服務(wù)器虛擬化帶來(lái)網(wǎng)絡(luò)接入層的變化

1、服務(wù)器虛擬化帶來(lái)網(wǎng)絡(luò)接入層的變化在數(shù)據(jù)中心接入層部署支持EVB國(guó)際標(biāo)準(zhǔn)的數(shù)據(jù)中心交換機(jī)，與服務(wù)器端虛擬化軟件聯(lián)動(dòng)即可支持將流量上引至交換機(jī)上。現(xiàn)有解決方案及問(wèn)題    由于一個(gè)虛擬機(jī)上可能存在多個(gè)虛擬后的系統(tǒng)，系統(tǒng)之間通訊就需要通過(guò)網(wǎng)絡(luò)，但和普通的物理系統(tǒng)間通過(guò)實(shí)體網(wǎng)絡(luò)設(shè)備互聯(lián)不同，虛擬系統(tǒng)的網(wǎng)絡(luò)接口也是虛擬的，因此不能直接通過(guò)實(shí)體網(wǎng)絡(luò)設(shè)備互聯(lián)。    目前流行的一種解決方案是：vSwitch技術(shù)。vSwitch作為最早出現(xiàn)的一種的網(wǎng)絡(luò)虛擬化技術(shù)，已經(jīng)在Linux Bridge、VMWare vSwitch等軟件產(chǎn)品中實(shí)現(xiàn)。所謂的vS

2、witch，就是VEB技術(shù)，即將虛擬網(wǎng)橋完全在服務(wù)器(終端)硬件上實(shí)現(xiàn)，不涉及外部交換機(jī)的協(xié)作。    參考虛擬機(jī)的實(shí)現(xiàn)方式，將網(wǎng)絡(luò)設(shè)備也虛擬化，并綁定在虛擬機(jī)中，這樣虛擬機(jī)上的網(wǎng)絡(luò)接口可以不需要經(jīng)過(guò)實(shí)體網(wǎng)絡(luò)，直接在虛擬機(jī)內(nèi)部通過(guò)虛擬交換機(jī)等虛擬的網(wǎng)絡(luò)設(shè)備進(jìn)行互聯(lián)。     如上圖所述，跟普通服務(wù)器設(shè)備一樣，每個(gè)虛擬機(jī)有著自己的虛擬網(wǎng)卡(virtual NIC)，每個(gè)virtual NIC有著自己的MAC地址和IP地址。Virtual Switch(vSwitch)相當(dāng)于一個(gè)虛擬的二層交換機(jī)，ABCDE便是交換機(jī)上的虛擬端口

3、，該交換機(jī)連接虛擬網(wǎng)卡和物理網(wǎng)卡，將虛擬機(jī)上的數(shù)據(jù)報(bào)文從物理網(wǎng)口轉(zhuǎn)發(fā)出去。根據(jù)需要，vSwitch還可以支持二層轉(zhuǎn)發(fā)、安全控制、端口鏡像等功能。物理主機(jī)（服務(wù)器）虛擬交換機(jī)，用于虛擬機(jī)互訪（本質(zhì)上就是一種“軟”交換機(jī)的行為，軟件虛擬出來(lái)交換機(jī)）：    性能低，特性少；    模糊了主機(jī)和網(wǎng)絡(luò)管理界面；    帶來(lái)的問(wèn)題：    1、流量無(wú)法監(jiān)控 ，存在安全隱患    從虛擬機(jī)到物理服務(wù)器之外的流量可以通過(guò)交換機(jī)鏡像、網(wǎng)流分析設(shè)備進(jìn)行監(jiān)控；虛擬機(jī)

4、之間的流量無(wú)法進(jìn)行監(jiān)控；    2、無(wú)法實(shí)施安全策略    數(shù)據(jù)中心服務(wù)器之間采用了矩陣式的訪問(wèn)控制策略。問(wèn)題： 不同的虛擬機(jī)之間需要通過(guò)ACL實(shí)現(xiàn)訪問(wèn)控制； 傳統(tǒng)的VSwitch 實(shí)現(xiàn)ACL需要消耗CPU資源，對(duì)服務(wù)器性能有影響； 安全策略與VM的遷移緊綁定問(wèn)題需解決；    3、管理邊界不清 （模糊了主機(jī)和網(wǎng)絡(luò)管理界面，服務(wù)器和網(wǎng)絡(luò)管理員的管理界面）    物理服務(wù)器中的邏輯網(wǎng)絡(luò)由誰(shuí)管？相似的情況：刀片服務(wù)器中的交換機(jī)模塊由誰(shuí)管？在管理權(quán)限上，網(wǎng)絡(luò)管理員基本不能管理到vS

