服務(wù)器虛擬化帶來網(wǎng)絡(luò)接入層的變化

1、服務(wù)器虛擬化帶來網(wǎng)絡(luò)接入層的變化在數(shù)據(jù)中心接入層部署支持 EVB 國際標(biāo)準(zhǔn)的數(shù)據(jù)中心交換機，與服務(wù)器端虛擬化軟件聯(lián)動 即可支持將流量上引至交換機上?，F(xiàn)有解決方案及問題由于一個虛擬機上可能存在多個虛擬后的系統(tǒng)，系統(tǒng)之間通訊就需要通 過網(wǎng)絡(luò)，但和普通的物理系統(tǒng)間通過實體網(wǎng)絡(luò)設(shè)備互聯(lián)不同， 虛擬系統(tǒng)的網(wǎng)絡(luò)接 口也是虛擬的，因此不能直接通過實體網(wǎng)絡(luò)設(shè)備互聯(lián)。目前流行的一種解決方案是：vSwitch技術(shù)。vSwitch作為最早出現(xiàn)的一 種的網(wǎng)絡(luò)虛擬化技術(shù)，已經(jīng)在 Linux Bridge、VMWare vSwitch等軟件產(chǎn)品中實 現(xiàn)。所謂的vSwitch，就是VEB技術(shù)，即將虛擬網(wǎng)橋完全在服務(wù)器（終端

2、）硬件上 實現(xiàn)，不涉及外部交換機的協(xié)作。參考虛擬機的實現(xiàn)方式，將網(wǎng)絡(luò)設(shè)備也虛擬化，并綁定在虛擬機中，這 樣虛擬機上的網(wǎng)絡(luò)接口可以不需要經(jīng)過實體網(wǎng)絡(luò)， 直接在虛擬機內(nèi)部通過虛擬交 換機等虛擬的網(wǎng)絡(luò)設(shè)備進(jìn)行互聯(lián)。如上圖所述，跟普通服務(wù)器設(shè)備一樣，每個虛擬機有著自己的虛擬網(wǎng)卡（virtual NIC） ，每個virtual NIC 有著自己的MAC地址和IP地址。VirtualSwitch（vSwitch）相當(dāng)于一個虛擬的二層交換機，ABCD便是交換機上的虛擬端口，該交換機連接虛擬網(wǎng)卡和物理網(wǎng)卡， 將虛擬機上的數(shù)據(jù)報文從物理網(wǎng)口轉(zhuǎn)發(fā) 出去。根據(jù)需要， vSwitch 還可以支持二層轉(zhuǎn)發(fā)、安全控制、端

3、口鏡像等功能。 物理主機（服務(wù)器）虛擬交換機，用于虛擬機互訪（本質(zhì)上就是一種“軟”交換 機的行為，軟件虛擬出來交換機）：性能低，特性少；模糊了主機和網(wǎng)絡(luò)管理界面；帶來的問題：1 、流量無法監(jiān)控 ，存在安全隱患從虛擬機到物理服務(wù)器之外的流量可以通過交換機鏡像、網(wǎng)流分析設(shè)備 進(jìn)行監(jiān)控；虛擬機之間的流量無法進(jìn)行監(jiān)控；2 、無法實施安全策略數(shù)據(jù)中心服務(wù)器之間采用了矩陣式的訪問控制策略。 問題： 不同的虛 擬機之間需要通過ACL實現(xiàn)訪問控制；傳統(tǒng)的VSwitch實現(xiàn)ACL需要消耗CPU 資源，對服務(wù)器性能有影響；安全策略與VM的遷移緊綁定問題需解決；3 、管理邊界不清 （模糊了主機和網(wǎng)絡(luò)管理界面，服務(wù)器

4、和網(wǎng)絡(luò)管理員 的管理界面）物理服務(wù)器中的邏輯網(wǎng)絡(luò)由誰管？相似的情況：刀片服務(wù)器中的交換機 模塊由誰管？在管理權(quán)限上，網(wǎng)絡(luò)管理員基本不能管理到 vSwitch ，而主機管理 員也不愿意在網(wǎng)絡(luò)配置上花太多的時間， 這樣導(dǎo)致 vSwitch 游離于網(wǎng)絡(luò)整體管理 之外，不利于整體網(wǎng)絡(luò)策略以及網(wǎng)絡(luò)安全的實現(xiàn)。4 、影響服務(wù)器性能考慮到在一臺物理服務(wù)器上可能運行數(shù)十個虛擬機，再摻雜上數(shù)據(jù)中心 的交換時， 情況會非常復(fù)雜。 給虛擬機增加這樣一種智能， 會給服務(wù)器額外增加 大量的網(wǎng)絡(luò)處理負(fù)載， 并且由于虛擬交換機僅僅是通過一種軟件實現(xiàn)， 在功能和 性能上必然無法與傳統(tǒng)的實體網(wǎng)絡(luò)設(shè)備相媲美。 既然實體交換機已經(jīng)

5、實現(xiàn)了所有 這些功能，就沒有必要在虛擬機上進(jìn)行這些重復(fù)操作。數(shù)據(jù)中心接入層虛擬交換物理主機(服務(wù)器)虛擬交換機，用于虛擬機互訪(本質(zhì)上就是一種 “軟” 交換機的行為，軟件虛擬出來交換機)。采用一種“硬”交換機的思路，將虛擬機的交換能力回歸到交換機 ，性 能保證，特性豐富 ，管理界面清晰 。指定一種 Edge Virtual Bridging(EVB) 標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)基于一個名為Virtual Ethernet Port Aggregator (VEPA)的技術(shù)。通過 VEPA 來自于 VM的所有流量都會被轉(zhuǎn)發(fā)到鄰近的物理接入交換機，或者當(dāng)目標(biāo) VM也位于同一個服 務(wù)器時被轉(zhuǎn)回到相同的物理服務(wù)器。部署方案：在數(shù)據(jù)中心接入層部署支持 EVB國際標(biāo)準(zhǔn)的數(shù)據(jù)中心交換機，與服務(wù)器 端虛擬化軟件聯(lián)動即可支持將流量上引至交換機上。通過VEPA和VSI發(fā)現(xiàn)功能，將VM的流量統(tǒng)統(tǒng)轉(zhuǎn)移到交換機上來進(jìn)行傳輸，可以實現(xiàn)基于VM的流量控制。例如，網(wǎng)絡(luò)管理員可以應(yīng)用安全策略阻斷某個VM和其他VM的通訊，或者控制該VM只能和某些指定的VM通訊。帶來的好處提升性能、降低復(fù)雜性，實現(xiàn)：將高級復(fù)雜的網(wǎng)絡(luò)功能從 VM轉(zhuǎn)移到外部網(wǎng)絡(luò)保持NIC（網(wǎng)卡）的低成本電路，實現(xiàn)：將高級網(wǎng)絡(luò)功能調(diào)整到外部網(wǎng) 絡(luò)。一致性控制策略實現(xiàn) ，實現(xiàn)： 將所有流量轉(zhuǎn)發(fā)到