云计算是指可以更方便地使用计算、网络和存储资源,并且每个元素都可以根据用户业务灵活组合和配置,其中网络环境直接关系到云中的信息流如何构建一个可控、可靠、高效的网络环境是云计算在IaaS层面必须面对的挑战,而虚拟交换机作为连接虚拟网络和物理网络的桥梁的地位在IaaS系统已经不可动摇。SDN是数据通信行业的最新版本,大约每十年更换一次。它不同于以往ISO与TCP/IP之争,也不同于ATM与IP之争。颠覆性的,而是在现有网络的基础上,提供了面向应用的综合控制方式。虚拟交换机在这一轮转型中充当了排头兵。作为第一款Openflow交换机,Openvswitch已经在业界广为人知。并通过了。同时在两波浪潮中扮演着重要角色,虚拟交换机的地位不言而喻。它将可控的网络边缘扩展到服务器。除了在服务器端高效转发外,还可以无缝集成统一的控制策略和安全策略。从物理网络过渡到虚拟网络。1、虚拟交换机存在的问题及对策在虚拟化服务器中,如何更好地将虚拟机的流量连接到物理网络,经历了一系列的技术变革,包括VNTag(802.1Qbh)、VEPA(802.1Qbg)、Practices各不相同,但到目前为止,使用虚拟交换机作为服务器网络的基石已经基本成为共识,因为它更容易部署,对物理网络的要求更低,更容易扩展和控制。图1虚拟交换机运行环境如图1所示,虚拟交换机运行在虚拟服务器Hypervisor内部。VM之间的流量以及VM与物理网络之间的流量通过vSwitch进行转发,vSwitch的转发行为完全由SDNController控制。基于虚拟交换机的主机叠加方案更易于管理虚拟网络,进一步降低了对叠加物理承载网络的额外要求,使虚拟网络最大程度地摆脱了物理网络的限制。可以说,hostoverlay就是虚拟交换机的状态。加强。为交付高质量的虚拟交换机产品,需要在性能、开放性、安全性、多平台性和适应性等方面下功夫。什么是开放式虚拟交换机?提供开放的API控制接口,控制器与虚拟交换机之间的会话基于开放标准,承载网络的封装基于开放协议,如兼容Openstack网络组件的RESTAPI和Openflow控制协议、VxLAN/VLAN封装,这些关键技术是开放的标志,但不仅如此,它们还可以在开放技术的基础上进一步发展,交付丰富的特性,与开源云平台系统、第三方云平台系统和第三方在不失去上述开放性的情况下与SDN网络深度融合,可能是更有价值的开放性。这样的虚拟交换机带给客户的不仅仅是透明的技术解决方案,还有把握未来发展趋势的可能。如何提高虚拟交换机的转发性能?从石头里挤水比喻在执行层面进行优化。深入理解网络和SDN的内涵,可以帮助我们从局部优化的深井中爬出来,看看DVR技术和DFW技术如何促进虚拟机之间流量的高效安全转发,避免旁路网关。图2DVR原理示意图。如图2所示,红色VM属于同一租户的不同虚拟机,属于不同网段。根据某些系统的设计,跨主机VM通信必须通过L3Gateway进行转发,进行集中三层转发。DVR(DistributeVirtualRouting,分布式虚拟路由)技术是指在控制器的控制下,这些VM之间的流量不需要绕过L3Gateway,可以直接在服务器内部转发,也可以通过二层交换机进行转发。提高了绕过L3Gateway的性能,同租户内的虚拟机在逻辑上好像有一个逻辑上存在的路由器,这就是DVR所代表的意义。系统级的性能提升技术也是从根本上解决问题的手段之一,比如基于主流服务器硬件X86平台的性能提升技术IntelDPDK(DataPlaneDevelopmentKit),甚至是实验性的OVDK(Openvswitch的DPDK)版)项目也备受关注。业界的期待可见一斑。各厂商都在积极研究并逐步实现可靠可用的工业级数字通信产品。DPDK的技术思想不同于传统的数据平面。它试图通过无锁、中断干扰、高效利用内存、充分利用多核CPU并行等方式,摒弃现有系统的包袱,打造全新的数据平面运行环境。在这个新环境中,超高效转发成为可能。已知的行业数据显示,IntelCPU和网卡可以获得10Gbps甚至100Gbps的吞吐量性能。虽然DPDK在某些场景下仍然存在一定的局限性,但它必将成为未来提升基于软件转发的虚拟交换机性能的方向之一。安全方面,支持主流的VLAN和VxLAN网络虚拟化技术,实现租户内和租户间网络的底层隔离,支持多种安全策略,支持基于ACL的VPN过滤防火墙和分布式状态防火墙。这些技术将服务器网络的安全控制粒度和处理性能提升到一个新的高度。核心技术思想是就近源头控制和处理流量,真正将安全管理和处理延伸到服务器端。图3vSwitch嵌入式防火墙当VM2发起对VM1的访问时,controller根据访问策略感知访问是否被限制。如果策略允许转发,则向两台服务器下发正向和反向流表,保证双向流量畅通。与将VM之间的所有流量引入集中式防火墙统一处理相比,分布式防火墙在安全策略处理位置上更接近流量的源头或目的地,因此其优势不仅在于利用分布式vSwitch提高整体转发性能,也避免了集中式防火墙可能成为性能瓶颈和可能的单点故障。更重要的是,需要在第一时间将非法流量从网络中剔除,防止其对网络造成影响。这也是未来vSwitch业务能力多维度提升的现实基础,值得包括用户和厂商在内的生态各方发挥想象、充分研究和利用。如果说DFW在虚拟网络侧解决了安全性能和及时安全处理的问题,那么vSwitch结合丰富的服务链(ServiceChain),为整个云网络提供全面的安全和业务能力:图4vSwitch和服务链综合组网通过vLB、vFW等各类服务节点的布置组合,按照统一的控制策略,在流量转发路径上完成一系列预定的安全和业务处理,实现网络整体安全流量的方向包括虚拟机之间和从虚拟机到外部网络。虚拟交换机作为虚拟机流量的接入设备,首先需要对数据包进行识别,让经过服务链的节点了解所有需要处理的业务。在多虚拟化平台方面,虽然市售的种类很多,但主流无非是VMwarevSphere、H3CVCK(CAS)、KVM、XEN等一系列基于Linux的hypervisor。每个虚拟化平台都可以看到成熟的Virtualswitch产品,比如VMwarevSphere平台,既可以运行VMware自己的NSX,也可以运行Cisco的F1000V,而KVM和XEN都是开源的Openvswitch,控制和运行机制也不同。在兼容的情况下,往往难以统一用户的管理和运维方式,造成一定的麻烦。如何统一管理适用于多种虚拟化平台的虚拟交换机,也是未来云环境下网络发展的重要课题。在适应性方面,虚拟交换机的运行环境可以根据“轻”和“重”的控制方式分为两种。一种是高度智能可靠的SDN控制器控制下的“重”控制网络;它是一个“轻型”控制网络,仅通过云计算系统或第三方云系统中的VSM(VirtualSupervisorModule)响应少量关键事件,完成信息向虚拟交换机的传递。在“重”控制模式下,虚拟交换机侧重于对控制器的响应,而在“轻”控制模式下,则侧重于自身的功能和灵活性,以及??与第三方系统的集成程度。表面上看更“轻”,其实要求更“重”。这种适应性往往是衡量虚拟交换机是否具有弹性和可扩展性的重要指标。
