第四章 网络虚拟化技术

网络虚拟化技术,本节介绍FusionCompute网络虚拟化涉及的特性及原理。学员需充分把握特性内涵以助于后续实际环境中进行功能的合理引用与优化,学完本课程后，您将能够:了解网络虚拟化技术华为实现方案熟悉FusionCompute产品分布式虚拟交换机关键特性和配置方法掌握FusionCompute产品网卡直通关键技术特性和使用方法,网络虚拟化介绍分布式虚拟交换机华为虚拟交换特性网卡硬直通和软直通虚拟防火墙虚拟负载均衡器VDC和VPCVxLAN,为什么要网络虚拟化,传统数据中心特点：一个物理网络端口对应一台唯一的计算机计算机与网络关系固定，很少变动云计算数据中心带来的变化：一个物理网络端口会对应对应数量不固定的虚拟机虚拟机会频繁的进行跨主机的迁移，与网络间关系不再固定传统南北流向为主的数据中心网络架构不满足未来IT发展的需求热迁移使得计算能力不再固定在具体物理位置，传统网络无法灵活的满足云计算的诉求,网络虚拟化的产生,虚拟化技术从服务器虚拟化延伸到网络虚拟化通过网络虚拟化，基于同一物理网络，虚拟机认为运行于不同的虚拟网络服务器虚拟化使得虚拟机按需可得，网络虚拟化使得虚拟网络灵活配置,虚拟网络A,虚拟网络B,物理网络,服务器虚拟化多个虚拟机运行在一个物理服务器上每个虚拟机相互独立，互不干扰,网络虚拟化多个虚拟网络承载在一个物理网络上每个虚拟网络相互独立，互不干扰,网络虚拟化,与服务器虚拟化类似，网络虚拟化可以在很短的时间（秒级）创建L2、L3到L7的网络服务，如交换，路由，防火墙和负载均衡等。虚拟网络独立于底层网络硬件，可以按照业务需求配置、修改、保存、删除，而无需重新配置底层物理硬件或拓扑。这种网络技术的革新为实现软件定义的数据中心奠定了基础,云计算环境下的网络虚拟化,两层独立发展软件定义网络VM跨网迁移底层硬件维护高共享资源池,云计算网络虚拟化的特点,隔离性不同租户的流量，相互之间不能访问不同租户的IP/MAC地址可以独立规划，甚至可以相互重叠,可移动性虚拟机可以跨二层/三层迁移，甚至可以跨广域网进行迁移逻辑网络和物理网络解耦，不受物理网络限制逻辑网络可以跨越二层/三层物理网络可扩展性逻辑网络规模可扩展逻辑网络数量可扩展,网络虚拟化的层次,第一部分是服务器内部：IO虚拟化第二部分是服务器内部：虚拟接入识别不同虚拟机的网络包第三部分是服务器到网络的连接：网络连接第四部分是网络交换：需要将物理网络和逻辑网络有效的分离，另外网络设备如交换机、路由器等需要具备1：N和N:1的虚拟化能力,端到端的技术,网络IO虚拟化,多个虚拟机共享服务器中的物理网卡，I/O虚拟化需要能够保证I/O的效率从CPU的角度看，要解决虚拟机访问物理网卡等I/O设备的性能问题，能做的就是直接支持虚拟机内存到物理网卡的DMA操作Intel的VT-d技术AMD的IOMMU技术DMA重映射机制主要解决了两个问题为每个VM创建了一个DMA保护域并实现了安全的隔离将虚拟机的GuestPhysicalAddress翻译为物理机的HostPhysicalAddress,网络IO虚拟化(1),虚拟交换现状,网络虚拟化介绍分布式虚拟交换机华为虚拟交换特性网卡硬直通和软直通虚拟防火墙虚拟负载均衡器VDC和VPCVxLAN,分布式虚拟交换实现方式,虚拟交换机可以在三个层次实现：基于服务器CPU：以软件形式运行在服务器上，实现虚拟交换功能基于物理网卡：某些物理网卡支持硬件虚拟化功能，通过硬件本身提供的虚拟化功能实现虚拟交换基于物理交换机：某些物理交换机可通过特殊协议，感知虚拟机的存在，在交换机层实现虚拟交换,基于CPU实现的虚拟交换,在服务器的CPU中实现完整的虚拟交换的功能，虚拟机的虚拟网卡对应虚拟交换的一个虚拟端口，服务器的物理网卡作为虚拟交换的上行链路接入物理接入层交换机虚拟机的报文接收流程如下：虚拟交换机首先从虚拟端口/物理端口接收以太网报文，之后根据虚拟机MAC、VLAN，查找二层转发表，找到对应的虚拟端口/物理端口，然后按照具体的端口，转发报文如图所示，同一主机中的虚拟机VM1和VM2之间的数据交换由本地虚拟交换机完成，而VM1与VM3通信时，数据交换有两个虚拟交换机及物理交换机共同完成,基于CPU实现的虚拟交换的特点,服务器内部的通信性能同一服务器上的虚拟机间报文转发性能好，时延低虚拟交换机实现虚拟机之间报文的二层软件转发报文不出服务器，转发路径短，性能高跨服务器通信性能需要经物理交换机进行转发，相比物理交换机实现虚拟交换，由于虚拟交换模块的消耗，性能稍低于物理交换机实现虚拟交换扩展灵活由于采用纯软件实现，相比采用L3芯