全融合網(wǎng)絡(luò)虛擬化技術(shù)

責(zé)任編輯:editor007

2015-10-10 21:51:53

摘自:H3C官網(wǎng)

服務(wù)器虛擬化技術(shù) 使CPU、內(nèi)存、磁盤(pán)、I O等硬件變成可以動(dòng)態(tài)管理的“資源池”,從而提高資源的利用率,讓IT對(duì)業(yè)務(wù)的變化更具適應(yīng)力。VTEP是直接與EndSystem連接的設(shè)備,負(fù)責(zé)原始以太報(bào)文的VXLAN封裝和解封裝,形態(tài)可以是虛擬交換機(jī),也可以是物理交換機(jī)。

服務(wù)器虛擬化技術(shù) 使CPU、內(nèi)存、磁盤(pán)、I/O等硬件變成可以動(dòng)態(tài)管理的“資源池”,從而提高資源的利用率,讓IT對(duì)業(yè)務(wù)的變化更具適應(yīng)力。 IT系統(tǒng)是由網(wǎng)絡(luò)服務(wù)器存儲(chǔ)等諸多因素組成的,局部的創(chuàng)新并不會(huì)帶來(lái)IT系統(tǒng)的整體升級(jí),于是存儲(chǔ)也需要虛擬化,而網(wǎng)絡(luò)也需要革新來(lái)滿足IT系統(tǒng)整體性能升級(jí)。

一、 服務(wù)器虛擬化帶來(lái)的問(wèn)題

大二層技術(shù)的部署問(wèn)題

將多臺(tái)服務(wù)器虛擬化為一個(gè)資源池需要所有的服務(wù)器都處在同一個(gè)二層域,因此像FabricPatch、Trill、SPB等各種各樣的大二層技術(shù)應(yīng)運(yùn)而生,但是所有的這些大二層技術(shù),都要求所有的設(shè)備均支持該特性,在部署時(shí)又存在各種各樣的限制,所以這些技術(shù)并沒(méi)有大規(guī)模的應(yīng)用,必須要有一種革新的技術(shù)來(lái)解決大二層部署的問(wèn)題。

管理邊界問(wèn)題

服務(wù)器虛擬化前,計(jì)算與網(wǎng)絡(luò)邊界分明,管理分工明確,所有針對(duì)服務(wù)器的網(wǎng)絡(luò)策略在接入交換機(jī)上部署即可,但是,在引入服務(wù)器虛擬化后,虛擬機(jī)與物理網(wǎng)絡(luò)設(shè)備之間增加了一臺(tái)虛擬機(jī)交換機(jī),同一臺(tái)vSwitch之上的虛擬機(jī)間流量監(jiān)控、虛擬機(jī)的訪問(wèn)控制均需要在vSwitch完成,但是vswitch一般是由主機(jī)管理人員進(jìn)行維護(hù),而由于技術(shù)原因,主機(jī)人員往往不會(huì)配置網(wǎng)絡(luò)策略,網(wǎng)絡(luò)管理員又沒(méi)有訪問(wèn)vswitch的權(quán)限,這樣就導(dǎo)致了vswitch成為管理盲區(qū),而vswitch規(guī)模又非常巨大,從而使IT運(yùn)維進(jìn)一步風(fēng)險(xiǎn)增大,必須要有一種新的技術(shù)來(lái)解決vSwitch管理問(wèn)題。

虛擬機(jī)遷移策略跟隨的問(wèn)題

在服務(wù)器虛擬化前,一臺(tái)物理服務(wù)器對(duì)應(yīng)交換機(jī)一個(gè)物理端口,固定的IP地址,當(dāng)一個(gè)應(yīng)用系統(tǒng)部署完成后,整個(gè)架構(gòu)就已經(jīng)固定;當(dāng)服務(wù)器虛擬化后,部署虛擬機(jī)的一大好處就是增加業(yè)務(wù)部署的靈活性,提升業(yè)務(wù)的可靠性,所以虛擬機(jī)會(huì)在網(wǎng)絡(luò)中不斷的遷移,這就要求當(dāng)虛擬機(jī)遷移到新的服務(wù)器上后,相應(yīng)的網(wǎng)絡(luò)安全策略也隨之遷移到新的網(wǎng)絡(luò)設(shè)備上,當(dāng)前的大二層技術(shù),都只解決二層互聯(lián)問(wèn)題,并沒(méi)有與虛擬機(jī)聯(lián)動(dòng)的功能,因此無(wú)法做到虛擬機(jī)策略的跟隨,需要網(wǎng)絡(luò)運(yùn)維人員手動(dòng)完成配置的遷移,管理工作量巨大,同時(shí)由于是人工操作,誤操作風(fēng)險(xiǎn)大,配置的遷移會(huì)增加整個(gè)IT系統(tǒng)的運(yùn)營(yíng)風(fēng)險(xiǎn),所以需要新的方案來(lái)解決虛擬機(jī)遷移策略跟隨問(wèn)題。

