《SDN技術及應用》課件-第5章

第5章網絡虛擬化5.1虛擬化技術簡介5.2服務器虛擬化5.3存儲虛擬化5.4網絡虛擬化5.5基于SDN技術的網絡虛擬化方案5.6網絡功能虛擬化與SDN5.7小結復習思考題

5.1虛擬化技術簡介

在數據大集中的趨勢下,數據中心的服務器規(guī)模越來越龐大。隨著服務器規(guī)模的成倍增加,硬件成本也水漲船高,同時管理眾多服務器的維護成本也隨之增加。為了降低數據中心的硬件成本和管理難度,對大量的服務器進行整合成了必然的趨勢。通過整合,可以將多種業(yè)務集成在同一臺服務器上,直接減少服務器的數量,有效地降低服務器的硬件成本和管理難度。

服務器整合帶來了巨大的經濟效益,同時也帶來了難題,即多種業(yè)務集成在一臺服務器上,安全如何保證?不同的業(yè)務對服務器資源有不同的需求,如何保證各個業(yè)務資源的正常運作?為了解決這些問題,虛擬化應運而生了。虛擬化指用多個物理實體創(chuàng)建一個邏輯實體,或者用一個物理實體創(chuàng)建多個邏輯實體。實體可以是計算、存儲、網絡或應用資源。虛擬化的實質就是“隔離”———將不同的業(yè)務隔離開來,彼此不能互訪,從而保證業(yè)務的安全需求;將不同的業(yè)務資源隔離開來,從而保證業(yè)務對于服務器資源的要求。

數據中心運行的應用越來越多,但很多應用都相互獨立,在使用率低下、相關隔絕的不同環(huán)境中運行。每個應用都追求性能的不斷提高,而且數據中心擁有多種操作系統(tǒng)、計算平臺和存儲系統(tǒng),因此,IT機構必須提高運行效率,優(yōu)化數據中心資源的利用率,才能將節(jié)省出來的資金用于開展新的盈利型IT項目。另外,數據中心需要建立永續(xù)的基礎設施,才能保護應用和服務免受各種安全攻擊和干擾,才能建立既可以持續(xù)改進計算機存儲和應用技術,又能支持不斷變化的業(yè)務流程的靈活型基礎設施。利用整合和虛擬化技術幫助數據中心將計算和存儲資源從多個分布式系統(tǒng)轉變成可以通過智能網絡匯聚、分層、調配和訪問的標準化組件,從而為自動化等新興IT戰(zhàn)略奠定基礎。

數據中心資源的整合和虛擬化正在不斷發(fā)展,這需要高度可擴展的永續(xù)安全數據中心網絡基礎。網絡不但能讓用戶安全地訪問各種數據中心服務,還能根據需要實現(xiàn)共享數據中心組件的部署、互聯(lián)和匯聚,包括各種應用、服務器、設備和存儲。適當規(guī)劃的數據中心網絡不僅能保護應用和數據的完整性,提高應用的性能,還能增強對不斷變化的市場狀況、業(yè)務重要程度和技術先進性的反應能力。

5.2服務器虛擬化

服務器虛擬化能夠通過區(qū)分資源的優(yōu)先次序,隨時隨地地將服務器資源分配給最需要它們的工作負載來簡化管理和提高效率,從而減少為單個工作負載峰值而儲備的資源。

通過服務器虛擬化技術,用戶可以動態(tài)啟用虛擬服務器(又叫虛擬機),每個服務器可以讓操作系統(tǒng)(以及在上面運行的任何應用程序)誤認為虛擬機就是實際硬件。運行多個虛擬機還可以充分發(fā)揮物理服務器的計算潛能,迅速應對數據中心不斷變化的需求。

常用的服務器主要分為Unix服務器和x86服務器。對Unix服務器而言,IBM、HP、Sun各有其技術標準,沒有統(tǒng)一的虛擬化技術。因此,目前Unix的虛擬化受到具體產品平臺的制約,Unix服務器虛擬化通常會用到硬件分區(qū)技術。而x86服務器的虛擬化標準則相對開放,下面介紹x86服務器的虛擬化技術。

1.完全虛擬化

使用hypervisor在VM和底層硬件之間建立一個抽象層,hypervisor能捕獲CPU指令,并為指令訪問硬件控制器和外設充當中介。這種虛擬化技術幾乎能讓任何一款操作系統(tǒng)不加改動地就可以安裝在VM上,而它們不知道自己運行在虛擬化環(huán)境下。完全虛擬化的主要缺點是hypervisor會帶來處理開銷。

2.準虛擬化

完全虛擬化是處理器密集型技術,因為它要求hypervisor管理各個虛擬服務器,并讓它們彼此獨立。減輕這種負擔的一種方法就是改動客戶操作系統(tǒng),讓它以為自己運行在虛擬環(huán)境下,能夠與hypervisor協(xié)同工作,這種方法就叫準虛擬化。準虛擬化技術的優(yōu)點是性能高。經過準虛擬化處理的服務器可與hypervisor協(xié)同工作,其響應能力幾乎不亞于未經過虛擬化處理的服務器。

