网络规划设计

HC13081,云计算,V1R5,1.0,李扶洋,2016-08,Fly,新开发,网络设计,本节介绍传统网络向虚拟网络，VxLAN及SDN发展的驱动力，并为理解其概念及含义提供了学习知识以华为FusionSphere介绍云数据中心的SDN方案实例化认识SDN数据中心网络设计，主要从虚拟网络平面隔离，SDN方案集成等讲解学习,学完本课程后，您将能够:了解虚拟网络，VxLAN及SDN的产生背景和解决的问题熟悉FusionSphereSDN解决方案理解数据中心网络设计比传统网络设计更广泛的范畴更广，如何着手等,网络虚拟化介绍VxLANSDN数据中心网络设计,为什么要虚拟网络,传统数据中心特点：一个物理网络端口对应一台唯一的计算机计算机与网络关系固定，很少变动云计算数据中心带来的变化：一个物理网络端口会对应对应数量不固定的虚拟机虚拟机会频繁的进行跨主机的迁移，与网络间关系不再固定传统南北流向为主的数据中心网络架构不满足未来IT发展的需求热迁移使得计算能力不再固定在具体物理位置，传统网络无法灵活的满足云计算的诉求,虚拟网络的产生,虚拟化技术从服务器虚拟化延伸到网络虚拟化通过网络虚拟化，基于同一物理网络，虚拟机认为运行于不同的虚拟网络服务器虚拟化使得虚拟机按需可得，网络虚拟化使得虚拟网络灵活配置,虚拟网络A,虚拟网络B,物理网络,服务器虚拟化多个虚拟机运行在一个物理服务器上每个虚拟机相互独立，互不干扰,网络虚拟化多个虚拟网络承载在一个物理网络上每个虚拟网络相互独立，互不干扰,虚拟网络,与服务器虚拟化类似，网络虚拟化可以在很短的时间（秒级）创建L2、L3到L7的网络服务，如交换，路由，防火墙和负载均衡等。虚拟网络独立于底层网络硬件，可以按照业务需求配置、修改、保存、删除，而无需重新配置底层物理硬件或拓扑。这种网络技术的革新为实现软件定义的数据中心奠定了基础,云计算环境下的虚拟网络,两层独立发展软件定义网络VM跨网迁移底层硬件维护高共享资源池,云计算网络虚拟化的特点,隔离性不同租户的流量，相互之间不能访问不同租户的IP/MAC地址可以独立规划，甚至可以相互重叠,可移动性虚拟机可以跨二层/三层迁移，甚至可以跨广域网进行迁移逻辑网络和物理网络解耦，不受物理网络限制逻辑网络可以跨越二层/三层物理网络可扩展性逻辑网络规模可扩展逻辑网络数量可扩展,网络虚拟化的层次,第一部分是服务器内部：IO虚拟化第二部分是服务器内部：虚拟接入识别不同虚拟机的网络包第三部分是服务器到网络的连接：网络连接第四部分是网络交换：需要将物理网络和逻辑网络有效的分离，另外网络设备如交换机、路由器等需要具备1：N和N:1的虚拟化能力,端到端的技术,网络IO虚拟化(1),虚拟交换现状,分布式虚拟交换实现方式,虚拟交换机可以在三个层次实现：基于服务器CPU：以软件形式运行在服务器上，实现虚拟交换功能基于物理网卡：某些物理网卡支持硬件虚拟化功能，通过硬件本身提供的虚拟化功能实现虚拟交换基于物理交换机：某些物理交换机可通过特殊协议，感知虚拟机的存在，在交换机层实现虚拟交换,基于CPU实现的虚拟交换,在服务器的CPU中实现完整的虚拟交换的功能，虚拟机的虚拟网卡对应虚拟交换的一个虚拟端口，服务器的物理网卡作为虚拟交换的上行链路接入物理接入层交换机虚拟机的报文接收流程如下：虚拟交换机首先从虚拟端口/物理端口接收以太网报文，之后根据虚拟机MAC、VLAN，查找二层转发表，找到对应的虚拟端口/物理端口，然后按照具体的端口，转发报文如图所示，同一主机中的虚拟机VM1和VM2之间的数据交换由本地虚拟交换机完成，而VM1与VM3通信时，数据交换有两个虚拟交换机及物理交换机共同完成,基于CPU实现的虚拟交换的特点,服务器内部的通信性能同一服务器上的虚拟机间报文转发性能好，时延低虚拟交换机实现虚拟机之间报文的二层软件转发报文不出服务器，转发路径短，性能高跨服务器通信性能需要经物理交换机进行转发，相比物理交换机实现虚拟交换，由于虚拟交换模块的消耗，性能稍低于物理交换机实现虚拟交换扩展灵活由于采用纯软件实现，相比采用L3芯片的物理交换机，功能扩展灵活、快速，可以更好的满足云计算的网络需求扩展规格容量大服务器内存大，相比物理交换机，在L2交换容量、ACL容量等，远大于物理交换机,SR-IOV技术,SR-IOV(SingleRootI/OVirtualization)技术基于硬件的虚拟化解决方案允许在虚拟机之间高效共享PCIe设备，并且在硬件中实现的，可以获得能够与本机性能媲美的I/O性能下面先介绍软件共享方案的架构及不足，再分析SR-IOV实现的硬件共享方案,软件IO共享结构,以软件为基础的IO共享利用仿真技术为每个VM提供逻辑的硬件设备，仿真层位于VM的OS和实际物理设备之间虚拟设备可以解析IO命令、完成VM地址到主机物理地址的翻译。