服务器虚拟化技术 使CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”,从而提高资源的利用率,让IT对业务的变化更具适应力。 IT系统是由网络服务器存储等诸多因素组成的,局部的创新并不会带来IT系统的整体升级,于是存储也需要虚拟化,而网络也需要革新来满足IT系统整体性能升级。
一、 服务器虚拟化带来的问题
大二层技术的部署问题
将多台服务器虚拟化为一个资源池需要所有的服务器都处在同一个二层域,因此像FabricPatch、Trill、SPB等各种各样的大二层技术应运而生,但是所有的这些大二层技术,都要求所有的设备均支持该特性,在部署时又存在各种各样的限制,所以这些技术并没有大规模的应用,必须要有一种革新的技术来解决大二层部署的问题。
管理边界问题
服务器虚拟化前,计算与网络边界分明,管理分工明确,所有针对服务器的网络策略在接入交换机上部署即可,但是,在引入服务器虚拟化后,虚拟机与物理网络设备之间增加了一台虚拟机交换机,同一台vSwitch之上的虚拟机间流量监控、虚拟机的访问控制均需要在vSwitch完成,但是vswitch一般是由主机管理人员进行维护,而由于技术原因,主机人员往往不会配置网络策略,网络管理员又没有访问vswitch的权限,这样就导致了vswitch成为管理盲区,而vswitch规模又非常巨大,从而使IT运维进一步风险增大,必须要有一种新的技术来解决vSwitch管理问题。
虚拟机迁移策略跟随的问题
在服务器虚拟化前,一台物理服务器对应交换机一个物理端口,固定的IP地址,当一个应用系统部署完成后,整个架构就已经固定;当服务器虚拟化后,部署虚拟机的一大好处就是增加业务部署的灵活性,提升业务的可靠性,所以虚拟机会在网络中不断的迁移,这就要求当虚拟机迁移到新的服务器上后,相应的网络安全策略也随之迁移到新的网络设备上,当前的大二层技术,都只解决二层互联问题,并没有与虚拟机联动的功能,因此无法做到虚拟机策略的跟随,需要网络运维人员手动完成配置的迁移,管理工作量巨大,同时由于是人工操作,误操作风险大,配置的迁移会增加整个IT系统的运营风险,所以需要新的方案来解决虚拟机迁移策略跟随问题。
多租户安全隔离的问题
公有云的核心就是通过虚拟化技术实现资源池化,然后再通过安全隔离技术实现资源的再分配,把细分出来的资源租用给不同的用户。现有的二层安全隔离域VLAN最大只有4K的空间,这对于公有云多租户建设的需求来说是远远不够的,需要有一种新的大二层隔离域技术来解决多租户的安全隔离问题。
上述问题可以通过以下的方法来解决,通过设备虚拟化技术简化物理网络架构,提高物理网络可靠性,降低运维难度;通过Overlay虚拟连接技术简化虚拟机机连接,实现虚拟机与物理网络的解耦;再通过VCF(Virtual Converged Framework)架构,实现网络的集中控制和管理,从而实现虚拟机与虚拟网络的联动;而该架构所采用的VXLAN协议支持一千六百万个二层隔离域,也能够满足公有云建设中的多租户隔离问题。
二、 网络设备虚拟化
设备虚拟化技术主要包括多虚一技术横向虚拟化IRF2、纵向虚拟化IRF3,一虚多技术MDC。
m IRF2主要是把相同型号的多台设备虚拟化为一台设备,具有统一的控制平面,统一的管理入口,是目前绝大多数数据中心所采用的设备虚拟化技术。
m MDC把经过IRF2虚拟化后的设备再虚拟化为多个MDC,每个MDC具有自己独立的控制平面、独立的硬件系统,不同的MDC之间是物理隔离的,对外界来说,一个MDC就是一台物理交换机,因此能够把多余的端口划分到新的MDC里,提升设备利用率。
m IRF3实现不同型号设备的虚拟化,纵向维度上支持对系统进行异构扩展,即在形成一台逻辑虚拟设备的基础上,把一台盒式设备作为一块远程接口板加入主设备系统,以达到扩展I/O端口能力和进行集中控制管理的目的。
通过IRF2和IRF3技术,把各区域汇聚交换机与接入交换机进行全面的虚拟化,实现扁平化的架构(如图1所示),从而有效简化网络,提高网络可靠性。网络的扁平化架构还可以减少网络管理设备数量,使数据中心网络布线更加方便,大二层网络也更加适合虚拟机的部署和迁移,同时数据转发平面的虚拟化,方便网络自动化编排。
图 1 全虚拟化架构
三、 网络连接虚拟化