3.操作系統(tǒng)層虛擬化

實現(xiàn)虛擬化還有一個方法,那就是在操作系統(tǒng)層面增添虛擬服務器功能。就操作系統(tǒng)層的虛擬化而言,它沒有獨立的hypervisor層,主機操作系統(tǒng)本身就負責在多個虛擬服務器之間分配硬件資源,并且讓這些服務器彼此獨立。如果使用操作系統(tǒng)層虛擬化,所有虛擬服務器必須運行同一操作系統(tǒng)。

雖然操作系統(tǒng)層虛擬化的靈活性比較差,但本機速度性能比較高。此外,由于架構在所有虛擬服務器上使用單一、標準的操作系統(tǒng),管理起來比異構環(huán)境要容易。

5.3存儲虛擬化

所謂虛擬存儲,就是把多個存儲介質模塊(如硬盤、RAID)通過一定的手段集中管理起來,所有的存儲模塊在一個存儲池中得到統(tǒng)一管理。從主機和工作站的角度來看,這些存儲模塊不是多個硬盤,而是一個分區(qū)或者卷,就好像是一個超大容量的硬盤。這種可以將多種、多個存儲設備統(tǒng)一管理起來,為使用者提供大容量、高數據傳輸性能的存儲系統(tǒng),就稱之為虛擬存儲。

虛擬存儲設備主要通過大規(guī)模的RAID子系統(tǒng)和多個I/O通道連接到服務器上,智能控制器提供訪問控制、緩存和其他(如數據復制等)的管理功能。這種方式的優(yōu)點在于存儲設備管理員對設備有完全的控制權,而且通過與服務器系統(tǒng)分開,可以將存儲的管理與多種服務器操作系統(tǒng)隔離,并且可以很容易地調整硬件參數。

從虛擬化存儲的拓撲結構來看,主要有兩種方式,即對稱式(帶內管理)與非對稱式(帶外管理)。對稱式虛擬存儲技術是指虛擬存儲控制設備與存儲軟件系統(tǒng)、交換設備集成為一個整體,內嵌在網絡數據傳輸路徑中;非對稱式虛擬存儲技術是指虛擬存儲控制設備獨立于數據傳輸路徑之外。

從系統(tǒng)的觀點來看,有三種主要的存儲虛擬化方法:

·基于主機的虛擬存儲;

·基于存儲設備的虛擬存儲;

·基于網絡的虛擬存儲。

1.基于主機的虛擬存儲

基于主機的虛擬存儲依靠于代理或治理軟件,它們安裝在一個或多個主機上,實現(xiàn)存儲虛擬化的控制和治理。由于控制軟件是運行在主機上,這就會占用主機的處理時間,因此這種方法的可擴充性較差,實際運行的性能不是很好。

基于主機的方法也有可能影響到系統(tǒng)的穩(wěn)定性和安全

性,因為有可能會不經意間越權訪問到受保護的數據。這種方法要求在主機上安裝適當的控制軟件,因此一個主機的故障可能影響整個SAN系統(tǒng)中數據的完整性。軟件控制的存儲虛擬化還可能由于不同存儲廠商軟、硬件的差異而帶來不必要的互操縱性開銷,所以這種方法的靈活性也比較差。

但是,由于不需要任何附加硬件,基于主機的虛擬化方法最容易實現(xiàn),其設備成本最低。使用這種方法的供給商趨向于成為存儲治理領域的軟件廠商,而且目前已經有成熟的軟件產品。

2.基于存儲設備的虛擬化

基于存儲設備的存儲虛擬化方法依賴于提供相關功能的存儲模塊。假如沒有第三方虛擬軟件,基于存儲的虛擬化經常只能提供一種不完全的存儲虛擬化解決方案,對于包含多廠商存儲設備的SAN存儲系統(tǒng),這種方法的運行效果并不是很好。依賴于存儲供應商的功能模塊會在系統(tǒng)中排斥簡單的硬盤組和簡單存儲設備的使用,因為這些設備并沒有提供存儲虛擬化的功能。當然,利用這種方法意味著終極將鎖定某一家單獨的存儲供給商。

基于存儲的虛擬化方法也有一些優(yōu)勢:在存儲系統(tǒng)中這種方法比較容易實現(xiàn),容易和某個特定存儲供給商的設備相協(xié)調,所以更容易治理;同時,它對用戶或治理員都是透明的。但必須注意的是,由于缺乏足夠的軟件支持,這就使得解決方案更難以客戶化和監(jiān)控。

