vSwitch最佳實踐:認識虛擬化網絡
數據中心使用虛擬化的服務器越來越多,網絡管理員和工程師迫切需要尋找更優的方法實現虛擬機間流量管理。虛擬交換機(vSwitch)旨在管理和轉發虛擬環境的流量,但是網絡工程師通常不直接訪問這些交換機。如果他們這樣做,他們會發現虛擬機管理程序內部的vSwitch通常沒有他們所需要的可見性和精細流量管理功能。
那就沒有辦法了么?本文介紹了vSwitch的最佳實踐方法,分析了vSwitch支持的功能,它們對網絡的影響、潛在的問題,以及有效管理vSwitch和虛擬流量的策略。
虛擬交換機如何影響網絡
數據中心虛擬化有利于提高數據的網絡傳輸速度和使用率,但是也會帶來一些網絡問題。在虛擬化設置中,網絡訪問層位于虛擬機管理程序內,內置的vSwitch負責管理流量。但是這些交換機存在一些特殊的問題。
傳統物理交換機是根據物理設備的MAC地址來確定消息幀的發送目標。vSwitch也采用類似的方式,每一臺虛擬宿主都必須連接到一臺vSwitch上,方式與物理主機連接物理交換機相同。
但是,深入分析之后,我們會發現物理與虛擬交換機有一些顯著的區別。在物理交換機上,如果專用的物理線路或交換機端口出現問題,那么只會有一臺服務器受到影響。但是在虛擬化環境中,一條線路可能連接10臺以上的虛擬機(VM),出現問題可能會導致多臺VM連接中斷。而且,連接多臺VM需要更多帶寬,這都必須由vSwitch進行處理。
這些區別在設計復雜的大型網絡中尤為明顯,如支持跨數據中心或災難恢復的VM基礎架構。
由于vSwitch是手工配置,然后由各個ESX主機管理,因此,如果管理員或網絡工程師不理解虛擬化和ESX管理,就可能出現重大的配置錯誤或問題。
為了實現數據中心虛擬化,思科和VMware開發了兩種技術,它們能改進ESX主機內vSwitch功能。VMware提出了分布式虛擬交換機(DVS)的概念,它是一種將端口和管理分布于集群中所有ESX服務器的vSwitch。思科開發了Nexus 1000V,它是替代ESX的vSwitch,能夠將網絡交回給網絡運營團隊管理。
虛擬交換技術選擇和架構設計問題
虛擬交換機(vSwitch)是一個vSphere主機的核心網絡組件,它將宿主服務器的物理NIC(pNIC)連接到虛擬機的虛擬NIC(vNIC)。在規劃的vSwitch架構中,工程師必須決定他們如何使用物理NIC(pNIC),以分配vSwitch端口組保障冗余、分片和安全。
vSphere vSwitch有三種。vNetwork標準交換機(vSS)最適合小型環境使用,其中每一臺vSwtich都必須在各個主機上單獨配置。第二種是vNetwork分布式vSwitch,它與標準vSwitch類似,不同的是它使用vCentre服務器集中配置。第三種是思科Nexus 1000v,這是由思科和VMware共同開發的一種混合分布式vSwitch,它更智能。vSphere vSwitch的選擇取決于您是否有vSphere Enterprise Plus授權。
所有這些交換機都支持802.1Q標記技術,它可以在一個物理交換端口上使用多個VLAN(通過在所有網絡幀上用標簽來確定它們是否屬于某個特定VLAN),從而減少一臺主機需要的pNIC數量。要在vSphere實現這個功能,我們必須保證模塊位于使用標記的位置。
安全性對于vSphere vSwitch也很重要。單獨使用各種端口和端口組,而不是將它們整合到一個vSwitch上,這樣能夠實現更高的安全性和更好的管理。這些端口類型包括服務控制臺、VMkernel和虛擬機。
vSwitch冗余是另一個重要問題。冗余是通過給一臺vSwitch分配至少兩個pNIC實現的,每一個pNIC分別連接不同的物理交換機。
虛擬網絡挑戰
網絡團隊通常不具備虛擬化環境的管理權限。事實上,虛擬化會帶來許多新的網絡問題,包括流量可見性有限、需要實施新的網絡策略、手工修復vSwitch和網絡配置,VM遷移造成的I/O帶寬壓力。除了這些技術問題,虛擬化也會引起虛擬化管理和網絡管理的沖突。