1.Overlay技术概述
Overlay在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。OverlayOverlay技术是在现有的物理网络之上构建一个虚拟网络,上层应用只与虚拟网络相关。一个Overlay网络主要由三部分组成:边缘设备、控制平面和转发平面(如图2所示)。边缘设备是指与虚拟机直接相连的设备,控制平面主要负责虚拟隧道的建立维护以及主机可达性信息的通告,转发平面是承载Overlay报文的物理网络。
图 2 Overlay架构图
当前主流的Overlay技术主要有VXLAN,NVGRE和STT,这三种二层Overlay技术,大体思路均是将以太网报文承载到某种隧道层面,差异性在于选择和构造隧道的不同,而底层均是IP转发。如表1所示为这三种技术关键特性的比较。其中VXLAN利用了现有通用的UDP传输,成熟性极高。总体比较,VLXAN技术相对具有优势。
表1 IETF三种Overlay技术的总体比较
2.VXLAN报文转发
Overlay的本质是L2 Over IP的隧道技术,在服务器的vSwitch、物理网络上技术框架已经就绪,并且从当前的技术选择来看,虽然有多种隧道同时实现,但是以L2 over UDP模式实现的VXLAN技术具备较大优势,并且在ESXi和Open vSwitch、当前网络的主流芯片已经实现,已经成为主流的Overlay技术选择,因此后文的Overlay网络均参考VXLAN相关的技术组成描述,其它NVGRE、STT等均类似。
如图3所示,VXLAN网络设备主要有三种角色,分别是VTEP(VXLAN Tunnel End Point),VXLAN GW(VXLAN Gateway),VXLAN IP GW(VXLAN IP Gateway),均是物理网络的边缘设备,而有三种边缘设备构成了VXLAN Overlay网络,对于应用系统来说,只与这三种设备相关,而与底层物理网络无关。
VTEP是直接与EndSystem连接的设备,负责原始以太报文的VXLAN封装和解封装,形态可以是虚拟交换机,也可以是物理交换机。
VXLAN GW除了具备VTEP的功能外,还负责VLAN报文与VXLAN报文之间的映射和转发,主要以物理交换机为主。
VXLAN IP GW具有VXLAN GW的所有功能,此外,还负责处理不同VXLAN之间的报文通信,同时也是数据中心内部服务向往发布业务的出口,主要以高性能物理交换机为主。
图3 VXLAN网络组成
相同VXLAN VM之间互访流程(如图4所示):
- 单播报文在VTEP处查找目的MAC地址,确定对应的VTEP主机IP地址。
- 根据目的和源VTEP主机IP地址封装VXLAN报文头后发送给IP核心网
- IP核心内部根据路由转发该UDP报文给目的VTEP
- 目的VTEP解封装VXLAN报文头后按照目的MAC转发报文给目的VM
图4 VXLAN报文转发
不同VXLAN VM之间需要互访,必须经过VXLAN IP GW完成,在VXLAN IP GW上皮陪VXLAN Maping表项进行转发,报文封装模式同同一VXLAN内VM一致;
VXLAN VM与VLAN VM之间互访,通过VXLAN GW来完成,VXLAN报文先通过VXLAN内部转发模式对报文进行封装,目的IP为VXLAN GW,在VXLAN GW把VXLAN报文解封装后,匹配二层转发表项进行转发,VLAN到VXLAN的访问流程正好相反。
3.Overlay组网方案
Overlay网络架构就纯大二层的实现来说,可分为网络Overlay、主机Overlay以及两种方式同时部署的混合Overlay。 Overlay网络与外部网络数据连通也有多种实现模式,并且对于关键网络部件有不同的技术要求。
网络Overlay方案
图5 网络Overlay
网络Overlay方案如图5所示,所有的物理接入交换机支持VXLAN,物理服务器支持SR-IOV功能,使虚拟机通过SR-IOV技术直接与物理交换机相连,虚拟机的流量在接入交换机上进行VXLAN报文的封装和卸载,对于非虚拟化服务器,直接连接支持VXLAN的接入交换机,服务器流量在接入交换机上进行VXLAN报文封装和卸载;当VXLAN网络需要与VLAN网络通信时,采用物理交换机做VXLAN GW,实现VXLAN网络主机与VLAN网络主机的通信;采用高端交换机做VXLAN IP GW,实现VXLAN网络与WAN以及Internet的互连。
