虛擬化技術(shù)由于其在提高基礎(chǔ)設(shè)施可靠性和提升資源利用效率等方面的巨大優(yōu)勢(shì),應(yīng)用越來越廣泛。同時(shí),虛擬化技術(shù)本身也在快速發(fā)展,虛擬網(wǎng)絡(luò)接入領(lǐng)域,802.1Qbg、802.1Qbh等標(biāo)準(zhǔn)相繼推出,虛擬服務(wù)器高可用方面,HA、FT、DRS、DPS、vMotion等技術(shù)也在不斷演進(jìn)。相應(yīng)的虛擬化管理技術(shù)必須同步發(fā)展,才能解決虛擬化帶來的需求。
一、 虛擬化的技術(shù)和管理需求
1. 主流的服務(wù)器虛擬化技術(shù)簡介
在數(shù)據(jù)中心服務(wù)器領(lǐng)域,虛擬化技術(shù)目前仍處于快速發(fā)展的階段,IDC統(tǒng)計(jì)數(shù)據(jù)表明,VMware和Hyper-V處于領(lǐng)導(dǎo)者地位。KVM陣營由于Redhat的加入,將成為第三支最有力量的參與者(如圖1所示)。
圖1 虛擬化產(chǎn)品市場(chǎng)份額
從技術(shù)發(fā)展方向來看,服務(wù)器虛擬化的有四種分類(如表1所示),其中完全虛擬化技術(shù)是目前使用最為普遍的技術(shù),VMware、Hyper-V、KVM、XEN等產(chǎn)品均已支持該技術(shù)。
技術(shù)分類架構(gòu)產(chǎn)品技術(shù)特點(diǎn)
硬件虛擬化
QEMU(開源)在宿主上創(chuàng)建一個(gè)硬件 VM 來仿真所想要的硬件。獨(dú)立性、可靠性強(qiáng)。
速度非常慢(每條指令都必須在底層硬件上進(jìn)行仿真)。
完全虛擬化
VMware:ESX
MS:Hyper-V
KVM(RedHat)
底層硬件由GuestOS通過 hypervisor 共享。
不需修改GuestOS。
良好的性能、動(dòng)態(tài)調(diào)配資源??梢栽谕慌_(tái)主機(jī)中安裝異構(gòu)的操作系統(tǒng)。
超虛擬化
--半虛擬化
Xen(Citrix):(注:其最新版本已支持完全虛擬化)
User-Mode-Linux(開源)需要為 hypervisor 修改客戶操作系統(tǒng),
提供了與未虛擬化的系統(tǒng)相接近的性能
操作系統(tǒng)虛擬化
Parallels(Virtuozzo Container)
Linux-vServer(開源)
在操作系統(tǒng)本身之上實(shí)現(xiàn)服務(wù)器的虛擬化。要求對(duì)操作系統(tǒng)的內(nèi)核進(jìn)行一些修改。其優(yōu)點(diǎn)是可以獲得原始性能。
表1 虛擬化技術(shù)分類
2. 虛擬化對(duì)管理的影響因素之一:vSwitch
服務(wù)器虛擬化引入了虛擬網(wǎng)絡(luò)交換機(jī)(vSwitch)的概念,如圖2所示,使用虛擬化軟件技術(shù)仿真出來的二層交換機(jī),位于物理服務(wù)器中。vSwitch創(chuàng)建虛擬的網(wǎng)絡(luò)接口(vNIC)鏈接VM,并使用物理網(wǎng)卡連接外部的物理交換機(jī)。。
圖2 vSwtich結(jié)構(gòu)
vSwitch的出現(xiàn),對(duì)傳統(tǒng)的網(wǎng)絡(luò)管理方式產(chǎn)生了巨大的影響,主要體現(xiàn)在以下幾點(diǎn)。
1) 從網(wǎng)絡(luò)管理的范圍來看,不僅要覆蓋物理網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器、防火墻等),還要延伸到服務(wù)器內(nèi)的網(wǎng)絡(luò)交換功能,因此需要有不同于SNMP/CLI等傳統(tǒng)的管理手段來管理實(shí)現(xiàn)對(duì)vSwitch的管理。
2) 從網(wǎng)絡(luò)的可視性來看,由于虛擬服務(wù)器和物理網(wǎng)絡(luò)之間多了一層vSwitch,使得傳統(tǒng)的基于網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)可視化管理手段失效(比如流量無法全部感知影響流量分析管理、終端接入無法感知影響網(wǎng)絡(luò)拓?fù)浞治?