片的物理交换机，功能扩展灵活、快速，可以更好的满足云计算的网络需求扩展规格容量大服务器内存大，相比物理交换机，在L2交换容量、ACL容量等，远大于物理交换机,物理网卡实现虚拟交换,设计思想是将虚拟交换功能从服务器的CPU移植到服务器物理网卡，通过网卡硬件改善虚拟交换机占用CPU资源而影响虚拟机性能的问题，同时借助物理网卡的直通的能力，加速虚拟交换的性能如图所示SRIOV硬件网卡直通方案，虚拟机VM1与虚拟机VM2之间的数据交换由物理网卡完成传统的SR-IOV商业网卡，可以支持简单的虚拟交换的功能，高级特性较少，并且由于自身设计以及缺乏与Hypervisor的配合存在一些缺陷，如热迁移等,物理网卡实现虚拟交换的特点,相对于虚拟交换机（软件VEB），减少了CPU占用率，采用网卡实现交换的功能，不再需要CPU参与虚拟交换处理对于物理网卡实现虚拟直通功能时，由于实现了虚拟机对PCIe设备的直接访问和操作，显著降低了从虚拟机到物理网卡的报文处理延时传统商业网卡无法支持热迁移、同时功能简单，无法支持灵活的安全隔离等特性，且功能扩展困难华为自研iNIC智能网卡硬件，实现了虚拟机虚拟网卡与iNIC智能网卡虚拟的虚拟队列直接相连，同时支持热迁移、安全隔离功能,物理交换机实现虚拟交换(1),实现思想：虚拟机的网络流量由接入交换机处理即使是同一VLAN内的流量也要绕出来广播和组播都由交换机模拟代表技术VEPA（VirtualEthernetPortAggregator）VEPA将虚拟机之间的交换行为从服务器内部移出到上联交换机上，当两个处于同一服务器内的虚拟机要交换数据时，从虚拟机A出来的数据帧首先会经过服务器网卡送往上联交换机，上联交换机通过查看帧头中带的MAC地址（虚拟机MAC地址）发现目的主机在同一台物理服务器中，因此又将这个帧送回原服务器，完成寻址转发依赖物理交换机支持VEPA，需要虚拟交换机软件、服务器物理网口驱动作联动修改节省了虚拟交换机查表对物理主机CPU资源消耗物理交换机转发功能依赖芯片，功能扩展性差H3C、HP等少数厂家宣传支持,物理交换机实现虚拟交换(2),VN-TagVN-tag是由Cisco和VMWare共同提出的一项标准，其核心思想是在标准以太网帧中增加一段专用的标记VN-Tag，用以区分不同的VIF，从而识别特定虚拟机的流量端口扩展技术需要为以太网报文增加TAG，而端口扩展设备借助报文TAG中的信息，将端口扩展设备上的物理端口映射成上行物理交换机上的一个虚拟端口，并且使用TAG中的信息来实现报文转发和策略控制,物理交换机实现虚拟交换的特点,由于流量从虚拟机上被引入到外部网络，带来了更多网络带宽开销的问题对于对流量监管能力、安全策略部署能力要求较高的场景（如数据中心）而言，是一种优选的技术方案虚拟机之间报文转发性能低于虚拟交换机，兼容性较差，需要特殊物理交换机需要虚拟交换机软件、服务器物理网口驱动作联动修改节省了虚拟交换机查表对物理主机CPU资源消耗物理交换机转发功能依赖芯片，功能扩展性差,华为分布式虚拟交换机方案,华为的分布式虚拟交换支持基于开源OpenvSwitch的纯软件的虚拟交换的功能，同时提供支持完整虚拟交换卸载的智能网卡的虚拟交换开源OpenvSwitch与智能网卡的虚拟交换提供的功能完全一致，虚拟交换管理通过不同的插件管理OpenvSwitch和智能网卡,OVS与EVS,OVSOpenvSwitch（OVS）是一款软件实现的开源虚拟交换机。它遵循Apache2.0许可证。能够支持多种标准的管理接口和协议（例如NetFlow、sFlow、SPAN、RSPAN、CLI、LACP、802.1ag等），还可以支持跨多个物理服务器的分布式环境（类似于VMware的vSwitch或Cisco的Nexus1000V）。OVS提供了对OpenFlow协议的支持，并且能够与众多开源的虚拟化平台相整合,EVSElasticVirtualSwitch（EVS）是华为基于OVS开发转发技术，提升了其IO性能的弹性化虚拟交换。仍然遵从OpenFlow协议标准。IO性能提升使用了IntelDPDK技术，通过用户态进程接管网卡数据收发，采用每个端口分配一个核专门用于数据收发，这种轮询式的处理方式比中断式的处理更高效，因而IO性能方面有显著提升,虚拟交换机管理,主机CNA主机，提供虚拟机使用的CPU和内存资源，并使虚拟机能够访问网络分布式虚拟交换机管理多台主机上的虚拟交换机（基于软件或智能网卡）的虚拟网络管理方式，包括对主机的物理端口和虚拟机虚拟端口的管理。