諸如此類的許多問題是由于相同主機VM之間的流量不會流出服務器并進入物理網絡,因此網絡團隊很難監控或管理這些流量。缺少可見性也意味著網絡防火墻、QoS、ACL和IDS/IPS系統無法監控物理網絡的數據傳輸。
而且,標準和分布式的vSwitch交換機的管理都不簡單。管理員只能控制主機上物理NIC的上行端口,無法控制vSwitch上存在的諸多虛擬端口。
為了解決這些問題,網絡團隊需要新的網絡管理和安全產品,如Reflex System的虛擬管理中心、Altor Networks的虛擬防火墻和Catbird的vSecurity。所有這些產品都有專門設計的主機虛擬網絡流量安全、監視、控制功能。
使用網絡邊緣技術改進vSwitch管理
網絡專業人員在處理網絡環境中新的虛擬網絡交換機(vSwitch)層時,可能會遇到管理、策略實施、安全性和擴展性問題。
網絡工程師能在一系列網絡邊緣虛擬技術中尋找解決方法。這些技術包括分布式虛擬交換(DVS)技術,它可以通過一個外部管理系統來控制多個虛擬交換機的數據。Nexus 1000v交換機就是思科的DVS產品。
邊緣虛擬橋接技術(EVB)通過虛擬機流量流的vSwitch可見性和緊密策略控制,解決了vSwitch管理問題。最后,EVB提供一種基于標準的解決方案,從而不需要在虛擬機管理程序中調用軟件交換技術。
將來,可能會出現單根I/O虛擬化(single root I/O virtualisation,SR-IOV)技術,它將基于軟件的虛擬交換機轉移到PCI NIC硬件上,并為邊緣網絡技術提供硬件支持,從而解決了vSwitch和虛擬流量管理問題。
使用分布式交換機實現控制
由于認識到網絡團隊實現虛擬化就是為了更好的監控和管理虛擬流量,思科開發了Nexus 1000v分布式虛擬交換機(vSwitch)。這種分布式虛擬交換機將對虛擬主機內的虛擬網絡管理權交回給網絡管理員,從而解決服務器和網絡團隊之間的沖突,在宿主上實現更嚴密的安全性和可管理性。
思科Nexus 1000v分布式虛擬交換機由虛擬超級管理模塊(VSM)和虛擬以太網模塊(VEM)組成,它與虛擬環境的其他組件一起保障數據傳輸流暢。
思科還開發了Nexus 1010v,它是VSM虛擬設備的物理版本,可替代在ESX和ESXi主機上運行的VSM。
常規VMware vSwitch與思科Nexus 1000v:如何選擇?
在傳統的VMware vSwitch、VMware的vNetwork分布式交換機(頂級Enterprise Plus 版本中有)和第三方的思科Nexus 1000V之間選擇,需要考慮很多問題。
一方面,基礎版vSwitch是免費的,它有一個便捷的管理界面,支持VMware界面的所有基礎特性,這個界面對經驗豐富的管理員來說很熟悉。而思科Nexus 1000V需要付費,它的管理界面更復雜,但是它支持一些高級的思科IOS特性,從長遠來看有價格優勢,并且能保護更深層次的安全。
Open vSwitch為網絡管理員提供流量控制和可見性
Open vSwitch是一種替代思科Nexus 1000v的開源軟件,專門管理多租賃公共云計算環境,為網絡管理員提供虛擬VM之間和之內的流量可見性和控制。但是,由Citrix支持的Open vSwitch仍不能在VMware環境中使用。
Open vSwitch項目由網絡控制軟件創業公司Nicira Networks支持,旨在用虛擬化解決網絡問題,與控制器軟件一起實現分布式虛擬交換技術。這意味著,交換機和控制器軟件能夠在多個服務器之間創建集群網絡配置,從而不需要在每一個VM和物理主機上單獨配置網絡。這個交換機還支持VLAN中繼,通過NetFlow、sFlow和RSPAN實現可見性,通過OpenFlow協議進行管理。它還有其他一些特性:嚴格流量控制,它由OpenFlow交換協議實現;遠程管理功能,它能通過網絡策略實現更多控制。
現在,OpenFlow和由軟件定義的網絡技術在網絡領域的作用越來越大,分析顯示Open vSwitch正獲得更多的關注:它在vSphere環境中的應用在增多。
【編輯推薦】
