全融合虛擬化解決方案

技術背景

隨 著社會生產力的不斷發展，用戶需求不斷發展提高，市場也不斷發展變化，誰能真正掌握市場迎合用戶，誰就能夠占領先機提高自己的核心競爭力。企業運營中關鍵 資訊傳遞的暢通可以幫助企業充分利用關鍵資源，供應鏈、渠道管理，了解市場抓住商機，從而幫助企業維持甚至提高其競爭地位。作為網絡數據存儲和流通中心的 企業數據中心，很顯然擁有企業資訊流通最核心的地位，越來越受到企業的重視。當前各個企業/行業的基礎網絡已經基本完成，隨著“大集中”思路越來越深入人 心，各企業、行業越來越迫切的需要在原來的基礎網絡上新建自己的數據中心。數據中心設施的整合已經成為行業內的一個主要發展趨勢，利用數據中心，企業不但 能集中資源和信息加強資訊的流通以及新技術的采用，還可以改善對外服務水平提高企業的市場競爭力。一個好的數據中心在具有上述好處之外甚至還可以降低擁有 成本。

虛擬化簡介

在 數據大集中的趨勢下，數據中心的服務器規模越來越龐大。隨著服務器規模的成倍增加，硬件成本也水漲船高，同時管理眾多的服務器的維護成本也隨著增加。為了 降低數據中心的硬件成本和管理難度，對大量的服務器進行整合成了必然的趨勢。通過整合，可以將多種業務集成在同一臺服務器上，直接減少服務器的數量，有效 的降低服務器硬件成本和管理難度。

服務器整合帶來了巨大的經濟效益，同時 也帶來了一個難題：多種業務集成在一臺服務器上，安全如何保證？而且不同的業務對服務器資源也有不同的需求，如何保證各個業務資源的正常運作？為了解決這 些問題，虛擬化應運而生了。虛擬化指用多個物理實體創建一個邏輯實體，或者用一個物理實體創建多個邏輯實體。實體可以是計算、存儲、網絡或應用資源。虛擬 化的實質就是“隔離”—將不同的業務隔離開來，彼此不能互訪，從而保證業務的安全需求；將不同的業務的資源隔離開來，從而保證業務對于服務器資源的要求。

數 據中心運行的應用越來越多，但很多應用都相互獨立，而且在使用率低下、相關隔絕的不同環境中運行。每個應用都追求性能的不斷提高，數據中心擁有多種操作系 統、計算平臺和存儲系統。因此，IT 機構必須提高運行效率，優化數據中心資源的利用率，才能將節省出來的資金用于開展新的盈利型IT 項目。另外，數據中心需要建立永續的基礎設施，才能保護各種應用和服務免受各種安全攻擊和干擾的危害，才能建立既可以持續改進計算機、存儲和應用技術，又 能支持不斷變化的業務流程的靈活型基礎設施。利用整合和虛擬化技術幫助數據中心將計算和存儲資源從多個分立式系統轉變成可以通過智能網絡匯聚、分層、調配 和訪問的標準化組件，從而為自動化等新興IT 戰略奠定基礎。

數據中心資 源的整合和虛擬化正在不斷發展，這需要高度可擴展的永續安全數據中心網絡基礎。網絡不但能讓用戶安全訪問各種數據中心服務，還能根據需要實現共享數據中心 組件的部署、互聯和匯聚，包括各種應用、服務器、設備和存儲。適當規劃的數據中心網絡不僅能保護應用和數據完整性，提高應用可用性和性能，還能增強對不斷 變化的市場狀況、業務重要程度和技術先進性的反應能力。

網絡虛擬化技術

伴 隨著服務器虛擬化技術的不斷成熟和應用，傳統的網絡已經很難滿足用戶的需求。例如虛擬機遷移需要大二層環境，而傳統網絡大二層環境容易造成環路，難于管 理。STP、VRRP這些傳統的網絡技術多是犧牲了已有資源來提供冗余，資源的浪費在當今數據中心已是越來越顯得不可接受。為適應新環境下數據中心的要 求，H3C提出了全虛擬化網絡架構。在網絡側，H3C提供了網絡設備多虛一的IRF2技術、一虛多的MDC技術和縱向虛擬化VCF技術，從不同層面完成了網絡設備的虛擬化技術。

