虛擬化正迅速發(fā)展成為下一代數(shù)據(jù)中心的核心元素,而這種變化也給網(wǎng)絡(luò)帶來新的挑戰(zhàn)。本報(bào)告探討了虛擬基礎(chǔ)設(shè)施帶來的技術(shù)問題,并分享了讓你的網(wǎng)絡(luò)做好準(zhǔn)備迎接虛擬化的標(biāo)準(zhǔn)、技術(shù)以及最佳做法。在上篇《服務(wù)器虛擬化帶來的網(wǎng)絡(luò)現(xiàn)狀及問題分析》中,我們已經(jīng)分析了高度虛擬化環(huán)境給網(wǎng)絡(luò)帶來的挑戰(zhàn),在本篇當(dāng)中,我們將分析解決這種網(wǎng)絡(luò)復(fù)雜性的不同方法。
應(yīng)該說,這一連串的問題已經(jīng)引起和行業(yè)的注意,并推出了很多新產(chǎn)品和標(biāo)準(zhǔn)來提高虛擬服務(wù)器網(wǎng)絡(luò)的性能、可擴(kuò)展性和可管理性。
例如,將交換機(jī)從管理程序中脫離出來。虛擬交換機(jī)是解決交換多個(gè)獨(dú)立操作系統(tǒng)(每個(gè)系統(tǒng)有獨(dú)特的IP和MAC地址,共享相同的物理接口,這是以太網(wǎng)協(xié)議不涉及的情況)的特殊解決方案,雖然管理程序交換是可行的,但是還存在其他替代方案。
其中一種替代方法就是虛擬以太橋(Virtual Ethernet Bridging,VEB),它將橋接功能移動(dòng)到一個(gè)智能NIC上,這個(gè)NIC支持所謂的單根I/O虛擬化(Single Root I/O Virtualization,SR-IOV)(這是PCI-SIG提出的標(biāo)準(zhǔn))。SR-IOV將智能NIC劃分為多個(gè)虛擬NIC,每個(gè)虛擬機(jī)分配一個(gè)NIC,它是通過為每個(gè)虛擬機(jī)提供獨(dú)立的內(nèi)存空間、中斷和DMA流來實(shí)現(xiàn)的。這允許橋接發(fā)生在硬件,而不是在管理程序中。
當(dāng)幾年前英特爾提出這種方法時(shí),這似乎是一種很有前景的解決方案,但是由于NIC之間較差的互操作性,以及隨著每臺服務(wù)器承載的虛擬機(jī)數(shù)量增加而帶來的可擴(kuò)展性問題,這種解決方案沒有贏得市場的青睞。另外一個(gè)問題是:每個(gè)嵌入式橋成了另一個(gè)需要管理的設(shè)備(與軟件交換機(jī)沒有什么區(qū)別),并且管理功能沒有被整合到整個(gè)網(wǎng)絡(luò)管理系統(tǒng)中。由于部署的不同(即擴(kuò)展功能不是該標(biāo)準(zhǔn)的一部分),不同的NIC可能具有不同的橋接功能,而這些通常不能進(jìn)行互相操作。
另一個(gè)解決方案是完全摒棄虛擬交換機(jī),而將交換功能移回到邊緣設(shè)備,這也是每個(gè)網(wǎng)絡(luò)工程師認(rèn)為交換功能應(yīng)該存在的位置。
這也是該引入兩個(gè)新IEEE標(biāo)準(zhǔn)項(xiàng)目的時(shí)候了,這兩個(gè)標(biāo)準(zhǔn)屬于兩個(gè)平行且很大程度上互補(bǔ)的路線,都是對基礎(chǔ)IEEE 802.1 Q VLAN標(biāo)簽標(biāo)準(zhǔn)的修訂。
