4-虛擬化環(huán)境下的VM通信機(jī)制

1、 2013綠盟科技虛擬化環(huán)境下的VM通信機(jī)制綠盟科技 2013年5月1 VM通信機(jī)制概述 3 802.1Qbh4 802.1BR2 802.1Qbg5 VN-Tag6 總結(jié)VM通信機(jī)制概述虛擬機(jī)通信技術(shù)的發(fā)展VM通信原理VM通信標(biāo)準(zhǔn)802.1QbgVEBVEPAMulti-Channel提出方HP(H3C)/IBM等服務(wù)器廠家模式本質(zhì)vSwitch簡化的vSwitch通道要求網(wǎng)絡(luò)hairpin轉(zhuǎn)發(fā)支持網(wǎng)絡(luò)功能進(jìn)入服務(wù)器服務(wù)器內(nèi)支持部分網(wǎng)絡(luò)功能網(wǎng)絡(luò)功能只在服務(wù)器外部性質(zhì)標(biāo)準(zhǔn)標(biāo)準(zhǔn)進(jìn)展文稿完成，框架確定/標(biāo)準(zhǔn)流程審議VM通信標(biāo)準(zhǔn)802.1Qbh802.1BRVN-Tag提出方CiscoCiscoCi

2、sco模式本質(zhì)通道通道通道部分網(wǎng)絡(luò)功能回復(fù)到服務(wù)器內(nèi)性質(zhì)標(biāo)準(zhǔn)標(biāo)準(zhǔn)私有標(biāo)準(zhǔn)進(jìn)展廢除標(biāo)準(zhǔn)討論私有應(yīng)用802.1Qbg標(biāo)準(zhǔn)介紹802.1QbgIEEE 802.1QBG技術(shù)實(shí)現(xiàn)原理VEB概述 VEB指的是Virtual Ethernet Bridges(虛擬以太網(wǎng)網(wǎng)橋)，該網(wǎng)橋上也有虛擬端口(VLAN Bridge Ports)，虛擬網(wǎng)卡對應(yīng)的接口就是和網(wǎng)橋上的虛擬端口連接，這個(gè)連接稱為VSI(Virtual Station Interface，虛擬終端接口)。VEB實(shí)際上就是一個(gè)常規(guī)的以太網(wǎng)網(wǎng)橋，可以等同于視作前面提到的vSwitch技術(shù)。 此外，VEB也負(fù)責(zé)虛擬網(wǎng)卡和外部交換機(jī)之間的報(bào)文傳輸，但

3、不負(fù)責(zé)外部交換機(jī)本身的報(bào)文傳輸，如左圖所示，1表示虛擬網(wǎng)卡和鄰接交換機(jī)通訊，2表示虛擬網(wǎng)卡之間通訊，3表示VEB不支持交換機(jī)本身的互相通訊。 VEPA介紹 VEPA指的是將虛擬機(jī)上若干個(gè)VSI口匯聚起來，交換機(jī)發(fā)向各個(gè)VSI的報(bào)文首先到達(dá)VEPA，再有VEPA負(fù)責(zé)朝某個(gè)VSI轉(zhuǎn)發(fā)。另外一方面，VSI所生成的報(bào)文不通過VEB進(jìn)行轉(zhuǎn)發(fā)，而是統(tǒng)統(tǒng)匯聚在一起通過物理鏈路發(fā)送到交換機(jī)，由交換機(jī)來完成轉(zhuǎn)發(fā)，交換機(jī)將報(bào)文送回虛擬機(jī)或?qū)?bào)文轉(zhuǎn)發(fā)到外網(wǎng)。這樣既可以利用交換機(jī)實(shí)現(xiàn)更多的功能(如安全策略、流量監(jiān)控統(tǒng)計(jì))，又可以減輕虛擬機(jī)上的轉(zhuǎn)發(fā)負(fù)擔(dān)VEPA報(bào)文傳輸 如下圖所示，VEPA只支持虛擬網(wǎng)卡和鄰接交換機(jī)之間

