隨著社會(huì)生產(chǎn)力的不斷發(fā)展����,用戶需求不斷發(fā)展提高��,市場(chǎng)也不斷發(fā)展變化,誰(shuí)能真正掌握市場(chǎng)迎合用戶�,誰(shuí)就能夠占領(lǐng)先機(jī)提高自己的核心競(jìng)爭(zhēng)力。企業(yè)運(yùn)營(yíng)中關(guān)鍵資訊傳遞的暢通可以幫助企業(yè)充分利用關(guān)鍵資源�����,供應(yīng)鏈���、渠道管理,了解市場(chǎng)抓住商機(jī)�����,從而幫助企業(yè)維持甚至提高其競(jìng)爭(zhēng)地位��。作為網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)和流通中心的企業(yè)數(shù)據(jù)中心,很顯然擁有企業(yè)資訊流通最核心的地位�����,越來(lái)越受到企業(yè)的重視�。當(dāng)前各個(gè)企業(yè)/行業(yè)的基礎(chǔ)網(wǎng)絡(luò)已經(jīng)基本完成,隨著“大集中”思路越來(lái)越深入人心�����,各企業(yè)�、行業(yè)越來(lái)越迫切的需要在原來(lái)的基礎(chǔ)網(wǎng)絡(luò)上新建自己的數(shù)據(jù)中心。數(shù)據(jù)中心設(shè)施的整合已經(jīng)成為行業(yè)內(nèi)的一個(gè)主要發(fā)展趨勢(shì)��,利用數(shù)據(jù)中心���,企業(yè)不但能集中資源和信息加強(qiáng)資訊的流通以及新技術(shù)的采用��,還可以改善對(duì)外服務(wù)水平提高企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力�。一個(gè)好的數(shù)據(jù)中心在具有上述好處之外甚至還可以降低擁有成本�。
虛擬化簡(jiǎn)介
在數(shù)據(jù)大集中的趨勢(shì)下,數(shù)據(jù)中心的服務(wù)器規(guī)模越來(lái)越龐大�。隨著服務(wù)器規(guī)模的成倍增加,硬件成本也水漲船高,同時(shí)管理眾多的服務(wù)器的維護(hù)成本也隨著增加�����。為了降低數(shù)據(jù)中心的硬件成本和管理難度���,對(duì)大量的服務(wù)器進(jìn)行整合成了必然的趨勢(shì)��。通過(guò)整合��,可以將多種業(yè)務(wù)集成在同一臺(tái)服務(wù)器上��,直接減少服務(wù)器的數(shù)量�����,有效的降低服務(wù)器硬件成本和管理難度�����。
服務(wù)器整合帶來(lái)了巨大的經(jīng)濟(jì)效益����,同時(shí)也帶來(lái)了一個(gè)難題:多種業(yè)務(wù)集成在一臺(tái)服務(wù)器上�����,安全如何保證���?而且不同的業(yè)務(wù)對(duì)服務(wù)器資源也有不同的需求�,如何保證各個(gè)業(yè)務(wù)資源的正常運(yùn)作�?為了解決這些問(wèn)題,虛擬化應(yīng)運(yùn)而生了���。虛擬化指用多個(gè)物理實(shí)體創(chuàng)建一個(gè)邏輯實(shí)體�,或者用一個(gè)物理實(shí)體創(chuàng)建多個(gè)邏輯實(shí)體�。實(shí)體可以是計(jì)算、存儲(chǔ)��、網(wǎng)絡(luò)或應(yīng)用資源�。虛擬化的實(shí)質(zhì)就是“隔離”—將不同的業(yè)務(wù)隔離開(kāi)來(lái),彼此不能互訪�,從而保證業(yè)務(wù)的安全需求;將不同的業(yè)務(wù)的資源隔離開(kāi)來(lái)���,從而保證業(yè)務(wù)對(duì)于服務(wù)器資源的要求�。