分布式虚拟机交换机可以保证虚拟机在主机之间迁移时网络配置的一致性端口组端口组是分布式虚拟交换机(DVS)中虚拟端口的集合。端口组主要是为了方便用户同时对端口组中的多个端口进行配置，以减少重复配置工作。连接在同一端口组的虚拟机网卡，具有相同的网络属性。如：带宽限速、优先级、VLAN、DHCP隔离、IP和MAC绑定等,网络虚拟化介绍分布式虚拟交换机华为虚拟交换特性网卡硬直通和软直通虚拟防火墙虚拟负载均衡器VDC和VPCVxLAN,虚拟交换机特性,特性描述物理端口聚合网卡虚拟交换QoS流量整形二层安全和广播报文抑制安全组VLAN端口镜像VXLAN物理端口和虚拟端口管理,虚拟交换机特性(1),物理端口聚合将多个物理端口进行聚合操作，通过聚合策略提高端口的可靠性或者端口的带宽聚合协议：LACP(LinkAggregationControlProtocol)端口聚合策略：主备模式：主端口Active，备用端口Standby，当主端口失效，备用端口启用基于源目的MAC地址的负荷分担：基于MAC地址的负载均衡，当一个端口失效，流量全部走另一个端口轮询模式：采取轮流模式的负载均衡，当一个端口失效，则流量全部走另一个端口,虚拟交换机特性(2),网卡虚拟交换华为虚拟交换机提供三种网卡虚拟交换模式：VNI前后端模式VNI（virtualnetworkinterface，虚拟网络接口）是基于virtio_net的一套高效的前后端网络方案，VNI提供对虚拟网卡配置多队列的能力，借助多个CPU资源带来带宽的大幅度提升VMDq直通模式VMDq（VirtualMachineDeviceQueue，虚拟机设备队列）是Intel虚拟化技术，通过网卡对虚拟交换进行硬件加速，提升网络I/O性能SR-IOV直通模式SR-IOV可以在物理网卡上虚拟出多个的PhysicalFunction，同时在PF之上虚拟出多个的VF，从而不需要软件模拟就可以共享I/O设备物理功能，提高了网络吞吐量,虚拟交换机特性(2)网卡虚拟交换,VNI前后端模式VNI特性开发的目的在于解决原有Xen虚拟化PV驱动网络发包性能带宽受限问题。受限原因在于虚拟机的原有虚拟网卡只能使用一个收发包队列对外通信，仅能利用单个CPU的处理能力，因此无法满足高网络带宽需要求。而VNI提供对虚拟网卡配置多队列的能力，借助多个CPU资源带来带宽的大幅度提升虚拟机前端网络设备是由Qemu模拟生成的标准PCI设备，在虚拟机内部为可见的网卡设备后端网卡起到前端网卡与物理网卡中介转接的作用,虚拟交换机特性(2)网卡虚拟交换,VMDq直通模式IntelVMDq（VirtualMachineDeviceQueue虚拟机设备队列）技术，主要解决IO设备上频繁的VMM切换以及对中断的处理导致虚拟化效率低下的问题，可以减轻hypervisor负担、同时提高虚拟化平台网络I/O性能VMDq技术可以将网络I/O管理负担从hypervisor上卸载掉，在支持VMDq的网卡上，用硬件实现了一个Layer2分类/排序器，根据MAC地址和VLAN信息将数据包发送到指定的网卡队列中去，这样虚拟机收发包时就不需要hypervisor的参与，极大地提升了虚拟化网络效率,虚拟交换机特性(2)网卡虚拟交换,SR-IOV直通模式SR-IOV（SingleRootI/OVirtualization）是PCI-SIG推出的一项标准，在物理网卡上对上层软件系统虚拟出多个物理通道，每个通道具备独立的I/O功能将一个PCIe设备虚拟成多个PCIe设备，每个虚拟PCIe设备如同物理PCIe设备一样向上层软件提供服务通过SR-IOV每个虚拟功能都可以被直接分配到一个虚拟机，能够让网络传输绕过软件模拟层，直接分配到虚拟机，实现了将PCI功能分配到多个虚拟接口以在虚拟化环境中共享一个PCI设备的目的，并且降低了软加模拟层中的I/O开销，因此实现了接近本机的性能,虚拟交换机特性(3),QoS流量整形流量整形(TrafficShaping)作用是限制流出某一网络的某一连接的流量与突发，使这类报文以比较均匀的速度向外发送流量整形通常使用缓冲区和令牌桶来完成，当报文的发送速度过快时，首先在缓冲区进行缓存，在令牌桶的控制下再均匀地发送这些被缓冲的报文虚拟交换机提供两种流量整形功能：基于网络平面的流量整形基于虚拟网卡的流量整形,虚拟交换机特性(3)QoS流量整形,基于网络平面的流量整形提供基于网络平面的带宽控制功能，管理平面、存储平面和业务平面基于物理的带宽能力，分配一定配额的带宽，保证各个平面的流量拥塞不影响到其它平面。