4、的報(bào)文傳輸，不支持虛擬網(wǎng)卡之間報(bào)文傳輸，也不支持鄰接交換機(jī)本身的報(bào)文傳輸。對于需要獲取流量監(jiān)控、防火墻或其他連接橋上的服務(wù)的虛擬機(jī)可以考慮連接到VEPA上。VEPA報(bào)文轉(zhuǎn)發(fā)過程（一） VEPA需要支持虛擬機(jī)之間的報(bào)文轉(zhuǎn)發(fā)，否則就無法取代VEB。如下圖所示，假設(shè)服務(wù)器上有2個(gè)虛擬機(jī)VM A和VM B，服務(wù)器通過一根物理鏈接連接到交換機(jī)端口1上，交換機(jī)端口2和另外一個(gè)主機(jī)host連接，該主機(jī)沒有運(yùn)行虛擬機(jī)。當(dāng)A和C通訊時(shí)，交換機(jī)查地址表，發(fā)現(xiàn)目的C關(guān)聯(lián)端口2，則報(bào)文從端口2轉(zhuǎn)發(fā)。VEPA報(bào)文轉(zhuǎn)發(fā)過程（二）當(dāng)A和B通訊時(shí)，交換機(jī)查地址表，發(fā)現(xiàn)目的端口是1，則報(bào)文從端口1轉(zhuǎn)發(fā)。注意，此時(shí)使用了refl

5、ect relay機(jī)制。VEPA報(bào)文轉(zhuǎn)發(fā)過程（三）當(dāng)A發(fā)送廣播報(bào)文時(shí)，報(bào)文從端口1和2發(fā)出，在VEPA上過濾，只向VM B發(fā)送。VEPA報(bào)文轉(zhuǎn)發(fā)過程（四）當(dāng)C發(fā)送廣播報(bào)文時(shí)，報(bào)文從端口1發(fā)出，在VEPA上分別向VM A和VM B發(fā)送?；赩M的流量控制 通過VEPA和VSI發(fā)現(xiàn)功能，將VM的流量統(tǒng)統(tǒng)轉(zhuǎn)移到交換機(jī)上來進(jìn)行傳輸，可以實(shí)現(xiàn)基于VM的流量控制。例如，網(wǎng)絡(luò)管理員可以應(yīng)用安全策略阻斷某個(gè)VM和其他VM的通訊，或者控制該VM只能和某些指定的VM通訊。VM自動遷移通過VDP實(shí)現(xiàn)VSI和VSI類型的關(guān)聯(lián)、解關(guān)聯(lián)，使得當(dāng)VM遷移時(shí)，VSI類型也能隨之關(guān)聯(lián)到新的端口上。具體遷移流程為：1.VM A起

6、初在station 1上，通過VDP關(guān)聯(lián)某個(gè)VSI類型，并在bridge的port 1上注冊2.station 1上的原VM A申請和原VSI類型解關(guān)聯(lián)3.VM A遷移到station 2上，通過VDP關(guān)聯(lián)相同的VSI類型，并在bridge的port2上注冊802.1Qbh標(biāo)準(zhǔn)介紹802.1Qbh標(biāo)準(zhǔn)概述除了802.1Qbg外，另外一項(xiàng)擴(kuò)展802.1Qbh，來允許用戶部署遠(yuǎn)程交換機(jī)而不是和服務(wù)器機(jī)柜相鄰的那些交換機(jī)作為虛擬環(huán)境的策略控制交換機(jī)。這就是802.1Qbh起作用的地方：它允許邊緣虛擬橋復(fù)制幀到多個(gè)虛擬通道上以便發(fā)送給一組遠(yuǎn)程端口。這樣一來，用戶便能夠利用瀑布式的串聯(lián)端口靈活地設(shè)計(jì)網(wǎng)絡(luò)