數(shù)據(jù)中心運(yùn)行的應(yīng)用越來(lái)越多���,但很多應(yīng)用都相互獨(dú)立�,而且在使用率低下、相關(guān)隔絕的不同環(huán)境中運(yùn)行���。每個(gè)應(yīng)用都追求性能的不斷提高����,數(shù)據(jù)中心擁有多種操作系統(tǒng)�����、計(jì)算平臺(tái)和存儲(chǔ)系統(tǒng)��。因此���,IT 機(jī)構(gòu)必須提高運(yùn)行效率��,優(yōu)化數(shù)據(jù)中心資源的利用率��,才能將節(jié)省出來(lái)的資金用于開(kāi)展新的盈利型IT 項(xiàng)目��。另外�,數(shù)據(jù)中心需要建立永續(xù)的基礎(chǔ)設(shè)施�����,才能保護(hù)各種應(yīng)用和服務(wù)免受各種安全攻擊和干擾的危害�����,才能建立既可以持續(xù)改進(jìn)計(jì)算機(jī)��、存儲(chǔ)和應(yīng)用技術(shù)����,又能支持不斷變化的業(yè)務(wù)流程的靈活型基礎(chǔ)設(shè)施。利用整合和虛擬化技術(shù)幫助數(shù)據(jù)中心將計(jì)算和存儲(chǔ)資源從多個(gè)分立式系統(tǒng)轉(zhuǎn)變成可以通過(guò)智能網(wǎng)絡(luò)匯聚���、分層�����、調(diào)配和訪問(wèn)的標(biāo)準(zhǔn)化組件�,從而為自動(dòng)化等新興IT 戰(zhàn)略奠定基礎(chǔ)����。
數(shù)據(jù)中心資源的整合和虛擬化正在不斷發(fā)展,這需要高度可擴(kuò)展的永續(xù)安全數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)��。網(wǎng)絡(luò)不但能讓用戶安全訪問(wèn)各種數(shù)據(jù)中心服務(wù),還能根據(jù)需要實(shí)現(xiàn)共享數(shù)據(jù)中心組件的部署�����、互聯(lián)和匯聚����,包括各種應(yīng)用、服務(wù)器���、設(shè)備和存儲(chǔ)��。適當(dāng)規(guī)劃的數(shù)據(jù)中心網(wǎng)絡(luò)不僅能保護(hù)應(yīng)用和數(shù)據(jù)完整性���,提高應(yīng)用可用性和性能,還能增強(qiáng)對(duì)不斷變化的市場(chǎng)狀況�、業(yè)務(wù)重要程度和技術(shù)先進(jìn)性的反應(yīng)能力。
網(wǎng)絡(luò)虛擬化技術(shù)
伴隨著服務(wù)器虛擬化技術(shù)的不斷成熟和應(yīng)用��,傳統(tǒng)的網(wǎng)絡(luò)已經(jīng)很難滿足用戶的需求����。例如虛擬機(jī)遷移需要大二層環(huán)境,而傳統(tǒng)網(wǎng)絡(luò)大二層環(huán)境容易造成環(huán)路�,難于管理��。STP�����、VRRP這些傳統(tǒng)的網(wǎng)絡(luò)技術(shù)多是犧牲了已有資源來(lái)提供冗余��,資源的浪費(fèi)在當(dāng)今數(shù)據(jù)中心已是越來(lái)越顯得不可接受。為適應(yīng)新環(huán)境下數(shù)據(jù)中心的要求�,H3C提出了全虛擬化網(wǎng)絡(luò)架構(gòu)。在網(wǎng)絡(luò)側(cè)��,H3C提供了網(wǎng)絡(luò)設(shè)備多虛一的IRF2技術(shù)���、一虛多的MDC技術(shù)和縱向虛擬化VCF技術(shù)����,從不同層面完成了網(wǎng)絡(luò)設(shè)備的虛擬化技術(shù)��。
IRF2是H3C自主研發(fā)的軟件虛擬化技術(shù)���。它的核心思想是將多臺(tái)設(shè)備通過(guò)IRF物理端口連接在一起�,進(jìn)行必要的配置后�����,虛擬化成一臺(tái)“分布式設(shè)備”。使用這種虛擬化技術(shù)可以實(shí)現(xiàn)多臺(tái)設(shè)備的協(xié)同工作�、統(tǒng)一管理和不間斷維護(hù)。結(jié)合下面的圖一不難看出IRF2具有如下優(yōu)點(diǎn):