可配的参数有：平均带宽、峰值带宽、突发流量,Mgr:Management，管理平面VM:VirtualMachine,虚拟机iSCSI：InternetSmallComputerSystemInterface,存储平面,虚拟交换机特性(3)QoS流量整形,基于虚拟网卡的流量整形提供基于虚拟网卡的平均带宽、峰值带宽、突发流量，带宽优先级控制能力，保证虚拟机的网络通信质量，同时，避免不同虚拟机之间的拥塞互相影响当管理员需要限制某一虚拟机可占用的带宽的上限时，可通过设置虚拟机网卡的上限带宽来实现当管理员需要拥塞情况下，对于不同的虚拟机有不同的带宽抢占能力时，可通过配置其带宽优先级来实现，使优先级高的虚拟机抢到更多的带宽,虚拟交换机特性(4)二层安全策略,特性描述在数据中心的弹性主机出租场景，黑客可以通过租借的弹性主机对其他主机展开广播报文攻击，造成网络通信异常。可以开启虚拟交换机的广播报文抑制功能，有效防御黑客发起的广播报文攻击适用场景在服务器整合、桌面云等企业应用场景，发生内部攻击的概率很小，默认情况下关闭虚拟交换机的广播报文抑制功能，避免网络性能下降。如果有病毒或有攻击情况发生，可以开启虚拟交换机的广播报文抑制功能ARP、IP攻击防御：ARP洪泛攻击:持续不断的发送ARP包，DDOS攻击的一种IP攻击：洪泛攻击,VM1,VM2,VM3,洪泛攻击说明：VM1进行洪泛攻击VM1持续不断的发送大量报文，造成网络通信故障,ARPreq,ARPrsp,ARPrsp,虚拟交换机特性(4)二层安全策略,DHCPServer隔离(防止DHCPServer仿冒)禁止用户虚拟机启动DHCPServer服务，防止用户无意识或恶意启动DHCPServer服务，影响正常的虚拟机IP地址分配过程,虚拟交换机特性(5),安全组每个安全组可以设定一组访问规则当虚拟机加入安全组后，即受到该访问规则组的保护安全组规则包括：协议，源IP地址段、子网或安全组，允许访问的端口范围支持配置TCP、UDP、ICMP三种协议,虚拟交换机特性(6),VLAN虚拟局域网与标准IEEE802.1Q虚拟局域网实现方式兼容。虚拟局域网标记（VLANTAGGING），在上行链路或进入客户虚拟机的所有路径中使用IEEE802.1Q虚拟局域网标记，以增强流量隔离和网络安全性。限制第2层广播域的范围默认为Access端口模式，设置端口的VLANID支持Trunk端口模式，设置Trunk的VLANID范围,虚拟交换机特性(7),端口镜像通过配置端口镜像，将虚拟交换机上受控端口数据镜像一份给目的端口，通过目的端口上配置的流量分析仪，可实现对网络数据的监控和分析本地端口镜像：端口镜像的源VSP（虚拟交换机端口）和目的VSP在同一个EVS内（左图）远程端口镜像：端口镜像的源VSP和目的VSP不在同一个EVS内，镜像数据在专用VLAN域内进行广播（右图）,虚拟交换机特性(8),VxLAN将二层报文用三层协议进行封装的技术使虚拟机可以在互相连通的三层网络范围内迁移，而不需要改变IP地址和MAC地址，保证业务的连续性VxLAN采用24bit的网络标识，可创建16M相互隔离的虚拟网络，突破VLAN的4K个隔离网络的限制,虚拟交换机特性(9),端口管理包括物理端口管理和虚拟端口的管理物理端口管理信息包括物理网口的发送和接收报文数，发送和接收报文流量，网卡状态，网卡速率，网卡双工模式虚拟端口管理信息包括虚拟端口的发送和接收报文数，发送和接收报文流量并且基于流量信息统计主机和虚拟机的流速信息,网络虚拟化介绍分布式虚拟交换机华为虚拟交换特性网卡硬直通和软直通虚拟防火墙虚拟负载均衡器VDC和VPCVxLAN,智能网卡iNIC,智能网卡iNIC（IntelligentNetworkInterfaceCard）以网络处理器为核心的高性能网络接入卡。它采用多核多线程的网络处理器架构，主要用于实现虚拟交换、安全隔离、QoS等特性，应用于云计算网络虚拟化解决方案当中,华为TecaliNIC智能网卡的特性,采用多核多线程的网络处理器架构，对接收到的数据报文进行快速、高效的处理支持PCIe2.0规范，提供PCIex4模式的总线接口，支持通过PCIe升级网卡固件支持多队列、虚拟多网卡功能。