7、，更有效地為多播、廣播和單播幀分配帶寬。802.1Qbh的端口擴(kuò)展能力允許管理員在將策略、ACL、過濾器、QOS和其他參數(shù)委托給虛擬機(jī)時(shí)可以選擇交換機(jī)。端口擴(kuò)展槽安放在刀片機(jī)柜的背板或者個(gè)別刀片上，其行為和控制交換機(jī)的線速卡類似。802.1Qbh報(bào)文802.1Qbh的報(bào)文在以太網(wǎng)幀格式中插入了一個(gè)E-TAG標(biāo)記下圖所示，用于標(biāo)記VM連接的通道和映射到交換機(jī)的虛端口。如下圖展示了標(biāo)準(zhǔn)中初步定義的E-TAG擴(kuò)展字段基本內(nèi)容。802.1Qbh報(bào)文802.1Qbh報(bào)文標(biāo)簽 802.1Qbh以明確標(biāo)出通道(Channel ID)的方式，在數(shù)據(jù)內(nèi)容中顯式標(biāo)識數(shù)據(jù)的源端，并支持?jǐn)?shù)據(jù)復(fù)制能力，這也是對性能的局

8、部優(yōu)化。此處需要補(bǔ)充一下，802.1Qbh的數(shù)據(jù)格式是經(jīng)過了兩 個(gè)階段的，以前叫M-Tag，后來才演進(jìn)到E-TAG方式，兩者之間定義有所差異。802.1Qbh中的報(bào)文標(biāo)簽802.1BR標(biāo)準(zhǔn)介紹802.1BR標(biāo)準(zhǔn)概述802.1BR標(biāo)準(zhǔn)用于網(wǎng)絡(luò)對虛擬機(jī)遷移做出動態(tài)調(diào)整，可以將遠(yuǎn)程交換機(jī)部署為虛擬環(huán)境中的策略控制交換機(jī)，而不是部署成鄰近服務(wù)器機(jī)架的交換機(jī)，通過多 個(gè)虛擬通道，讓邊緣虛擬橋復(fù)制幀到一組遠(yuǎn)程端口，利用瀑布式的串聯(lián)端口靈活地設(shè)計(jì)網(wǎng)絡(luò)，更有效地為多播幀、廣播幀和單播幀分配帶寬。IEEE 802.1Qbg與IEEE 802.1BR的區(qū)別在于，前者主要是解決允許邊界橋?qū)μ摂M機(jī)遷移進(jìn)行恰當(dāng)反應(yīng)。它

9、主要關(guān)注服務(wù)器設(shè)備(EVB終端站)和邊界橋(EVB橋)之間的操作， 以及兩個(gè)設(shè)備之間的物理鏈路信道，在組播或大量信息通過物理鏈路時(shí)，會導(dǎo)致物理鏈路中相同幀出現(xiàn)多個(gè)副本的問題。而IEEE 802.1BR可通過添加額外標(biāo)簽信息解決這個(gè)問題，也就是只允許一個(gè)幀副本被發(fā)送和復(fù)制在服務(wù)器中，從而減少了組播狀況下的帶寬占用，當(dāng)然這需要更多的 硬件資源來支持，可以看出IEEE 802.1Qbg與IEEE 802.1BR各有千秋。802.1BR報(bào)文格式802.1BR是802.1Qbh的替代協(xié)議，但基本內(nèi)容有所修改，報(bào)文在以太網(wǎng)幀格式中插入了一個(gè)E-TAG標(biāo)記如下圖所示，用于標(biāo)記VM連 接的通道和映射到交換機(jī)的

10、虛端口,差異處是將802.1Qbh中原來保留的字段進(jìn)行了明確定義。下圖展示了標(biāo)準(zhǔn)中初步定義的E-TAG擴(kuò)展字段基本內(nèi)容。802.1BR的報(bào)文格式802.1BR報(bào)文標(biāo)簽802.1BR中的報(bào)文標(biāo)簽802.1BR與802.1Qbh本身是同一技術(shù)，只是將通道屬性信息填充到了保留位，前者在通道控制上更靈活。VN-Tag標(biāo)準(zhǔn)介紹VN-Tag標(biāo)準(zhǔn)概述（一） 虛擬化平臺軟件如VMWare ESX部署之后，會模擬出一整套硬件資源，包括CPU、硬盤、顯卡，以及網(wǎng)卡，虛擬機(jī)運(yùn)行在物理服務(wù)器的內(nèi)存中，通過這個(gè)模擬網(wǎng)卡對外交換數(shù)據(jù)，實(shí)際上這 個(gè)網(wǎng)卡并不存在，將其定義為一個(gè)虛擬網(wǎng)絡(luò)接口VIF（Virtual Interf