3.基于網絡的虛擬存儲

基于網絡的虛擬化方法是在網絡設備之間實現(xiàn)存儲虛擬化功能,具體有下面兩種方式。

1)基于互聯(lián)設備的虛擬化

假如基于互聯(lián)設備的方法是對稱的,那么控制信息和數據在同一條通道上;假如是不對稱的,那么控制信息和數據在不同的路徑上。在對稱的方式下,互聯(lián)設備可能成為瓶頸,但是多重設備治理和負載平衡機制可以緩解瓶頸問題。同時,在多重設備治理環(huán)境下,當一個設備發(fā)生故障時,也比較容易支持服務器實現(xiàn)故障接替。

但是這將產生多個SAN孤島,因為一個設備僅控制

與它所連接的存儲系統(tǒng)。非對稱式虛擬存儲比對稱式更具有可擴展性,因為數據和控制信息的路徑是分離的。

基于互聯(lián)設備的虛擬化方法能夠在專用服務器上運行,使用標準操作系統(tǒng),如Windows、SunSolaris、Linux或供給商提供的操作系統(tǒng),具有基于主機方法的諸多優(yōu)點,如易使用和設備便宜。很多基于設備的虛擬化提供商也提供附加的功能模塊來改善系統(tǒng)的整體性能,能夠獲得比標準操作系統(tǒng)更好的性能和更完善的功能,但需要更高的硬件成本。

但是,基于設備的方法也存在著和基于主機虛擬化方法類似的一些缺陷,由于它仍然需要一個運行在主機上的代理軟件或基于主機的適配器,主機的任何故障或不適當的主機配置都可能導致訪問到不被保護的數據。同時,在異構操作系統(tǒng)間的互操作性仍然是一個難題。

2)基于路由器的虛擬化

基于路由器的方法是在路由器固件上實現(xiàn)存儲虛擬化功能。供給商通常也提供運行在主機上的附加軟件來進一步增強存儲治理能力。在此方法中,路由器被放置于每個主機到存儲網絡的數據通道中,用來截取網絡中任何一個從主機到存儲系統(tǒng)的命令。由于路由器潛在地為每一臺主機服務,大多數控制模塊存在于路由器的固件中,相對于基于主機和大多數基于互聯(lián)設備的方法,這種方法的性能更好,效果更佳。而且由于不依賴于在每個主機上運行的代理服務器,這種方法比基于主機或基于設備的方法具有更好的安全性。

當連接主機到存儲網絡的路由器出現(xiàn)故障時,仍然可能導致主機上的數據不能被訪問,但是只有連接在故障路由器的主機才會受到影響,其他主機仍然可以通過其他路由器訪問存儲系統(tǒng)。路由器的冗余可以支持動態(tài)多路徑,這也為上述故

障提供了一個解決方法。由于路由器經常作為協(xié)議轉換的橋梁,基于路由器的方法也可以在異構操作系統(tǒng)和多供給商存儲環(huán)境之間提供互操作性。

5.4網絡虛擬化

1.網絡虛擬化概述在計算機領域中,網絡虛擬化是指將硬件和軟件網絡資源以及網絡的各項功能集成到一個基于軟件的可管理實體,即虛擬網絡中的過程。網絡虛擬化涉及物理平臺的虛擬化,常常與資源虛擬化的概念聯(lián)系在一起。

網絡虛擬化技術的體系結構如圖5－1所示,網絡虛擬化可以是外部的虛擬化,即將多個網絡或者某個網絡的一部分集成到一個虛擬的單元中;也可以是內部的虛擬化,即在一個軟件系統(tǒng)中模擬出虛擬的網絡功能。網絡虛擬化可以提高物理資源的利用率,提供虛擬網絡之間的隔離以及高度可定制化的網絡環(huán)境,因此在云計算、數據中心、企業(yè)級網絡管理以及未來互聯(lián)網試驗床等領域中都得到了廣泛的應用。

圖5－1網絡虛擬化技術的體系結構

網絡虛擬化的業(yè)務驅動力包括:

(1)能大幅度節(jié)省企業(yè)開銷。一般只需要一個物理網絡即可滿足服務要求。

(2)簡化企業(yè)網絡的運維和管理。

(3)提高了網絡的安全性。在多套物理網上很難做到安全策略的統(tǒng)一和協(xié)調,但在一套物理網上可以將安全策略下發(fā)到各虛擬網絡中,各虛擬網絡間是完全的邏輯隔離,一個虛擬網絡上的操作、變化、故障等不會影響到其他的虛擬網絡。

(4)提升了網絡和業(yè)務的可靠性。如在虛擬網絡中可以把多臺核心交換機通過虛擬化技術融合為一臺,當集群中一些小的設備發(fā)生故障時,整個集群的業(yè)務系統(tǒng)不會有任何的影響。

(5)滿足新型數據中心應用程序的要求。如云計算、服務器集群技術等新型數據中心應用都要求數據中心和廣域網有高性能的、可擴展的虛擬化能力。

2.網絡虛擬化分類

網絡虛擬化從總體來說,分為縱向分割和橫向整合兩大類概念。

1)縱向分割

早期的網絡虛擬化是指虛擬專用網絡(VPN)。VPN對網絡連接的概念進行了抽象,允許遠程用戶訪問組織的內部網絡,就像物理上連接到該網絡一樣。網絡虛擬化可以幫助保護IT環(huán)境,防止來自Internet的威脅,同時使用戶能夠快速、安全地訪問應用程序和數據。

