云計(jì)算網(wǎng)絡(luò)課件第4章 網(wǎng)絡(luò)虛擬化技術(shù)

第4章網(wǎng)絡(luò)虛擬化技術(shù)網(wǎng)絡(luò)虛擬化概述傳統(tǒng)網(wǎng)絡(luò)隧道技術(shù)VXLAN技術(shù)其他網(wǎng)絡(luò)虛擬化技術(shù)VPC技術(shù)服務(wù)器虛擬化與網(wǎng)絡(luò)技術(shù)2網(wǎng)絡(luò)虛擬化是指通過虛擬化技術(shù)把物理網(wǎng)絡(luò)虛擬為多個(gè)邏輯網(wǎng)絡(luò)其實(shí)現(xiàn)方式通常是使用不同的標(biāo)簽（例如：VLANTag）等方式來區(qū)分屬于不同用戶的數(shù)據(jù)流，并使用隧道等技術(shù)實(shí)現(xiàn)對(duì)用戶數(shù)據(jù)的透明傳輸用戶所能感知到的是基于物理網(wǎng)絡(luò)虛擬化之后的虛擬網(wǎng)絡(luò)在網(wǎng)絡(luò)虛擬化的基礎(chǔ)之上，云服務(wù)提供商能夠?qū)崿F(xiàn)更加靈活的資源分配，減低運(yùn)營(yíng)成本網(wǎng)絡(luò)虛擬化是實(shí)現(xiàn)代云數(shù)據(jù)中心中各項(xiàng)資源高效利用的重要技術(shù)網(wǎng)絡(luò)虛擬化34傳統(tǒng)的網(wǎng)絡(luò)隧道技術(shù)包括VLAN與Q-in-QMPLSGRE傳統(tǒng)網(wǎng)絡(luò)隧道技術(shù)VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）是一種基于以太網(wǎng)的網(wǎng)絡(luò)虛擬化技術(shù)。它可以通過在同一個(gè)物理局域網(wǎng)中劃分出多個(gè)邏輯上獨(dú)立的虛擬局域網(wǎng)的方式，來隔離不同用戶的廣播域。VLAN5Q-in-Q（IEEE802.1ad），也稱為StackedVLAN或者DoubleVLANQ-in-Q是一種基于IEEE802.1Q標(biāo)準(zhǔn)進(jìn)行擴(kuò)展之后的隧道技術(shù)其核心思想是在VLAN以太網(wǎng)幀中，把用戶私網(wǎng)的VLAN標(biāo)簽封裝到運(yùn)營(yíng)商公網(wǎng)的VLAN標(biāo)簽中，以堆疊使用兩個(gè)IEEE802.1Q標(biāo)簽Q-in-Q6Q-in-Q轉(zhuǎn)發(fā)示例7MPLS（Multi-ProtocolLabelSwitching，多協(xié)議標(biāo)簽交換）是一種基于標(biāo)簽的轉(zhuǎn)發(fā)技術(shù)，能夠承載任意的數(shù)據(jù)協(xié)議（例如：IPv4和IPv6），并且可以工作在任何鏈路協(xié)議（例如：以太網(wǎng)和ATM網(wǎng)絡(luò)等）轉(zhuǎn)發(fā)等價(jià)類（ForwardingEquivalenceClass，F(xiàn)EC）標(biāo)簽交換路由器（LabelSwitchingRouter，LSR）邊緣標(biāo)簽交換路由器（LabelSwitchingEdgeRouter，LER）標(biāo)簽交換路徑（LabelSwitchedPath，LSP）MPLS技術(shù)8MPLS幀結(jié)構(gòu)和網(wǎng)絡(luò)示例9GRE（GenericRoutingEncapsulation，通用路由封裝）協(xié)議GRE的目標(biāo)是對(duì)網(wǎng)絡(luò)層協(xié)議（例如：IPv6、IPX和AppleTalk等協(xié)議）進(jìn)行封裝，解決不同網(wǎng)絡(luò)層協(xié)議的報(bào)文傳輸問題GRE協(xié)議中的隧道是一條點(diǎn)對(duì)點(diǎn)的連接，提供了一條數(shù)據(jù