[计算机]网络虚拟化技术要点及实践.doc

网络虚拟化技术要点及实践网络虚拟化技术要点及实践 作者简介：余伟明 王燕伟 朱旭明 摘 要：云计算网络作为云计算基础架构和服务提供的重要组成部分，需要满足更高的 要求。本文首先给出网络的重要性，之后从数据中心网络、跨数据中心网络分析了主要技 术要点，同时说明广东联通在实践过程中遇到的问题及关注要点。 关 键 词： 云计算、虚拟化、虚拟化网络、数据中心 1前言 云计算技术是 IT 行业的一场技术革命，已经成为了 IT 行业未来发展的方向，这种趋势使得 IT 基 础架构的运营专业化程度不断集中和提高，从而对基础架构层面，特别是网络层面提出了更高的要求。 虚拟化的计算资源和存储资源最终都需要通过网络为用户所用。如何让云平台中各种业务系统尽可能安 全的使用云平台网络，如何让业务便利的接入和使用云计算服务，以及通过网络满足数据中心间的数据 传输和配置迁移，如何通过虚拟化技术提高网络的利用率，并让网络具有灵活的可扩展性和可管理性， 这些都是云计算网络研究的重点。 随着增值业务系统的发展，原有传统数据中心存在资源利用率低、维护成本高、电力消耗严重等诸 多弊端。由此广东联通开展了以构建云计算平台实现动态基础架构的数据中心，通过虚拟化手段进行物 理资源的共享，节约单一系统的使用成本。本文着重介绍一下广东联通在搭建云计算网络过程中所遇到 的问题以及进行的思考。 2云计算的网络层次 云平台的基础架构主要包含计算(服务器)、网络以及存储。对于网络，从云平台整个网络架构上来 说，可以分为三个层面，数据中心网络、跨数据中心网络以及云接入网络，如图 1 所示。 图 1 云计算中的网络层次 数据中心网络包括连接服务器、存储以及四到七层各类服务器(如防火墙、负载均衡、应用服务器、 IDS/IPS 等)的数据中心局域网，以及边缘虚拟网络，即主机虚拟化之后，虚拟机之间的多虚拟网络交 换网络，包括分布式虚拟交换机、虚拟桥接和 I/O 虚拟化等； 跨数据中心网络主要用于不同数据中心间的网络连接，实现数据中心间的数据备份、配置迁移、多 数据中心间的资源优化以及多数据中心混合业务提供等； 接入网络用于数据中心与终端用户互联，为公众用户或企业用户提供云计算服务。 本文着重介绍数据中心网络以及跨数据中心网络两个层次的技术特点以及部署方式。 2.1 数据中心网络 数据中心是整个云计算平台的核心，数据中心是利用虚拟化技术将物理资源进行整合，进而实现增 强服务能力；通过动态资源分配及调度，提高资源利用率和服务可靠性；通过提供自服务能力，降低运 维成本；通过有效的安全机制和可靠性机制，满足自由业务系统和合作运营系统以及地方业务系统的安 全需求。由于云计算技术的逐步发展，使得传统的数据中心网络已经不能满足新一代数据中心网络高速、 扁平、虚拟化的要求。 首先，目前传统的数据中心由于多种技术和业务之间的孤立性，使得数据中心网络结构复杂，存在 相对独立的三张网，包括数据网、存储网和高性能计算网，和多个对外 I/O 接口。数据中心的前端访问 接口通常采用以太网进行互联而成，构成高速的数据网络；数据中心后端的存储则多采用 NAS、FC SAN 等接口；服务器的并行计算和高性能计算则需要低延迟接口和架构。由于以上这些问题，导致了服务器 之间存在操作系统和上层软件异构、接口与数据格式不统一； 其次，数据中心内网络传输效率低。由于云计算技术的使用，使得虚拟数据中心中业务的集中度、 服务的客户数量远超过传统的数据中心，因此需要对网络的高带宽、低拥塞提出更高的要求。一方面， 传统数据中心中大量使用的二层网络产生的拥塞和丢包，需要三层以上协议来保证重传，效率低；另一 方面，二层以太网网络采用生成树协议来保持数据包在互联的交换机回路中传递，也会产生大量冗余。 因此在使用云计算后，数据中心的网络需要解决数据中心内部的数据同步传送的大流量、备份大流 量、虚拟机迁移大流量问题。同时，还需要采用统一的交换网络减少布线、维护工作量和扩容成本。引 入虚拟化技术之后，在不改变传统数据中心网络设计的物理拓扑和布线方式的前提下，可以实现网络各 层的横向整合，形成一个统一的交换架构。 数据中心网络虚拟化分为以下三个方面： 1) 核心层虚拟化 核心层网络虚拟化，主要指的是数据中心核心网络设备的虚拟化。它要求核心层网络具备超大规模 的数据交换能力，以及足够的万兆接入能力；提供虚拟机箱技术，简化设备管理，提高资源利用率，提 高交换系统的灵活性和扩展性，为资源的灵活调度和动态伸缩提供支撑。