服務(wù)器虛擬化技術(shù)在數(shù)據(jù)中心里不斷增長的應(yīng)用已成為不爭的事實(shí)。經(jīng)濟(jì)效益是推動(dòng)這股趨勢得以發(fā)展的堅(jiān)強(qiáng)后盾。服務(wù)器虛擬化能通過減少物理服務(wù)器的數(shù)量，降低制冷和所需的能源，并且增加數(shù)據(jù)中心的靈活性，從而減少數(shù)據(jù)中心的整體擁有成本。這對于企業(yè)和服務(wù)器所有者都是有好處的，但是網(wǎng)絡(luò)管理方面的效果又是怎樣的呢?事實(shí)是服務(wù)器虛擬化讓網(wǎng)絡(luò)管理復(fù)雜化了。
　　目前有兩大與服務(wù)器虛擬化相關(guān)的網(wǎng)絡(luò)問題。第一個(gè)是配置虛擬局域網(wǎng)。網(wǎng)絡(luò)管理者必須確認(rèn)當(dāng)物理服務(wù)器運(yùn)行虛擬機(jī)時(shí)，同樣的交換機(jī)端口也被分配給了虛擬機(jī)使用的虛擬局域網(wǎng)。
　　服務(wù)器虛擬化部門的一個(gè)解決方案是告知網(wǎng)絡(luò)管理團(tuán)隊(duì)有關(guān)虛擬機(jī)運(yùn)行的服務(wù)器和預(yù)先配置交換機(jī)端口的各種可能性。這并非一個(gè)完美的解決方案，因?yàn)檫@樣會(huì)導(dǎo)致虛擬局域網(wǎng)要定義大比例的交換機(jī)端口。這就演變的更加復(fù)雜，因?yàn)榉��?wù)器部可能并不了解映像開始運(yùn)行的所有服務(wù)器，特別在災(zāi)難恢復(fù)情況下他們要采取緊急措施的時(shí)候。
　　第二個(gè)問題是分配QoS和執(zhí)行網(wǎng)絡(luò)協(xié)議，比如訪問控制清單(簡稱ACL)。傳統(tǒng)做法是由連接到運(yùn)行應(yīng)用軟件的服務(wù)器上的網(wǎng)絡(luò)交換機(jī)來完成。服務(wù)器虛擬化這種在物理服務(wù)器管理程序下運(yùn)行的軟件交換機(jī)并不是傳統(tǒng)意義上與物理服務(wù)器連接的物理網(wǎng)絡(luò)交換機(jī)。
　　在軟件交換機(jī)上執(zhí)行協(xié)議仍然很重要。舉例來說，如果服務(wù)器上運(yùn)行的虛擬機(jī)無法彼此互聯(lián)，那么獲得虛擬機(jī)1控制權(quán)的管理者就會(huì)打開到虛擬機(jī)2的連接并竊取它的數(shù)據(jù)。如果服務(wù)器上的軟件交換機(jī)可以應(yīng)用訪問控制清單，那么這種情況就可以避免。
　　在虛擬化出現(xiàn)之前，這種情況是可以被避免的，因?yàn)樘摂M機(jī)1和虛擬機(jī)2的應(yīng)用軟件可以在不同服務(wù)器上運(yùn)行，網(wǎng)絡(luò)交換機(jī)中定義的訪問控制清單可以阻止這種彼此通信。在軟件交換機(jī)上執(zhí)行這種協(xié)議可以保證安全性。問題是如何讓軟件來執(zhí)行協(xié)議。
　　克服這兩種挑戰(zhàn)是讓服務(wù)器虛擬化順暢運(yùn)轉(zhuǎn)的關(guān)鍵。如果廠商社區(qū)能建立適用于所有不同虛擬化廠家的統(tǒng)一標(biāo)準(zhǔn)將是個(gè)不錯(cuò)的主意。對于快速成長中的新技術(shù)這也是個(gè)正常的步驟，但標(biāo)準(zhǔn)目前還沒有形成。整個(gè)行業(yè)采用了四種方式來解決這些問題。
　　虛擬化廠商的解決方案