IRF2是H3C自主研發的軟件虛擬化技術。它的核心思想是將多臺設備通過IRF物理端口連接在一起，進行必要的配置后，虛擬化成一臺“分布式設備”。使用這種虛擬化技術可以實現多臺設備的協同工作、統一管理和不間斷維護。結合下面的圖一不難看出IRF2具有如下優點：

簡化管理。IRF形成之后，用戶通過任意成員設備的任意端口都可以登錄IRF系統，對IRF內所有成員設備進行統一管理。高 可靠性。IRF的高可靠性體現在多個方面，例如：IRF由多臺成員設備組成，Master設備負責IRF的運行、管理和維護，Slave設備在作為備份的 同時也可以處理業務。一旦Master設備故障，系統會迅速自動選舉新的Master，以保證業務不中斷，從而實現了設備的1:N備份；此外，成員設備之 間的IRF鏈路支持聚合功能，IRF和上、下層設備之間的物理鏈路也支持聚合功能，多條鏈路之間可以互為備份也可以進行負載分擔，從而進一步提高了IRF 的可靠性。強大的網絡擴展能力。通過增加成員設備，可以輕松自如的擴展IRF的端口數、帶寬。因為各成員設備都有CPU，能夠獨立處理協議報文、進行報文轉發，所以IRF還能夠輕松自如的擴展處理能力。

圖1 IRF組網拓撲

MDC 技術是一種完全的1:N設備虛擬化技術，將一臺物理網絡設備通過軟件虛擬化成多臺邏輯網絡設備。MDC將網絡設備的控制平面、數據平面、管理平面進行了完 全的虛擬化 ，實現完全的隔離。同時MDC將網絡設備的硬件資源進行了虛擬化，不僅可以將板卡、端口等硬件資源劃分到獨立的邏輯設備，而且可配置每個邏輯設備的 CPU、內存、存儲空間等資源 。

MDC具有如下優點：

高復用。多臺MDC共用物理設備的資源，使物理資源能得到充分利用。資源隔離。同一臺物理設備上的多個MDC具有獨立的軟硬件資源，獨立運行互不影響 。高伸縮性。可整合多個物理網絡到一個物理設備上，也可以將一個物理設備擴展為多個邏輯網絡。

VCF 技術是基于IRF，在縱向維度上支持異構堆疊，在獲得形成一臺邏輯虛擬設備的基礎上，把一臺低成本的盒式設備作為一塊遠程接口板加入主設備系統，以達到擴 展I/O端口能力和進行集中控制管理的目的。對于VCF來說，設備按角色有CB（Controlling Bridge）和PE（Port Extender）兩種。CB表示控制設備，PE表示縱向擴展設備，即端口擴展器（或稱遠程接口板）。通常來說，PE設備的能力不足以充當CB，管理拓撲 上難以越級，處于“非不為也，實不能也”的狀態。如下圖二IRF2和VCF融合應用的一個舉例，在IRF2的基礎上進一步減少了管理節點，節省了用戶成 本，同時通過IRF2提供了高可靠性，避免單點故障。

圖2 VCF結構

計算虛擬化技術

服 務器虛擬化解決方案可以充分利用高性能服務器的計算能力，將原本運行在單臺物理服務器上的操作系統及應用程序遷移到虛擬機上，虛擬化后，一臺物理服務器上 能運行多臺虛擬機，完成對企業應用系統的整合。通過服務器虛擬化，提高硬件資源的利用率，有效地抑制IT資源不斷膨脹的問題，降低客戶的采購成本和維護成 本，同時可以節省IT機房的占地空間以及供電和冷卻等運營開支。

圖3 計算虛擬化

但是虛擬機的大量應用也給網絡的管理和維護帶來了許多問題：

職責不清：虛擬交換機（vSwitch）的出現，使網絡觸角已經延伸到服務器中，系統管理員和網絡管理員的職責分界不清(注：關于vSwitch及虛擬機相關網絡概念的介紹請參照本刊《數據中心虛擬機網絡接入技術——基礎篇》一文)；