其中 VPC 技术(Virtual Port- Channel)可以实现跨交换机的端口捆绑，这样在下级交换机上连属于不同机箱的虚拟交换机时，可以把 分别连向不同机箱的万兆链路用 IEEE802.3ad 兼容的技术实现以太网链路捆绑，提高冗余能力和链路互 连带宽，简化网络维护。 2) 接入层虚拟化 接入层虚拟化，可以实现数据中心接入层的分级设计。根据数据中心的走线要求，接入层交换机要 求能够支持各种灵活的部署方式和新的以太网技术。目前无损以太网技术标准发展很快，称为数据中心 以太网 DCE 或融合增强以太网 CEE，包括拥塞通知(IEEE802.1Qau)、增强传输选择 ETS(IEEE 802.1Qaz) 和优先级流量控制 PFC(IEEE 802.1Qbb)、链路发现协议 LLDP(IEEE 802.1AB)4。 3) 虚拟机网络交换 虚拟机网络交互包括物理网卡虚拟化和虚拟网络交换机，在服务器内部虚拟出相应的交换机和网卡 功能。虚拟交换机在主机内部提供了多个网卡的互联以及为不同的网卡流量设定不同的 VLAN 标签功能， 使得主机内部如同存在一台交换机，可以方便的将不同的网卡连接到不同的端口。虚拟网卡是在一个物 理网卡上虚拟出多个逻辑独立的网卡，使得每个虚拟网卡具有独立的 MAC 地址、IP 地址，同时还可以 在虚拟网卡之间实现一定的流量调度策略。因此，虚拟机网络交互需要实现以下功能： 1. 虚拟机的双向访问控制和流量监控，包括深度包检测、端口镜像、端口远程镜像、流量统计； 2. 虚拟机的网络属性应包括：VLAN、QoS、ACL、带宽等； 3. 虚拟机的网络属性可以跟随虚拟机的迁移而动态迁移，不需要人工的干预或静态配置，从而在 虚拟机扩展和迁移过程中，保障业务的持续性； 4. 虚拟机迁移时，与虚拟机相关的资源配置，如存储、网络配置随之迁移。同时保证迁移过程业 务不中断。 IEEE 802.1Qbg EVB (Edge Virtual Bridging)和 802.1Qbh BPE(Bridge Port Extension)是为扩 展虚拟数据中心中交换机和虚拟网卡的功能而制定的，也称为边缘网络虚拟化技术标准，这两种标准都 在制定中。其中 802.1Qbg 要求所有 VM 数据的交换(即使位于同一物理服务器内部)都通过外部网络进行， 即外部网络能够支持虚拟交换功能，对于虚拟交换网络范围内 VM 动态迁移、调度信息，均通过 LLDP 扩 展协议得到同步以简化运维。802.1Qbh 可以将远程交换机部署为虚拟环境中的策略控制交换机，而不 是部署成为邻近服务器机架的交换机，通过多个虚拟通道，让边缘虚拟桥复制帧到一组远程端口，可以 利用瀑布式的串联端口灵活地设计网络，从而更有效地为多播、广播和单播帧分配带宽。 2.2 跨数据中心网络 数据中心之间会有计算或存储资源的迁移和调度，对于大型的集群计算，可以构建大范围的二层互 联网络，对于采用多个虚拟数据中心提供云计算服务，可以构建路由网络连接。采用二层网络的好处是 对虚拟机的透明化，通过简化数据中心的二层互联设计，就可以利用网络虚拟化技术在更短时间内完成 确定性二层链路恢复，同时不影响 L3 链路，这与传统的 MSTP+VRRP 设计有所不同。此外，虚拟化能够 在跨数据中心网络各层间横向扩展，这有利于数据中心规模的扩大，同时又不影响网络管理拓扑。但为 了保证网络的高性能、可靠性，需要解决网络环路问题。 3实践过程遇到的问题 以上说明了云计算网络层面的技术要点，结合以上技术要点，广东联通实际进行云计算网络搭建过 程中主要遇到了以下三个网络虚拟化相关问题： 1. 如何实现物理机内部的虚拟网络。 2.外部网络如何调整以适应虚拟资源对网络的变化要求。 3.如何对网络进行统一管理并保证虚拟网络的安全性。 下文将针对以上问题进行详细说明。 3.1物理机内部虚拟网络 广东联通云计算平台主机硬件设备主要以刀片服务器群为主:全高或半高的机框内放置了多台刀片 服务器。内置三层网络交换机、存储交换机，并配置有管理模块。利用云计算管理平台在刀片服务器上 创建虚拟机、调整分配虚拟机资源， 每个刀框系统中包含多个内置的三层物理交换机。刀框系统中的每个物理服务器都连接在这些物理 交换机上。所有刀框系统内各设备都通过这些物理交换机与外界通讯，实现不同的功能：业务对外通讯、 资源管理信息和存储通讯。 在各物理机上根据资源的分配，虚拟出单个或多个虚拟机。