　　VMware是市場上領(lǐng)先的虛擬化廠商，但虛擬化領(lǐng)域還有很多其他的虛擬化解決方案，比如思杰的Zen,微軟公司的Hyper-V, KVM以及來自很多其他小型廠商的虛擬化軟件。應(yīng)用最為廣泛的虛擬化解決方案是VMware，在此我們也以VMware為例來進(jìn)行闡述。
　　在以下的圖表中，VMware的vCenter可以控制虛擬化流程和虛擬機(jī)開始的方向。管理程序控制著服務(wù)器和在物理服務(wù)器上運(yùn)行的虛擬機(jī)。VSwitch 是VMware提供的Layer 2軟件交換機(jī)。每個(gè)虛擬機(jī)都有一個(gè)虛擬網(wǎng)絡(luò)接口卡，名為vNIC。vNIC使用的是來自虛擬化廠商訪問控制清單地址池或者又企業(yè)建立和分配的訪問控制清單地址。這張圖表并沒有顯示出真實(shí)環(huán)境中所有變化的可能性。它只是展示整個(gè)虛擬化流程是如何運(yùn)轉(zhuǎn)的。
 

　　第一步是服務(wù)器部門定義用于虛擬機(jī)的所有網(wǎng)絡(luò)特性和協(xié)議。操作者告知vCenter啟動(dòng)步驟2中的虛擬機(jī)2。這個(gè)過程包括vCenter和服務(wù)器上運(yùn)行的管理程序之間的多個(gè)信息，其中一個(gè)將網(wǎng)絡(luò)協(xié)議信息傳遞給管理程序。在步驟3中，管理程序用來配置帶有正確虛擬局域網(wǎng)，QoS和協(xié)議信息的虛擬交換機(jī)(vSwitch)。當(dāng)虛擬機(jī)2上的應(yīng)用軟件開始發(fā)送信息包，虛擬交換機(jī)上應(yīng)用的協(xié)議就由藍(lán)點(diǎn)來表示。
這個(gè)方法可以解決在第一個(gè)交換機(jī)上應(yīng)用網(wǎng)絡(luò)協(xié)議的問題，但是無法解決網(wǎng)絡(luò)交換機(jī)中虛擬局域網(wǎng)配置的問題。虛擬化部門必須在虛擬機(jī)開始發(fā)送流量之前，告知網(wǎng)絡(luò)管理部門在交換機(jī)端口上配置虛擬局域網(wǎng)，這需要快速的實(shí)現(xiàn)同步或者交換機(jī)必須事先進(jìn)行配置。當(dāng)虛擬化部門將虛擬機(jī)進(jìn)行遷移時(shí)這種同步就演變的更加復(fù)雜。然后虛擬化部門必須與網(wǎng)絡(luò)部門保持一致，因?yàn)榫W(wǎng)絡(luò)部門要負(fù)責(zé)遷移服務(wù)器，網(wǎng)絡(luò)部門還必須在成功遷移后清理老交換機(jī)上的配置。
　　與這種方式關(guān)系最大的是虛擬化部門和網(wǎng)絡(luò)部門之間所需的協(xié)調(diào)一致性。虛擬化部門必須在由網(wǎng)絡(luò)部門所控制的vCenter上配置參數(shù)，比如虛擬局域網(wǎng)數(shù)量，QoS和訪問控制清單等。這意味著在服務(wù)器虛擬化部門和網(wǎng)絡(luò)部門之間必須具備良好的協(xié)調(diào)性。虛擬局域網(wǎng)或者協(xié)議發(fā)生任何變化都必須立即在虛擬服務(wù)器配置上反饋出來，否則會(huì)導(dǎo)致其他可能的故障點(diǎn)。
　　另一個(gè)相關(guān)問題就是網(wǎng)絡(luò)部門部署的網(wǎng)絡(luò)組件虛擬交換機(jī)缺乏透明度。虛擬交換機(jī)是在vCenter的控制下，而不是傳統(tǒng)網(wǎng)絡(luò)管理軟件的控制下。另外，網(wǎng)絡(luò)管理團(tuán)隊(duì)對虛擬機(jī)的認(rèn)知度不高。這種透明度問題可以由幾家網(wǎng)絡(luò)廠商來解決，讓vCenter通知網(wǎng)絡(luò)團(tuán)隊(duì)所發(fā)生的變化或者對變化進(jìn)行輪流檢測，然后將這些信息和傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)一起展示出來，這對問題的判斷幫助很大。