多租戶安全隔離的問(wèn)題

公有云的核心就是通過(guò)虛擬化技術(shù)實(shí)現(xiàn)資源池化,然后再通過(guò)安全隔離技術(shù)實(shí)現(xiàn)資源的再分配,把細(xì)分出來(lái)的資源租用給不同的用戶?,F(xiàn)有的二層安全隔離域VLAN最大只有4K的空間,這對(duì)于公有云多租戶建設(shè)的需求來(lái)說(shuō)是遠(yuǎn)遠(yuǎn)不夠的,需要有一種新的大二層隔離域技術(shù)來(lái)解決多租戶的安全隔離問(wèn)題。

上述問(wèn)題可以通過(guò)以下的方法來(lái)解決,通過(guò)設(shè)備虛擬化技術(shù)簡(jiǎn)化物理網(wǎng)絡(luò)架構(gòu),提高物理網(wǎng)絡(luò)可靠性,降低運(yùn)維難度;通過(guò)Overlay虛擬連接技術(shù)簡(jiǎn)化虛擬機(jī)機(jī)連接,實(shí)現(xiàn)虛擬機(jī)與物理網(wǎng)絡(luò)的解耦;再通過(guò)VCF(Virtual Converged Framework)架構(gòu),實(shí)現(xiàn)網(wǎng)絡(luò)的集中控制和管理,從而實(shí)現(xiàn)虛擬機(jī)與虛擬網(wǎng)絡(luò)的聯(lián)動(dòng);而該架構(gòu)所采用的VXLAN協(xié)議支持一千六百萬(wàn)個(gè)二層隔離域,也能夠滿足公有云建設(shè)中的多租戶隔離問(wèn)題。

二、 網(wǎng)絡(luò)設(shè)備虛擬化

設(shè)備虛擬化技術(shù)主要包括多虛一技術(shù)橫向虛擬化IRF2、縱向虛擬化IRF3,一虛多技術(shù)MDC。

m IRF2主要是把相同型號(hào)的多臺(tái)設(shè)備虛擬化為一臺(tái)設(shè)備,具有統(tǒng)一的控制平面,統(tǒng)一的管理入口,是目前絕大多數(shù)數(shù)據(jù)中心所采用的設(shè)備虛擬化技術(shù)。

m MDC把經(jīng)過(guò)IRF2虛擬化后的設(shè)備再虛擬化為多個(gè)MDC,每個(gè)MDC具有自己獨(dú)立的控制平面、獨(dú)立的硬件系統(tǒng),不同的MDC之間是物理隔離的,對(duì)外界來(lái)說(shuō),一個(gè)MDC就是一臺(tái)物理交換機(jī),因此能夠把多余的端口劃分到新的MDC里,提升設(shè)備利用率。

m IRF3實(shí)現(xiàn)不同型號(hào)設(shè)備的虛擬化,縱向維度上支持對(duì)系統(tǒng)進(jìn)行異構(gòu)擴(kuò)展,即在形成一臺(tái)邏輯虛擬設(shè)備的基礎(chǔ)上,把一臺(tái)盒式設(shè)備作為一塊遠(yuǎn)程接口板加入主設(shè)備系統(tǒng),以達(dá)到擴(kuò)展I/O端口能力和進(jìn)行集中控制管理的目的。

通過(guò)IRF2和IRF3技術(shù),把各區(qū)域匯聚交換機(jī)與接入交換機(jī)進(jìn)行全面的虛擬化,實(shí)現(xiàn)扁平化的架構(gòu)(如圖1所示),從而有效簡(jiǎn)化網(wǎng)絡(luò),提高網(wǎng)絡(luò)可靠性。網(wǎng)絡(luò)的扁平化架構(gòu)還可以減少網(wǎng)絡(luò)管理設(shè)備數(shù)量,使數(shù)據(jù)中心網(wǎng)絡(luò)布線更加方便,大二層網(wǎng)絡(luò)也更加適合虛擬機(jī)的部署和遷移,同時(shí)數(shù)據(jù)轉(zhuǎn)發(fā)平面的虛擬化,方便網(wǎng)絡(luò)自動(dòng)化編排。