隨后的網絡虛擬化技術隨著數據中心業(yè)務的要求發(fā)展為多種應用承載在一張物理網絡上,通過網絡虛擬化分割(稱為縱向分割)使得不同企業(yè)機構相互隔離,但可在同一網絡上訪問自身應用,從而實現(xiàn)了將物理網絡進行邏輯縱向分割,虛擬化為多個網絡。

如果把一個企業(yè)網絡分隔成多個不同的子網絡,而這些子網絡可以使用不同的規(guī)則和控制,用戶就可以充分利用基礎網絡的虛擬化功能,而不是部署多套網絡來實現(xiàn)這種隔離機制。

2)橫向整合

多個網絡節(jié)點承載上層應用,基于冗余的網絡設計勢必帶來復雜性,而將多個網絡節(jié)點進行整合(稱為橫向整合),虛擬化成一臺邏輯設備,在提升數據中心網絡可用性以及節(jié)點性能的同時將極大地簡化網絡架構。

使用網絡虛擬化技術,用戶可以將多臺設備“橫向整合”組成一個“聯(lián)合設備”,并將這些設備看做單一設備進行管理和使用。虛擬化整合后的設備組成了一個邏輯單元,在網絡中表現(xiàn)為一個網元節(jié)點,這使管理簡單化,配置簡單化,并可跨設備鏈路聚合,極大地簡化網絡架構,同時進一步增強了冗余性,提高了可靠性。

3.網絡虛擬化技術

目前,幾種成熟的網絡虛擬化技術分別是網絡設備虛擬化、鏈路虛擬化和虛擬網絡。

1)網絡設備虛擬化

(1)網卡虛擬化。

網卡虛擬化(NICVirtualization)包括軟件網卡虛擬化和硬件網卡虛擬化。

①軟件網卡虛擬化主要通過軟件控制各個虛擬機共享同一塊物理網卡實現(xiàn)。軟件虛擬出來的網卡可以有單獨的MAC地址、IP地址。網卡虛擬化的結構如圖5－2所示。所有虛擬機的虛擬網卡通過虛擬交換機以及物理網卡連接至物理交換機,虛擬交換機負責將虛擬機上的數據報文從物理網口轉發(fā)出去。根據需要,虛擬交換機還可以支持安全控制等功能。圖5－2虛擬網卡和虛擬交換機示意

②硬件網卡虛擬化主要用到的技術是單根I/O虛擬化(SingleRootI/OVirtulization,SRIOV)。所有針對虛擬化服務器的技術都是通過軟件模擬虛擬化網卡的一個端口,以滿足虛擬機的I/O需求,因此在虛擬化環(huán)境中,軟件性能很容易成為I/O性能的瓶頸。SRIOV是一項不需要軟件模擬就可以共享I/O設備、I/O端口的物理功能的技術。它創(chuàng)造了一系列I/O設備物理端口的虛擬功能(VirtualFunction,VF),每個VF都被直接分配到一個虛擬機。SRIOV將PCI功能分配到多個虛擬接口以便在虛擬化環(huán)境中共享一個PCI設備的資源。SRIOV能夠讓網絡傳輸繞過軟件模擬層直接分配到虛擬機,這樣就降低了軟件模擬層中的I/O開銷。

(2)硬件設備虛擬化。

硬件設備虛擬化主要有兩個方向:一是在傳統(tǒng)的基于x86架構機器上安裝特定的操作系統(tǒng),實現(xiàn)路由器的功能;二是傳統(tǒng)網絡設備硬件虛擬化。

通常,網絡設備的操作系統(tǒng)軟件會根據不同的硬件進行定制開發(fā),以便設備能以最高的速度工作。比如,思科公司的IOS操作系統(tǒng)在不同的硬件平臺需要使用不同的軟件版本。近年來,為了提供低成本的網絡解決方案,一些公司提出了網絡操作系統(tǒng)和硬件分離的思路。

典型的網絡操作系統(tǒng)是Mikrotik公司開發(fā)的RouterOS。這些網絡操作系統(tǒng)通常基于Linux內核開發(fā),可以安裝在標準的x86架構的機器上,使得計算機可以虛擬成路由器使用,并適當擴展了一些防火墻、VPN的功能。此類設備以其低廉的價格以及不受硬件平臺約束等特性占據了不少低端路由器市場。

傳統(tǒng)網絡設備硬件(路由器和交換機)的路由功能是根據路由表轉發(fā)數據報文。在很多時候,一張路由表已經不能滿足需求,因此,一些路由器可以利用虛擬路由轉發(fā)(VirtualRoutingandForwarding,VRF)技術將路由信息庫(

