡(luò)的主流芯片已經(jīng)實現(xiàn),已經(jīng)成為主流的Overlay技術(shù)選擇,因此后文的Overlay網(wǎng)絡(luò)均參考VXLAN相關(guān)的技術(shù)組成描述,其它NVGRE、STT等均類似。
如圖3所示,VXLAN網(wǎng)絡(luò)設(shè)備主要有三種角色,分別是VTEP(VXLAN Tunnel End Point),VXLAN GW(VXLAN Gateway),VXLAN IP GW(VXLAN IP Gateway),均是物理網(wǎng)絡(luò)的邊緣設(shè)備,而有三種邊緣設(shè)備構(gòu)成了VXLAN Overlay網(wǎng)絡(luò),對于應(yīng)用系統(tǒng)來說,只與這三種設(shè)備相關(guān),而與底層物理網(wǎng)絡(luò)無關(guān)。
VTEP是直接與EndSystem連接的設(shè)備,負(fù)責(zé)原始以太報文的VXLAN封裝和解封裝,形態(tài)可以是虛擬交換機(jī),也可以是物理交換機(jī)。
VXLAN GW除了具備VTEP的功能外,還負(fù)責(zé)VLAN報文與VXLAN報文之間的映射和轉(zhuǎn)發(fā),主要以物理交換機(jī)為主。
VXLAN IP GW具有VXLAN GW的所有功能,此外,還負(fù)責(zé)處理不同VXLAN之間的報文通信,同時也是數(shù)據(jù)中心內(nèi)部服務(wù)向往發(fā)布業(yè)務(wù)的出口,主要以高性能物理交換機(jī)為主。
[page]
圖3 VXLAN網(wǎng)絡(luò)組成
相同VXLAN VM之間互訪流程(如圖4所示):單播報文在VTEP處查找目的MAC地址,確定對應(yīng)的VTEP主機(jī)IP地址。
根據(jù)目的和源VTEP主機(jī)IP地址封裝VXLAN報文頭后發(fā)送給IP核心網(wǎng)
IP核心內(nèi)部根據(jù)路由轉(zhuǎn)發(fā)該UDP報文給目的VTEP
目的VTEP解封裝VXLAN報文頭后按照目的MAC轉(zhuǎn)發(fā)報文給目的VM
圖4 VXLAN報文轉(zhuǎn)發(fā)
不同VXLAN VM之間需要互訪,必須經(jīng)過VXLAN IP GW完成,在VXLAN IP GW上皮陪VXLAN Maping表項進(jìn)行轉(zhuǎn)發(fā),報文封裝模式同同一VXLAN內(nèi)VM一致;
VXLAN VM與VLAN VM之間互訪,通過VXLAN GW來完成,VXLAN報文先通過VXLAN內(nèi)部轉(zhuǎn)發(fā)模式對報文進(jìn)行封裝,目的IP為VXLAN GW,在VXLAN GW把VXLAN報文解封裝后,匹配二層轉(zhuǎn)發(fā)表項進(jìn)行轉(zhuǎn)發(fā),VLAN到VXLAN的訪問流程正好相反。
3. Overlay組網(wǎng)方案
Overlay網(wǎng)絡(luò)架構(gòu)就純大二層的實現(xiàn)來說,可分為網(wǎng)絡(luò)Overlay、主機(jī)Overlay以及兩種方式同時部署的混合Overlay。 Overlay網(wǎng)絡(luò)與外部網(wǎng)絡(luò)數(shù)據(jù)連通也有多種實現(xiàn)模式,并且對于關(guān)鍵網(wǎng)絡(luò)部件有不同的技術(shù)要求。
網(wǎng)絡(luò)Overlay方案
圖5 網(wǎng)絡(luò)Overlay
網(wǎng)絡(luò)Overlay方案如圖5所示,所有的物理接入交換機(jī)支持VXLAN,物理服務(wù)器支持SR-IOV功能,使虛擬機(jī)通過SR-IOV技術(shù)直接與物理交換機(jī)相連,虛擬機(jī)的流量在接入交換機(jī)上進(jìn)行VXLAN報文的封裝和卸載,對于非虛擬化服務(wù)器,直接連接支持VXLAN的接入交換機(jī),服務(wù)器流量在接入交換機(jī)上進(jìn)行VXLAN報文封裝和卸載;當(dāng)VXLAN網(wǎng)絡(luò)需要與VLAN網(wǎng)絡(luò)通信時,采用物理交換機(jī)做VXLAN GW,實現(xiàn)VXLAN網(wǎng)絡(luò)主機(jī)與VLAN網(wǎng)絡(luò)主機(jī)的通信;采用高端交換機(jī)做VXLAN IP GW,實現(xiàn)VXLAN網(wǎng)絡(luò)與WAN以及Internet的互連。