可提供256个队列/虚拟接口支持物理接口的主备和负载均衡绑定功能支持VMDQ(VirtualMachineDeviceQueue)直通和Domain0转发支持虚拟交换功能，包括虚拟交换、广播流量抑制，VLAN功能支持安全功能，包括ACL过滤、带状态检测、IP和MAC绑定检查支持QoS和流量统计功能支持华为SmartUVP（UnifiedVirtualizationPlatform），支持热迁移4*1GE网卡，性能满足网卡全业务收发4Gbit/s；2*10GE网卡，性能满足网卡全业务收发6Gbit/s，支持PXE功能,iNIC实现,SR-IOV技术,SR-IOV(SingleRootI/OVirtualization)技术基于硬件的虚拟化解决方案允许在虚拟机之间高效共享PCIe设备，并且在硬件中实现的，可以获得能够与本机性能媲美的I/O性能下面先介绍软件共享方案的架构及不足，再分析SR-IOV实现的硬件共享方案,软件IO共享结构,以软件为基础的IO共享利用仿真技术为每个VM提供逻辑的硬件设备，仿真层位于VM的OS和实际物理设备之间虚拟设备可以解析IO命令、完成VM地址到主机物理地址的翻译。软件必须解决多个VM的并行IO操作到单个IO数据流的合并操作，由虚拟软件桥(SoftwareVirtualSwitch)完成软件共享IO的优势在于利用软件仿真可以支持多种物理设备。但软件仿真只能实现物理设备的功能子集，可能无法利用物理设备所提供的高级功能VMM所实现的虚拟桥在物理设备和多个VM之间实现进行数据包路由会带来一定的CPU开销，会导致IO设备的吞吐量下降，例如10Gbps的物理网卡在软件共享模式下其吞吐量可能只有4.5-6.5Gbps,SR-IOV硬件共享架构,SR-IOV架构设备允许一个物理设备支持多个虚拟功能，SR-IOV引入了两个新的功能类型：物理功能(PF)：用于支持SR-IOV功能的PCI功能，PF包含SR-IOV功能结构，用于管理SR-IOV功能。PF可以像其他PCIe设备一样进行发现、管理。PF拥有完全配置资源，可以用于配置或控制PCIe设备虚拟功能(VF)：VF是一种轻量级PCIe功能，可与物理功能以及与同一物理功能关联的其他VF共享一个或多个物理资源。VF仅允许拥有用于其自身行为的配置资源具有SR-IOV功能的设备通过设置可以在配置空间出现多个功能，其支持的独立VF数量是可以配置的，每个功能拥有自己的配置空间。VMM通过配置空间匹配可以为一个VM指定一个或多个VFSR-IOV技术使VM和物理设备VFn之间实现直接的DMA传输，无需软件的干预,SR-IOV重要组件,SR-IOV重要组件(1),PF驱动Hypervisor使用PF驱动管理SR-IOV设备的全局功能PF可以被Hypervisor用作一个具有普通I/O功能的设备，如图中PF作为一个普通的网卡连接到虚拟交换机上Hypervisor调用PF驱动配置虚拟设备VF,SR-IOV重要组件(2),VF驱动半虚拟化驱动，安装在GuestOS中GuestOS用VF驱动来同物理网卡中的VF进行通信传输数据,SR-IOV重要组件(3),PF(PhysicalFunction)一个PF可以被看做一个完整的I/O设备，功能相当于一个完整的物理网卡PF有单独的寄存器BARs(BaseAddressRegisters)，用来保存当前数据传输的状态PF有单独的传输队列，包含发送队列和接收队列PF拥有完全配置资源，可以用于配置或控制PCIe设备，可用于管理VF,SR-IOV重要组件(4),VF(VirtualFunction)VF是一种轻量级PCIe功能，可以与物理功能以及与同一物理功能关联的其他VF共享一个或多个物理资源。VF仅允许拥有用于其自身行为的配置资源。VF有单独的寄存器BARs(BaseAddressRegisters)，用来保存当前数据传输的状态VF有单独的传输队列，包含发送队列和接收队列,SR-IOV重要组件(5),内部网桥及分类器BridgeandClassifier所有的PF的传输队列及VF的传输队列都连接到内部网桥及分类器内部网桥Bridge用于同一个物理机内部虚拟机之间的交互分类器Classifier用于接收数据的时候，根据MAC地址查看，包是发送给哪个虚拟机的，则放到相应的VF的接收队列中,SR-IOV网卡的数据发送过程,虚拟机将以太网报文放入VF驱动，发送中断开始传输数据中断到达VMM，VMM通知VF取数据初始化DMA操作，其中DMA操作的内存地址已经由VF驱动配制完成DMA操作到达芯片，InterVT-d技术实现DMA地址从虚拟的主机地址到实现的物理主机地址之间转换，DMA操作完成后，报文从VM的内存空间到达VF的内存空间，放入队列报文从队列到达网桥网桥根据MAC或VLAN将报文在本机转发到其他VF或者转发到物理网口物理网口将数据发送到物理网络,SR-IOV网卡的数据接收过程,以太网报文到达物理网卡报文被发送到分类器分类器根据MAC或VLAN将报文放置到目标VF对应的接收队列初始化DMA操作，其中DMA操作的目标内存地址已经由VF驱动配制完成DMA操作到达芯片，InterVT-d技术实现DMA地址从虚拟的主机地址到实现的物理主机地址之间转换，DMA操作完成后，报文到达VM的内存空间物理网卡产生中断，表明数据已经到达，由VMM负责处理这个中断VMM对VM产生一个虚拟的中断，通知VM数据包已经到达,NetMap软直通,Netmap提供了高速网卡收发接口，以Lib库的形式提供给用户。