服务器虚拟化技术将CPU、内存、磁盘、I/O等硬件变成可动态管理的“资源池”,从而提高资源利用率,使IT更能响应业务变化。适应性强。IT系统由网络服务器存储等诸多因素组成,局部创新不会带来IT系统的整体升级,所以存储也需要虚拟化,网络也需要创新来满足整体性能升级IT系统。1、服务器虚拟化带来的问题大二层技术的部署问题将多台服务器虚拟成一个资源池,需要所有服务器都在同一个二层域,所以各种如FabricPatch、Trill、SPB这样的大规模二层技术应运而生,但是这些大规模的二层技术都要求所有设备都支持这个特性,而且在部署上有各种限制,所以这些技术还没有大规模应用,必须要有是解决大二层部署问题的创新技术。管理边界问题在服务器虚拟化之前,计算和网络边界清晰,管理分工明确。服务器的所有网络策略都可以部署在接入交换机上。但是,在引入服务器虚拟化之后,虚拟机与物理网络设备之间的关系增加了一个虚拟机开关。同一个vSwitch上虚拟机之间的流量监控和虚拟机的访问控制都需要在vSwitch上完成。但是vswitch一般由主机管理人员维护。由于技术原因,主机人员经常无法配置网络策略,网络管理员无权访问vswitch,这使得vswitch成为管理盲点,vswitch的规模非常大,进一步增加IT运维风险。解决vSwitch管理问题需要一项新技术。虚拟机迁移策略带来的问题在服务器虚拟化之前,一台物理服务器对应交换机的一个物理端口和一个固定的IP地址。当部署一个应用系统时,整个架构是固定的;服务器虚拟化后,虚拟机的一大好处就是增加了业务部署的灵活性,提高了业务的可靠性。因此,虚拟机在网络中不断迁移。这就要求在虚拟机迁移到新的服务器时,也要遵循相应的网络安全策略迁移到新的网络设备时,目前的大二层技术只是解决了二层互联的问题,并没有具有与虚拟机联动的功能,因此无法遵循虚拟机策略,需要网络运维人员手动完成配置迁移,需要大量的管理工作。同时,由于是人工操作,误操作风险高。配置迁移会增加整个IT系统的运行风险。因此,需要一种新的方案来解决虚拟机迁移策略跟进的问题。多租户安全隔离公有云的核心是通过虚拟化技术实现资源池化,再通过安全隔离技术实现资源再分配,将细分的资源出租给不同的用户。现有二层安全隔离域VLAN只有4K空间,远远不够公有云多租户建设。解决多租户问题需要一种新的大二层隔离域技术。安全隔离问题。上述问题可以通过以下方法解决。通过设备虚拟化技术简化物理网络架构,提高物理网络的可靠性,降低运维难度;通过Overlay虚拟连接技术简化虚拟机连接,实现虚拟机与物理网络之间的解决方案。耦合;通过VCF(VirtualConvergedFramework)架构,实现网络的集中控制和管理,从而实现虚拟机与虚拟网络的联动;而该架构采用的VXLAN协议支持1600万个二层隔离域,也能满足公有云建设中的多租户隔离问题。2.网络设备虚拟化设备虚拟化技术主要有多虚拟化一技术水平虚拟化IRF2、垂直虚拟化IRF3、一虚拟化多技术MDC。mIRF2主要是将同型号的多台设备虚拟成一台设备,具有统一的控制平面和统一的管理入口。是目前大多数数据中心采用的设备虚拟化技术。mMDC将IRF2虚拟出的设备虚拟成多个MDC。每个MDC都有自己独立的控制平面和独立的硬件系统。不同的MDC是物理隔离的。对于外界来说,一个MDC是一个物理交换机,因此可以将冗余端口划分为新的MDC,以提高设备利用率。mIRF3实现了不同类型设备的虚拟化,支持系统在垂直维度的异构扩展,即在形成逻辑虚拟设备的基础上,在主设备系统中增加一台盒式设备作为远程接口板以达到扩展I/O口能力和进行集中控制和管理的目的。通过IRF2和IRF3技术,将各区域的汇聚交换机和接入交换机完全虚拟化,实现扁平化架构(如图1所示),从而有效简化网络,提高网络可靠性。网络的扁平化架构还可以减少网管设备的数量,使数据中心网络布线更加方便,大二层网络更适合虚拟机的部署和迁移。同时,数据转发面的虚拟化有利于网络的自动化编排。图1全虚拟化架构三、网络连接虚拟化1.Overlay技术概述在网络技术领域,Overlay是指在网络架构上叠加的一种虚拟化技术模型。其总体架构是不对基础网络进行大规模修改,在一定条件下,应用可以承载在网络上,可以与其他网络服务分离,以IP为基础的基础网络技术是主要技术。OverlayOverlay技术是在现有的物理网络之上构建一个虚拟网络,上层应用只与虚拟网络相关。Overlay网络主要由边缘设备、控制平面和转发平面三部分组成(如图2所示)。边缘设备是指直接连接到虚拟机的设备。控制平面主要负责虚拟隧道的建立和维护以及主机可达性信息的通告。转发平面是承载Overlay报文的物理网络。图2Overlay架构图目前主流的Overlay技术主要有VXLAN、NVGRE、STT。这三种layer-2overlay技术的总体思路是将以太网数据包承载到某个隧道层。区别在于隧道的选择和施工。不同的是,底层是IP转发。表1显示了这三种技术的关键特性的比较。其中,VXLAN利用现有的通用UDP传输,已经非常成熟。总体比较,VLXAN技术具有相对优势。表1三种IETFOverlay技术的总体比较2.VXLAN报文转发Overlay本质上是一种L2OverIP隧道技术。