解析思科數(shù)據(jù)中心虛擬化技術(shù)和部署

1、窗體頂端解析思科數(shù)據(jù)中心虛擬化技術(shù)和部署數(shù)據(jù)中心的發(fā)展正在經(jīng)歷從整合，虛擬化到自動(dòng)化的演變，基于云計(jì)算的數(shù)據(jù)中心是未來的更遠(yuǎn)的目標(biāo)。整合是基礎(chǔ)，虛擬化技術(shù)為自動(dòng)化、云計(jì)算數(shù)據(jù)中心的實(shí)現(xiàn)提供支持。數(shù)據(jù)中心的虛擬化有很多的技術(shù)優(yōu)點(diǎn)：可以通過整合或者共享物理資產(chǎn)來提高資源利用率，調(diào)查公司的結(jié)果顯示，全球多數(shù)的數(shù)據(jù)中心的資源利用率在15%20%之間，通過整合、虛擬化技術(shù)可以實(shí)現(xiàn)50%60%的利用率;通過虛擬化技術(shù)可以實(shí)現(xiàn)節(jié)能高效的綠色數(shù)據(jù)中心，如可以減少物理設(shè)備、電纜，空間、電力、制冷等的需求;可以實(shí)現(xiàn)對(duì)資源的快速部署以及重部署以滿足業(yè)務(wù)發(fā)展需求。數(shù)據(jù)中心虛擬化的簡(jiǎn)單示意圖。數(shù)據(jù)中心的資源，包括服務(wù)器

2、資源、I/O資源、存儲(chǔ)資源組成一個(gè)資源池，通過上層的管理、調(diào)度系統(tǒng)在智能的虛擬化的網(wǎng)絡(luò)結(jié)構(gòu)上實(shí)現(xiàn)將資源池中的資源根據(jù)應(yīng)用的需求分配到不同的應(yīng)用處理系統(tǒng)。虛擬化數(shù)據(jù)中心可以實(shí)現(xiàn)根據(jù)應(yīng)用的需求讓數(shù)據(jù)中心的物理IT資源流動(dòng)起來，更好的為應(yīng)用提供資源調(diào)配與部署。數(shù)據(jù)中心虛擬化發(fā)展的第一個(gè)階段是通過整合實(shí)現(xiàn)服務(wù)器和應(yīng)用的虛擬化服務(wù)，這階段的數(shù)據(jù)中心也是很多公司已經(jīng)做的或正要做的。在這一階段，數(shù)據(jù)中心虛擬化實(shí)現(xiàn)的是區(qū)域內(nèi)的虛擬化，表現(xiàn)為數(shù)據(jù)中心的服務(wù)如網(wǎng)絡(luò)服務(wù)、安全服務(wù)、邏輯服務(wù)還是與物理服務(wù)器的部署相關(guān)聯(lián);虛擬機(jī)上的VLAN與網(wǎng)絡(luò)交換層上的VLAN對(duì)應(yīng);存儲(chǔ)LUN以類似映射到物理服務(wù)器的方式映射到虛擬機(jī)

3、。如下圖。數(shù)據(jù)中心虛擬化發(fā)展的第二個(gè)階段是通過虛擬主機(jī)遷移技術(shù)(VM's Mobility)實(shí)現(xiàn)跨物理服務(wù)器的虛擬化服務(wù)。如下圖。在這個(gè)階段，實(shí)現(xiàn)了數(shù)據(jù)中心內(nèi)的跨區(qū)域虛擬化，虛擬機(jī)可以在不同的物理服務(wù)器之間切換，但是，為滿足虛擬機(jī)的應(yīng)用環(huán)境和應(yīng)用需求，需要網(wǎng)絡(luò)為應(yīng)用提供智能服務(wù)，同時(shí)還需要為虛擬化提供靈活的部署和服務(wù)。思科在下一代的數(shù)據(jù)中心設(shè)計(jì)中采用統(tǒng)一交換的以太網(wǎng)架構(gòu)，思科數(shù)據(jù)中心統(tǒng)一交換架構(gòu)的愿景圖如下。改進(jìn)之前的數(shù)據(jù)中心物理上存在幾個(gè)不同的網(wǎng)絡(luò)系統(tǒng)，如局域網(wǎng)架構(gòu)、SAN網(wǎng)絡(luò)架構(gòu)、高層的計(jì)算網(wǎng)絡(luò)架構(gòu)、管理控制網(wǎng)絡(luò)架構(gòu)，各個(gè)網(wǎng)絡(luò)上采用的技術(shù)不同，如局域網(wǎng)主要采用以太網(wǎng)技術(shù)，SAN網(wǎng)絡(luò)