3) 從網(wǎng)絡(luò)的可控性來看,由于一個(gè)物理網(wǎng)絡(luò)接口下面將連接一個(gè)復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu),接入層的管控能力從原來針對(duì)一個(gè)終端擴(kuò)展成針對(duì)一個(gè)網(wǎng)絡(luò)(包含多個(gè)VM終端),需要有手段區(qū)分每個(gè)VM終端來達(dá)到接入層的控制(而不僅僅是區(qū)分接入接口,因?yàn)榻尤虢涌谙乱频椒?wù)器內(nèi)部的vSwitch上了)。
3. 虛擬化對(duì)管理的影響因素之二:遷移
為提供VM系統(tǒng)的可靠性,服務(wù)器虛擬化技術(shù)提供了VM遷移、高可用性(HA)、熱備容錯(cuò)、資源池調(diào)度等特性,這些特性都會(huì)影響VM的物理部署位置,不僅使虛擬服務(wù)器在數(shù)據(jù)中心網(wǎng)絡(luò)中的物理位置的可視性變得困難,并且使得服務(wù)器接入物理網(wǎng)絡(luò)設(shè)備需要一定的網(wǎng)絡(luò)資源配置,其接入位置的動(dòng)態(tài)性就要求物理網(wǎng)絡(luò)配置能提供隨需而動(dòng)的管理能力。
以下以VMware舉例,介紹這幾種特性及對(duì)網(wǎng)絡(luò)管理的影響和需求。
1) VM遷移-vMotion
vMotion有幾種實(shí)現(xiàn),目前對(duì)VM服務(wù)中斷影響最小、遷移性能最佳的實(shí)現(xiàn)方式是在線遷移(Live Migration),如圖3所示。一般物理機(jī)之間要采用SAN或NAS之類的集中式共享外存設(shè)備,同時(shí)考慮操作系統(tǒng)內(nèi)存執(zhí)行狀態(tài)的遷移[注:主流的內(nèi)存遷移技術(shù)是預(yù)拷貝技術(shù),通過多個(gè)輪次的增量拷貝,直至內(nèi)存不再更新。不在此詳述],停機(jī)時(shí)間非常短暫。
圖3 vMtoion示意圖
2) 高可用性HA
有兩種HA模式:1)物理服務(wù)器故障,可在具有備用容量的其他生產(chǎn)服務(wù)器中自動(dòng)重新啟動(dòng)受影響的所有虛擬機(jī)(如圖4左所示);2)VM操作系統(tǒng)出現(xiàn)故障,HA 會(huì)在同一臺(tái)物理服務(wù)器重啟啟動(dòng)受影響的虛擬機(jī)(如圖4右所示)。
圖4 HA場(chǎng)景示意圖
3) 熱備容錯(cuò)(Fault Tolerance):
如圖5所示,原始實(shí)例創(chuàng)建一個(gè)在另一臺(tái)物理服務(wù)器上運(yùn)行的實(shí)時(shí)影子,VM故障時(shí)可不重啟完成切換,防止由硬件故障導(dǎo)致的應(yīng)用程序中斷,相當(dāng)于熱備份。
圖5 FT場(chǎng)景示意圖
4) 動(dòng)態(tài)資源調(diào)度:
基于預(yù)先設(shè)定的規(guī)則,跨資源池動(dòng)態(tài)平衡計(jì)算、分配資源。如圖6所示,管理員可以將Exchange server和Apache Server移動(dòng)到其他物理服務(wù)器,使SAP系統(tǒng)得到更多的空閑資源。
圖6 動(dòng)態(tài)資源調(diào)度示意圖
4. 遷移對(duì)網(wǎng)絡(luò)管理的影響和需求分析
在上述場(chǎng)景中,VM位置都發(fā)生了改變,VM能否正常運(yùn)行,不僅需要在服務(wù)器上的資源合理調(diào)度,網(wǎng)絡(luò)連接的合理調(diào)度也是必須的。
圖7 VM、網(wǎng)絡(luò)遷移示意圖