第一個(gè)也是較為成熟的標(biāo)準(zhǔn)是802.1Qbg 邊緣虛擬橋接(EVB)。在惠普推出其相關(guān)技術(shù)后,這個(gè)標(biāo)準(zhǔn)有時(shí)也被稱為虛擬以太網(wǎng)端口聚合(VEPA),盡管惠普的VEPA實(shí)際上包含額外的專有功能。EVB的目的是允許多個(gè)虛擬機(jī)共享一個(gè)共同端口,而同時(shí)從外部橋(即作為反射繼電器的邊緣交換機(jī))獲取服務(wù)。通常情況下,以太網(wǎng)幀并不會轉(zhuǎn)回它們進(jìn)來的那個(gè)接口,這個(gè)動(dòng)作會造成網(wǎng)絡(luò)端口形成環(huán)路。EVB提供了一個(gè)標(biāo)準(zhǔn)方法來解決這個(gè)問題。作為一個(gè)相對簡單的協(xié)議擴(kuò)展,EVB很有吸引力,因?yàn)樗梢圆渴鹪诂F(xiàn)有的硬件上,而只需對交換機(jī)和管理程序的軟件進(jìn)行升級。
不幸的是,EVB還只是起步階段,它并不能解決政策管理問題,而且會給交換機(jī)帶來更多廣播和組播流量的負(fù)擔(dān)。這些棘手的問題正在通過802.1Qbh橋端口擴(kuò)展來解決。雖然Qbg并不能修改底層以太網(wǎng)數(shù)據(jù)包,不過Qbh端口擴(kuò)展標(biāo)準(zhǔn)增加了一個(gè)標(biāo)簽,就像是標(biāo)準(zhǔn)VLAN標(biāo)簽,允許網(wǎng)絡(luò)流量被映射到特定虛擬機(jī),并當(dāng)虛擬機(jī)在網(wǎng)絡(luò)移動(dòng)時(shí)跟蹤虛擬機(jī)。
這兩個(gè)標(biāo)準(zhǔn)的修訂版在去年的冬天才發(fā)布,在兩個(gè)主要支持者(思科和惠普)之間存在激烈的技術(shù)辯論,在短期內(nèi)應(yīng)該無法達(dá)成協(xié)議。雖然兩家供應(yīng)商都是通過虛擬機(jī)標(biāo)簽的形式來增加協(xié)議,但細(xì)節(jié)不同,惠普對MAC安全標(biāo)簽提出了修改,思科則提供了一種新的所謂的端口擴(kuò)展標(biāo)簽。最終,這個(gè)問題將會通過標(biāo)準(zhǔn)過程得到解決。結(jié)果將是可互相操作的網(wǎng)絡(luò)交換機(jī)和NIC,允許VM生成的流量能像其他網(wǎng)絡(luò)流量一樣管理。
標(biāo)準(zhǔn)發(fā)展的步伐緩慢意味著消除虛擬交換機(jī)層可能還要好幾年。不過,現(xiàn)在有很多技術(shù)可以簡化邊緣和存儲網(wǎng)絡(luò)。
10千兆以太網(wǎng)交換機(jī)端口和NIC接口的價(jià)格已經(jīng)破了500美元大關(guān),并且隨著今年主板局域網(wǎng)單芯片解決方案的推出,進(jìn)一步的跌價(jià)是不可避免的。在刀片密集環(huán)境中,機(jī)架頂(TOR)拓?fù)浔葘㈦娎|路由到端列頭交換機(jī)更有意義。
然而,機(jī)架內(nèi)部的電纜管理是一個(gè)問題,尤其是當(dāng)使用刀片時(shí)。每個(gè)機(jī)箱有12個(gè)或者更多服務(wù)器模塊,每個(gè)機(jī)架可能有50個(gè)或者更多服務(wù)器,也就是在完全冗余拓?fù)淝闆r下,機(jī)架頂交換機(jī)有100多個(gè)Cat6電纜。路由所有這些銅線電纜不是簡單的事情。這也是很多刀片設(shè)計(jì)轉(zhuǎn)移到直通模塊的主要原因,這將每個(gè)服務(wù)器的LAN連接從機(jī)箱背板路由到配線架,到集成交換模塊(從單個(gè)機(jī)箱聚合流量的模塊)。然而,正如我們前面提到的,這又給交換結(jié)構(gòu)增加了一層結(jié)構(gòu)。
