网络虚拟化

网络虚拟化@云数据中心网络虚拟化历史网络虚拟化技术一览虚拟网卡虚拟交换机（大二层）虚拟数据中心SDN虚拟机安全云端访问功能实现服务器物理网卡的共享与VM隔离实现交换机的无环路高效横向整合采用封装和隧道技术，在同一个物理网络上通过叠加技术来构建多个虚拟网络拓扑。OpenFlow通过将网络设备控制面与数据面分离开来，从而实现了网络流量的灵活控制。虚拟服务器内同一端口组虚机间流量管理跨数据中心迁移的服务访问关键点如何在虚拟化的情况下，获得良好的I/O性能并且有效地共享I/O设备。大规模部署下网络的毫秒级收敛三层网络上叠加二层网络来实现数据中心物理位置解耦。网络控制平面、数据平面与物理设备解耦。虚拟交换机缺少对流量统计、端口安全、ACL、QoS支持，因此不能很好地实现网络监管。IP与位置的解耦技术产品DeviceemulationmodelsVLAN裸光纤/VPLS开放网络基金会ONF(OpenNetworkingFoundation)vShield动态DNSsplit-drivermodelOpenDaylight开源项目，主要来自业界厂商FortiGateRHIDirectAssignmentH3CIRFVmware.VxLAN欧洲电信标准协会用于讨论NFV(NetworkFunctionVirtualization)的ISG行业规范小组。LeadseclispSR-IOV华为CSSIBMSDNVE/DOVE思科VSSMS.NVGREVmWare/NiciraNVPCiscoVN-TagVmWare/NiciraSTTCiscoOnePKHPVEPACiscoVirtualInterfaceCardTRILLJuniperJunosphereINTELFPPSPBCISCOOTVFabricPathHPEVI虚拟防火墙服务器网络虚拟化VM精确策略控制VM接入自动关联VM迁移自动感知云端三层不中断访问云计算网络二层网络灵活扩展数据内中心扩展跨数据中心扩展云计算数据中心的关键服务器网络虚拟化软件模拟网卡（全虚拟/半虚拟）设备仿真模型用软件模拟真实硬件所有行为。GuestOS和特权域之间的通信和数据传递都需要在VMM的控制下完成，带来了很大的虚拟化开销。Intel提供了用于在网卡中分类数据包的VMDq技术，减轻hypervisor的负担。VMware则在hypervisor交换机层进行了一些完善，不仅将数据导向到分别的目的虚拟机中，还将中断信号指向各自的CPU内核和目的虚拟机。通过在虚拟化环境中实施这种结合的队列技术，不仅吞吐量会翻一番，而且CPU利用率也有显著提升。穿透网卡直接I/O设备分配模型被提出来消除基于软件的I/O虚拟化所带来的开销，缩小和本地I/O性能直接的差距。直接I/O设备分配模型允许客户机直接访问特别设计定制的I/O设备。SR-IOV共享网卡这个模型是I/O直接分配模型的一个扩展（VMDc），网卡提供多个虚拟功能模块（VirtualFunction）以提供给虚拟机直接使用，每个虚拟机直接连接到网卡的Function上。VMDqVMM在服务器的物理网卡中为每个虚机分配一个独立的队列，这样虚机出来的流量可以直接经过软件交换机发送到指定队列上，软件交换机无需进行排序和路由操作。但是，VMM和虚拟交换机仍然需要将网络流量在VMDq和虚机之间进行复制。SR-IOV对于SR-IOV来说，则更加彻底，它通过创建不同虚拟功能（VF）的方式，呈现给虚拟机的就是独立的网卡，因此，虚拟机直接跟网卡通信，不需要经过软件交换机。VF和VM之间通过DMA进行高速数据传输。VMDqVSSR-IOV数据中心网络传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量，同时使网络管理员能够对流量流进行管理。工程师在这些架构中采用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余。虚拟化从根本上改变了数据中心网络架构的需求。