)通路，使得被GRE協(xié)議封裝后的數(shù)據(jù)報(bào)文能夠在基于其它網(wǎng)絡(luò)層協(xié)議的網(wǎng)絡(luò)中通行隧道兩端分別是GRE協(xié)議的封裝與解封裝節(jié)點(diǎn)，負(fù)責(zé)把其它網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報(bào)文封裝到GRE協(xié)議數(shù)據(jù)報(bào)文中，以及還原為原始網(wǎng)絡(luò)層協(xié)議GRE技術(shù)10假設(shè)使用GRE協(xié)議來封裝IPv6數(shù)據(jù)包，并在IPv4網(wǎng)絡(luò)上進(jìn)行傳輸在幀結(jié)構(gòu)最前端的是用于傳輸GRE報(bào)文的網(wǎng)絡(luò)層協(xié)議的包頭（此處為IPv4協(xié)議包頭），之后是GRE協(xié)議的包頭GRE協(xié)議幀結(jié)構(gòu)11為解決VLAN在數(shù)據(jù)中心環(huán)境下問題，思科和Vmware等合作提出了VXLAN（VirtualeXtensibleLocalAreaNetwork，虛擬可擴(kuò)展局域網(wǎng)），見IETFRFC7348VXLAN是一種大二層的網(wǎng)絡(luò)虛擬化技術(shù)，在現(xiàn)有的三層物理網(wǎng)絡(luò)上構(gòu)造出虛擬的二層網(wǎng)絡(luò)VXLAN屬于Overlay網(wǎng)絡(luò)技術(shù)的一種，采用UDP進(jìn)行封裝，通過封裝技術(shù)使得租戶的二層報(bào)文能夠跨越三層網(wǎng)絡(luò)進(jìn)行傳輸VXLAN技術(shù)12VTEP（VXLANTunnelEndPoint，VXLAN隧道端點(diǎn)）：VXLAN的封裝點(diǎn)，關(guān)于VXLAN的處理過程都在VTEP上進(jìn)行VNI（VXLANNetworkIdentifier，VXLAN網(wǎng)絡(luò)標(biāo)識(shí)符）：用于標(biāo)識(shí)VXLAN，使用24位整數(shù)進(jìn)行標(biāo)識(shí)，足以支持上千萬租戶的使用，完全滿足數(shù)據(jù)中心網(wǎng)絡(luò)的需求VXLAN隧道：是兩個(gè)VTEP之間的點(diǎn)對(duì)點(diǎn)的邏輯隧道，沒有具體的物理實(shí)體相對(duì)應(yīng)。隧道雙方無法感知底層網(wǎng)絡(luò)的存在，是一種虛擬通道VXLAN的基本概念13VXLAN組網(wǎng)模型示意圖14VXLAN采用的是一種MAC-in-UDP的數(shù)據(jù)幀，在源終端上發(fā)出的原始報(bào)文上依次加入了VXLAN包頭、外部UDP包頭、外部IP包頭和外部MAC幀頭。其中，VXLAN包頭部用于保存VXLAN協(xié)議相關(guān)的內(nèi)容，而UDP包頭用于在底層網(wǎng)絡(luò)上傳輸報(bào)文VXLAN幀結(jié)構(gòu)15VM1向VM2發(fā)送數(shù)據(jù)包的過程如下所示：VM1發(fā)送IP數(shù)據(jù)包到VM2VTEP1收到該數(shù)據(jù)包，查找VXLAN表，確定這個(gè)IP數(shù)據(jù)包的目的地為VTEP2，即對(duì)該數(shù)據(jù)包進(jìn)行封裝VTEP2接收到該數(shù)據(jù)包后，拆分該數(shù)據(jù)包找到VNI為3001的端口組，找到VM2并轉(zhuǎn)發(fā)VM2收到該數(shù)據(jù)包后進(jìn)行處理。