服务器虚拟化是数据中心日益增长的现实。2020欧洲杯预赛经济是这一趋势的坚定后盾。服务器虚拟化减少了物理服务器的数量,需要更少的冷却和电量,同时提高了灵活性,从而降低了总体拥有成本。这对企业和服务器组来说都是好事,但是它对网络管理有什么影响呢?事实是,它使网络管理复杂化。
有与服务器虚拟化相关的两个大的网络问题。首先是配置虚拟局域网。网络管理员需要确保由虚拟机(VM)中使用的VLAN分配到同一个交换机端口运行VM的物理服务器。
对于服务器虚拟化组来说,一种解决方案是告诉网络管理团队可以启动VM的每一台可能的服务器,并预配置交换机端口。这不是一个完美的解决方案,因为它可能导致VLAN被定义在很大比例的交换机端口上。可能会变得更加复杂,因为服务器组可能不知道可以启动映像的所有服务器,特别是在采取紧急措施的恢复情况下。
第二个问题是分配QoS和执行网络策略,比如访问控制列表(access control list, acl)。传统上,这是在连接到运行应用程序的服务器的网络交换机中完成的。使用服务器虚拟化,在物理服务器的管理程序下运行一个软件交换机——而不是连接到物理服务器的传统物理网络交换机。
它仍然是重要的政策在软件开关来强制执行。例如,如果在服务器上运行两个虚拟机不允许互相交流,别人谁获得VM1的控制可以打开到VM2连接,窃取其数据。如果ACL是由软开关在服务器应用则这将被阻止。
在虚拟化之前,这是被阻止的,因为VM1和VM2中的应用程序将运行在不同的服务器上,而在网络交换机中定义的acl将阻止通信。在软件开关中应用策略可以维护安全性。问题是如何让软件应用这些策略。
克服这两个挑战对于服务器虚拟化的顺利运行至关重要。如果供应商社区能够创建一个统一的标准,能够与所有不同的虚拟化供应商一起工作,那就太好了。与快速发展的新技术通常的情况一样,这并没有发生。该行业已经实施了四种方法来解决这些问题。
虚拟化厂商的解决方案
市场领先的虚拟化厂商是VMware,但还有许多其他的虚拟化解决方案,包括Citrix的Zen、微软的Hyper-V、KVM以及许多其他小厂商的产品。最广泛可用的解决方案是针对VMware的,我们将使用它作为示例。
在下面的图表中,VMware的vCenter控制虚拟化进程并指导vm的启动位置。虚拟机监控程序控制服务器和运行在物理服务器上的vm。VSwitch是VMware提供的软件层2开关。每个VM都有一个虚拟网卡,标记为vNIC。vNIC使用来自虚拟化供应商的MAC地址池或企业创建和分配的MAC地址。该图并不是要显示真实环境中可能出现的所有变化;这只是为了展示这个过程是如何工作的。
第一步是由服务器组定义VM机器的所有网络特征和策略。操作员告诉vCenter在步骤2中启动VM2。这个过程包括vCenter和服务器上的虚拟机监控程序之间的多条消息,其中一条消息将网络策略信息推送到虚拟机监控程序。在步骤3中,hypervisor为vSwitch配置正确的VLAN、QoS和策略信息。当VM2上的应用程序开始发送数据包时,策略将应用到vSwitch中,用蓝点表示。
这解决了在第一个交换机上应用策略的问题,但它没有解决网络交换机中的VLAN配置问题。虚拟化组需要告诉网络管理部门在VM开始发送通信量之前在交换机端口上配置VLAN,这需要快速协调,或者必须预先配置交换机。当虚拟化组动态地移动VM时,协调可能会变得更加复杂。然后,虚拟化组需要在移动服务器时与网络组协调,网络组需要在成功移动后清理旧交换机上的配置。
这种方法的最大问题之一是虚拟化组和网络组之间需要的协调量。虚拟化组必须在vCenter中配置由网络组控制的参数,如VLAN编号、QoS和acl。这意味着服务器虚拟化组和网络组之间需要进行良好的协调。vlan或策略中的任何更改都必须立即反映在虚拟服务器配置中,这将引入另一个可能的故障点。
另一个问题是网络组对网络组件vSwitch中发生的事情缺乏可见性。vSwitch由vCenter控制,而不是传统的网络管理软件。此外,网络管理团队对VM的可见性很小。一些网络供应商已经解决了这个可见性问题,他们让vCenter通知网络团队更改或轮询更改,然后将这些信息与传统网络数据一起显示,这极大地帮助确定问题。
第一个回答
Blade Networks目前有一个在其交换机上运行的应用程序,Force10的下一个OS版本解决了VLAN问题。交换机轮询vCenter以查找任何更改,或者侦听vCenter发送消息宣布更改。如果开关发现任何更改,它将自动执行配置。虚拟化操作人员不需要将更改与网络操作协调起来,从而允许VM顺利启动。轮询间隔需要小于启动VM所需的时间,以确保交换机能够足够快地看到变化。在Force10的第一个版本中,它监视的唯一参数是VLAN。Blade Network更进一步,还基于vNIC或VM的UUID在网络交换机上应用了所有策略。这个解决方案仍然需要在vSwitch中实现策略。
第二种解决配置问题的方法是使用来自HP和Juniper等供应商的编配软件,它们在自己的交换机上工作。在这种情况下,编配软件会与网络交换机和vCenter通信,并协调两种环境之间的配置变化。这种方法的潜在好处是能够与广泛的交换机和虚拟化供应商一起工作。
思科的回答