如圖7所示,如果把虛擬機(jī)VM1從物理服務(wù)器pSrv1遷移到物理服務(wù)器pSrv2上,其網(wǎng)絡(luò)連接從原來的由pSRV1上虛擬交換機(jī)vSwitchA的某個(gè)VSI(屬于VLAN100的端口組)接入到邊緣物理交換機(jī)Edge Switch1,變成由pSRV2上vSwitchB的某個(gè)VSI接入到Edge SwitchB。若遷移后對(duì)應(yīng)的EdgeSwitch的網(wǎng)絡(luò)配置不合適,則VM1遷移后就可能不能正常使用。比如原先對(duì)VM1的訪問設(shè)置了ACL,以屏蔽非法訪問;或設(shè)置了QoS,以保障VM1上業(yè)務(wù)運(yùn)行帶寬等服務(wù)質(zhì)量。都需要在發(fā)生VM創(chuàng)建或vMotion時(shí)同步調(diào)整相關(guān)的網(wǎng)絡(luò)連接配置。并且,為了保證VM的業(yè)務(wù)連續(xù)性,除了虛擬化軟件能保證VM在服務(wù)器上的快速遷移,相應(yīng)的網(wǎng)絡(luò)連接配置遷移也需要實(shí)時(shí)完成,即網(wǎng)絡(luò)需要具有“隨需而動(dòng)”的自動(dòng)化能力,這也就需要利用虛擬化軟件提供管理API。目前主要的API技術(shù)有如下幾種。
1) VMware ESX/ESXi的管理API
VMware對(duì)外提供的管理接口主要是vShpere API(如圖8所示),管理系統(tǒng)可通過調(diào)用API接口對(duì)VMware進(jìn)行管理。
圖8 VMware管理接口
2) Hyper-V的管理API
微軟的Hyper-V提供了類似VMware vCenter的集中管理產(chǎn)品SCVMM(System Center Virtual Machine Manager),并可以提供WMI和powerShell形式的API接口管理能力。
3) 通用的虛擬化API
為解決虛擬化產(chǎn)品管理的兼容性問題,業(yè)界出現(xiàn)了針對(duì)虛擬化的通用API技術(shù),典型的是Libvert技術(shù)(如圖9所示)。注:Libvert目前支持KVM、Xen、VMware等主流虛擬化產(chǎn)品。
圖9 Libvert技術(shù)架構(gòu)
[page]
二、 虛擬化趨勢(shì)下的可視性管理
服務(wù)器虛擬化后,虛擬服務(wù)器規(guī)模劇增,以及虛擬化軟件的遷移特性使虛擬服務(wù)器在數(shù)據(jù)中心網(wǎng)絡(luò)中的物理位置的可視性變得困難。當(dāng)業(yè)務(wù)系統(tǒng)異常時(shí),需要從服務(wù)器、網(wǎng)絡(luò)各方面進(jìn)行分析診斷,對(duì)網(wǎng)絡(luò)管理員來講,需要清楚虛擬服務(wù)器VM位于哪個(gè)物理服務(wù)器、通過哪個(gè)物理網(wǎng)絡(luò)交換機(jī)接口接入網(wǎng)絡(luò),甚至需要了解vSwitch上的網(wǎng)絡(luò)配置(比如VLAN),特別是服務(wù)器和網(wǎng)絡(luò)的邊界鏈接的可視性。如果對(duì)這些信息無法可視化管理,就無法有效的分析和定位故障。
因此需要使用服務(wù)器虛擬化管理技術(shù)將虛擬化網(wǎng)絡(luò)相關(guān)信息納入到統(tǒng)一的資源可視化管理中。
1. 虛擬資源視圖
通過虛擬資源視圖,可以查看物理服務(wù)器、虛擬交換機(jī)、VM的資源從屬關(guān)系信息。同時(shí)在虛擬交換機(jī)管理視圖中,其提供了服務(wù)器中虛擬網(wǎng)絡(luò)的配置能力(端口數(shù)量、端口組、VLAN、和物理網(wǎng)卡的綁定關(guān)系等)。在虛擬機(jī)的管理視圖中,可以提供分配的計(jì)算資源、GuestOS信息的可視性等功能。
2. 虛擬網(wǎng)絡(luò)拓?fù)?/p>
拓?fù)涫亲顬橹庇^的管理方式,通常的網(wǎng)絡(luò)拓?fù)溆捎跊]有計(jì)算虛擬化相關(guān)數(shù)據(jù),無法得到各個(gè)虛擬服務(wù)器VM和物理服務(wù)器、vSwitch的從屬和鏈接關(guān)系,各個(gè)VM是零落到整個(gè)拓?fù)?、不同網(wǎng)段中的獨(dú)立節(jié)點(diǎn),而且VM的數(shù)量遠(yuǎn)遠(yuǎn)大于物理服務(wù)器的數(shù)量,最終出現(xiàn)的是一個(gè)大量、雜亂、無關(guān)的拓?fù)洹?/p>