ForwardingInformationBase,FIB)虛擬化成多個路由轉發(fā)表。

為增加大型設備的端口利用率,減少設備投入,還可以將一臺物理設備虛擬化成多臺虛擬設備,每臺虛擬設備僅維護自身的路由轉發(fā)表。比如,思科的N7K系列交換機可以虛擬化成多臺VDC,所有的VDC共享物理機箱的計算資源,但各自獨立工作,互不影響。此外,為了便于維護、管理和控制,將多臺物理設備虛擬化成一臺虛擬設備也有一定的市場,比如H3C公司的IRF技術。

2)鏈路虛擬化

鏈路虛擬化是日常使用最多的網絡虛擬化技術之一,常見的鏈路虛擬化技術有鏈路聚合和隧道協(xié)議,這些虛擬化技術增強了網絡的可靠性與便利性。

(1)鏈路聚合。

鏈路聚合是最常見的二層虛擬化技術。鏈路聚合將多個物理端口捆綁在一起,虛擬成為一個邏輯端口。當交換機檢測到其中一個物理端口鏈路發(fā)生故障時,就停止在此端口上發(fā)送報文,根據負載分擔策略在余下的物理鏈路中選擇報文發(fā)送的端口。鏈路聚合可以增加鏈路帶寬,實現(xiàn)鏈路層的高可用性。

在網絡拓撲設計中,要實現(xiàn)網絡的冗余一般都會使用雙鏈路上連的方式,而這種方式明顯存在一個環(huán)路。因此,在生成樹計算完成后,就會有一條鏈路處于block狀態(tài),所以這種方式并不會增加網絡帶寬。如果想用鏈路聚合方式來做雙鏈路上連到兩臺不同的設備,但傳統(tǒng)的鏈路聚合功能不支持跨設備的聚合,因此在這種背景下就出現(xiàn)了虛鏈路聚合的技術。虛鏈路聚合技術很好地解決了傳統(tǒng)聚合端口不能跨設備的問題,既保障了網絡冗余,又增加了網絡可用帶寬。

(2)隧道協(xié)議。

隧道協(xié)議(TunnelingProtocol)指一種技術/協(xié)議的兩個或多個子網穿過另一種技術/協(xié)議的網絡實現(xiàn)互聯(lián)。使用隧道傳遞的數據可以是不同協(xié)議的數據幀或包。隧道協(xié)議將其他協(xié)議的數據幀或包重新封裝,然后通過隧道發(fā)送。新的幀頭提供路由信息,以便通過網絡傳遞被封裝的負載數據。隧道可以將數據流強制送到特定的地址,并隱藏中間節(jié)點的網絡地址,還可根據需要提供對數據加密的功能。一些典型的使用到隧道的協(xié)議包括GenericRoutingEncapsulation(GRE)和

InternetProtocolSecurity(IPSec)。

3)虛擬網絡

虛擬網絡(VirtualNetwork)是由虛擬鏈路組成的網絡。虛擬網絡節(jié)點之間的連接并不使用物理線纜連接,而是依靠特定的虛擬化鏈路相連。典型的虛擬網絡包括層疊網絡、虛擬專用網以及在數據中心使用較多的虛擬二層延伸網絡。

(1)層疊網絡。

簡單來說,層疊網絡(OverlayNetwork)就是在現(xiàn)有網絡的基礎上搭建另外一種網絡。層疊網絡允許對沒有IP地址標識的目的主機路由信息。例如,分布式哈希表(DistributedHashTable,DHT)可以路由信息到特定的結點,而這個結點的IP地址事先并不知道。層疊網絡可以充分利用現(xiàn)有資源,在不增加成本的前提下提供更多的服務。例如,ADSLInternet接入線路就是基于已經存在的PSTN網絡實現(xiàn)的。

(2)虛擬專用網。

虛擬專用網(VirtualPrivateNetwork,VPN)是一種常用于連接中、大型企業(yè)或團體與團體間的私人網絡的通信方法。虛擬專用網通過公用的網絡架構(比如互聯(lián)網)來傳送內聯(lián)網的信息,利用已加密的隧道協(xié)議來達到保密、終端認證、保證信息準確性等安全效果。這種技術可以在不安全的網絡上傳送可靠的、安全的信息。需要注意的是,加密信息與否是可以控制的,沒有加密的信息依然有被竊取的危險。

(3)虛擬二層延伸網絡。

虛擬化從根本上改變了數據中心網絡架構的需求。虛擬化引入了虛擬機動態(tài)遷移技術,要求網絡支持大范圍的二層域。一般情況下,多數據中心之間的連接是通過三層路由連通的,而要實現(xiàn)通過三層網絡連接的兩個二層網絡互通,就要使用到虛擬二層延伸網絡(VirtualL2ExtendedNetwork)。