在服务器的vSwitch和物理网络上已经做好了技术框架,从目前的技术选型来看,虽然有多个隧道同时实现,但是以L2overUDP方式实现的VXLAN技术具有很大的优势,已经实现在ESXi、OpenvSwitch,以及当前网络的主流芯片,并且已经成为主流的Overlay技术选择。网络参考VXLAN相关的技术构成描述,其他NVGRE、STT等类似。如图3所示,VXLAN网络设备主要有三个角色,分别是VTEP(VXLANTunnelEndPoint)、VXLANGW(VXLANGateway)和VXLANIPGW(VXLANIPGateway),都是物理网络的边缘设备.这些边缘设备构成了VXLANOverlay网络。对于应用系统,只与这三种设备有关,与底层物理网络无关。VTEP是与EndSystem直连的设备,负责VXLAN对原始以太网报文的封装和解封装,可以是虚拟交换机,也可以是物理交换机。VXLANGW除了承担VTEP功能外,还负责VLAN报文与VXLAN报文的映射转发,主要使用物理交换机。VXLANIPGW具有VXLANGW的所有功能。此外,它还负责处理不同VXLAN之间的消息通信。也是数据中心内部服务发布服务的出口,主要基于高性能的物理交换机。#p#图3VXLAN网络构成同一个VXLANVM之间的互访过程(如图4所示):单播报文在VTEP处查找目的MAC地址,确定对应的VTEP主机IP地址。根据目的和源VTEP主机IP地址封装VXLAN包头发送到IP核心网IP核内部根据路由将UDP包转发到目的VTEP图4VXLAN包转发不同VXLANVM间互访必须通过VXLANIPGW完成,并在VXLANIPGW上通过VXLANMapping表项进行转发。报文封装方式与同一VXLAN内的VM相同;VXLANVM和VLANVM之间的互访是通过VXLANGW完成的。VXLAN报文首先采用VXLAN内部转发方式进行封装。目标IP是VXLANGW。VXLANGW解封装VXLAN报文后匹配二层转发表项。对于转发来说,VLAN到VXLAN的接入过程正好相反。3.Overlay组网方案Overlay网络架构从纯二层实现上可以分为网络覆盖、主机覆盖和混合覆盖两种部署方式。Overlay网络与外网的数据连接也有多种实现方式,对网络关键部件的技术要求也不尽相同。NetworkOverlaySolution图5NetworkOverlayNetworkOverlay解决方案如图5所示,所有物理接入交换机都支持VXLAN,物理服务器支持SR-IOV功能,让虚拟机通过SR-IOV技术直接连接到物理交换机,虚拟机machine流量在接入交换机上被VXLAN报文封装卸载。对于非虚拟化服务器,直接连接支持VXLAN的接入交换机,服务器流量在接入交换机上通过VXLAN报文进行封装卸载;VLAN网络通信,采用物理交换机作为VXLANGW,实现VXLAN网络主机与VLAN网络主机之间的通信;采用高端交换机作为VXLANIPGW,实现VXLAN网络、WAN和Internet的互联互通。HostOverlaySolution图6HostOverlay在HostOverlay方案中(如图6所示),VTEP、VXLANGW、VXLANIPGW均由安装在服务器上的软件实现,vSwitch实现VTEP功能完成封装VXLAN数据包的解封装。封装;vFW等实现VXLANGW功能,实现VXLAN网络、VLAN网络、物理服务器的互通;vRouter作为VXLANIPGW,实现VXLAN网络与Internet、WAN的互联互通。在这种组网中,由于所有VXLAN报文的封装和卸载都是通过软件实现的,所以会占用一些服务器资源。当访问量很大时,vRouter会成为系统瓶颈。HybridOverlay组网方案图7HybridOverlay在以上两种组网方案中,网络覆盖方案都是连接虚拟机,需要一些特殊的要求或技术来实现虚拟机和VTEP的连接。组网不够灵活,但hostoverlay方案与传统网络互通时,连接也比较复杂,通过软件实现VXLANIPGW也会成为整个网络的瓶颈,所以理想的组网方案应该是hybridOverlay是结合了网络Overlay和主机Overlay解决方案优点的方案。如图7所示,它通过vSwitch实现虚拟机的VTEP,通过物理交换机实现物理服务器的VTEP,通过物理交换机实现VXALNGW和VXLANIPGW;混合Overlay组网方案对虚拟机和物理服务器都有好处同时,通过专业的硬件交换机实现VXLANIPGW承载超大规模的流量转发,是目前应用广泛的组网方案。4.网络计算融合虚拟化通过Overlay技术实现网络虚拟化后,应用与物理网络解耦,但网络与计算仍然相互独立,目前的网络架构无法实现网络与虚拟的联动因此,需要一种新的IT架构来实现应用与网络的联动,引入了一种新的IT架构——VCF(VirtualConvergedFramework)。在构建Overlay控制平面时,主要有两种实现方式,一种是自学习方式(multicast、ISIS、BGP),另一种是集中控制方式(Controller)。集中控制模式可以通过Controller轻松实现应用与网络的联动,而自学习模式本身无法实现网络与应用的联动,需要借助Controller实现网络与应用的联动。VCF架构通过集中控制实现网络与应用的联动,兼容Overlay的自学习模式,从而实现网络与计算的融合与虚拟化。