維持更平面的物理網(wǎng)絡(luò)有兩個(gè)解決方案。一種解決方案是使用新的高密度電纜標(biāo)準(zhǔn),特別是MRJ21,它將6個(gè)RJ45電纜聚合到單個(gè)機(jī)箱,然后通過刀片直通模塊路由到TOR交換機(jī)。另一個(gè)方法是使用結(jié)構(gòu)擴(kuò)展器,例如思科的UCS 2100,本質(zhì)上擴(kuò)展了Nexus 5000 TOR交換機(jī)的背板到UCS刀片機(jī)箱。這些產(chǎn)品相對較新,雖然它們在特定供應(yīng)商生態(tài)系統(tǒng)能夠良好地工作,你需要根據(jù)你的具體需求來選擇解決方案。
LAN加上SAN
運(yùn)行并行數(shù)據(jù)和存儲網(wǎng)絡(luò)的時(shí)代已經(jīng)結(jié)束了,取而代之的是存儲I/O負(fù)載。10GbE使用GigE實(shí)現(xiàn)了帶寬價(jià)格的比價(jià),能夠?yàn)榫W(wǎng)絡(luò)功能提供足夠的帶寬。這將是下一代虛擬服務(wù)器農(nóng)場的默認(rèn)存儲網(wǎng)絡(luò)配置。
根據(jù)特定I/O流量,從TOR交換機(jī)到聚合層的回程可以通過10Gbps鏈接或者移動(dòng)到最近推出的40 GbE標(biāo)準(zhǔn)來實(shí)現(xiàn)。今年的Interop大會簡直是40 GbE發(fā)布大會,Extreme Networks和Force10推出了邊緣交換機(jī)模塊,預(yù)計(jì)今年晚些時(shí)候會推出。誠然,40GbE很昂貴,大約每個(gè)端口1000美元。40 GbE需要Cat6A電纜,這是Cat6價(jià)格的兩倍。
10 GbE提供了原始帶寬,不過有幾種方法可以將這種帶寬用于共享存儲。在以太網(wǎng)建立塊級SAN可以通過使用iSCSI或者以太網(wǎng)光纖通道(FCoE)來實(shí)現(xiàn)。雖然都是使用以太網(wǎng)作為傳輸,區(qū)別在于iSCSI在第三層運(yùn)行(使用IP來封裝SCSI命令),而FCoE是純粹的第二層。
FCoE并不是完全與本地光纖通道提供的網(wǎng)絡(luò)可靠性相同,而增加了IEEE的數(shù)據(jù)中心橋接(DCB)任務(wù)組。DCB實(shí)際上融合了幾個(gè)標(biāo)準(zhǔn),目的在于解決本地以太網(wǎng)協(xié)議中的不足,并復(fù)制了FC和Infiniband功能,例如保證可靠性、擁塞通知、流量控制和流量優(yōu)先級。iSCSI和FCoE之間的選擇在很大程度上取決于你的現(xiàn)有基礎(chǔ)設(shè)施。對于新建的部署,iSCSI絕對是不錯(cuò)的選擇,它更加成熟,更加便宜。
一些虛擬環(huán)境可能能夠完全避免SAN,因?yàn)楝F(xiàn)有管理程序版本(從VMware、Citrix Xen和Microsoft Hyper-V)可以支持通過NFS從NAS陣列啟動(dòng)虛擬機(jī)映像。
對于不要求阻止I/O的虛擬應(yīng)用程序,有很多理由應(yīng)該使用NFS,它更加容易安裝、管理和擴(kuò)展,更加便宜,并且,因?yàn)樗腔谖募模愿尤菀讉浞荨?/p>
虛擬ADC
最新虛擬機(jī)管理平臺的自動(dòng)創(chuàng)建新機(jī)器以響應(yīng)應(yīng)用程序負(fù)載或者硬件故障的能力能夠提高性能和可靠性。因此,虛擬機(jī)實(shí)時(shí)遷移和按需配置應(yīng)該成為任何下一代環(huán)境的一部分。然而,“顛沛流離的”虛擬機(jī)不僅給網(wǎng)絡(luò)管理和安全工具帶來問題,而且還給傳統(tǒng)負(fù)載均衡器(又稱應(yīng)用程序交付控制器)帶來影響。