傳統(tǒng)的VPLS(MPLSL2VPN)技術以及新興的CiscoOTV、H3CEVI等技術,都是借助隧道的方式,將二層數據報文封裝在三層報文中,跨越中間的三層網絡,實現(xiàn)兩地二層數據的互通。一些虛擬化軟件廠商提出了軟件的虛擬二層延伸網絡解決方案。例如,VXLAN、NVGRE在虛擬化層的vSwitch中將二層數據封裝在UDP、GRE報文中,在物理網絡拓撲上構建一層虛擬化絡層,從而擺脫對底層網絡的限制。

根據網絡虛擬化的定義以及需要解決的問題,可以推斷其應當具有如下特征:

①獨立性。網絡虛擬化提供獨立于網絡基礎設施的網絡服務,網絡本身不再依賴于設備的物理屬性(如地理位置),利用虛擬網絡層實現(xiàn)網絡功能的解耦。獨立性是網絡虛擬化的基礎,對實現(xiàn)后面的特征有決定意義。

②隔離性。在網絡虛擬化中,多個虛擬網絡同時運行于同一個物理網絡上,使用隔離保證各個虛擬網絡之間互不干擾。根據目的不同可以將網路虛擬化的隔離分為安全隔離和資源隔離。安全隔離指的是各個虛擬網絡可以運行特有的路由協(xié)議和其他服務,彼此之間不干擾;而資源隔離是指各個虛擬網絡獲得預約的資源(CPU、內存、緩存、帶寬),這些資源不會被其他的虛擬網絡占用。

③靈活性。網絡虛擬化作為解決互聯(lián)網僵化問題而誕生的一門技術,靈活性可以說是它的靈魂特征。網絡虛擬化需要能夠動態(tài)適應網絡環(huán)境的變化,給予用戶最佳的體驗。這種環(huán)境的變化往往包含兩個方面:底層的基礎設施變化(如發(fā)生故障或者更新)和上層的需求變化。網絡虛擬化動態(tài)地調整資源分配方案,提供高度靈活的虛擬網絡服務。

④可編程性。網絡虛擬化將網絡的功能按照服務化的理念開放出來,這就必然要求用戶可以自由地定制網絡。實現(xiàn)這種自定義的一種可行的方式就是將網絡功能以API的形式展現(xiàn)給用戶,用戶通過調用API來實現(xiàn)服務。當然,網絡的可編程性需要根據情況提供合適權限的API用以保證設備的安全性。

⑤高效性。作為資源分配策略占主導的技術,網絡虛擬化在滿足功能的前提下,需要盡可能地提高資源的利用率。通過對資源的合理配置,一方面可以降低資源的使用成本,另一方面也可以容納更多的服務請求,這對于用戶和服務提供商都很重要。

⑥可擴展性。網絡虛擬化在大規(guī)模網絡(如數據中心網絡)中的應用備受關注,主要是這種應用場景可以全面地展現(xiàn)網絡虛擬化的性能。與之對應的是要解決好大規(guī)模應用網絡虛擬化的軟肋,海量的網絡信息對于資源調度的要求之高顯而易見,動輒數以萬計的VN并存問題需要網絡虛擬化提供優(yōu)良的擴展性。

⑦兼容性。虛擬網絡始終定位于下一代網絡的重要組成部分,在將來很長一段時間無法完全取代傳統(tǒng)網絡,這就表示網絡虛擬化的實現(xiàn)仍然需要將現(xiàn)有的網絡體系納入考量范圍,為虛擬網絡到傳統(tǒng)網絡的連接提供保障,虛擬網絡之上需要實現(xiàn)現(xiàn)有網絡的幾乎全部技術。

5.5基于SDN技術的網絡虛擬化方案

傳統(tǒng)的網絡虛擬化技術,如VLAN和VPN,設備運行著各自的轉發(fā)邏輯,對這樣的網絡進行虛擬化需要分別對每一臺設備進行操作,再加上不同廠商的設備具有不同的硬件架構和軟件邏輯,網絡虛擬化的配置和操作通常是非常復雜的。另外,由于自動化的缺失,當虛擬網絡發(fā)生變化時,更改原來的配置工作量將十分巨大,因此,并不適合構建網絡虛擬化平臺。

SDN的集中控制和可編程能力恰好解決了上述問題,它可以在集中式架構的合適位置引入“轉換單元”,按照一定的策略實現(xiàn)虛擬邏輯資源與真實物理資源間的映射。這種映射可以非常靈活,虛擬邏輯資源可能是物理資源的一個子集,也可能是完全解耦于物理資源的。當虛擬網絡發(fā)生變化時,“轉換單元”還可以自動調整映射的策略。通過SDN這種集中式可編程特性實現(xiàn)自動化,可以簡化傳統(tǒng)網絡虛擬化場景中復雜的配置工作,使網絡虛擬化技術能夠更具靈活性和彈性。