从而用户态业务进程可以绕过内核协议栈，从网卡硬件队列直接收发报文Netmap使用软直通的方式实现GuestOS用户态的高速收发。通过qemu在GuestOS中模拟出与物理网口对应的Netmap虚拟网口，通过qemu的辅助（ivshmem）将HostOS的内存共享给Guest用户，用户使用Lib接口，可以获得与物理机中类似的数据收发性能,网络虚拟化介绍分布式虚拟交换机华为虚拟交换特性网卡硬直通和软直通虚拟防火墙虚拟负载均衡器VDC和VPCVxLAN,虚拟化防火墙,为什么需要防火墙机密文件泄露机密服务器被非法访问，文件泄露遭遇网络攻击服务器遭遇密码暴力破解，后门检测等入侵威胁服务器遭遇DDoS网络攻击需要在高安全访问区域部署防火墙，进行访问控制提供边界防护，路由隔离规则，NAT/NAPT/SNAT，弹性IP，带宽限速，VPN等能力虚拟化防火墙是将一台物理防火墙划分为多台相互独立的逻辑设备的技术，也可以用纯软件实现虚拟化防火墙,虚拟防火墙,应用虚拟化技术后，网络攻击的目标除了物理服务器，还包括虚拟机虚拟机可以通过VLAN,VxLAN技术，通过二层隔离技术，部署在不同的虚拟网络中除了在数据中心外面部署物理防火墙，在每个虚拟网络中部署虚拟防火墙,虚拟防火墙的实现方式,软件虚拟机防火墙：虚拟机里面部署IPTables实现的NAT，ACL功能部署灵活，管理方便，无额外硬件费用性能有限，不适合大规模吞吐量不支持一些物理防火墙高级特性硬件虚拟化防火墙：将物理防火墙设备虚拟化后,使得一台物理防火墙逻辑上实现多台防火墙的效果需要额外的硬件接入，一台物理防火墙能虚拟化出的虚拟防火墙数量有限支持高级特性，可配置NAT,ACL,弹性IP,VPN等性能较好，适合大规模吞吐量,软件虚拟机防火墙,申请虚拟防火墙时，通过防火墙虚拟机模板创建虚拟机，虚拟机中部署IPTables设置ACL,NAT规则软件虚拟机防火墙同时担任虚拟网络的三层网关功能iptables具有Filter,NAT,Mangle,Raw四种内建表：1.Filter表Filter表示iptables的默认表，因此如果你没有自定义表，那么就默认使用filter表，它具有以下三种内建链：INPUT链处理来自外部的数据OUTPUT链处理向外发送的数据FORWARD链将数据转发到本机的其他网卡设备上,软件虚拟机防火墙,2.NAT表NAT表有三种内建链：PREROUTING链处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址，通常用于DNATPOSTROUTING链处理即将离开本机的数据包。它会转换数据包中的源IP地址，通常用于SNATOUTPUT链处理本机产生的数据包3.Mangle表Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链：PREROUTING,OUTPUT,FORWARD,INPUT,POSTROUTING4.Raw表Raw表用于处理异常，它具有2个内建链：PREROUTING,OUTPUT,软件虚拟机防火墙,IPTables处理流程,一个包到达一台服务器，首先过PREROUTING规则，可进行DNAT操作判断包是发给本机的，还是其他机器的如果包是发给本机的，则过INPUT规则，可进行filter,过滤掉一些包本机发送一个包，要经过OUTPUT规则，可以过滤掉一些包如果包不是发给本机的，则过FORWORD规则，可以过滤掉一些包对外发送需要经过POSTROUTING表，可进行SNAT操作,硬件虚拟化防火墙,使用硬件虚拟化防火墙的目的主要是为了满足多用户的租用，让一台物理防火墙逻辑上实现多台防火墙的效果每个用户好象拥有自己单独的防火墙或者不同的业务需要隔离、独立管理硬件虚拟化防火墙的特点硬件虚拟化防火墙可以动态创建，每一个硬件虚拟化防火墙转发实例都对应一个配置视图硬件虚拟化防火墙配置视图下的用户只能配置与该硬件虚拟化防火墙实例相关的配置，以及查看相关数据根防火墙的管理用户可以配置和管理根防火墙和所有硬件虚拟化防火墙根防火墙、每台虚拟防火墙都有独立的路由表、会话表等相关表项,硬件虚拟化防火墙,硬件虚拟化防火墙主要特性：支持ARP多