　　第一個(gè)解決方案
　　Blade Networks目前有一款可以在其交換機(jī)上運(yùn)行的應(yīng)用軟件，F(xiàn)orce10的新版本可以解決虛擬局域網(wǎng)的問題。交換機(jī)會(huì)檢測vCenter來尋找任何發(fā)生的變化，或者有選擇的傾聽vCenter來發(fā)送宣布這種變化的信息。如果交換機(jī)發(fā)現(xiàn)了任何變化，就會(huì)自動(dòng)執(zhí)行配置。虛擬化操作者不必在網(wǎng)絡(luò)運(yùn)行中協(xié)調(diào)這種變化，幫助虛擬機(jī)順利運(yùn)轉(zhuǎn)。輪流檢測的間歇期必須小于啟動(dòng)虛擬機(jī)來確保交換機(jī)快速發(fā)現(xiàn)這種變化的時(shí)間。
　　在Force10的第一個(gè)版本中，所監(jiān)控的唯一參數(shù)就是虛擬局域網(wǎng)。Blade Network后來進(jìn)一步將全系列的洗衣都應(yīng)用在以虛擬網(wǎng)絡(luò)接口卡或者虛擬機(jī)的UUID為基礎(chǔ)的網(wǎng)絡(luò)交換機(jī)上。這種解決方案仍然需要在虛擬交換機(jī)上執(zhí)行協(xié)議。
　　解決配置問題的第二種方法是使用來自惠普和Juniper這種公司的協(xié)調(diào)軟件，他們的軟件可以在他們自己的交換機(jī)上使用。
　　還有來自Scalent和CA公司這種管理軟件廠商的解決方案。在這種情況下，協(xié)調(diào)軟件會(huì)協(xié)調(diào)網(wǎng)絡(luò)交換機(jī)和vCenter之間的通信，協(xié)調(diào)這兩種環(huán)境之間配置的變化。這種方法潛在的好處是適用于大范圍的交換機(jī)和虛擬化廠商。
　　思科的解決方案
　　思科公司推出了他們自己的軟件交換機(jī)解決方案1000V來取代vSwitch。1000V由兩部分組成。VSM是虛擬交換機(jī)模塊，用來替代在管理程序內(nèi)部運(yùn)行的vSwitch軟件。Virtual Element Manager (VEM)是為VSM配置和存儲(chǔ)網(wǎng)絡(luò)協(xié)議的程序。
　　以下的圖表顯示的流程是如何運(yùn)轉(zhuǎn)的。首先在虛擬機(jī)的UUID或者VEM的虛擬訪問控制清單地址中配置虛擬機(jī)的虛擬局域網(wǎng)和協(xié)議。VCenter啟動(dòng)一個(gè)新的虛擬機(jī)或者將一個(gè)步驟二的虛擬機(jī)進(jìn)行遷移。管理程序通知步驟3中的VSM。然后VSM從步驟4里的VEM中找回協(xié)議信息。如果網(wǎng)絡(luò)交換機(jī)是來自Nexus 產(chǎn)品線，也可以從VEM中找回必需的虛擬局域網(wǎng)和協(xié)議信息。在這點(diǎn)上管理程序中的交換機(jī)和Nexus交換機(jī)都掌握了如何處理虛擬機(jī)2的正確信息。當(dāng)虛擬機(jī) 2開始發(fā)送流量時(shí)，管理程序中的1000V交換機(jī)就應(yīng)用了所有正確的協(xié)議(藍(lán)點(diǎn)標(biāo)識(shí))。
 