由于SDN中的網絡設備具有良好的可編程性,網絡管理人員和網絡研究人員可以非常容易地控制網絡設備,部署新型網絡協(xié)議。在SDN中控制平面與數據平面相互分離,支持用戶定義自己的虛擬網絡,定義自己的網絡規(guī)則和控制策略,網絡服務提供者能夠為用戶提供端到端的、可控的網絡服務,甚至可以在硬件設備上直接添加新的應用,這都使得SDN非常適合于研究網絡虛擬化技術。這種可編程的網絡平臺不僅能解開網絡軟件與特定硬件之間的掛鉤,還能將網絡軟件

的智能性和硬件的高速性充分結合在一起,使得網絡變得更加智能與靈活。

目前,在SDN中網絡虛擬化技術的研究項目和產品主要有斯坦福大學的FlowVisor、匈牙利愛立信研究院的IVOF、瑞典皇家理工學院的OVN項目以及Nicira公司提出的NVP網絡虛擬化平臺。下面以FlowVisor為例進行介紹。

5.5.1FlowVisor簡介

FlowVisor是建立在OpenFlow之上的網絡虛擬化平臺,它可以將物理網絡分成多個邏輯網絡,從而實現(xiàn)軟件定義網絡。它為管理員提供了廣泛的定義規(guī)則來管理網絡,而不是通過調整路由器和交換機來管理網絡。FlowVisor提供了一套比較完整的網絡虛擬化方案,用戶可以通過配置文件來進行虛擬網絡的劃分及資源管理等工作,但對多協(xié)議的支持不夠完善,無法支持多業(yè)務。FlowVisor作為一個比較成熟的基于網絡虛擬化的解決方案,為未來網絡資源的虛擬化發(fā)展

提供了方向。

FlowVisor是使用Java語言編寫的建立在OpenFlow之上的網絡虛擬化平臺,用來在交換機和多個控制器之間傳輸透明代理(proxy)。它可以將物理網絡分成多個邏輯網絡,從而實現(xiàn)開放軟件定義網絡。它是一個特殊的OpenFlow控制器,已經被部署在很多地方,如從2009年開始就應用于斯坦福大學的校園網絡。

FlowVisor是一個開源系統(tǒng),與OpenFlow有著比較密切的關系,使用FlowVisor系統(tǒng)就可以在OpenFlow上建立多個虛擬網絡。FlowVisor是處于控制器與OpenFlow之間的一個虛擬化層,它按照用戶定義的FlowSpace規(guī)則將數據進行切片。FlowVisor允許多個控制器同時控制一臺OpenFlow交換機,但是每個控制器僅僅可以控制經過這個OpenFlow交換機的一個切片。因此,通過FlowVisor建立的試驗平臺可以在不影響商業(yè)流轉發(fā)速度的情況下,允許多個網絡試驗在不同的虛擬網絡上同時進行。

正如計算機中的虛擬化層處于硬件和操作系統(tǒng)之間一樣,FlowVisor處于底層物理硬件與控制它的控制器之間,如圖5－3所示。正如計算機的虛擬機用指令集來控制底層硬件一樣,FlowVisor使用OpenFlow協(xié)議來控制底層的物理網絡。FlowVisor同時為多個控制器服務,每個控制器控制一個切片,保證了每個控制器只能看到和控制它對應的切片,同時將不同切片之間的流量隔離開來。圖5－3FlowVisor結構示意圖

OpenFlow提供了對轉發(fā)路徑的抽象,這使得FlowVisor能夠對網絡進行切片,并且具備以下主要特征:

·FlowVisor將一個切片定義為運行在某網絡拓撲中的一個流的集合。

·FlowVisor處于每個交換機和控制器之間,保證每個控制器只能觀察到它對應的切片。

·FlowVisor通過攔截控制器和交換機之間的信息,并且據此對流表進行切分。

lowVisor通過監(jiān)查、重寫、匹配策略規(guī)則來實現(xiàn)它作為一個虛擬層所需要的透明性。根據不同的資源分配策略、消息類型、目的地或者內容,FlowVisor會原封不動地轉發(fā)一條消息,或將它轉換成一條合適的消息并轉發(fā),或者返回一條OpenFlow錯誤信息給消息發(fā)送者。對于一條從控制器發(fā)往交換機的消息,FlowVisor會保證該信息只作用于該控制器對應切片的數據流上。對于相反方向,即從交換機發(fā)往控制器的消息,FlowVisor會檢查消息的內容,然后將它轉發(fā)給對

應的控制器?？刂破饕仓荒苁盏絹碜杂谂c它對應切片相關的消息。因此,從控制器的角度來看,FlowVisor看起來像一個交換機;從交換機的角度來看,FlowVisor看起來像一個控制器。

FlowVisor在設計過程中考慮了對如下幾種資源的虛擬化,但FlowVisor不保證以下資源的虛擬化能夠完全部署,在特定的條件下部分資源的虛擬化是無法實現(xiàn)的。

