解析思科數(shù)據(jù)中心虛擬化技術和部署

...v.解析思科數(shù)據(jù)中心虛擬化技術和部署數(shù)據(jù)中心的開展正在經(jīng)歷從整合，虛擬化到自動化的演變，基于云計算的數(shù)據(jù)中心是未來的更遠的目標。整合是根底，虛擬化技術為自動化、云計算數(shù)據(jù)中心的實現(xiàn)提供支持。數(shù)據(jù)中心的虛擬化有很多的技術優(yōu)點：可以通過整合或者共享物理資產(chǎn)來提高資源利用率，調(diào)查公司的結(jié)果顯示，全球多數(shù)的數(shù)據(jù)中心的資源利用率在15%～20%之間，通過整合、虛擬化技術可以實現(xiàn)50%～60%的利用率;通過虛擬化技術可以實現(xiàn)節(jié)能高效的綠色數(shù)據(jù)中心，如可以減少物理設備、電纜，空間、電力、制冷等的需求;可以實現(xiàn)對資源的快速部署以及重部署以滿足業(yè)務開展需求。數(shù)據(jù)中心虛擬化的簡單示意圖。數(shù)據(jù)中心的資源，包括效勞器資源、I/O資源、存儲資源組成一個資源池，通過上層的管理、調(diào)度系統(tǒng)在智能的虛擬化的網(wǎng)絡構造上實現(xiàn)將資源池中的資源根據(jù)應用的需求分配到不同的應用處理系統(tǒng)。虛擬化數(shù)據(jù)中心可以實現(xiàn)根據(jù)應用的需求讓數(shù)據(jù)中心的物理IT資源流動起來，更好的為應用提供資源調(diào)配與部署。數(shù)據(jù)中心虛擬化開展的第一個階段是通過整合實現(xiàn)效勞器和應用的虛擬化效勞，這階段的數(shù)據(jù)中心也是很多公司已經(jīng)做的或正要做的。在這一階段，數(shù)據(jù)中心虛擬化實現(xiàn)的是區(qū)域內(nèi)的虛擬化，表現(xiàn)為數(shù)據(jù)中心的效勞如網(wǎng)絡效勞、平安效勞、邏輯效勞還是與物理效勞器的部署相關聯(lián);虛擬機上的VLAN與網(wǎng)絡交換層上的VLAN對應;存儲LUN以類似映射到物理效勞器的方式映射到虛擬機。如下列圖。數(shù)據(jù)中心虛擬化開展的第二個階段是通過虛擬主機遷移技術(VM'sMobility)實現(xiàn)跨物理效勞器的虛擬化效勞。如下列圖。在這個階段，實現(xiàn)了數(shù)據(jù)中心內(nèi)的跨區(qū)域虛擬化，虛擬機可以在不同的物理效勞器之間切換，但是，為滿足虛擬機的應用環(huán)境和應用需求，需要網(wǎng)絡為應用提供智能效勞，同時還需要為虛擬化提供靈活的部署和效勞。思科在下一代的數(shù)據(jù)中心設計中采用統(tǒng)一交換的以太網(wǎng)架構，思科數(shù)據(jù)中心統(tǒng)一交換架構的愿景圖如下。改良之前的數(shù)據(jù)中心物理上存在幾個不同的網(wǎng)絡系統(tǒng)，如局域網(wǎng)架構、SAN網(wǎng)絡架構、高層的計算網(wǎng)絡架構、管理控制網(wǎng)絡架構，各個網(wǎng)絡上采用的技術不同，如局域網(wǎng)主要采用以太網(wǎng)技術，SAN網(wǎng)絡主要采用FiberChannel技術。而在思科的下一代統(tǒng)一交換架構數(shù)據(jù)中心中，數(shù)據(jù)中心的效勞器資源、存儲資源、網(wǎng)絡效勞等都通過統(tǒng)一的交換架構連接在一起，數(shù)據(jù)中心只有一個物理網(wǎng)絡架構，可以實現(xiàn)動態(tài)的資源調(diào)配，提升效率和簡化操作。統(tǒng)一交換架構下數(shù)據(jù)中心的虛擬化如下列圖。