VXLAN數(shù)據(jù)幀轉(zhuǎn)發(fā)16案例：使用VXLAN實(shí)現(xiàn)ARP1718NVGRESTTGeneve其他網(wǎng)絡(luò)虛擬化技術(shù)NVGRE（NetworkVirtualizationusingGenericRoutingEncapsulation）協(xié)議，是由Microsoft、Intel、HP和Dell等企業(yè)主導(dǎo)的，用于在大型網(wǎng)絡(luò)中解決VLANID數(shù)目不足的問題的網(wǎng)絡(luò)虛擬化協(xié)議NVGRE使用了GRE包頭中的低24位作為租戶網(wǎng)絡(luò)識(shí)別符（TenantNetworkIdentifier，TNI），以提供約1600萬個(gè)ID來區(qū)分網(wǎng)絡(luò)中不同的虛擬網(wǎng)絡(luò)NVGRE使用GRE作為二層數(shù)據(jù)包隧道的基礎(chǔ)，把來自用戶網(wǎng)絡(luò)的二層數(shù)據(jù)幀完整地封裝到GREPayload中。NVGRE技術(shù)19NVGRE對(duì)傳統(tǒng)的GRE進(jìn)行了改造，一個(gè)24位的VSID（Virtualsubnetidentifier）字段用于標(biāo)識(shí)租戶，通過VSID劃分一個(gè)虛擬二層廣播域。同時(shí)加入了GRE頭、外部IP頭和外部以太網(wǎng)頭NVGRE封裝20狀態(tài)隧道傳輸技術(shù)STT（StatelessTransportTunneling）是Nicira和VMware等企業(yè)所提出的一種“MAC-over-IP”的封裝方案，主要用于數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境下的虛擬交換機(jī)之間傳輸大量數(shù)據(jù)STT的包頭被設(shè)計(jì)為與TCP包頭相似的結(jié)構(gòu)，以充分利用網(wǎng)卡上的TSO（TCPSegmentationOffload）功能，使得分片和重組數(shù)據(jù)包的操作能夠卸載到網(wǎng)卡上執(zhí)行，從而降低對(duì)服務(wù)器CPU資源的占用與TCP協(xié)議不同，STT沒有任何狀態(tài)信息。STT技術(shù)21STT協(xié)議的類TCP包頭中，原TCP包頭所定義的確認(rèn)號(hào)字段被STT協(xié)議用來告訴網(wǎng)卡哪些數(shù)據(jù)包是屬于同一個(gè)巨型幀的，并讓網(wǎng)卡把序列號(hào)相同的分片組裝起來原TCP包頭所定義的序列號(hào)字段，被STT協(xié)議用來告訴網(wǎng)卡這些數(shù)據(jù)包的片偏移，使得這些分片能夠以正確的順序被重組。STT協(xié)議的類TCP包頭22STT提供了64位NetworkID來區(qū)分不同的網(wǎng)絡(luò)，能夠在更大規(guī)模的網(wǎng)絡(luò)中使用（VXLAN和NVGRE只有24位）STT封裝過程：STT封裝23Geneve（GenericNetworkVirtualizationEncapsulation）由NVO3（NetworkVirtualizationOverlays）提出的網(wǎng)絡(luò)虛擬化協(xié)議Geneve綜合考慮了VXLAN、NVGRE、STT的優(yōu)點(diǎn)和缺點(diǎn)旨在通過為網(wǎng)絡(luò)虛擬化提供通用的隧道封裝框架，以順應(yīng)后續(xù)隧道機(jī)制的不斷變化Geneve技術(shù)24Geneve采用了與VXLAN相同的“MAC-in-UDP”隧道Geneve封裝格式25技術(shù)名稱標(biāo)準(zhǔn)提出者/支持者虛擬化方式特點(diǎn)VLANIEEE802.11QIEEE提出VLAN標(biāo)簽較早提出的網(wǎng)絡(luò)虛擬化概念。Q-in-QIEEE802.1adIEEE提出使用2個(gè)VLAN標(biāo)簽從租戶數(shù)量上對(duì)VLAN的改進(jìn)。