(1)帶寬。每個虛擬網絡所占用的帶寬是可以配置的,這就需要對鏈路帶寬進行抽象和分配。

(2)拓撲。每個虛擬網絡擁有屬于自己的網絡節(jié)點及鏈路連接視圖,控制器可以通過協(xié)議學習虛擬網絡的拓撲,能夠為不同的虛擬網絡控制器提供不同的虛擬網絡拓撲。

(3)流量。不同虛擬網絡的流量應該是互不干擾的,這就需要對流量進行抽象并管理,確保不同虛擬網絡的流量能夠嚴格地互相隔離。

(4)CPU資源。用來處理數據平面流量轉發(fā)的網絡設備需要的計算資源的開銷,因此,網絡設備的計算資源需要被劃分,而且交換機對控制指令的數據平面分組以及進行轉發(fā)的過程都需要計算開銷。如果沒有適當劃分,一個虛擬網絡的運行就可能影響其他虛擬網絡的正常工作。

(5)流表。交換機中的流表只有一個,需要多個虛擬網絡共享,如果沒有流表隔離機制,一個虛擬網絡所下發(fā)的控制指令可能會影響到另一個虛擬網絡的數據流量。

FlowVisor中每一個虛擬網絡就是一個網絡切片(Slice),每一個切片包含多條流空間(FlowSpace)。FlowVisor中的流空間是定義在一臺交換機之上的流量集合,它描述了一個能夠控制的流量特征,如表5－1所示。

FlowVisor根據一個切片的流空間推斷出切片的拓撲。如果在一臺交換機上定義了一個流空間,那么虛擬網絡的拓撲就包含了這臺交換機。如果這條流空間的入端口是某個指定的端口,那么虛擬網絡的拓撲只包含這個端口;如果一個流空間的入端口沒有指定端口,那么這個虛擬網絡將包含這臺交換機上的所有端口。

5.5.2FlowVisor常用命令

FlowVisor中常用的命令如表5－2所示。

5.5.3FlowVisor工作流程

FlowVisor的工作流程如圖5－4所示,控制器和交換機與FlowVisor之間產生的所有I/O事件都進入到一個消息隊列,通過PollLoop輪詢來處理。交換機交給控制器的數據分組通過OFSwitchAcceptor模塊接收后,遞交給對應的FVClassifier模塊對數據分組類型以及參數特征進行分析;隨后此數據分組進入FVSlicer模塊,此模塊與數據庫交互,實現(xiàn)數據分組與FlowSpace數據庫的內容進行比對;

最終由FVSlicer模塊決定此數據分組所屬的虛擬網絡,并交給相應的FVSlicer轉發(fā)給控制器。同樣,控制器下發(fā)給交換機的數據分組會通過相反的過程送達交換機,但是在下發(fā)到物理交換機之前,FVSlicer會對下行的信令進行檢查,防止下行信令操作虛擬網絡FlowSpace未定義的數據流。圖5－4FlowVisor工作原理

每個FlowSpace都定義了一個控制器具有的行為權限,一個Slice中的FlowSpace可以定義如下三種權限:

(1)允許。虛擬網絡控制器能夠接收匹配這條FlowSpace的流表,并且虛擬網絡控制器能夠向交換機中添加控制這條FlowSpace的流表,即虛擬網絡對這條FlowSpace定義的流量是可讀可寫的。

(2)只讀。匹配這條FlowSpace的流僅能被此虛擬網絡的控制器接收,控制器對這條FlowSpace的控制操作都是非法的。

(3)丟棄。匹配這條FlowSpace的流將被FlowVisor直接丟棄,虛擬網絡的控制器也無法操作這條流。

FlowVisor借鑒了計算機虛擬化的技術。計算機虛擬化之所以能取得成功在于其實現(xiàn)了對底層硬件的抽象,硬件抽象層保證了操作系統(tǒng)對于硬件資源的共享和分片使用。從操作系統(tǒng)的視角上來說,底層硬件是被其獨享的私有硬件。一個完備的硬件抽象層允許安裝不同的操作系統(tǒng),硬件可以獨立地更新與優(yōu)化,保證了虛擬化層面上南北雙向的快速革新。SDN的出現(xiàn)使得網絡的底層硬件與上層控制邏輯得以分離,OpenFlow作為廣泛采用的南向接口對網絡底層硬件進行了

抽象,提供了類似于計算機虛擬化中硬件抽象層的能力。原則上,任何其他的抽象層都可以在FlowVisor原型系統(tǒng)中使用,而不僅僅局限于OpenFlow。

5.6網絡功能虛擬化與SDN

依托于SDN技術實現(xiàn)的未來網絡必須同時實現(xiàn)網絡功能的虛擬化,才能對各種新興業(yè)務進行全面的支撐。2012年10月,由AT&T等大型運營商牽頭的網絡功能虛擬化(NetworkFunctionVirtualization,NFV)標準工作組在歐洲電信標準協(xié)會成立,其目的在于將IT虛擬化技術標準化,使得不同的網絡設備能以軟件的形式運行在符合行業(yè)標準的高性能的硬件設備中,實現(xiàn)