最重要的一点就是，虚拟化引入了虚拟机动态迁移技术。从而要求网络支持大范围的二层域。从根本上改变了传统三层网络统治数据中心网络的局面。x86ArchitectureVMwareESXServerx86ArchitectureVMwareESXServerVMotion迁移虚拟机VMotion需要在二层网络中完成迁移VLAN－STPVLAN采用SpanningTreeProtocol(STP)协议按照树的结构来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。STP的机制导致了二层链路利用率不足，尤其是在网络设备具有全连接拓扑关系时，这种缺陷尤为突出。如图所示，当采用全网STP二层设计时，STP将阻塞大多数链路，使接入到汇聚间带宽降至1/4，汇聚至核心间带宽降至1/8。这种缺陷造成越接近树根的交换机，端口拥塞越严重，造成的带宽资源浪费就越可观。IRFH3CIRF（IntelligentResilientFramework）是N:1网络虚拟化技术。IRF可将多台网络设备（成员设备）虚拟化为一台网络设备（虚拟设备），并将这些设备作为单一设备管理和使用。IRF虚拟化技术不仅使多台物理设备简化成一台逻辑设备，同时网络各层之间的多条链路连接也将变成两台逻辑设备之间的直连，因此可以将多条物理链路进行跨设备的链路聚合，从而变成了一条逻辑链路，增加带宽的同时也避免了由多条物理链路引起的环路问题。CSS华为集群交换系统CSS（ClusterSwitchSystem），又被称为集群，是指将多台支持集群特性的交换机设备组合在一起，从逻辑上组合成一台整体交换设备，如图所示。通过跨框Eth-Trunk，用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口。即使某些端口所在的设备出现故障，也不会导致聚合链路完全失效，其它正常工作的成员设备会继续管理和维护剩下的聚合端口。这样即可以增大设备容量，又可以进行设备间的业务备份，增加可靠性。思科VSSCISCOVSS是一种网络系统虚拟化技术，将两台Cisco系列交换机或者路由器组合为单一虚拟交换机/路由器，从而提高运营效率、增强不间断通信。这两个物理交换机通过标准万兆以太网接口相连，因此能位于任何位置，其相隔的距离仅受限于所选的万兆以太网光纤长度。TRILLTRILL技术构建的数据中心大二层网络如图所示，网络分为核心层(相当于传统数据中心汇聚层)、接入层。接入层是TRILL网络与传统以太网的边界；核心层RBridge不提供主机接入，只负责TRILL帧的高速转发。每个接入层RBridge通过多个高速端口分别接入到多台核心层RBridge上。TRILL最大可以支持16台核心层RBridge。TRILL技术目前在芯片实现上存在客观缺陷：核心层不能支持三层终结，必须要在核心层上再增加一层设备来做网关。这导致网络结构变得复杂，管理难度增加，网络建设、运维成本都会增加。SPBSPB可细分为SPBV(VLANQinQ)和SPBM(MACinMAC)两个部分，目前看主要用到的是SPBM。SPBM是标准的MACinMAC封装，在SPB区域中数据报文也都是依靠外层MAC做传统Ethernet转发。外层Ethernet报头中的源目的MAC就代表了SPB区域边缘的UNI设备，此设备MAC是由L2ISIS在SPB区域中传递的。由于在SPB网络中还是采用传统Ethernet进行转发，因此需要定义一系列的软件算法以保证多路径的广播无环和单播负载均衡。FabricPath是Cisco的私有解决方案，但可以看作一个“增强版的TRILL”，是TRILL的基本功能加上“基于会话的MAC地址学习”、“Vpc+”和“多重拓扑”等高级功能的合集。