主機(jī)Overlay方案
圖6 主機(jī)Overlay
在主機(jī)Overlay方案中(如圖6所示),VTEP、VXLAN GW、VXLAN IP GW均通過安裝在服務(wù)器上的軟件實現(xiàn),vSwitch實現(xiàn)VTEP功能,完成VXLAN報文的封裝解封裝;vFW等實現(xiàn)VXLAN GW功能,實現(xiàn)VXLAN網(wǎng)絡(luò)與VLAN網(wǎng)絡(luò)、物理服務(wù)器的互通;vRouter作為VXLAN IP GW,實現(xiàn)VXLAN網(wǎng)絡(luò)與Internet和WAN的互聯(lián)。在本組網(wǎng)中,由于所有VXLAN報文的封裝卸載都通過軟件實現(xiàn),會占用部分服務(wù)器資源,當(dāng)訪問量大時,vRouter會成為系統(tǒng)瓶頸。
混合Overlay組網(wǎng)方案
圖7 混合Overlay
上述兩種組網(wǎng)方案中,網(wǎng)絡(luò)Overlay方案與虛擬機(jī)相連,需要通過一些特殊的要求或技術(shù)實現(xiàn)虛擬機(jī)與VTEP的對接,組網(wǎng)不夠靈活,但是主機(jī)Overlay方案與傳統(tǒng)網(wǎng)絡(luò)互通時,連接也比較復(fù)雜,且通過軟件實現(xiàn)VXLAN IP GW也會成為整個網(wǎng)絡(luò)的瓶頸,所以最理想的組網(wǎng)方案應(yīng)該是一個結(jié)合了網(wǎng)絡(luò)Overlay與主機(jī)Overlay兩種方案優(yōu)勢的混合Overlay方案。如圖7所示它通過vSwitch實現(xiàn)虛擬機(jī)的VTEP,通過物理交換機(jī)實現(xiàn)物理服務(wù)器的VTEP,通過物理交換機(jī)實現(xiàn)VXALN GW和VXLAN IP GW;混合式Overlay組網(wǎng)方案對虛擬機(jī)和物理服務(wù)器都能夠很好的兼容,同時通過專業(yè)的硬件交換機(jī)實現(xiàn)VXLAN IP GW從而承載超大規(guī)模的流量轉(zhuǎn)發(fā),是目前應(yīng)用比較廣泛的組網(wǎng)方案。
四、 網(wǎng)絡(luò)計算融合虛擬化
通過Overlay技術(shù)實現(xiàn)網(wǎng)絡(luò)虛擬化后,實現(xiàn)了應(yīng)用與物理網(wǎng)絡(luò)的解耦,但是網(wǎng)絡(luò)與計算還是相互獨立的,當(dāng)前的網(wǎng)絡(luò)架構(gòu)還無法實現(xiàn)網(wǎng)絡(luò)與虛擬機(jī)的聯(lián)動,因此,必須要有一種新的IT架構(gòu)來實現(xiàn)應(yīng)用與網(wǎng)絡(luò)的聯(lián)動,對此推出了新的IT架構(gòu)—VCF(Virtual Converged Framework)。
在構(gòu)建Overlay控制平面時,主要有兩種實現(xiàn)方式,一種是自學(xué)習(xí)模式(組播,ISIS,BGP),另外一種是集中控制方式(Controller),集中控制方式可以通過Controller很方便的實現(xiàn)應(yīng)用與網(wǎng)絡(luò)的聯(lián)動,而自學(xué)習(xí)模式本身無法實現(xiàn)網(wǎng)絡(luò)與應(yīng)用聯(lián)動,也需要借助Controller實現(xiàn)網(wǎng)絡(luò)與應(yīng)用聯(lián)動。VCF架構(gòu)是通過集中控制的方式,實現(xiàn)網(wǎng)絡(luò)與應(yīng)用聯(lián)動,同時可以兼容Overlay的自學(xué)習(xí)模式,從而實現(xiàn)網(wǎng)絡(luò)與計算的融合虛擬化。
京公網(wǎng)安備 11010502049343號