软件必须解决多个VM的并行IO操作到单个IO数据流的合并操作，由虚拟软件桥(SoftwareVirtualSwitch)完成软件共享IO的优势在于利用软件仿真可以支持多种物理设备。但软件仿真只能实现物理设备的功能子集，可能无法利用物理设备所提供的高级功能VMM所实现的虚拟桥在物理设备和多个VM之间实现进行数据包路由会带来一定的CPU开销，会导致IO设备的吞吐量下降，例如10Gbps的物理网卡在软件共享模式下其吞吐量可能只有4.5-6.5Gbps,SR-IOV硬件共享架构,SR-IOV架构设备允许一个物理设备支持多个虚拟功能，SR-IOV引入了两个新的功能类型：物理功能(PF)：用于支持SR-IOV功能的PCI功能，PF包含SR-IOV功能结构，用于管理SR-IOV功能。PF可以像其他PCIe设备一样进行发现、管理。PF拥有完全配置资源，可以用于配置或控制PCIe设备虚拟功能(VF)：VF是一种轻量级PCIe功能，可与物理功能以及与同一物理功能关联的其他VF共享一个或多个物理资源。VF仅允许拥有用于其自身行为的配置资源具有SR-IOV功能的设备通过设置可以在配置空间出现多个功能，其支持的独立VF数量是可以配置的，每个功能拥有自己的配置空间。VMM通过配置空间匹配可以为一个VM指定一个或多个VFSR-IOV技术使VM和物理设备VFn之间实现直接的DMA传输，无需软件的干预,SR-IOV重要组件,SR-IOV重要组件(1),PF驱动Hypervisor使用PF驱动管理SR-IOV设备的全局功能PF可以被Hypervisor用作一个具有普通I/O功能的设备，如图中PF作为一个普通的网卡连接到虚拟交换机上Hypervisor调用PF驱动配置虚拟设备VF,SR-IOV重要组件(2),VF驱动半虚拟化驱动，安装在GuestOS中GuestOS用VF驱动来同物理网卡中的VF进行通信传输数据,SR-IOV重要组件(3),PF(PhysicalFunction)一个PF可以被看做一个完整的I/O设备，功能相当于一个完整的物理网卡PF有单独的寄存器BARs(BaseAddressRegisters)，用来保存当前数据传输的状态PF有单独的传输队列，包含发送队列和接收队列PF拥有完全配置资源，可以用于配置或控制PCIe设备，可用于管理VF,SR-IOV重要组件(4),VF(VirtualFunction)VF是一种轻量级PCIe功能，可以与物理功能以及与同一物理功能关联的其他VF共享一个或多个物理资源。VF仅允许拥有用于其自身行为的配置资源。VF有单独的寄存器BARs(BaseAddressRegisters)，用来保存当前数据传输的状态VF有单独的传输队列，包含发送队列和接收队列,SR-IOV重要组件(5),内部网桥及分类器BridgeandClassifier所有的PF的传输队列及VF的传输队列都连接到内部网桥及分类器内部网桥Bridge用于同一个物理机内部虚拟机之间的交互分类器Classifier用于接收数据的时候，根据MAC地址查看，包是发送给哪个虚拟机的，则放到相应的VF的接收队列中,SR-IOV网卡的数据发送过程,虚拟机将以太网报文放入VF驱动，发送中断开始传输数据中断到达VMM，VMM通知VF取数据初始化DMA操作，其中DMA操作的内存地址已经由VF驱动配制完成DMA操作到达芯片，InterVT-d技术实现DMA地址从虚拟的主机地址到实现的物理主机地址之间转换，DMA操作完成后，报文从VM的内存空间到达VF的内存空间，放入队列报文从队列到达网桥网桥根据MAC或VLAN将报文在本机转发到其他VF或者转发到物理网口物理网口将数据发送到物理网络,SR-IOV网卡的数据接收过程,以太网报文到达物理网卡报文被发送到分类器分类器根据MAC或VLAN将报文放置到目标VF对应的接收队列初始化DMA操作，其中DMA操作的目标内存地址已经由VF驱动配制完成DMA操作到达芯片，InterVT-d技术实现DMA地址从虚拟的主机地址到实现的物理主机地址之间转换，DMA操作完成后，报文到达VM的内存空间物理网卡产生中断，表明数据已经到达，由VMM负责处理这个中断VMM对VM产生一个虚拟的中断，通知VM数据包已经到达