資源可視性：服務器在虛擬化后，規模劇增；虛擬機網絡位置的非物理性，使資源的可視性管理非常困難。虛擬機的存在給故障（網絡、應用）分析和定位帶來更大的難度；流量可視性：虛擬機的遷移技術，使網絡中的流量分布存在更多的動態性，導致流量可視性的困難；自動化配置管理：虛擬機的遷移技術，要求網絡的配置要跟隨虛擬機進行動態實時的調整、自動化管理能力的必要性更為突出；

服務器虛擬化后，虛擬服務器規模劇增，以及虛擬化軟件的遷移特性使虛擬服務器在數據中心網絡中的物理位置的可視性變得困難。

在創建VM或遷移（vMotion）時，VM主機能否正常運行，不僅需要在服務器上的資源合理調度，網絡連接的合理調度也是必須的。圖四所示虛擬機VM1從物理服務器pSrv1遷移到物理服務器pSrv2上。

圖4 網絡配置遷移

其 網絡連接從原來的由pSRV1上虛擬交換機vSwitchA的某個VSI(屬于VLAN100的端口組)接入到邊緣物理交換機Edge Switch1，變成由pSRV2上vSwitchB的某個VSI(屬于VLAN100的端口組)接入到Edge Switch2。若遷移后對應的Edge Switch的網絡配置不合適，則VM1遷移后就可能不能正常使用。比如原先對VM1的訪問設置了ACL，以屏蔽非法訪問；或設置了QoS，以保障VM1 上業務運行帶寬等服務質量。都需要在發生VM創建或vMotion時同步調整相關的網絡連接配置。而且，為了保證VM的業務連續性，除了虛擬化軟件能保證 VM在服務器上的快速遷移，相應的網絡連接配置遷移也需要實時完成。即網絡具有“隨需而動”的自動化能力。

在VEB vSwtich模式下，多個VM的vNic（對應VEB上的VSI接口）和鄰接物理交換機的鏈接使用的是一個物理鏈路（或聚合后的物理鏈路，Nic teaming），不管是邏輯上還是物理上都是一個接口，即VM和物理接口是N:1的關系（如圖五所示）。

在此模式下，鄰接物理交換機的配置控制粒度只能到物理接口級，針對數據中心“隨需而動”的配置自動化遷移，通常情況下會出現多個VM的配置都重復下發到一個物理接口上，很難做到針對每一個VM的精細化網絡配置管理。

可 行的辦法只有先精細化區分流量（比如源IP、源MAC、VLAN等），基于流量的識別再進行針對VSI的配置遷移。這樣就又引入了新的復雜性和局限性。首 先要求鄰接物理交換機支持基于源IP/源MAC/VLAN的ACL或流分類、以及帶寬控制能力；其次要支持ACL、MQC的動態創建和刪除能力，而在創建 和刪除時，很可能會影響其他VM的配置。

另外，當VM從一個物理服務器上遷移走之后，本地配置的去部署通常需要由用戶預先配置好，此處若想實現智能化（由部署命令自動生成去部署命令），邏輯和實現也非常復雜。

Basic VEPA方式也存在同樣的問題，在擬定義的802.1Qbg標準中，也在考慮在VDP報文中增加附加過濾字段（比如VLAN、源MAC等），來解決VM和物理接口N:1的問題。報文和設備處理的復雜性被放大了。

圖5 VEPA/VEB、Multi-Channel/PE 物理端口映射對比

Multi-Channel、PE方案的提出為此問題找到了最優的解決方法，即在鄰接物理交換機出現了vPort的概念。這類邏輯虛接口可以實現和VM對應的vNic/VSI的1：1對應關系。

VM 遷移時，只需在對應的鄰接物理交換機上動態創建一個vPort（當然如果VM需要多個vNic時，對應也要創建多個vPort），并將VM對應的網絡配置 Profile綁定到vPort上。不會對其他vPort產生影響。同時遷移前對應的鄰接物理交換機只需要簡單的將對應的vPort邏輯接口刪除即可，不 存在反向去部署的復雜性問題。