每个虚拟机可虚拟出多个网卡用于对外 通讯，根据需求归属不同的业务系统，使用不同的 IP 地址。在各物理机上虚拟出虚拟网桥。同一物理 机上的虚拟机借助虚拟网桥共用物理机网络带宽，实现虚拟机之间的通讯。在同一刀框系统内，跨物理 机的虚拟机则通过刀框系统中内置的三层物理交换机实现跨物理机的通讯。 通过物理机上创建虚拟机，分配物理机计算能力；通过设置虚拟机上的虚拟网卡，实现虚拟机的对 外通讯；通过设置虚拟网桥，实现虚拟机之间的通讯和带通讯宽的共享。这样，通过虚拟层实现了资源 的分配和调度。 3.2虚拟化资源对网络的要求 每台刀框系统内置三层物理交换机，交换机负责刀框内各物理机和虚拟机与外界的通讯。交换机上 联到一对三层交换机组成的云计算平台接入交换机。云计算平台接入交换机连接增值业务承载网汇聚交 换机，通过增值业务承载网实现云计算平台各虚拟机与其他增值业务系统通讯，以及与其他非增值业务 系统通讯。 根据业务需要，不同的业务系统划分为不同的 VLAN，使用不同的 IP 地址段，归属不同业务系统的 虚拟机也分配为相应的 VLAN，这些 VLAN 终结在云计算平台接入交换机上。通过该交换机的三层路由功 能，实现不同 VLAN 之间的通讯，实现跨刀框系统的虚拟机之间的通讯和资源调配。 3.3网络的统一管理及安全防护 每台刀框系统带有 CMC 管理监控模块，用于对整个系统的各个硬件部分进行远程控制和管理。各刀 框系统的 CMC 管理模块均连接在一台交换机上，作为独立的云计算平台硬件管理网段以 VLAN 方式接入 云计算平台接入交换机上。 云计算管理平台软件安装在一台虚拟机上，通过云计算平台接入交换机与被监控管理的各物理刀片 服务器进行统一管理，云计算管理软件与被管的物理刀片服务器是同一个 VLAN，使用相同的 IP 地址段， 随时可对其中的物理服务器进行管理。各虚拟机虚拟出用于管理的网卡，使用与云计算管理平台相同的 IP 地址段。这样，云计算管理平台可以访问物理刀片服务器和虚拟机，对物理服务器和虚拟机进行通 讯和资源调配，对各虚拟资源进行统一的管理。 虚拟网络环境下，各虚拟机利用了传统的虚拟网络技术-VLAN 实现虚拟机之间的隔离。对云计算环 境下各虚拟机的网络安全监控和防护仍采用传统的针对主机网络安全防护工具，如防病毒软件、主机防 火墙等。 3.4需要重视的要点 当前广东联通云计算平台网络结构已基本满足需要，但仍存在以下几个问题，需要在接下来的时间 摸索解决： 1.I/O 接口多，维护复杂度高 当前虚拟机通过物理机的网卡实现了 I/O 接口，包括存储、 监控管理、业务通讯三部分，启用 HA 还将包含 HA 通讯部分。这些 I/O 接口被分担在不同的物理机网卡上，通过不同的交换机进行通讯，需 要针对不同的接口进行维护管理。 2.带宽的流量控制 物理服务器上多个虚拟机的对外业务通讯将共用同一组物理网卡，缺乏流量控制手段，对虚拟机的 带宽使用情况进行有效的分配使用，只能通过对虚拟机的网卡设置模式的方式实现带宽的控制。 3.统一的资源调度 云计算平台的接入层网络是通过一组三层交换机实现各虚拟机 VLAN 的终结，受二层生成树结构的 影响，无法跨接入层交换机进行同一 VLAN 内的资源调度，因此无法实现跨机房的资源调度。 4.虚拟机存在网络安全问题 虚拟机对外通讯是通过虚拟网桥实现，虚拟网桥并不能实现二层网络上的隔离，也没有加密通讯。 业务系统内部通讯被虚拟网桥广播到其他业务系统。云计算平台需要对所有的虚拟机和物理服务器进行 监控和资源调度，同属一个管理网段，而虚拟机是被用户控制和管理，存在着虚拟机受到攻击通过管理 网段影响其他虚拟机的情况。 5.云计算平台的网络安全防护工具 构建云平台的防病毒以及业务系统隔离手段。 4结束语 云计算是为不同用户提供虚拟、可靠、弹性、按需的 IT 服务，作为连接用户和承载各种计算存储 资源的网络，除了具备现有基本网络功能外，还必须满足云计算特性的更高要求。本文着重分析了网络 虚拟化在数据中心网络、跨数据中心网络的技术要点，同时说明了广东联通在实践的过程中遇到的问题 及解决方法。可以预见，随着云计算产业发展步伐的加快，网络虚拟化技术将会更快的发展以实现有效 的支撑整个云计算生态环境，通过网络虚拟化可实现弹性、安全、自适应以及易管理的基础网络，充分 满足虚拟技术对基础网络带来的挑战，达到提高数据中心的运行效率、业务部署灵活、降低能耗、释放 机架空间的目的。 参考文献