,物理网卡实现虚拟交换的特点,相对于虚拟交换机（软件VEB），减少了CPU占用率，采用网卡实现交换的功能，不再需要CPU参与虚拟交换处理对于物理网卡实现虚拟直通功能时，由于实现了虚拟机对PCIe设备的直接访问和操作，显著降低了从虚拟机到物理网卡的报文处理延时传统商业网卡无法支持热迁移、同时功能简单，无法支持灵活的安全隔离等特性，且功能扩展困难华为自研iNIC智能网卡硬件，实现了虚拟机虚拟网卡与iNIC智能网卡虚拟的虚拟队列直接相连，同时支持热迁移、安全隔离功能,网络虚拟化介绍VxLANSDN数据中心网络设计,VxLAN技术,VxLAN背景现有VLAN只有4094个虚拟网络标识可用在VLAN网络下，虚拟机只能在二层网络下迁移VxLAN(VirtualeXtensibleLocalAreaNetwork，全称虚拟扩展局域网)是一种进行大二层虚拟网络扩展的隧道封装技术，解决了上面的问题VxLAN引入一个UDP格式的外层隧道，作为数据的链路层，而原有数据报文内容作为隧道净荷来传输,VxLAN报文结构,VxLAN报文格式如下，包括VXLAN外层封装和内层的原始净荷,其中:Flags(8bits)其中I必须被设置为1，才是有效的。其他7位（R）为保留字段，必须设置为0VxLANSegmentID/VxLANNetworkIdentifier(VNI)为24bit，是虚拟网络的标识Reservedfields(24bitsand8bits)必须被设置为0VxLAN外层隧道的目的端口号为4789，为专为VxLAN分配的端口号,VxLAN重要组件,VNI：VxLANNetworkIdentifier，24位虚拟网络标识，可支持16M虚拟网络VTEP：VxLANTunnelEndPoint，完成VxLAN报文的封装和解封装，VTEP与物理网络相连，分配有物理网络的IP地址，该地址与虚拟网络无关,VxLAN网关,为了让VxLAN虚拟网络之间以及虚拟网络与物理网络之间能够进行通信，VxLAN标准还定义了一个VxLAN网关实体,VxLAN通信过程(1),VM发送ARP广播报文，到达VTEP后，VTEP将广播报文封装为组播报文发送到L3网络中VTEP2收到组播报文后，首先学习VM1-VTEP1之间的映射关系，并把组播报文转发给本地的VM3,VxLAN通信过程(2),VM3进行单播的应答VTEP2封装VXLAN隧道，并根据学习到的映射表，封装成VTEP1的外层地址，单播发送给VTEP1VTEP1收到应答后，学习VM3-VTEP2之间的地址映射，并去掉隧道转发报文给VM1后续VM1与VM3之间就可以按照单播进行正常的隧道报文通信了,虚拟机迁移对网络的要求,建议的网络：将一个专用的千兆以太网适配器用于虚拟机迁移通过VLAN将虚拟机的业务流量和管理流量划分到另外的网络适配器上由于网络流量未加密，应选用安全的专用网络，仅供迁移使用确保虚拟机在源主机和目标主机上可以访问相同的子网,网络虚拟化介绍VxLANSDN数据中心网络设计,传统网络面临的问题,分布式最短路径算法带来的网络拥塞问题,各厂家的网络设备都太复杂了,如果您准备成为IP骨灰级专家，您需要阅读网络设备相关RFC2500篇，一天阅读一篇也需要6年多，而这只是整个RFC的1/3，其数量还在增加如果您准备成为某个设备商设备的百事通，需要掌握的命令行超过10000条，而其数量还在增加,传统网络协议众多，网络管理运维困难,网络创新业务的部署速度太慢,系统性的解决以上问题-SDN,SDN网络架构,南北向业务互访:基于TORNVEOverlay的互访流程东西向业务互访:基于TORNVEOverlay的互访流程，包括对异构资源池的互访,华为FusionSphere6.0DC内业务转发流程,FSO6.0对接SDN特性能力,层次化Overlay原理,层次化Overlay介绍,OVS作为NVE是VXLAN的普遍用法，在这种应用情景下，OVS需要用到Host的内核协议栈的VXLAN封装与解封装能力，使用内核协议栈的VXLAN封装与解封装能力，使得数据面的转发性能很低，业界开始思考VXLAN卸载方案，涌现出了几个常见方案：1.以IT产品线芯片开发部的Hi1822的网卡卸载方案2.以ToR做NVE的交换机硬件卸载方案。FusionSphere6.0采用业界常见的方案2支持VXLAN卸载，需要支持ToR做NVE的场景，ToR做NVE的场景，计算节点上OVS做虚拟化接入，提供VLAN能力来隔离租户，Juno版本的neutron，po