統(tǒng)一交換架構下數(shù)據(jù)中心虛擬化簡化了數(shù)據(jù)中心的管理和運維，實現(xiàn)了真正的任意IT資源之間的靈活連接，實現(xiàn)了統(tǒng)一的I/O，在統(tǒng)一的I/O上可以實現(xiàn)最新的萬兆網(wǎng)、無喪失(FCoE)、低延時的數(shù)據(jù)中心以太網(wǎng)技術。統(tǒng)一交換架構下數(shù)據(jù)中心虛擬化為未來的進一步的虛擬化和基于云計算的數(shù)據(jù)中心提供了平臺。數(shù)據(jù)中心虛擬化架構包括數(shù)據(jù)中心前端虛擬化、效勞器虛擬化、數(shù)據(jù)中心后端虛擬化。如下列圖。思科設計數(shù)據(jù)中心時采用分層、分區(qū)的設計方式，層次設計包括核心層、會聚層、接入層，接入層的不同功能的效勞器位于不同的區(qū)域，效勞器經(jīng)過每個區(qū)域的會聚層連接到核心層。數(shù)據(jù)中心前端虛擬化是指對效勞器網(wǎng)絡接口之前的數(shù)據(jù)中心基于以太網(wǎng)的網(wǎng)絡架構的虛擬化。效勞器虛擬化指在一臺物理效勞器上為多個應用需XX現(xiàn)多個虛擬機，并且實現(xiàn)區(qū)域內(nèi)資源的動態(tài)調(diào)配、遷移，效勞器虛擬化技術的實現(xiàn)需要網(wǎng)絡的支持配合。數(shù)據(jù)中心后端虛擬化指通過虛擬化技術將效勞器和存儲資源更好的調(diào)配使用起來。下面按數(shù)據(jù)中心層次化設計中的核心層、會聚層、接入層依次介紹思科在前端虛擬化上的最新的一些技術實現(xiàn)。思科數(shù)據(jù)中心核心層虛擬化技術。思科為數(shù)據(jù)中心級和園區(qū)骨干網(wǎng)級網(wǎng)絡提供了Nexus交換機網(wǎng)絡技術和Nexus系列產(chǎn)品。Nexus系列產(chǎn)品中采用了VDC(VirtualDeviceContent)技術，可以將一臺物理交換機邏輯上模擬成多臺虛擬交換機，如下列圖模擬出的兩個虛擬交換機VDC1和VDC2。VDC技術可以實現(xiàn)每個模擬出的VDC都擁有它自身的軟件進程、專用硬件資源(接口)和獨立的管理環(huán)境，可以實現(xiàn)獨立的平安管理界限劃分和故障隔離域。VDC技術有助于將分立網(wǎng)絡整合為一個通用根底設施，保存物理上獨立的網(wǎng)絡的管理界限劃分和故障隔離特性，并提供單一根底設施所擁有的多種運營本錢優(yōu)勢。VDC可以實現(xiàn)故障域隔離，如下列圖。一個VDC為所有的運行在它上面的進程建立故障隔離域，如圖中VDCB中的“DEF〞進程發(fā)生故障后不會影響到VDCA中的“DEF〞進程。VDC的端口分配如下列圖。端口分配到各VDC后不能在VDC之間共享，一旦某一端口分配到一個VDC，就只能在那個VDC中對該端口進展配置。(*注上圖中右下角應為VDCD)。VDC資源使用示意圖一如下。在一個VDC中的MAC地址只會播送到有接口分配到該VDC上的Linecard地址表中，如圖中的Linecard1和Linecard2，它們都有接口分配到VDC10。VDC資源使用示意圖如下。

Linecard1和Linecard2都給VDC-2分配了100k的FIBTCAM和50k的ACLTCAM資源。VDC平安分區(qū)技術應用如下列圖。最上面的兩個模型是現(xiàn)在應用的比擬多的，但用戶可能希望能實現(xiàn)中間的內(nèi)外清楚的架構，這可以通過最下面的兩個VDC的應用來實現(xiàn)，其中一個VDC為Outside，另一個為Inside，之間通過防火墻連接。每個VDC可以運行獨立的轉(zhuǎn)發(fā)機制、路由機制、管理機制和登錄機制。VDC可以實現(xiàn)數(shù)據(jù)中心設計的水平整合，如下列圖。當兩個會聚區(qū)不是很大時可以通過將一個Nexus設備劃分為VDC1和VDC2來分別代替實現(xiàn)兩個會聚區(qū)。