通過虛擬網(wǎng)絡(luò)拓?fù)淇梢越鉀Q這個(gè)問題,管理系統(tǒng)在拓?fù)溆?jì)算中使用虛擬網(wǎng)絡(luò)的拓?fù)鋽?shù)據(jù),提供清晰簡潔的物理拓?fù)?,所有虛擬節(jié)點(diǎn)都聚合到物理服務(wù)器節(jié)點(diǎn)上;同時(shí)又能體現(xiàn)物理服務(wù)器內(nèi)部的虛擬世界。如圖10所示,可以看到展示物理服務(wù)器(ESX)、虛擬交換機(jī)(vSwitch)、虛擬機(jī)(VM)之間的從屬或連接關(guān)系。同時(shí),通過ESX和物理交換機(jī)之間的連接關(guān)系,可展示ESX所在的物理位置。
圖10 虛擬網(wǎng)絡(luò)拓?fù)鋵?shí)例
三、 虛擬化趨勢(shì)下的流量可視性管理
數(shù)據(jù)中心中不僅僅存在著外部對(duì)數(shù)據(jù)中心應(yīng)用的訪問流量,在數(shù)據(jù)中心內(nèi)部應(yīng)用之間反而存在著更為大量的數(shù)據(jù)交換,掌握這部分流量的分布以及對(duì)網(wǎng)絡(luò)的需求,對(duì)保障其業(yè)務(wù)的正常運(yùn)行有更大的意義。而當(dāng)業(yè)務(wù)大量部署在虛擬服務(wù)器上時(shí),如何感知虛擬服務(wù)器之間的流量就變得非常重要。
1. 從網(wǎng)絡(luò)側(cè)分析虛擬化流量的可視性
對(duì)于傳統(tǒng)虛擬化技術(shù)中的VEB vSwitch模式,虛擬機(jī)VM之間的相互流量直接在vSwitch上交換,網(wǎng)絡(luò)是無法感知的(如圖11所示)。因此通過傳統(tǒng)的網(wǎng)流分析手段分析流量比較困難。
圖11 VEB模式流量模型
目前正在形成標(biāo)準(zhǔn)的VEPA(802.1Qbg)方案中,VM間的流量必須通過外部網(wǎng)橋進(jìn)行交換(如圖12所示),網(wǎng)絡(luò)具有完全的流量可視性,只要網(wǎng)流分析管理軟件能夠?qū)⒂|角延伸到VEPA外部網(wǎng)橋上即可。該模式要求對(duì)應(yīng)網(wǎng)橋支持NetStream、NetFlow、SFlow能力。
圖12 VEPA、Multi-Channel模式流量模型
2. 從服務(wù)器內(nèi)部分析虛擬化流量的可視性
除了從網(wǎng)絡(luò)側(cè)進(jìn)行流量的可視性感知,還可以以一定的手段從虛擬機(jī)內(nèi)部進(jìn)行進(jìn)行流量分析。比如,利用vSwitch端口的混雜模式特性,當(dāng)vSwitch的相應(yīng)端口配置為混雜模式時(shí),與該端口連接的探測(cè)服務(wù)器就能鏡像觀測(cè)到該vSwitch上的所有流量。當(dāng)然,探測(cè)服務(wù)器就必須作為一個(gè)VM才能連接到vSwitch上。
如圖13所示,流量采集器(探針)可以作為一個(gè)VM部署到需要監(jiān)控的物理服務(wù)器上,并將采集的流量數(shù)據(jù)輸出到外部的流量分析軟件進(jìn)行分析。該方式要求探針部署到服務(wù)器內(nèi)部,而不是重要網(wǎng)絡(luò)節(jié)點(diǎn)附近。相當(dāng)于降低了探針的部署位置,部署的數(shù)量可能會(huì)比較多。
圖13 基于vSwitch端口混雜模式的流量采集
[page]
四、 虛擬趨勢(shì)下的自動(dòng)化配置遷移
1. 基于VMware vCenter的配置遷移方案
圖14 基于VMware的虛擬網(wǎng)絡(luò)配置遷移原理
如圖14所示,該方案的關(guān)鍵在于網(wǎng)管系統(tǒng)的虛擬化環(huán)境的拓?fù)淇梢暬芰?,定位出VM連接到的物理網(wǎng)絡(luò)交換機(jī)的接入位置以下發(fā)VM對(duì)應(yīng)的網(wǎng)絡(luò)配置。如圖17所示,一個(gè)VM可能有一個(gè)或多個(gè)vNic,通過一個(gè)或多過vSwitch連接到外部物理交換機(jī)。如果要準(zhǔn)確定位VM連接的物理網(wǎng)絡(luò)交換機(jī)的接入位置,vSwitch和pSwitch都需要支持必要的二層拓?fù)鋮f(xié)議,比如LLDP協(xié)議。以VMware產(chǎn)品為例,其最新版本(vSphere5.0)已經(jīng)開始支持LLDP協(xié)議,但僅在vDS(虛擬網(wǎng)絡(luò)分布式交換機(jī))上支持LLDP,普通的vSwitch并不支持,虛擬服務(wù)器接入位置定位的準(zhǔn)確性很難保證。