圖 1 全虛擬化架構(gòu)

圖 1 全虛擬化架構(gòu)

三、 網(wǎng)絡(luò)連接虛擬化

1. Overlay技術(shù)概述

Overlay在網(wǎng)絡(luò)技術(shù)領(lǐng)域,指的是一種網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)模式,其大體框架是對(duì)基礎(chǔ)網(wǎng)絡(luò)不進(jìn)行大規(guī)模修改的條件下,實(shí)現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載,并能與其它網(wǎng)絡(luò)業(yè)務(wù)分離,并且以基于IP的基礎(chǔ)網(wǎng)絡(luò)技術(shù)為主。OverlayOverlay技術(shù)是在現(xiàn)有的物理網(wǎng)絡(luò)之上構(gòu)建一個(gè)虛擬網(wǎng)絡(luò),上層應(yīng)用只與虛擬網(wǎng)絡(luò)相關(guān)。一個(gè)Overlay網(wǎng)絡(luò)主要由三部分組成:邊緣設(shè)備、控制平面和轉(zhuǎn)發(fā)平面(如圖2所示)。邊緣設(shè)備是指與虛擬機(jī)直接相連的設(shè)備,控制平面主要負(fù)責(zé)虛擬隧道的建立維護(hù)以及主機(jī)可達(dá)性信息的通告,轉(zhuǎn)發(fā)平面是承載Overlay報(bào)文的物理網(wǎng)絡(luò)。

圖 2 Overlay架構(gòu)圖

圖 2 Overlay架構(gòu)圖

當(dāng)前主流的Overlay技術(shù)主要有VXLAN,NVGRE和STT,這三種二層Overlay技術(shù),大體思路均是將以太網(wǎng)報(bào)文承載到某種隧道層面,差異性在于選擇和構(gòu)造隧道的不同,而底層均是IP轉(zhuǎn)發(fā)。如表1所示為這三種技術(shù)關(guān)鍵特性的比較。其中VXLAN利用了現(xiàn)有通用的UDP傳輸,成熟性極高??傮w比較,VLXAN技術(shù)相對(duì)具有優(yōu)勢(shì)。

表1 IETF三種Overlay技術(shù)的總體比較

表1 IETF三種Overlay技術(shù)的總體比較

2. VXLAN報(bào)文轉(zhuǎn)發(fā)

Overlay的本質(zhì)是L2 Over IP的隧道技術(shù),在服務(wù)器的vSwitch、物理網(wǎng)絡(luò)上技術(shù)框架已經(jīng)就緒,并且從當(dāng)前的技術(shù)選擇來(lái)看,雖然有多種隧道同時(shí)實(shí)現(xiàn),但是以L2 over UDP模式實(shí)現(xiàn)的VXLAN技術(shù)具備較大優(yōu)勢(shì),并且在ESXi和Open vSwitch、當(dāng)前網(wǎng)絡(luò)的主流芯片已經(jīng)實(shí)現(xiàn),已經(jīng)成為主流的Overlay技術(shù)選擇,因此后文的Overlay網(wǎng)絡(luò)均參考VXLAN相關(guān)的技術(shù)組成描述,其它NVGRE、STT等均類(lèi)似。

如圖3所示,VXLAN網(wǎng)絡(luò)設(shè)備主要有三種角色,分別是VTEP(VXLAN Tunnel End Point),VXLAN GW(VXLAN Gateway),VXLAN IP GW(VXLAN IP Gateway),均是物理網(wǎng)絡(luò)的邊緣設(shè)備,而有三種邊緣設(shè)備構(gòu)成了VXLAN Overlay網(wǎng)絡(luò),對(duì)于應(yīng)用系統(tǒng)來(lái)說(shuō),只與這三種設(shè)備相關(guān),而與底層物理網(wǎng)絡(luò)無(wú)關(guān)。

VTEP是直接與EndSystem連接的設(shè)備,負(fù)責(zé)原始以太報(bào)文的VXLAN封裝和解封裝,形態(tài)可以是虛擬交換機(jī),也可以是物理交換機(jī)。