VDC實現(xiàn)數(shù)據(jù)中心設計的垂直整合，如下列圖。一個Nexus設備模擬成CoreVDC和AggVDC分別實現(xiàn)核心層和會聚層功能。VDC實現(xiàn)數(shù)據(jù)中心設計水平和垂直的綜合的整合應用，如下列圖。vPC(virtualPort-Channel)技術。下列圖是傳統(tǒng)的和使用了vPC技術的交換機互聯(lián)邏輯拓撲圖。vPC技術可以在CiscoNexus7000系列產(chǎn)品上實現(xiàn)。傳統(tǒng)的技術實現(xiàn)交換機互聯(lián)時，如果互聯(lián)構造中存在環(huán)路，那么會block環(huán)路中的局部支路。vPC技術可以實現(xiàn)在單個設備上使用port-channel連接兩個上行交換機，完全使用所有上行鏈路的帶寬，并消除STPblockedports，在link/device失效下提供快速收斂。VPC設計和傳統(tǒng)設計相比的優(yōu)勢如下列圖。虛擬交換系統(tǒng)VSS(VirtualSwitchSystem)。兩臺CiscoCatalyst6500系列交換機通過VSS連接后可以實現(xiàn)如同操作單一邏輯交換機的效果。如下列圖。虛擬交換系統(tǒng)VSS與vPC技術有一些不同的地方，如在控制層面上兩個交換機有主次之分，但在數(shù)據(jù)處理上是雙活的。6500-VSS應用于數(shù)據(jù)中心接入：不再需要復雜的、難于診斷的STP;可以簡化管理，實現(xiàn)一個管理點，一個路由和STP節(jié)點;系統(tǒng)總帶寬提升至1.4Tbps。6500-VSS應用于核心/會聚層：實現(xiàn)網(wǎng)絡系統(tǒng)虛擬化;提供機箱間的狀態(tài)化切換(SSO)，改良無中斷通信，切換時間〈200ms;跨機箱EtherChannel，優(yōu)化路徑選擇。VSS和vPC技術比擬如下列圖。ACE模塊，實現(xiàn)效勞器負載均衡和SSL，可以將一個物理設備虛擬成不同的功能區(qū)域，虛擬的功能區(qū)有獨立的配置文件、路由表、應用規(guī)那么設置等。防火墻模塊FWSM，可實現(xiàn)最多250個虛擬防火墻。虛擬局域網(wǎng)VLANs需要時可以共享，如上圖左邊的VLAN10，各虛擬防火墻可以有各自的策略設置。虛擬技術聯(lián)合應用例如如下列圖。VSS技術框架下ACE和FWSM模塊設計例如如下列圖。會聚層網(wǎng)絡效勞的部署設計。數(shù)據(jù)中心接入層的可選設計有TopofRack(架頂)和MiddleofRow(列頭)，如下。架頂式，一個機柜中一臺或兩臺交換機連接1-RU(1機架單元，如20臺)效勞器。列頭式，可用于效勞器占用空間較大時，交換機集中放置。采用Nexus5000做控制中心可控制多臺遠端Nexus2000，聯(lián)合使用效果圖如下。部署Nexus2000的物理拓撲構造。邏輯拓撲構造。前端網(wǎng)絡虛擬化技術各層面的簡單匯總?cè)缦隆Ｐ谄魈摂M化效勞器虛擬化有全部虛擬化、局部虛擬化、應用虛擬化三個開展需求，如下列圖。在效勞器VMotion(虛擬機遷移)過程中存在以下的問題：VMotion可以跨網(wǎng)絡動態(tài)遷移虛擬機，管理策略上如何適應;無法觀察本地交換流量和為其設定策略;無法識別一條物理鏈路上多個虛擬機的流量。CiscoVN-Link技術針對這些問題實現(xiàn)：將網(wǎng)絡延伸到效勞器虛擬機;提供一致的連接效勞;協(xié)調(diào)、統(tǒng)一的管理。VN-Link將網(wǎng)絡交換延伸到效勞器虛擬機，在效勞器虛擬機的遷移過程中網(wǎng)絡信息將伴隨遷移。VN-Link技術實現(xiàn)基于策略的虛擬機連接、網(wǎng)絡與平安技術的移動、不連續(xù)的運行模式，示意圖如下。