主机Overlay方案
图6 主机Overlay
在主机Overlay方案中(如图6所示),VTEP、VXLAN GW、VXLAN IP GW均通过安装在服务器上的软件实现,vSwitch实现VTEP功能,完成VXLAN报文的封装解封装;vFW等实现VXLAN GW功能,实现VXLAN网络与VLAN网络、物理服务器的互通;vRouter作为VXLAN IP GW,实现VXLAN网络与Internet和WAN的互联。在本组网中,由于所有VXLAN报文的封装卸载都通过软件实现,会占用部分服务器资源,当访问量大时,vRouter会成为系统瓶颈。
混合Overlay组网方案
图7 混合Overlay
上述两种组网方案中,网络Overlay方案与虚拟机相连,需要通过一些特殊的要求或技术实现虚拟机与VTEP的对接,组网不够灵活,但是主机Overlay方案与传统网络互通时,连接也比较复杂,且通过软件实现VXLAN IP GW也会成为整个网络的瓶颈,所以最理想的组网方案应该是一个结合了网络Overlay与主机Overlay两种方案优势的混合Overlay方案。如图7所示它通过vSwitch实现虚拟机的VTEP,通过物理交换机实现物理服务器的VTEP,通过物理交换机实现VXALN GW和VXLAN IP GW;混合式Overlay组网方案对虚拟机和物理服务器都能够很好的兼容,同时通过专业的硬件交换机实现VXLAN IP GW从而承载超大规模的流量转发,是目前应用比较广泛的组网方案。
四、 网络计算融合虚拟化
通过Overlay技术实现网络虚拟化后,实现了应用与物理网络的解耦,但是网络与计算还是相互独立的,当前的网络架构还无法实现网络与虚拟机的联动,因此,必须要有一种新的IT架构来实现应用与网络的联动,对此H3C推出了新的IT架构—VCF(Virtual Converged Framework)。
在构建Overlay控制平面时,主要有两种实现方式,一种是自学习模式(组播,ISIS,BGP),另外一种是集中控制方式(Controller),集中控制方式可以通过Controller很方便的实现应用与网络的联动,而自学习模式本身无法实现网络与应用联动,也需要借助Controller实现网络与应用联动。VCF架构是通过集中控制的方式,实现网络与应用联动,同时可以兼容Overlay的自学习模式,从而实现网络与计算的融合虚拟化。
图8 VCF架构
如图8所示,VCF通过集中控制器,能够实现云业务端到端的控制和管理,在数据中心层面,通过网络控制器,实现Overlay整个数据中心网络的控制和管理,其中包括Overlay网络控制平面的建立和维护,underlay网络控制平面的建立维护及调优,在自学习模式下,通过Controller下发服务链,同时通过内部接口,实现与云业务控制器的联动,当虚拟机发生迁移后,云业务控制器会把虚拟机迁移信息通知给网络控制器,网络控制器根据虚拟机迁移的新位置,从新调整网络服务链,从而实现虚拟机与网络的联动。
iMC云管理平台,融合了终端管理、网络管理以及云业务管理三大管理平台,实现了云业务端到端的管理。iMC通过管理控制器的方式实现对基础架构的管理,能够实时感知基础架构的变化并作出相应的调整,能够极大提升管理效率及管理效果,同时通过控制器,iMC云管理平台把基础平台虚拟化为不同的资源池,并提供业务自动编排组件,实现面向应用的业务编排。
五、 结束语
H3C VCF架构融合了网络计算存储,其最大的特征是增加了一个统一的控制器,把底层物理设备的控制权集中起来,从而能够实现所有资源的相互联动,同时对外提供了开发的接口供第三方进行定制化开发,从而最终实现SDI(Software Design Infrastructure),这种架构通过H3C专有的设备虚拟化技术实现物理网络的架构简化和高可靠性,通过Overlay技术实现应用与物理网络的解耦、简化虚拟机连接、搭建更优的大二层网络、提供16M的二层安全隔离空间,通过控制器实现应用与策略的联动,实现了面向应用的IT资源自适应、资源动态调整、简化IT架构、提高IT系统运行效率、降低企业TCO。
转载自:H3C官网