圖15 VM的物理網(wǎng)絡(luò)接入位置定位
除此之外,本方案還存在一個(gè)控制精細(xì)度問題。在VEB vSwtich模式下,多個(gè)VM可以通過一個(gè)物理接口連接到鄰接物理交換機(jī),即VM和物理接口是N:1的關(guān)系。如圖16所示。
圖16 VEB、Multi-Channel物理端口映射對(duì)比
在此模式下,對(duì)物理交換機(jī)的配置控制粒度只能到物理接口級(jí),針對(duì)數(shù)據(jù)中心“隨需而動(dòng)”的配置自動(dòng)化遷移,通常情況下會(huì)出現(xiàn)多個(gè)VM的配置都重復(fù)下發(fā)到一個(gè)物理接口上,很難做到針對(duì)每一個(gè)VM的精細(xì)化網(wǎng)絡(luò)配置管理。
2. 基于802.1Qbg的配置遷移方案
擬定義的802.1Qbg標(biāo)準(zhǔn)(目前是draft1.6版本)在解決這些問題上提出了新的思路。
802.1Qbg標(biāo)準(zhǔn)首先解決了精細(xì)化控制最優(yōu)的解決方法,即在鄰接物理交換機(jī)出現(xiàn)了vPort的概念。這類邏輯虛接口可以實(shí)現(xiàn)和VM對(duì)應(yīng)的vNic/VSI的1:1對(duì)應(yīng)關(guān)系。VM遷移時(shí),只需在對(duì)應(yīng)的鄰接物理交換機(jī)上動(dòng)態(tài)創(chuàng)建一個(gè)vPort,并將VM對(duì)應(yīng)的網(wǎng)絡(luò)配置Profile綁定到vPort上。不會(huì)對(duì)其他vPort產(chǎn)生影響。同時(shí)遷移前對(duì)應(yīng)的鄰接物理交換機(jī)只需要簡單的將對(duì)應(yīng)的vPort邏輯接口刪除即可,不存在反向去部署的復(fù)雜性問題。
其次,802.1Qbg的VDP特性解決了VM接入定位準(zhǔn)確性的問題,即通過VDP通告,鄰接物理交換機(jī)學(xué)習(xí)到連接接入的VM信息和對(duì)應(yīng)的網(wǎng)絡(luò)連接配置信息,并主動(dòng)向網(wǎng)管系統(tǒng)請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)連接配置profile,減少了網(wǎng)管系統(tǒng)進(jìn)行VM接入位置定位的步驟。
該方案過程如圖17所示。
圖17 支持VDP的虛擬網(wǎng)絡(luò)配置遷移
整體來看,引入802.1Qbg VDP后,不依賴網(wǎng)管系統(tǒng)對(duì)VM接入物理網(wǎng)絡(luò)的定位能力,提高了網(wǎng)絡(luò)配置遷移的準(zhǔn)確性和實(shí)時(shí)性。同時(shí),服務(wù)器系統(tǒng)管理員和網(wǎng)絡(luò)管理員職責(zé)劃分也將更加明確。對(duì)系統(tǒng)管理員來講,只需要關(guān)注網(wǎng)絡(luò)提供的虛擬服務(wù)器到鄰接交換機(jī)的鏈接;而對(duì)網(wǎng)絡(luò)管理員而言,則只需要關(guān)注針對(duì)不同的應(yīng)用系統(tǒng)(或VSI類型)應(yīng)提供什么樣的網(wǎng)絡(luò)接入配置。這樣在IaaS中,網(wǎng)絡(luò)和服務(wù)器之間就產(chǎn)生了一種服務(wù)概念的抽象――鏈接即服務(wù)(CaaS,Connection as a service)。
五、 結(jié)束語
虛擬化服務(wù)器、網(wǎng)絡(luò)的融合管理已經(jīng)成為當(dāng)前企業(yè)IT、數(shù)據(jù)中心建設(shè)IaaS能力的必要元素,各廠商都在相關(guān)領(lǐng)域進(jìn)行嘗試,也出現(xiàn)了不同的虛擬化軟件廠商和網(wǎng)絡(luò)廠商的聯(lián)盟,不同的實(shí)現(xiàn)方案。另一方面,標(biāo)準(zhǔn)化工作和管理技術(shù)的研究也在快速進(jìn)行,在虛擬化管理領(lǐng)域我們?nèi)孕杈o跟虛擬化技術(shù)的發(fā)展,才能更好地提供可視、可控的虛擬網(wǎng)絡(luò)管理能力。