4、主要采用Fiber Channel技術(shù)。而在思科的下一代統(tǒng)一交換架構(gòu)數(shù)據(jù)中心中，數(shù)據(jù)中心的服務(wù)器資源、存儲(chǔ)資源、網(wǎng)絡(luò)服務(wù)等都通過統(tǒng)一的交換架構(gòu)連接在一起，數(shù)據(jù)中心只有一個(gè)物理網(wǎng)絡(luò)架構(gòu)，可以實(shí)現(xiàn)動(dòng)態(tài)的資源調(diào)配，提升效率和簡(jiǎn)化操作。統(tǒng)一交換架構(gòu)下數(shù)據(jù)中心的虛擬化如下圖。統(tǒng)一交換架構(gòu)下數(shù)據(jù)中心虛擬化簡(jiǎn)化了數(shù)據(jù)中心的管理和運(yùn)維，實(shí)現(xiàn)了真正的任意IT資源之間的靈活連接，實(shí)現(xiàn)了統(tǒng)一的I/O，在統(tǒng)一的I/O上可以實(shí)現(xiàn)最新的萬兆網(wǎng)、無丟失(FCoE)、低延時(shí)的數(shù)據(jù)中心以太網(wǎng)技術(shù)。統(tǒng)一交換架構(gòu)下數(shù)據(jù)中心虛擬化為未來的進(jìn)一步的虛擬化和基于云計(jì)算的數(shù)據(jù)中心提供了平臺(tái)。數(shù)據(jù)中心虛擬化架構(gòu)包括數(shù)據(jù)中心前端虛擬化、服務(wù)器

5、虛擬化、數(shù)據(jù)中心后端虛擬化。如下圖。思科設(shè)計(jì)數(shù)據(jù)中心時(shí)采用分層、分區(qū)的設(shè)計(jì)方式，層次設(shè)計(jì)包括核心層、匯聚層、接入層，接入層的不同功能的服務(wù)器位于不同的區(qū)域，服務(wù)器經(jīng)過每個(gè)區(qū)域的匯聚層連接到核心層。數(shù)據(jù)中心前端虛擬化是指對(duì)服務(wù)器網(wǎng)絡(luò)接口之前的數(shù)據(jù)中心基于以太網(wǎng)的網(wǎng)絡(luò)架構(gòu)的虛擬化。服務(wù)器虛擬化指在一臺(tái)物理服務(wù)器上為多個(gè)應(yīng)用需求實(shí)現(xiàn)多個(gè)虛擬機(jī)，并且實(shí)現(xiàn)區(qū)域內(nèi)資源的動(dòng)態(tài)調(diào)配、遷移，服務(wù)器虛擬化技術(shù)的實(shí)現(xiàn)需要網(wǎng)絡(luò)的支持配合。數(shù)據(jù)中心后端虛擬化指通過虛擬化技術(shù)將服務(wù)器和存儲(chǔ)資源更好的調(diào)配使用起來。下面按數(shù)據(jù)中心層次化設(shè)計(jì)中的核心層、匯聚層、接入層依次介紹思科在前端虛擬化上的最新的一些技術(shù)實(shí)現(xiàn)。思科數(shù)據(jù)中心

6、核心層虛擬化技術(shù)。思科為數(shù)據(jù)中心級(jí)和園區(qū)骨干網(wǎng)級(jí)網(wǎng)絡(luò)提供了Nexus交換機(jī)網(wǎng)絡(luò)技術(shù)和Nexus系列產(chǎn)品。Nexus系列產(chǎn)品中采用了VDC(Virtual Device Content)技術(shù)，可以將一臺(tái)物理交換機(jī)邏輯上模擬成多臺(tái)虛擬交換機(jī)，如下圖模擬出的兩個(gè)虛擬交換機(jī)VDC1和VDC2。VDC技術(shù)可以實(shí)現(xiàn)每個(gè)模擬出的VDC都擁有它自身的軟件進(jìn)程、專用硬件資源(接口)和獨(dú)立的管理環(huán)境，可以實(shí)現(xiàn)獨(dú)立的安全管理界限劃分和故障隔離域。VDC技術(shù)有助于將分立網(wǎng)絡(luò)整合為一個(gè)通用基礎(chǔ)設(shè)施，保留物理上獨(dú)立的網(wǎng)絡(luò)的管理界限劃分和故障隔離特性，并提供單一基礎(chǔ)設(shè)施所擁有的多種運(yùn)營成本優(yōu)勢(shì)。VDC可以實(shí)現(xiàn)故障域隔離，如