這是虛擬化帶來的另一個(gè)問題,這也可以得到解決。
對于處理在很多服務(wù)器間平衡應(yīng)用程序負(fù)載或者在故障情況下自動(dòng)重定向流量到冗余DR站點(diǎn)的傳統(tǒng)方法,通常是使用硬件負(fù)載平衡器與異地?cái)?shù)據(jù)復(fù)制。一種新的虛擬網(wǎng)絡(luò)負(fù)載平衡和廣域網(wǎng)優(yōu)化設(shè)備模仿了其之前硬件的功能,這些軟件設(shè)備通常更加適合虛擬環(huán)境,因?yàn)樗鼈兡軌驘o縫與底層虛擬機(jī)管理平臺進(jìn)行整合,允許自動(dòng)化重新配置以響應(yīng)虛擬機(jī)移動(dòng),并能根據(jù)負(fù)載增加來進(jìn)行擴(kuò)展,而不需要升級。
IT部門的不同團(tuán)隊(duì)負(fù)責(zé)不同的領(lǐng)域,網(wǎng)絡(luò)、服務(wù)器和存儲等,這些管理“孤島”問題被虛擬化加劇了,并不能靠純粹的技術(shù)解決方案來解決。IT經(jīng)理必須明確每個(gè)管理任務(wù)的職責(zé),例如服務(wù)器和存儲配置或網(wǎng)絡(luò)配置,然后協(xié)調(diào)不同團(tuán)隊(duì)的共同角色。根據(jù)信息周刊的調(diào)查,29%的受訪者因?yàn)樘摂M化而重組或者計(jì)劃重組了他們的IT團(tuán)隊(duì),另外21%的受訪者認(rèn)為需要重組,但還沒有這樣做,如下圖所示。
虛擬交換機(jī)并不會很快消失,但是這些虛擬網(wǎng)絡(luò)設(shè)備的配置和管理不應(yīng)該完全交給服務(wù)器團(tuán)隊(duì)處理,僅僅因?yàn)樗麄儞碛械讓犹摂M機(jī)管理平臺的所有權(quán)。在技術(shù)允許虛擬端口管理可以在全面的管理工具中進(jìn)行之前,網(wǎng)絡(luò)和服務(wù)器團(tuán)隊(duì)必須共享虛擬平臺的權(quán)利。供應(yīng)商正在通過軟件解決這些管理問題,例如思科與VMware合作,將VMware的vSphere整合了思科的Nexus 1000V軟件交換機(jī)。
網(wǎng)絡(luò)團(tuán)隊(duì)必須考慮擴(kuò)展器架構(gòu)來方便監(jiān)控、安全和故障排除工具,例如使用虛擬跨度端口(混雜模式端口鏡像)
虛擬基礎(chǔ)架構(gòu),真正的影響
企業(yè)虛擬化正從簡單的服務(wù)器整合發(fā)展為新型類似云計(jì)算的數(shù)據(jù)中心基礎(chǔ)設(shè)施。這種轉(zhuǎn)變必然會給網(wǎng)絡(luò)帶來新的要求,要求增加容量,重新設(shè)計(jì)的交換機(jī)脫坡,新的管理軟件和融合數(shù)據(jù)和存儲網(wǎng)絡(luò)。
對于虛擬化給網(wǎng)絡(luò)帶來的諸多問題,需要開發(fā)新的技術(shù)和新標(biāo)準(zhǔn)來解決,同時(shí),企業(yè)還應(yīng)該對虛擬化采取戰(zhàn)略方法以確保IT團(tuán)隊(duì)某個(gè)部門獲得利益而不會給另一個(gè)部門造成問題。
雖然實(shí)現(xiàn)高度虛擬化基礎(chǔ)設(shè)施還有很長的路要走,但是最終的結(jié)果將會使企業(yè)的性能、可靠性、靈活性和效率達(dá)到新的高度。