>

　　思科方式的好處與第一個(gè)方法相同。如果第一次交換機(jī)通過的流量非法或者沒有應(yīng)用正確的協(xié)議，這種方法就可以阻止兩個(gè)虛擬機(jī)之間的任何通信。如果1000V使用在部署了虛擬化的Nexus交換機(jī)上，就可以解決網(wǎng)絡(luò)交換機(jī)中的虛擬局域網(wǎng)問題。其他的好處是可以消除由網(wǎng)絡(luò)管理軟件控制的管理程序中的交換機(jī)，將相關(guān)責(zé)任返回給網(wǎng)絡(luò)部門。不足之處是目前思科只有一個(gè)用于VMware的解決方案，還無法在 XEN和Hyper-V上運(yùn)行。
　　第四種方法
　　第四種方法是以網(wǎng)絡(luò)設(shè)備為中心;請看圖表3。在步驟1中，網(wǎng)絡(luò)管理軟件中的虛擬機(jī)是由其虛擬網(wǎng)絡(luò)接口卡來定義的。在步驟2中，vCenter指示管理程序啟動(dòng)虛擬機(jī)。管理程序發(fā)送告知信息包來通知其已經(jīng)啟動(dòng)了步驟3中的虛擬機(jī)2。這個(gè)通知包含了虛擬機(jī)2的虛擬網(wǎng)絡(luò)接口卡和其UUID。在步驟4中，交換機(jī)看到了這個(gè)通知并發(fā)送其虛擬局域網(wǎng)和其他協(xié)議信息的需求。然后交換機(jī)將協(xié)議應(yīng)用到任何進(jìn)入網(wǎng)絡(luò)的流量上。
 

>

　　關(guān)鍵點(diǎn)是交換機(jī)只將協(xié)議應(yīng)用在網(wǎng)絡(luò)交換機(jī)上(由藍(lán)點(diǎn)顯示)而不是在虛擬交換機(jī)上。交換機(jī)還要監(jiān)控來自管理程序的信息，管理程序要指明所遷移的虛擬機(jī)，然后刪除虛擬局域網(wǎng)和與虛擬網(wǎng)絡(luò)接口卡相關(guān)的協(xié)議信息。采用這種解決方案的廠商有Arista Networks, Blade和Enterasy，還有通過協(xié)調(diào)軟件來部署的惠普公司和Juniper。諸如博科公司等其他廠商也計(jì)劃推出這種解決方案。Extreme Networks將這種技術(shù)用于QoS和協(xié)議，但是沒有用于虛擬局域網(wǎng)。
　　這種方式會(huì)盡可能消除虛擬部門執(zhí)行網(wǎng)絡(luò)協(xié)議的需求。不過仍然有兩個(gè)問題需要解決。第一個(gè)問題是服務(wù)器虛擬化和網(wǎng)絡(luò)部門仍然要協(xié)調(diào)虛擬局域網(wǎng)數(shù)量。目前Enterasys公司具備了為虛擬交換機(jī)自動(dòng)化提供虛擬局域網(wǎng)數(shù)量的能力，Arista也在計(jì)劃近期把這種能力增加到軟件中去。
　　這種方式最大的問題是它無法將協(xié)議應(yīng)用到vSwitch上，因此會(huì)導(dǎo)致服務(wù)器虛擬機(jī)之間的流量繞過訪問控制清單和其他安全協(xié)議。Enterasys和Arista打算通過增加將協(xié)議下推至vSwitch的功能來解決這個(gè)問題，圖表中由A來顯示。

標(biāo)簽： 安全 標(biāo)準(zhǔn) 服務(wù)器 服務(wù)器管理 服務(wù)器虛擬化 計(jì)劃 企業(yè) 通信 網(wǎng)絡(luò) 問題 行業(yè) 虛擬服務(wù)器 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。