11、ace）。VN-tag是由Cisco和VMWare共同提出的一項(xiàng)標(biāo)準(zhǔn)，其核心思想是在標(biāo)準(zhǔn)以太網(wǎng)幀中增加一段專用的標(biāo)記VN-Tag， 用以區(qū)分不同的VIF，從而識別特定虛擬機(jī)的流量。 思科針對VN-Tag推出了名為Palo的虛擬服務(wù)器網(wǎng)卡，Palo卡為不同的虛擬機(jī)分配并打上VN-Tag標(biāo)簽，上聯(lián)交換機(jī)與服務(wù)器之間雖然只有一條網(wǎng)線，但通過VN-Tag上聯(lián)交換機(jī)能區(qū)分不同虛擬機(jī)產(chǎn)生的流量，并在物理交換機(jī)上生成對應(yīng)的虛擬接口VEth，和虛擬機(jī)的VIF一一對應(yīng)，好像把虛擬機(jī)的 VIF和物理交換機(jī)的VEth直接對接起來，全部交換工作都在上聯(lián)交換機(jī)上進(jìn)行，即使是同一個(gè)物理服務(wù)器內(nèi)部的不同虛擬機(jī)之間的流量交換

12、，也通過上聯(lián)交換 機(jī)轉(zhuǎn)發(fā)。這樣的做法雖然增加了網(wǎng)卡I/O，但通過VN-Tag，將網(wǎng)絡(luò)的工作重新交回到網(wǎng)絡(luò)設(shè)備。VN-Tag報(bào)文格式VN-Tag是Cisco私有技術(shù)，曾經(jīng)宣稱其FE/PE設(shè)備能夠同時(shí)兼容802.1Qbh和802.1BR。如下圖所示，報(bào)文在以太網(wǎng)幀格式中插入了一個(gè)VN-TAG標(biāo)記，用于標(biāo)記VM連接的通道和映射到交換機(jī)的虛端口。下圖展示了標(biāo)準(zhǔn)中初步定義的E-TAG擴(kuò)展字段基本內(nèi)容。VN-Tag的報(bào)文格式VN-Tag報(bào)文標(biāo)簽從VN-Tag與802.1BR/802.1Qbh報(bào)文顯著的差異來看，兩者之間是無法互相解釋的，Cisco在產(chǎn)品中說VN-tag的設(shè)備會 同時(shí)兼容802.1Qbh，應(yīng)

13、該難度較大，一則VN-Tag出來的早，802.1Qbh討論比較晚(802.1Qbh的報(bào)文格式兩個(gè)階段也是不同的);， 二則802.1Qbh廢除后到了802.1BR，格式更加不一樣了。VN-Tag中的報(bào)文標(biāo)簽各種標(biāo)準(zhǔn)比較（一）控制協(xié)議比較各種標(biāo)準(zhǔn)比較（二）轉(zhuǎn)發(fā)差異比較總結(jié)總結(jié) 從技術(shù)模型的比較可看出，802.1BR的功能完全是網(wǎng)絡(luò)向服務(wù)器內(nèi)的擴(kuò)展，針對VM的連接、感知并沒有定義內(nèi)容，因此如果在此基礎(chǔ)上疊加 802.1Qbg VDP協(xié)議，并進(jìn)行一些802.1BR的修改，從技術(shù)角度上也是可以支持一定的VM關(guān)聯(lián)感知能力;802.1Qbg和VN-Tag具有比較完善的網(wǎng)絡(luò)擴(kuò)展 與VM關(guān)聯(lián)感知能力，所不同的是802.1Qbg定義了分工明確的協(xié)議，并且由網(wǎng)絡(luò)部件和服務(wù)器內(nèi)ER部件交互完成，標(biāo)準(zhǔn)化互通