VXLAN GW除了具備VTEP的功能外,還負(fù)責(zé)VLAN報(bào)文與VXLAN報(bào)文之間的映射和轉(zhuǎn)發(fā),主要以物理交換機(jī)為主。

VXLAN IP GW具有VXLAN GW的所有功能,此外,還負(fù)責(zé)處理不同VXLAN之間的報(bào)文通信,同時(shí)也是數(shù)據(jù)中心內(nèi)部服務(wù)向往發(fā)布業(yè)務(wù)的出口,主要以高性能物理交換機(jī)為主。

[page]

圖3 VXLAN網(wǎng)絡(luò)組成

圖3 VXLAN網(wǎng)絡(luò)組成

相同VXLAN VM之間互訪流程(如圖4所示):?jiǎn)尾?bào)文在VTEP處查找目的MAC地址,確定對(duì)應(yīng)的VTEP主機(jī)IP地址。

根據(jù)目的和源VTEP主機(jī)IP地址封裝VXLAN報(bào)文頭后發(fā)送給IP核心網(wǎng)

IP核心內(nèi)部根據(jù)路由轉(zhuǎn)發(fā)該UDP報(bào)文給目的VTEP

目的VTEP解封裝VXLAN報(bào)文頭后按照目的MAC轉(zhuǎn)發(fā)報(bào)文給目的VM

圖4 VXLAN報(bào)文轉(zhuǎn)發(fā)

圖4 VXLAN報(bào)文轉(zhuǎn)發(fā)

不同VXLAN VM之間需要互訪,必須經(jīng)過(guò)VXLAN IP GW完成,在VXLAN IP GW上皮陪VXLAN Maping表項(xiàng)進(jìn)行轉(zhuǎn)發(fā),報(bào)文封裝模式同同一VXLAN內(nèi)VM一致;

VXLAN VM與VLAN VM之間互訪,通過(guò)VXLAN GW來(lái)完成,VXLAN報(bào)文先通過(guò)VXLAN內(nèi)部轉(zhuǎn)發(fā)模式對(duì)報(bào)文進(jìn)行封裝,目的IP為VXLAN GW,在VXLAN GW把VXLAN報(bào)文解封裝后,匹配二層轉(zhuǎn)發(fā)表項(xiàng)進(jìn)行轉(zhuǎn)發(fā),VLAN到VXLAN的訪問(wèn)流程正好相反。

3. Overlay組網(wǎng)方案

Overlay網(wǎng)絡(luò)架構(gòu)就純大二層的實(shí)現(xiàn)來(lái)說(shuō),可分為網(wǎng)絡(luò)Overlay、主機(jī)Overlay以及兩種方式同時(shí)部署的混合Overlay。 Overlay網(wǎng)絡(luò)與外部網(wǎng)絡(luò)數(shù)據(jù)連通也有多種實(shí)現(xiàn)模式,并且對(duì)于關(guān)鍵網(wǎng)絡(luò)部件有不同的技術(shù)要求。

網(wǎng)絡(luò)Overlay方案

圖5 網(wǎng)絡(luò)Overlay

圖5 網(wǎng)絡(luò)Overlay

網(wǎng)絡(luò)Overlay方案如圖5所示,所有的物理接入交換機(jī)支持VXLAN,物理服務(wù)器支持SR-IOV功能,使虛擬機(jī)通過(guò)SR-IOV技術(shù)直接與物理交換機(jī)相連,虛擬機(jī)的流量在接入交換機(jī)上進(jìn)行VXLAN報(bào)文的封裝和卸載,對(duì)于非虛擬化服務(wù)器,直接連接支持VXLAN的接入交換機(jī),服務(wù)器流量在接入交換機(jī)上進(jìn)行VXLAN報(bào)文封裝和卸載;當(dāng)VXLAN網(wǎng)絡(luò)需要與VLAN網(wǎng)絡(luò)通信時(shí),采用物理交換機(jī)做VXLAN GW,實(shí)現(xiàn)VXLAN網(wǎng)絡(luò)主機(jī)與VLAN網(wǎng)絡(luò)主機(jī)的通信;采用高端交換機(jī)做VXLAN IP GW,實(shí)現(xiàn)VXLAN網(wǎng)絡(luò)與WAN以及Internet的互連。