实例支持IPBIND多实例支持NAT多实例支持ACL多实例支持域间policy多实例支持包过滤多实例支持攻击防范多实例支持黑名单多实例支持跨虚拟防火墙的转发,硬件虚拟化防火墙,使用硬件虚拟化防火墙，需将防火墙设备接入FusionManager：对物理设备进行统一的监控和管理为业务功能提供物理设备资源支持：使用硬件防火墙方式，提供虚拟防火墙服务，使得用户可以使用弹性IP、NAT、ACL、VPN等业务在FusionManager中创建虚拟网络时，可关联物理防火墙虚拟化出来的虚拟化防火墙在FusionManager中设置弹性IP,NAT，ACL，VPN时，指令下发到硬件虚拟化防火墙硬件虚拟化防火墙同时承担虚拟网络的三层网关功能,网络虚拟化介绍分布式虚拟交换机华为虚拟交换特性网卡硬直通和软直通虚拟防火墙虚拟负载均衡器VDC和VPCVxLAN,虚拟化负载均衡器,为什么需要负载均衡器：提高性能：负载均衡器可以实现服务器之间的负载平衡，从而提高了系统的反应速度与总体性能提高可靠性：负载均衡器可以对服务器的运行状况进行监控，及时发现运行异常的服务器，并将访问请求转移到其它可以正常工作的服务器上，从而提高服务器组的可靠性提高可维护性：采用了负载均衡器以后，可以根据业务量的发展情况灵活增加服务器，系统的扩展能力得到提高，同时简化了管理,虚拟化负载均衡器的实现方式,软件负载均衡器虚拟机里面部署LVS、SLB、Nginx、HAProxy负载均衡软件部署灵活，管理方便，无额外硬件费用性能有限，不适合大规模吞吐量硬件负载均衡器虚拟化：将一台负载均衡器在逻辑上划分成多台虚拟的负载均衡器每个虚拟负载均衡器都可以被看成是一台完全独立的设备，可进行流量负载平衡和内容交换常见的有F5、Radware等商用的负载均衡器需要额外的硬件接入，性能好，适合大规模吞吐量,软件负载均衡器,申请虚拟负载均衡器时，通过负载均衡器虚拟机模板创建虚拟机，虚拟机中部署HAProxyHAProxy提供高可用性、负载均衡以及基于TCP和HTTP应用的代理，支持从4层至7层的网络交换，即覆盖所有的TCP协议,软件负载均衡器,HAProxy调度算法roundrobin，表示简单的轮询static-rr，表示根据权重leastconn，表示最少连接者先处理source，表示根据请求源IPuri，表示根据请求的URIurl_param，表示根据请求的URl参数balanceurl_paramrequiresanURLparameternamehdr(name)，表示根据HTTP请求头来锁定每一次HTTP请求rdp-cookie(name)，表示根据据cookie(name)来锁定并哈希每一次TCP请求,硬件负载均衡器,F5利用定义在其上面的虚拟IP地址来为用户的一个或多个应用服务器提供服务F5能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务F5连续地对目标服务器进行L4到L7合理性检查当用户通过VIP请求目标服务器服务时，F5根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求,硬件负载均衡器,节点Nodes/成员PoolMember,硬件负载均衡器,地址池Pool,硬件负载均衡器,虚拟服务器VirtualServers,硬件负载均衡器,虚拟服务器地址转换（NAT),硬件负载均衡器虚拟化网络数据流,硬件负载均衡器虚拟化网络数据流,硬件负载均衡器负载均衡算法,RoundRobin：缺省算法。用户的连接请求被平均地分配到节点服务器。如果节点服务器在硬件条件上是相同的，那么选择此种算法Radio：根据节点服务器的处理能力确定它们处理请求的比重，之后按比重分配请求，节点服务器机型不同时选择此种算法DynamicRadio：与Radio类似，但处理请求的比重是根据每个节点的处理能力动态分配。通过实时监控每个节点的当前连接数、最快的响应时间等动态性能确定比重Fastest：处理请求发给处理速度最快的节点服务器LeastConnections：处理请求发送到当前连接数最少的节点服务器Observed：这是Fastest和LeastConnections模式的结合。