7、下圖。一個(gè)VDC為所有的運(yùn)行在它上面的進(jìn)程建立故障隔離域，如圖中VDC B中的“DEF”進(jìn)程發(fā)生故障后不會(huì)影響到VDC A中的“DEF”進(jìn)程。VDC的端口分配如下圖。端口分配到各VDC后不能在VDC之間共享，一旦某一端口分配到一個(gè)VDC，就只能在那個(gè)VDC中對(duì)該端口進(jìn)行配置。(*注 上圖中右下角應(yīng)為VDC D)。VDC 資源使用示意圖一如下。在一個(gè)VDC中的MAC地址只會(huì)廣播到有接口分配到該VDC上的Linecard地址表中，如圖中的Linecard 1和Linecard 2，它們都有接口分配到VDC 10。VDC 資源使用示意圖如下。Linecard 1和Linecard 2都給VDC-2分

8、配了100k的FIB TCAM和50k的ACL TCAM資源。VDC安全分區(qū)技術(shù)應(yīng)用如下圖。最上面的兩個(gè)模型是現(xiàn)在應(yīng)用的比較多的，但用戶可能希望能實(shí)現(xiàn)中間的內(nèi)外分明的架構(gòu)，這可以通過最下面的兩個(gè)VDC的應(yīng)用來實(shí)現(xiàn)，其中一個(gè)VDC為Outside，另一個(gè)為Inside，之間通過防火墻連接。每個(gè)VDC可以運(yùn)行獨(dú)立的轉(zhuǎn)發(fā)機(jī)制、路由機(jī)制、管理機(jī)制和登錄機(jī)制。VDC可以實(shí)現(xiàn)數(shù)據(jù)中心設(shè)計(jì)的水平整合，如下圖。當(dāng)兩個(gè)匯聚區(qū)不是很大時(shí)可以通過將一個(gè)Nexus設(shè)備劃分為VDC 1和VDC 2來分別代替實(shí)現(xiàn)兩個(gè)匯聚區(qū)。VDC實(shí)現(xiàn)數(shù)據(jù)中心設(shè)計(jì)的垂直整合，如下圖。一個(gè)Nexus設(shè)備模擬成Core VDC 和Agg VD

9、C分別實(shí)現(xiàn)核心層和匯聚層功能。VDC實(shí)現(xiàn)數(shù)據(jù)中心設(shè)計(jì)水平和垂直的綜合的整合應(yīng)用，如下圖。vPC(virtual Port-Channel)技術(shù)。下圖是傳統(tǒng)的和使用了vPC技術(shù)的交換機(jī)互聯(lián)邏輯拓?fù)鋱D。vPC技術(shù)可以在Cisco Nexus 7000系列產(chǎn)品上實(shí)現(xiàn)。傳統(tǒng)的技術(shù)實(shí)現(xiàn)交換機(jī)互聯(lián)時(shí)，如果互聯(lián)結(jié)構(gòu)中存在環(huán)路，則會(huì)block環(huán)路中的部分支路。vPC技術(shù)可以實(shí)現(xiàn)在單個(gè)設(shè)備上使用port-channel連接兩個(gè)上行交換機(jī)，完全使用所有上行鏈路的帶寬，并消除STP blocked ports，在link/device失效下提供快速收斂。VPC設(shè)計(jì)和傳統(tǒng)設(shè)計(jì)相比的優(yōu)勢(shì)如下圖。虛擬交換系統(tǒng)VSS(Vi

10、rtual Switch System)。兩臺(tái)Cisco Catalyst 6500系列交換機(jī)通過VSS連接后可以實(shí)現(xiàn)如同操作單一邏輯交換機(jī)的效果。如下圖。虛擬交換系統(tǒng)VSS與vPC技術(shù)有一些不同的地方，如在控制層面上兩個(gè)交換機(jī)有主次之分，但在數(shù)據(jù)處理上是雙活的。6500-VSS應(yīng)用于數(shù)據(jù)中心接入：不再需要復(fù)雜的、難于診斷的STP;可以簡(jiǎn)化管理，實(shí)現(xiàn)一個(gè)管理點(diǎn)，一個(gè)路由和STP節(jié)點(diǎn);系統(tǒng)總帶寬提升至1.4Tbps。6500-VSS應(yīng)用于核心/匯聚層：實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)虛擬化;提供機(jī)箱間的狀態(tài)化切換(SSO)，改進(jìn)無中斷通信，切換時(shí)間200ms;跨機(jī)箱EtherChannel，優(yōu)化路徑選擇。VSS和v