MPLSIETFRFC3031IETF提出、Cisco、Juniper支持MPLS標(biāo)簽?zāi)康氖翘岣呗酚山粨Q設(shè)備的轉(zhuǎn)發(fā)速度。GREIETFRFC1701IETF提出GRE包頭實(shí)現(xiàn)一條點(diǎn)對(duì)點(diǎn)的連接隧道。NVGREIETFRFC7637Microsoft、Inter、HP、Dell等支持NVGRE包頭用于大型網(wǎng)絡(luò)解決VLAN租戶數(shù)量不足。STTIETF草案階段VMware提出STT包頭用于數(shù)據(jù)中心的虛擬交換機(jī)之間傳輸大量數(shù)據(jù)。GeneveIETF草案階段NVo3提出Geneve包頭使用UDP頭封裝節(jié)省性能開銷；避免了STT一些穿越問題。VXLANIETFRFC7348Cisco、VMware等支持VXLAN包頭較為成熟且應(yīng)用廣泛的虛擬化技術(shù)。各種隧道協(xié)議的對(duì)比26VPC（VirtualPrivateCloud，虛擬私有云）最早是由AWS（AmazonWebServices，亞馬遜網(wǎng)絡(luò)服務(wù)）在2009年提出的一種云計(jì)算網(wǎng)絡(luò)服務(wù)VPC并不是一項(xiàng)新的獨(dú)立的技術(shù)，而是由亞馬遜將之前已存在的服務(wù)和技術(shù)重新編排成為了一項(xiàng)新的網(wǎng)絡(luò)服務(wù)VPC更像是公有云服務(wù)商以打包的形式提供服務(wù)VPC技術(shù)27特征EC2-ClassicVPC公有IPv4地址（來自公有IP地址池）用戶的實(shí)例從EC2-Classic公有IPv4地址池接收公有IPv4地址。在默認(rèn)子網(wǎng)中啟動(dòng)的實(shí)例會(huì)受到公有IPv4地址，除非用戶在啟動(dòng)過程中另行指定，或修改子網(wǎng)的公有IPv4地址屬性。私有IPv4地址用戶的實(shí)例在每次啟動(dòng)時(shí)會(huì)分配一個(gè)處于EC2-Classic范圍內(nèi)的IPv4地址。用戶的實(shí)例會(huì)分配一個(gè)處于默認(rèn)VPC地址范圍內(nèi)的靜態(tài)私有IPv4地址。彈性IP地址當(dāng)用戶停止實(shí)例時(shí)，彈性IP會(huì)取消與實(shí)例的關(guān)聯(lián)。當(dāng)用戶停止實(shí)例時(shí)，彈性IP會(huì)保持與實(shí)例的關(guān)聯(lián)。分配彈性IP地址將彈性IP地址與實(shí)例相關(guān)聯(lián)。彈性IP地址是網(wǎng)絡(luò)接口的一個(gè)屬性。用戶可以通過更新附加到實(shí)例的網(wǎng)絡(luò)接口，將彈性IP地址與該實(shí)例關(guān)聯(lián)起來。安全組安全組可以引用屬于其它AWS賬戶的安全組。安全組只能引用用戶自己的VPC的安全組。安全組關(guān)聯(lián)啟動(dòng)實(shí)例時(shí)，用戶可以為其分配無限數(shù)量的安全組。用戶最多可以為一個(gè)實(shí)例分配5個(gè)安全組。并且可以在啟動(dòng)實(shí)例時(shí)和實(shí)例運(yùn)行過程中為其分配安全組。安全組規(guī)則用戶只能為入口流量添加規(guī)則。用戶可以為入口和出口流量添加規(guī)則訪問Internet用戶的實(shí)例可以訪問Internet，可以自動(dòng)接收公有IP地址，并且可以直接通過AWS網(wǎng)絡(luò)邊界訪問Internet。用戶的實(shí)例可以訪問Internet，默認(rèn)會(huì)接收一個(gè)公有IP地址。一個(gè)Internet網(wǎng)關(guān)附加到用戶的默認(rèn)VPC，并且該默認(rèn)子網(wǎng)有一個(gè)到Internet網(wǎng)關(guān)的路由。IPv6尋址