思科提供了自己的软交换解决方案,以取代的vSwitch称为1000V。有两个组成部分的1000V。该VSM是虚拟交换模块,并替换系统管理程序中运行的虚拟交换机的软件。虚拟网元管理器(VEM)是其中用于VSM的网络策略进行配置和存储。
下图显示了该流程的工作方式。首先根据虚拟机在VEM中的UUID或vMAC地址配置虚拟机的VLAN和策略。VCenter在步骤2中启动一个新的VM或移动一个VM。Hypervisor在步骤3中通知VSM。然后,VSM在步骤4中从VEM检索策略信息。如果网络交换机来自Nexus产品线,它还从VEM检索必要的VLAN和策略信息。此时,hypervisor中的开关和Nexus开关都拥有了关于如何处理VM2的所有正确信息。当VM2开始发送通信量时,所有正确的策略都应用在管理程序中的1000V开关中(蓝点)。
思科方法的好处与第一种方法相同。如果不允许,它会阻塞两个VM之间的任何通信,并在流量第一次碰到交换机时应用适当的策略。如果将1000V与准备虚拟化的Nexus交换机配合使用,可以解决网络交换机中的VLAN问题。它还有一个额外的好处,就是将虚拟机监控程序中的交换机转移到网络管理软件的控制之下,向网络组返回明确的责任。也有一些缺点。目前思科只有VMware的解决方案,没有Xen和HyperV。
第四种方式
第四种方法需要网络设备为中心的图。参见图3,在步骤1中,VM是在通过它的虚拟NIC的网络管理软件来定义。在步骤2时,vCenter引导管理程序启动VM。系统管理程序发出一个通告报文,宣布它正在启动VM2,在第3步广告具有VM2的vNIC的和它的UUID。在步骤4中,开关看到广告,并发送其VLAN和其他策略信息的请求。然后交换机应用进入网络的政策,任何流量。
关键的一点是交换机只在网络交换机上应用策略,如蓝色圆点所示,而不在vSwitch上应用。交换机还监视来自管理程序的消息,这些消息表明VM已经移动,然后删除与vNIC关联的VLAN和策略信息。采用这种解决方案的供应商包括Arista Networks、Blade和Enterasys,以及HP和Juniper。其他供应商(如Brocade)计划提供这种解决方案。极限网络将此技术用于QoS和策略,但不用于vlan。
这种方法试图消除在实施网络策略时涉及虚拟化组的需要。然而,仍然存在两个问题。首先,服务器虚拟化组和网络组仍然必须协调VLAN编号。目前Enterasys有能力自动提供vSwitch与VLAN号码,与Arista计划添加它不久。
这种方法的最大问题是它没有在vSwitch上应用策略,因此允许服务器上vm之间的通信绕过acl和其他安全策略。Enterasys和Arista计划通过增加将策略下推到vSwitch的能力来解决这个问题,如图A所示。
未来解决这个问题的方法是允许开关的“发夹式旋转”。通过发夹转换,vSwitch被配置为将所有流量,甚至VM1到VM2流量,直接发送到网络交换机。网络交换机然后应用这些策略并分配QoS。从VM1到VM2的通信流将被发送回vSwitch,然后由vSwitch将其发送到VM2。
这将使vSwitch成为一个“哑巴”开关,只有转发的角色。问题是802.1D,所有第2层交换机都基于的桥接标准,不允许从一个端口发送的通信量返回到通信量来自的同一个端口。因此,在当前规则下,网络交换机不能从VM1返回地址为VM2的数据包,因为这会违反此规则。添加它是为了防止形成循环。IEEE正在对802.1 1d进行修订,允许该开关执行发夹式转弯,并且正在进行其他工作以标准化管理程序中的转储开关。当这种情况广泛存在时,它解决了这个问题,并消除了网络和服务器组之间的大部分协调。
Enterasys目前有一个解决方案,指导vSwitch将每个VM放在一个单独的VLAN中。他们选择当前没有用于防止任何潜在问题的VLAN号码。由于vm在不同的vlan中,它们不能彼此通信。当包到达网络交换机时,交换机将VLAN号码替换为分配给虚拟机的真实号码,使网络和它们的目的地看起来它们一直在正确的VLAN中。
结论
还有另一个VLAN配置问题,上面概述的技术没有解决这个问题。当一个新的VLAN号码被分配给一个端口时,它需要与那个VLAN号码连接到所有其他端口。这要求路径中的所有聚合交换机都需要在其上定义VLAN。
例如,假设VLAN 5所支持的应付账款应用程序。所有支持应用程序的虚拟机位于已配置VLAN 5.工作量原因之一顶级机架交换机,虚拟机的运行支付应用程序在另一部分转移到另一架有自己的开关其中的一个帐户上是由几个汇聚交2020欧洲杯预赛换机的方式达到的数据中心。
保留VLAN意味着所有中间交换机都需要配置VLAN5;如果不是,那么VLAN就坏了。目前,概述的解决方案都不涉及如何在聚合交换机中自动分配VLAN。这意味着,如果VM可以跨数据中心移动,则必须在所有聚合和核心交换机中预先配置VLAN2020欧洲杯预赛编号。此外,这个问题不太可能在近期内得到解决。
业界已经为端口VLAN和策略问题制定了一套充分的解决方案。没有什么神奇的,大多数都需要网络和虚拟化组在短期内协调他们的活动,使其顺利工作。发夹式转变是最好的长期解决方案,整个行业正在朝着这个方向发展。重要的是,网络管理人员要了解各种解决方案是如何与它们所支持的不同虚拟化供应商合作的,因为目前市场上还没有针对所有虚拟化解决方案的完整解决方案。
莱兰是莱兰咨询公司的负责人。可以通过robin@layland.com联系到他。