·簡(jiǎn)化管理�����。IRF形成之后��,用戶通過(guò)任意成員設(shè)備的任意端口都可以登錄IRF系統(tǒng)�����,對(duì)IRF內(nèi)所有成員設(shè)備進(jìn)行統(tǒng)一管理���。
·高可靠性����。IRF的高可靠性體現(xiàn)在多個(gè)方面���,例如:IRF由多臺(tái)成員設(shè)備組成���,Master設(shè)備負(fù)責(zé)IRF的運(yùn)行����、管理和維護(hù)����,Slave設(shè)備在作為備份的同時(shí)也可以處理業(yè)務(wù)。一旦Master設(shè)備故障�,系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master,以保證業(yè)務(wù)不中斷,從而實(shí)現(xiàn)了設(shè)備的1:N備份��;此外��,成員設(shè)備之間的IRF鏈路支持聚合功能�,IRF和上����、下層設(shè)備之間的物理鏈路也支持聚合功能,多條鏈路之間可以互為備份也可以進(jìn)行負(fù)載分擔(dān)����,從而進(jìn)一步提高了IRF的可靠性。
·強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力����。通過(guò)增加成員設(shè)備�����,可以輕松自如的擴(kuò)展IRF的端口數(shù)����、帶寬�����。因?yàn)楦鞒蓡T設(shè)備都有CPU�,能夠獨(dú)立處理協(xié)議報(bào)文、進(jìn)行報(bào)文轉(zhuǎn)發(fā)���,所以IRF還能夠輕松自如的擴(kuò)展處理能力�����。
圖1 IRF組網(wǎng)拓?fù)?/span>
MDC技術(shù)是一種完全的1:N設(shè)備虛擬化技術(shù)����,將一臺(tái)物理網(wǎng)絡(luò)設(shè)備通過(guò)軟件虛擬化成多臺(tái)邏輯網(wǎng)絡(luò)設(shè)備���。MDC將網(wǎng)絡(luò)設(shè)備的控制平面�、數(shù)據(jù)平面、管理平面進(jìn)行了完全的虛擬化���,實(shí)現(xiàn)完全的隔離����。同時(shí)MDC將網(wǎng)絡(luò)設(shè)備的硬件資源進(jìn)行了虛擬化��,不僅可以將板卡��、端口等硬件資源劃分到獨(dú)立的邏輯設(shè)備�,而且可配置每個(gè)邏輯設(shè)備的CPU、內(nèi)存���、存儲(chǔ)空間等資源 。
MDC具有如下優(yōu)點(diǎn):
·高復(fù)用�����。多臺(tái)MDC共用物理設(shè)備的資源��,使物理資源能得到充分利用����。
·資源隔離����。同一臺(tái)物理設(shè)備上的多個(gè)MDC具有獨(dú)立的軟硬件資源��,獨(dú)立運(yùn)行互不影響 ��。
·高伸縮性�。可整合多個(gè)物理網(wǎng)絡(luò)到一個(gè)物理設(shè)備上�,也可以將一個(gè)物理設(shè)備擴(kuò)展為多個(gè)邏輯網(wǎng)絡(luò)。
VCF技術(shù)是基于IRF��,在縱向維度上支持異構(gòu)堆疊�,在獲得形成一臺(tái)邏輯虛擬設(shè)備的基礎(chǔ)上,把一臺(tái)低成本的盒式設(shè)備作為一塊遠(yuǎn)程接口板加入主設(shè)備系統(tǒng)��,以達(dá)到擴(kuò)展I/O端口能力和進(jìn)行集中控制管理的目的���。對(duì)于VCF來(lái)說(shuō)�,設(shè)備按角色有CB(Controlling Bridge)和PE(Port Extender)兩種���。CB表示控制設(shè)備��,PE表示縱向擴(kuò)展設(shè)備���,即端口擴(kuò)展器(或稱遠(yuǎn)程接口板)����。通常來(lái)說(shuō)�,PE設(shè)備的能力不足以充當(dāng)CB,管理拓?fù)渖想y以越級(jí)����,處于“非不為也,實(shí)不能也”的狀態(tài)��。如下圖二IRF2和VCF融合應(yīng)用的一個(gè)舉例����,在IRF2的基礎(chǔ)上進(jìn)一步減少了管理節(jié)點(diǎn),節(jié)省了用戶成本�����,同時(shí)通過(guò)IRF2提供了高可靠性�����,避免單點(diǎn)故障����。