11、PC技術(shù)比較如下圖。ACE模塊，實(shí)現(xiàn)服務(wù)器負(fù)載均衡和SSL，可以將一個(gè)物理設(shè)備虛擬成不同的功能區(qū)域，虛擬的功能區(qū)有獨(dú)立的配置文件、路由表、應(yīng)用規(guī)則設(shè)置等。防火墻模塊FWSM，可實(shí)現(xiàn)最多250個(gè)虛擬防火墻。虛擬局域網(wǎng)VLANs需要時(shí)可以共享，如上圖左邊的VLAN 10，各虛擬防火墻可以有各自的策略設(shè)置。虛擬技術(shù)聯(lián)合應(yīng)用示例如下圖。VSS技術(shù)框架下ACE和FWSM模塊設(shè)計(jì)示例如下圖。匯聚層網(wǎng)絡(luò)服務(wù)的部署設(shè)計(jì)。數(shù)據(jù)中心接入層的可選設(shè)計(jì)有Top of Rack(架頂)和Middle of Row(列頭)，如下。架頂式，一個(gè)機(jī)柜中一臺(tái)或兩臺(tái)交換機(jī)連接1-RU(1機(jī)架單元，如20臺(tái))服務(wù)器。列頭式，可用于

12、服務(wù)器占用空間較大時(shí)，交換機(jī)集中放置。采用Nexus 5000做控制中心可控制多臺(tái)遠(yuǎn)端Nexus 2000，聯(lián)合使用效果圖如下。部署Nexus 2000的物理拓?fù)浣Y(jié)構(gòu)。邏輯拓?fù)浣Y(jié)構(gòu)。前端網(wǎng)絡(luò)虛擬化技術(shù)各層面的簡(jiǎn)單匯總?cè)缦?。服?wù)器虛擬化服務(wù)器虛擬化有全部虛擬化、部分虛擬化、應(yīng)用虛擬化三個(gè)發(fā)展需求，如下圖。在服務(wù)器VMotion(虛擬機(jī)遷移)過程中存在以下的問題：VMotion可以跨網(wǎng)絡(luò)動(dòng)態(tài)遷移虛擬機(jī)，管理策略上如何適應(yīng);無法察看本地交換流量和為其設(shè)定策略;無法識(shí)別一條物理鏈路上多個(gè)虛擬機(jī)的流量。Cisco VN-Link技術(shù)針對(duì)這些問題實(shí)現(xiàn)：將網(wǎng)絡(luò)延伸到服務(wù)器虛擬機(jī);提供一致的連接服務(wù);協(xié)調(diào)、統(tǒng)

13、一的管理。VN-Link將網(wǎng)絡(luò)交換延伸到服務(wù)器虛擬機(jī)，在服務(wù)器虛擬機(jī)的遷移過程中網(wǎng)絡(luò)信息將伴隨遷移。VN-Link技術(shù)實(shí)現(xiàn)基于策略的虛擬機(jī)連接、網(wǎng)絡(luò)與安全技術(shù)的移動(dòng)、不間斷的運(yùn)行模式，示意圖如下。在虛擬機(jī)資源的遷移中，需要一起移動(dòng)DRS，SW升級(jí)文件/補(bǔ)丁，硬件錯(cuò)誤記錄等。VN-Link能實(shí)現(xiàn)網(wǎng)絡(luò)的虛擬遷移，虛擬機(jī)的安全防護(hù)，保留之前的連接狀態(tài)等。Cisco Nexus 1000V是思科最新的基于VN-Link技術(shù)的軟件，也是業(yè)界首個(gè)第三方軟件交換機(jī)，提供VN-Link特性，確保在VMotion過程中虛擬機(jī)的可視性和連通性。后端虛擬化的主要內(nèi)容如下圖。包括虛擬化服務(wù)器、HBAs，統(tǒng)一輸入輸出/