FabricPath数据中心二层扩展主数据中心A数据中心B存储SANLayer2Layer2Layer3Layer3Layer2Layer2SANDWDMDWDMDWDMServerServer存储二层互联IP互联分支园区近年来，服务器高可用集群技术和虚拟服务器动态迁移技术（如VMware的VMotion），在数据中心容灾及计算资源调配方面得以广泛应用，这两种技术不仅要求在数据中心内实现大二层网络接入，而且要求在数据中心间也实现大范围二层网络扩展。暗光纤/DWDM从技术层面来讲，暗光纤/DWDM是实现可靠和可预测网络传输的最实用选择。因为暗光纤/DWDM服务是端到端的可靠带宽而且不会与其他服务共享，用户可以控制系统中的所有要素，而且可决定QoS，流量控制和性能。VPLS即VirtualPrivateLANServices（虚拟专用LAN业务），是一种在MPLS网络上提供类似LAN的一种业务，它可以使用户从多个地理位置分散的点同时接入网络，相互访问，就像这些点直接接入到LAN上一样。VPLS使用户延伸他们的LAN到MAN，甚至WAN上。VPLSVxLANvxlan(virtualExtensibleLAN)虚拟可扩展局域网，是一种overlay的网络技术，使用MACinUDP的方法进行封装，共50字节的封装报文头。VXLAN提供了将二层网络overlay在三层网络上的能力，VXLANHeader中的VNI有24个bit，数量远远大于4096，并且UDP的封装可以穿越三层网络，比VLAN有更好的扩展性。IBMSDNVE/DOVEIBMDOVE隧道协议是自有的，但它使用VXLAN帧格式进行封装，这意味着它可以支持任何VXLAN的底层网络硬件。这种硬件支持对于物理网络间DOVE流量的管理、安全性和故障排除非常重要。此外，与VXLAN一样，DOVE将子网中可用VLAN数量从4000增加到1600万以上，从而提高了云环境的可扩展性。与VXLAN不同的是，DOVE在创建一个覆盖时，不需要物理基础设施组播运行。NVGRE提议使用GRE来创建一个独立的虚拟2层网络，限制物理2层网络或扩展超过子网边界。NVGRE终端接收来自VM的以太网数据包，将它们封装并通过GRE通道发送出去。终端会打开接收的数据包，将它们分配给对应的VM。MSNVGRESTT是一种macoverip的协议，和vxlan,nvgre类似，都是把二层的帧封装在一个ip报文的payload中，在ip报文的payload中，除了虚拟网络的二层包以外，还要把构造的一个tcp头，和一个stt头加在最前面。STT封装在两个方面与NVGRE和VXLAN有所不同。第一，在IP报头内使用了无状态TCP类报头，允许端系统的隧道端点利用驻留在服务器网卡上的TCP卸载引擎(TOE)的TCP分片卸载功能(TSO)。利用主机的好处包括较低的CPU使用率和较高的万兆以太网接入链路使用率。STT还可为每个数据包的元数据分配更多的头空间，而元数据则可为虚拟网络的控制平面提供额外的灵活性。有了这些功能，STT便可针对hypervisorvSwitch作为封装/拆装隧道端点进行优化。STTOTV执行的是“MACinIP”“MAC路由”，是思科的跨二层私有技术，思科对数据报文进行了特殊封装，定义了一种Shim封装格式来实现二层报文跨三层转发功能，通过组播与单播两种方式形成建立邻接关系，与STP自动隔离。CISCOOTVHP/H3CEVIH3C的EVI技术，是基于现有的数据中心架构，在多个跨区域的数据中心整合成一个大二层组网，通过MACinIP的GRE封装技术充分利用现有三层网路链路实现。数据中心互联扩展比较传统方式主机虚拟方式网络设备方式暗光纤/DWDMVxLanHP/H3CEVIVPLSDOVECISCOOTVNVGRESTT二层网络扩展，需要运营商配合，部署周期长。L2OVERL3扩展主机方式实现，未深度成熟，VxLan技术相对主流，适合多租户应用。L2OVERL3扩展自有网络设备部署，成熟可靠，扩展能力有限，适合企业级应用。分布式数据中心访问在分布式数据中心解决方案中，为了实现跨中心计算资源的动态调配，一般采用虚拟机迁移技术，同时采用服务器高可靠性集群计算实现跨数据中心的应用级容灾，这两种应用场景统称为“分布式数据中心（