圖2 VCF結(jié)構(gòu)
計(jì)算虛擬化技術(shù)
服務(wù)器虛擬化解決方案可以充分利用高性能服務(wù)器的計(jì)算能力,將原本運(yùn)行在單臺(tái)物理服務(wù)器上的操作系統(tǒng)及應(yīng)用程序遷移到虛擬機(jī)上�����,虛擬化后�����,一臺(tái)物理服務(wù)器上能運(yùn)行多臺(tái)虛擬機(jī)�,完成對(duì)企業(yè)應(yīng)用系統(tǒng)的整合。通過(guò)服務(wù)器虛擬化�����,提高硬件資源的利用率���,有效地抑制IT資源不斷膨脹的問(wèn)題�����,降低客戶的采購(gòu)成本和維護(hù)成本�,同時(shí)可以節(jié)省IT機(jī)房的占地空間以及供電和冷卻等運(yùn)營(yíng)開(kāi)支。
圖3 計(jì)算虛擬化
管理和維護(hù)帶來(lái)了許多問(wèn)題:
職責(zé)不清:虛擬交換機(jī)(vSwitch)的出現(xiàn)����,使網(wǎng)絡(luò)觸角已經(jīng)延伸到服務(wù)器中,系統(tǒng)管理員和網(wǎng)絡(luò)管理員的職責(zé)分界不清(注:關(guān)于vSwitch及虛擬機(jī)相關(guān)網(wǎng)絡(luò)概念的介紹請(qǐng)參照本刊《數(shù)據(jù)中心虛擬機(jī)網(wǎng)絡(luò)接入技術(shù)——基礎(chǔ)篇》一文)��;
·資源可視性:服務(wù)器在虛擬化后����,規(guī)模劇增;虛擬機(jī)網(wǎng)絡(luò)位置的非物理性�,使資源的可視性管理非常困難。虛擬機(jī)的存在給故障(網(wǎng)絡(luò)����、應(yīng)用)分析和定位帶來(lái)更大的難度;
·流量可視性:虛擬機(jī)的遷移技術(shù)����,使網(wǎng)絡(luò)中的流量分布存在更多的動(dòng)態(tài)性,導(dǎo)致流量可視性的困難����;
·自動(dòng)化配置管理:虛擬機(jī)的遷移技術(shù),要求網(wǎng)絡(luò)的配置要跟隨虛擬機(jī)進(jìn)行動(dòng)態(tài)實(shí)時(shí)的調(diào)整��、自動(dòng)化管理能力的必要性更為突出��;
服務(wù)器虛擬化后�,虛擬服務(wù)器規(guī)模劇增,以及虛擬化軟件的遷移特性使虛擬服務(wù)器在數(shù)據(jù)中心網(wǎng)絡(luò)中的物理位置的可視性變得困難����。
在創(chuàng)建VM或遷移(vMotion)時(shí),VM主機(jī)能否正常運(yùn)行��,不僅需要在服務(wù)器上的資源合理調(diào)度���,網(wǎng)絡(luò)連接的合理調(diào)度也是必須的�。圖四所示虛擬機(jī)VM1從物理服務(wù)器pSrv1遷移到物理服務(wù)器pSrv2上�����。
圖4 網(wǎng)絡(luò)配置遷移
其網(wǎng)絡(luò)連接從原來(lái)的由pSRV1上虛擬交換機(jī)vSwitchA的某個(gè)VSI(屬于VLAN100的端口組)接入到邊緣物理交換機(jī)Edge Switch1�,變成由pSRV2上vSwitchB的某個(gè)VSI(屬于VLAN100的端口組)接入到EdgeSwitch2。若遷移后對(duì)應(yīng)的Edge Switch的網(wǎng)絡(luò)配置不合適���,則VM1遷移后就可能不能正常使用�����。比如原先對(duì)VM1的訪問(wèn)設(shè)置了ACL�����,以屏蔽非法訪問(wèn)��;或設(shè)置了QoS�����,以保障VM1上業(yè)務(wù)運(yùn)行帶寬等服務(wù)質(zhì)量��。