5、witch，而主機(jī)管理員也不愿意在網(wǎng)絡(luò)配置上花太多的時(shí)間，這樣導(dǎo)致vSwitch游離于網(wǎng)絡(luò)整體管理之外，不利于整體網(wǎng)絡(luò)策略以及網(wǎng)絡(luò)安全的實(shí)現(xiàn)。    4、影響服務(wù)器性能    考慮到在一臺(tái)物理服務(wù)器上可能運(yùn)行數(shù)十個(gè)虛擬機(jī)，再摻雜上數(shù)據(jù)中心的交換時(shí)，情況會(huì)非常復(fù)雜。給虛擬機(jī)增加這樣一種智能，會(huì)給服務(wù)器額外增加大量的網(wǎng)絡(luò)處理負(fù)載，并且由于虛擬交換機(jī)僅僅是通過(guò)一種軟件實(shí)現(xiàn)，在功能和性能上必然無(wú)法與傳統(tǒng)的實(shí)體網(wǎng)絡(luò)設(shè)備相媲美。既然實(shí)體交換機(jī)已經(jīng)實(shí)現(xiàn)了所有這些功能，就沒(méi)有必要在虛擬機(jī)上進(jìn)行這些重復(fù)操作。    數(shù)據(jù)中

6、心接入層虛擬交換    物理主機(jī)（服務(wù)器）虛擬交換機(jī)，用于虛擬機(jī)互訪（本質(zhì)上就是一種“軟”交換機(jī)的行為，軟件虛擬出來(lái)交換機(jī)）。    采用一種“硬”交換機(jī)的思路，將虛擬機(jī)的交換能力回歸到交換機(jī) ，性能保證，特性豐富 ，管理界面清晰 。    指定一種Edge Virtual Bridging(EVB)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)基于一個(gè)名為Virtual Ethernet Port Aggregator (VEPA) 的技術(shù)。通過(guò)VEPA，來(lái)自于VM的所有流量都會(huì)被轉(zhuǎn)發(fā)到鄰近的物理接入交換機(jī)，或者當(dāng)目標(biāo)VM也位于同一個(gè)服

7、務(wù)器時(shí)被轉(zhuǎn)回到相同的物理服務(wù)器。    部署方案：    在數(shù)據(jù)中心接入層部署支持EVB國(guó)際標(biāo)準(zhǔn)的數(shù)據(jù)中心交換機(jī)，與服務(wù)器端虛擬化軟件聯(lián)動(dòng)即可支持將流量上引至交換機(jī)上。      通過(guò)VEPA和VSI發(fā)現(xiàn)功能，將VM的流量統(tǒng)統(tǒng)轉(zhuǎn)移到交換機(jī)上來(lái)進(jìn)行傳輸，可以實(shí)現(xiàn)基于VM的流量控制。例如，網(wǎng)絡(luò)管理員可以應(yīng)用安全策略阻斷某個(gè)VM和其他VM的通訊，或者控制該VM只能和某些指定的VM通訊。    帶來(lái)的好處    提升性能、降低復(fù)雜性 ，實(shí)現(xiàn)：將高級(jí)復(fù)雜的網(wǎng)絡(luò)功能從VM轉(zhuǎn)移到外部網(wǎng)絡(luò)。    保持NIC（網(wǎng)卡）的低成本電路 ，實(shí)現(xiàn)：將高級(jí)網(wǎng)絡(luò)功能調(diào)整到外部網(wǎng)絡(luò)。    一致性控制策略實(shí)現(xiàn) ，實(shí)現(xiàn)：將所有流量轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)，網(wǎng)絡(luò)實(shí)現(xiàn)更加