在虛擬機資源的遷移中，需要一起移動DRS，SW升級文件/補丁，硬件錯誤記錄等。VN-Link能實現(xiàn)網(wǎng)絡的虛擬遷移，虛擬機的平安防護，保存之前的連接狀態(tài)等。CiscoNexus1000V是思科最新的基于VN-Link技術的軟件，也是業(yè)界首個第三方軟件交換機，提供VN-Link特性，確保在VMotion過程中虛擬機的可視性和連通性。后端虛擬化的主要內(nèi)容如下列圖。包括虛擬化效勞器、HBAs，統(tǒng)一輸入輸出/Fabrics、存儲等。后端虛擬化可以優(yōu)化資源的使用、增加靈活性和敏捷能力、簡化管理、減少TCO。傳統(tǒng)的基于應用/部門的SAN存儲網(wǎng)絡的架構如下列圖。

總體上看各個SAN網(wǎng)絡如一座座的孤島，每個島上的端口都過量，需要管理大量的交換機，并且他們的資源無法共享。整合的VSAN存儲網(wǎng)絡架構如下列圖。它是一個供所有應用系統(tǒng)使用的公用存儲網(wǎng)絡，能夠做到：最大化端口利用率，無需多余擴展端口;減少整體交換設備數(shù)量，降低管理復雜度;更靈活的配置存儲資源，提高資源利用率;為未來的存儲虛擬化打下根底。VSAN技術的工作原理和流程如下。VSAN實現(xiàn)不需要端設備的特殊支持，SAN交換時機在輸入輸出數(shù)據(jù)時添加和去除說明數(shù)據(jù)屬性的標簽，實現(xiàn)基于硬件層面上的不同VSAN流量的隔離，SAN交換機中的FibreChannel為不同的VSAN數(shù)據(jù)提供效勞，如圖中的藍色和紅色。N-PortID虛擬化技術(NPIV)能將一個HBA卡接口虛擬成多個接口，相應的，在交換機上也有多個對應接口，如下列圖。虛擬的N-Port能為同一個VSAN的不同數(shù)據(jù)(如，Web)提供獨立接口，并且可以在應用層面上實現(xiàn)對各虛擬接口的存取控制、域控制、端口平安控制等。目前，N-PortID虛擬化技術是為同一個VSAN的需求虛擬出多個N-Port接口。一個未使用NPIV技術的由虛擬效勞器到存儲的網(wǎng)絡連接圖如下。HBA卡到交換機只有一個點到點連接，MDSS9000交換機中只有一個WWPN(WorldWidePortName)，所有的存儲卷需要基于同一個物理HBA的存取控制。管理程序(hypervisor)負責映射和錯誤處理。使用NPIV技術后。不同虛擬效勞器通過不同虛擬N-Port連接到交換機，交換機為所有虛擬N-Port設置WWPN，存儲數(shù)據(jù)卷只能通過對應N-Port和虛擬效勞器來處理。沒有使用NPIV技術的VMotionLUN遷移圖如下。所有配置參數(shù)都是基于一個物理HBA的WWPN，所有虛擬效勞器的LUN必須對所有效勞器可見以確保遷移過程中磁盤數(shù)據(jù)存取的順利完成，這種“暴露〞會帶來平安隱患。使用NPIV技術的VMotionLUN遷移。虛擬效勞器遷移后，對應的N-Port參數(shù)配置和與存儲的映射關系都會跟隨遷移，確保特定存儲只能通過相應虛擬效勞器訪問。使用NPIV技術可以簡化管理和配置，增加平安性。數(shù)據(jù)中心FCoE(FCoverEthernet)技術實現(xiàn)在以太網(wǎng)架構上映射FC(FibreChannel)幀，使得FC運行在一個無損的數(shù)據(jù)中心以太網(wǎng)絡上。FCoE技術有以下的一些優(yōu)點：光纖存儲和以太網(wǎng)共享同一個端口;更少的線纜和適配器;軟件配置I/O;與現(xiàn)有的SAN環(huán)境可以互操作?；贔CoE技術的數(shù)據(jù)中心統(tǒng)一I/O能夠?qū)崿F(xiàn)用少數(shù)的A(ConvergedNetworkadapter)代替數(shù)量