都需要在發(fā)生VM創(chuàng)建或vMotion時(shí)同步調(diào)整相關(guān)的網(wǎng)絡(luò)連接配置�����。而且�����,為了保證VM的業(yè)務(wù)連續(xù)性���,除了虛擬化軟件能保證VM在服務(wù)器上的快速遷移���,相應(yīng)的網(wǎng)絡(luò)連接配置遷移也需要實(shí)時(shí)完成�。即網(wǎng)絡(luò)具有“隨需而動(dòng)”的自動(dòng)化能力�。
在VEB vSwtich模式下,多個(gè)VM的vNic(對(duì)應(yīng)VEB上的VSI接口)和鄰接物理交換機(jī)的鏈接使用的是一個(gè)物理鏈路(或聚合后的物理鏈路��,Nicteaming)��,不管是邏輯上還是物理上都是一個(gè)接口�����,即VM和物理接口是N:1的關(guān)系(如圖五所示)�。
在此模式下�,鄰接物理交換機(jī)的配置控制粒度只能到物理接口級(jí),針對(duì)數(shù)據(jù)中心“隨需而動(dòng)”的配置自動(dòng)化遷移�,通常情況下會(huì)出現(xiàn)多個(gè)VM的配置都重復(fù)下發(fā)到一個(gè)物理接口上,很難做到針對(duì)每一個(gè)VM的精細(xì)化網(wǎng)絡(luò)配置管理���。
可行的辦法只有先精細(xì)化區(qū)分流量(比如源IP�、源MAC���、VLAN等)���,基于流量的識(shí)別再進(jìn)行針對(duì)VSI的配置遷移�����。這樣就又引入了新的復(fù)雜性和局限性����。首先要求鄰接物理交換機(jī)支持基于源IP/源MAC/VLAN的ACL或流分類��、以及帶寬控制能力�;其次要支持ACL、MQC的動(dòng)態(tài)創(chuàng)建和刪除能力�,而在創(chuàng)建和刪除時(shí),很可能會(huì)影響其他VM的配置�。
另外,當(dāng)VM從一個(gè)物理服務(wù)器上遷移走之后��,本地配置的去部署通常需要由用戶預(yù)先配置好����,此處若想實(shí)現(xiàn)智能化(由部署命令自動(dòng)生成去部署命令),邏輯和實(shí)現(xiàn)也非常復(fù)雜�����。
Basic VEPA方式也存在同樣的問(wèn)題,在擬定義的802.1Qbg標(biāo)準(zhǔn)中�,也在考慮在VDP報(bào)文中增加附加過(guò)濾字段(比如VLAN、源MAC等)�����,來(lái)解決VM和物理接口N:1的問(wèn)題���。報(bào)文和設(shè)備處理的復(fù)雜性被放大了。
圖5 VEPA/VEB�、Multi-Channel/PE 物理端口映射對(duì)比
但是虛擬機(jī)的大量應(yīng)用也給網(wǎng)絡(luò)的Multi-Channel、PE方案的提出為此問(wèn)題找到了最優(yōu)的解決方法��,即在鄰接物理交換機(jī)出現(xiàn)了vPort的概念�。這類邏輯虛接口可以實(shí)現(xiàn)和VM對(duì)應(yīng)的vNic/VSI的1:1對(duì)應(yīng)關(guān)系。
VM遷移時(shí)�,只需在對(duì)應(yīng)的鄰接物理交換機(jī)上動(dòng)態(tài)創(chuàng)建一個(gè)vPort(當(dāng)然如果VM需要多個(gè)vNic時(shí),對(duì)應(yīng)也要?jiǎng)?chuàng)建多個(gè)vPort)���,并將VM對(duì)應(yīng)的網(wǎng)絡(luò)配置Profile綁定到vPort上����。不會(huì)對(duì)其他vPort產(chǎn)生影響�。同時(shí)遷移前對(duì)應(yīng)的鄰接物理交換機(jī)只需要簡(jiǎn)單的將對(duì)應(yīng)的vPort邏輯接口刪除即可,不存在反向去部署的復(fù)雜性問(wèn)題。