14、Fabrics、存儲(chǔ)等。后端虛擬化可以優(yōu)化資源的使用、增加靈活性和敏捷能力、簡(jiǎn)化管理、減少TCO。傳統(tǒng)的基于應(yīng)用/部門的SAN存儲(chǔ)網(wǎng)絡(luò)的架構(gòu)如下圖。總體上看各個(gè)SAN網(wǎng)絡(luò)如一座座的孤島，每個(gè)島上的端口都過量，需要管理大量的交換機(jī)，并且他們的資源無法共享。整合的VSAN存儲(chǔ)網(wǎng)絡(luò)架構(gòu)如下圖。它是一個(gè)供所有應(yīng)用系統(tǒng)使用的公用存儲(chǔ)網(wǎng)絡(luò)，能夠做到：最大化端口利用率，無需多余擴(kuò)展端口;減少整體交換設(shè)備數(shù)量，降低管理復(fù)雜度;更靈活的配置存儲(chǔ)資源，提高資源利用率;為未來的存儲(chǔ)虛擬化打下基礎(chǔ)。VSAN技術(shù)的工作原理和流程如下。VSAN實(shí)現(xiàn)不需要端設(shè)備的特殊支持，SAN交換機(jī)會(huì)在輸入輸出數(shù)據(jù)時(shí)添加和去除表明數(shù)據(jù)屬

15、性的標(biāo)簽，實(shí)現(xiàn)基于硬件層面上的不同VSAN流量的隔離，SAN交換機(jī)中的Fibre Channel為不同的VSAN數(shù)據(jù)提供服務(wù)，如圖中的藍(lán)色和紅色。N-Port ID 虛擬化技術(shù)(NPIV)能將一個(gè)HBA卡接口虛擬成多個(gè)接口，相應(yīng)的，在交換機(jī)上也有多個(gè)對(duì)應(yīng)接口，如下圖。虛擬的N-Port能為同一個(gè)VSAN的不同數(shù)據(jù)(如E-Mail，Web)提供獨(dú)立接口，并且可以在應(yīng)用層面上實(shí)現(xiàn)對(duì)各虛擬接口的存取控制、域控制、端口安全控制等。目前，N-Port ID虛擬化技術(shù)是為同一個(gè)VSAN的需求虛擬出多個(gè)N-Port接口。一個(gè)未使用NPIV技術(shù)的由虛擬服務(wù)器到存儲(chǔ)的網(wǎng)絡(luò)連接圖如下。HBA卡到交換機(jī)只有一個(gè)點(diǎn)到

16、點(diǎn)連接，MDS S9000交換機(jī)中只有一個(gè)WWPN(World Wide Port Name)，所有的存儲(chǔ)卷需要基于同一個(gè)物理HBA的存取控制。管理程序(hypervisor)負(fù)責(zé)映射和錯(cuò)誤處理。使用NPIV技術(shù)后。不同虛擬服務(wù)器通過不同虛擬N-Port連接到交換機(jī)，交換機(jī)為所有虛擬N-Port設(shè)置WWPN，存儲(chǔ)數(shù)據(jù)卷只能通過對(duì)應(yīng)N-Port和虛擬服務(wù)器來處理。沒有使用NPIV技術(shù)的VMotion LUN遷移圖如下。所有配置參數(shù)都是基于一個(gè)物理HBA的WWPN，所有虛擬服務(wù)器的LUN必須對(duì)所有服務(wù)器可見以確保遷移過程中磁盤數(shù)據(jù)存取的順利完成，這種“暴露”會(huì)帶來安全隱患。使用NPIV技術(shù)的VMotion LUN遷移。虛擬服務(wù)器遷移后，對(duì)應(yīng)的N-Port參數(shù)配置和與存儲(chǔ)的映射關(guān)系都會(huì)跟隨遷移，確保特定存儲(chǔ)只能通過相應(yīng)虛擬服務(wù)器訪問。使用NPIV技術(shù)可以簡(jiǎn)化管理和配置，增加安全性。數(shù)據(jù)中心FCoE(FC over Ethernet)技術(shù)實(shí)現(xiàn)在以太網(wǎng)架構(gòu)上映射FC(Fibre Channel)幀，使得FC運(yùn)行在一個(gè)無損的數(shù)據(jù)中心以太網(wǎng)絡(luò)上。FCoE技術(shù)有以下的一些優(yōu)點(diǎn)：光纖存儲(chǔ)和以太網(wǎng)共享同一個(gè)端口;更少的線纜和適配器;軟件配置I/O;與現(xiàn)有的SAN環(huán)境可以互操作?；贔CoE技術(shù)的數(shù)據(jù)中心統(tǒng)一I/O能夠?qū)崿F(xiàn)用少數(shù)的CNA(Converged Network adapter)