主機(jī)Overlay方案

圖6 主機(jī)Overlay

圖6 主機(jī)Overlay

在主機(jī)Overlay方案中(如圖6所示),VTEP、VXLAN GW、VXLAN IP GW均通過(guò)安裝在服務(wù)器上的軟件實(shí)現(xiàn),vSwitch實(shí)現(xiàn)VTEP功能,完成VXLAN報(bào)文的封裝解封裝;vFW等實(shí)現(xiàn)VXLAN GW功能,實(shí)現(xiàn)VXLAN網(wǎng)絡(luò)與VLAN網(wǎng)絡(luò)、物理服務(wù)器的互通;vRouter作為VXLAN IP GW,實(shí)現(xiàn)VXLAN網(wǎng)絡(luò)與Internet和WAN的互聯(lián)。在本組網(wǎng)中,由于所有VXLAN報(bào)文的封裝卸載都通過(guò)軟件實(shí)現(xiàn),會(huì)占用部分服務(wù)器資源,當(dāng)訪問(wèn)量大時(shí),vRouter會(huì)成為系統(tǒng)瓶頸。

混合Overlay組網(wǎng)方案

圖7 混合Overlay

圖7 混合Overlay

上述兩種組網(wǎng)方案中,網(wǎng)絡(luò)Overlay方案與虛擬機(jī)相連,需要通過(guò)一些特殊的要求或技術(shù)實(shí)現(xiàn)虛擬機(jī)與VTEP的對(duì)接,組網(wǎng)不夠靈活,但是主機(jī)Overlay方案與傳統(tǒng)網(wǎng)絡(luò)互通時(shí),連接也比較復(fù)雜,且通過(guò)軟件實(shí)現(xiàn)VXLAN IP GW也會(huì)成為整個(gè)網(wǎng)絡(luò)的瓶頸,所以最理想的組網(wǎng)方案應(yīng)該是一個(gè)結(jié)合了網(wǎng)絡(luò)Overlay與主機(jī)Overlay兩種方案優(yōu)勢(shì)的混合Overlay方案。如圖7所示它通過(guò)vSwitch實(shí)現(xiàn)虛擬機(jī)的VTEP,通過(guò)物理交換機(jī)實(shí)現(xiàn)物理服務(wù)器的VTEP,通過(guò)物理交換機(jī)實(shí)現(xiàn)VXALN GW和VXLAN IP GW;混合式Overlay組網(wǎng)方案對(duì)虛擬機(jī)和物理服務(wù)器都能夠很好的兼容,同時(shí)通過(guò)專(zhuān)業(yè)的硬件交換機(jī)實(shí)現(xiàn)VXLAN IP GW從而承載超大規(guī)模的流量轉(zhuǎn)發(fā),是目前應(yīng)用比較廣泛的組網(wǎng)方案。

四、 網(wǎng)絡(luò)計(jì)算融合虛擬化

通過(guò)Overlay技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化后,實(shí)現(xiàn)了應(yīng)用與物理網(wǎng)絡(luò)的解耦,但是網(wǎng)絡(luò)與計(jì)算還是相互獨(dú)立的,當(dāng)前的網(wǎng)絡(luò)架構(gòu)還無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)與虛擬機(jī)的聯(lián)動(dòng),因此,必須要有一種新的IT架構(gòu)來(lái)實(shí)現(xiàn)應(yīng)用與網(wǎng)絡(luò)的聯(lián)動(dòng),對(duì)此推出了新的IT架構(gòu)—VCF(Virtual Converged Framework)。

在構(gòu)建Overlay控制平面時(shí),主要有兩種實(shí)現(xiàn)方式,一種是自學(xué)習(xí)模式(組播,ISIS,BGP),另外一種是集中控制方式(Controller),集中控制方式可以通過(guò)Controller很方便的實(shí)現(xiàn)應(yīng)用與網(wǎng)絡(luò)的聯(lián)動(dòng),而自學(xué)習(xí)模式本身無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)與應(yīng)用聯(lián)動(dòng),也需要借助Controller實(shí)現(xiàn)網(wǎng)絡(luò)與應(yīng)用聯(lián)動(dòng)。VCF架構(gòu)是通過(guò)集中控制的方式,實(shí)現(xiàn)網(wǎng)絡(luò)與應(yīng)用聯(lián)動(dòng),同時(shí)可以兼容Overlay的自學(xué)習(xí)模式,從而實(shí)現(xiàn)網(wǎng)絡(luò)與計(jì)算的融合虛擬化。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)