对所有节点服务器按照连接数和响应速度的总体情况进行排序，之后用户请求分发给连接数少并且处理速度快的节点处理Predictive：使用Observed模式的处理方法对节点进行排序，同时设备还考虑了这些节点处理能力的变化趋势以确定某个节点的处理能力是在上升还是在降低，让那些处理能力呈上升趋势的节点处理更多的请求,硬件负载均衡器接入FusionSphere环境,将负载均衡器接入FusionManager：对物理设备进行统一的监控和管理为业务功能提供物理设备资源支持：使用硬件负载均衡方式，提供虚拟负载均衡服务在FusionManager中创建虚拟网络时，可关联负载均衡器在FusionManager中创建VLB时，会下发指令给硬件负载均衡器,华为VSAM/VSA组件,VSAM/VSA主要实现网络三层能力，包括DHCP、DNAT/SNAT、LB、router、vxlan网关能力。VSAM和VSA以虚拟机模板形式发布，部署在FusionCompute上VSAM是管理节点，对外提供rest接口，VSA是业务节点，对外提供rest接口VSA上实现了几大业务能力，LB，DHCP、DNAT/SNAT、router、VxLAN网关VSAM对VSA的管理包括添加、删除、查询VSA，以及与VSA心跳是否正常、VSA的各业务进程是否正常的告警监控,网络虚拟化介绍分布式虚拟交换机华为虚拟交换特性网卡硬直通和软直通虚拟防火墙虚拟负载均衡器VDC和VPCVxLAN,VDC快捷分配,云管理共享资源池,一键式,软件定义数据中心，VDC跨多数据中心网络隔离，通过组织管理，不同部门可以独立使用云资源安全分区，分权分域,多租户VDC资源池,组织可以理解为现实世界中的某一个部门或一个租户在组织管理员看来，计算和存储资源是通过“资源集群”方式提供的VDC资源池规定了CPU、内存、存储的资源配额可在VDC中创建VPC（以及在VPC内部的弹性IP、虚拟防火墙、VPN、ACL、安全组等资源）以及各类模板资源，可以供组织管理员使用所有虚拟机都在VPC中创建组织管理员基于这些资源，可以灵活部署各类业务,完全网络安全隔离的VPC,VPC提供什么,网络边界：虚拟防火墙，VPN，NAT内部网络能力：多平面，地址管理，DHCP，安全组，负载均衡器其他能力：集成的容灾能力,VPC解决什么问题,多应用公用基础设施引入的耦合VLAN/IP地址等网络资源的管控零散应用系统的集中收编应用网络环境的快速发放及灵活管控,VirtualPrivateCloud,VPC(虚拟私有云),VPC为VDC提供一个安全隔离的网络环境，包括一台虚拟防火墙和多个网络平面隔离环境：VPC（VirtualPrivateCloud）提供隔离的虚拟机和网络环境，满足不同部门网络隔离要求业务丰富：每个VPC可以提供独立的虚拟防火墙、弹性IP、VLB、安全组、IPSecVPN、NAT网关等业务灵活的组网：直联网络、路由网络和内部网络多种组网模式,VPC网络隔离,VPC中的网络平面：内部网络：仅提供裸VLAN，可选支持IP地址管理。不提供网关。这种网络仅有二层，不提供三层访问的能力。这种网络一般用于内部使用的，不允许与外部路由的网络路由网络：提供VLAN，IP地址管理，三层网关。对于一个VPC下的所有路由网络，会自动打通这些路由网络之间的路由，打通网关到虚拟防火墙的路由直连网络：提供将虚拟机直接接入到外部网路的能力。部署到这个网络中的VM可以分配到外部的IP地址,VPC安全组,组间访问规则可以配置；同一个安全组内的地址之间的访问不受限制。通过这种方式，实现对VPC内部网络安全行为的精细控制,Internet访问VPC方式(1),弹性IP地址弹性IP地址是一个公网IP地址，可动态将该IP地址绑定到VPC内任何一个路由网络中的内部IP地址上这个地址可以是虚拟机的IP地址，虚拟负载均衡器的北向地址，也可以是一个不绑定到任何虚拟机的浮动IP,外部机器访问弹性IP地址0，弹性IP地址在NATServer上，NATServer通过地址转换协议将弹性IP改写为内部绑定的IP，如图中的web-server的，即可访问webserver,Internet访问VPC方式(2),NAPT网络端口地址转换将多个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部地址相对应从公网通过SSH/MSTSC/FTP等远程交互手段连接虚拟机时使用,外部机器访问NATServer的某个端口如0:2002，NATServer将端口对应转换为5:23,Internet访问VPC方式(3),SNAT对于仅需要单向访问Internet，不需要向Internet暴露服务的情况下，您可以使用SNAT,访问webserver1，先到NATserver，NATServer通过地址转换协议，将包的源地址由改为1；从web-server返回包的时候，目标地址从1转换为,VPN基于软件防火墙做VPN功能，当前只能用I