虛擬化該成為網絡面向應用的第一步
一個面向應用的網絡首要的前提就是對資源進行一體化管理,屏蔽使用者對資源位置的感知,快速交付適應于該應用的網絡規劃。因此,虛擬化也是H3C所提出的VAN(Virtual Application Network,虛擬應用網絡)架構的三大核心之一。
虛擬化的本質是提高用戶對資源的使用效率和管理能力。為了給用戶提供端到端的資源虛擬化服務,虛擬化的網絡又分為虛擬化服務、虛擬化通道、虛擬化設備。服務器作為虛擬服務的承載,通過虛擬機實現服務的位置無關性;連接通道作為服務流量的承載,虛擬化技術配合實現了虛擬服務的遷移、虛擬服務的備份和負載分擔;網絡設備作為虛擬通道的承載,虛擬化技術提供了虛擬通道的靈活配置和虛擬通道間的負載分擔,將服務流量的接入、匯聚、核心靈活的根據用戶需要進行整合,帶來了虛擬通道部署時的穩定性和靈活性。虛擬化通道技術在之前期刊中已有詳細描述(*注:《IP領航》2012第6期總第25期大二層專題),虛擬化服務屬于服務器側的范疇,本文重點描述網絡設備的虛擬化技術。
網絡設備的虛擬化技術從最初的多臺物理網絡設備虛擬成一臺邏輯網絡設備,即N:1的虛擬化,到一臺物理網絡設備虛擬化成多臺邏輯網絡設備,即1:N的虛擬化技術,又發展了將這兩種虛擬化技術進行整合的網絡設備形態,即N:1:M虛擬化技術;以及在N:1橫向虛擬化的基礎上發展了縱向虛擬化技術。這四項技術不僅給數據中心帶來了完整的虛擬化方案,也讓數據中心在網絡資源的管理和利用上更加靈活。
一、N:1虛擬化
通過N:1虛擬化,將多臺網絡設備虛擬化成一臺邏輯設備(*注:在本節中,所有邏輯設備都表示N:1的邏輯設備概念),網絡設備間的協同工作轉化為設備內的處理,從而提高網絡管理和運行效率,讓網絡回歸簡單。
另一方面,N:1虛擬化使邏輯設備具備了強大的擴展能力。當網絡需要擴容時,N:1虛擬化技術可以在不改變網絡拓撲的前提下,向現有的邏輯設備中動態增加物理設備,使整個邏輯設備擁有更多的設備端口數、更大的帶寬和處理能力(如圖1所示)。
圖1 N:1虛擬化示意圖
圖2是常見的網絡組網,使用MSTP、VRRP等協議來支持鏈路冗余、網關備份。這種組網在各種場合均會使用,這里僅以匯聚層與接入層之間的組網為例。
#p#
使用N:1虛擬化技術后,匯聚層的多個設備成為了一個單一的邏輯設備,接入設備直接連接到虛擬邏輯設備。簡化后的組網不再需要使用MSTP、VRRP協議,簡化了網絡配置。同時依靠跨設備的鏈路聚合,在成員出現故障時不再依賴MSTP、VRRP等協議的收斂,提高了可靠性。
圖2 使用N:1簡化組網示意圖
在具體技術實現上,H3C的相關技術是IRF(智能彈性架構),Cisco采用的是StackWise及VSS技術,Juniper采用的是Virtual Chassis技術。主要技術實現包括如下幾個方面:
跨物理設備的聚合
N:1虛擬化中采用的新型聚合技術讓用戶可以將不同物理設備上的物理以太網端口配置成一個聚合端口,這樣即使某些端口所在的設備出現故障,其他正常工作的成員設備會繼續管理和維護剩下的聚合端口。如圖3所示,流向網絡核心的流量將均勻分布在聚合鏈路上,當某一條聚合鏈路失效時,分布式鏈路聚合技術能夠將流量自動重新分布到其余聚合鏈路以實現鏈路的彈性備份和提高網絡可靠性。
圖3 跨設備聚合技術
物理設備間的協議狀態互為備份
各物理設備加入邏輯設備后,協議動態運行數據在物理設備間進行同步,Master出現故障時,其他物理設備有協議的狀態信息,能快速恢復并保持鄰居設備的協議連接。
以路由協議為例,如圖4所示,網絡使用的是OSPF路由協議。當Master收到鄰居路由器發送過來的Update報文時,更新本地的路由表同時它會將更新的路由表項以及協議狀態信息發給其他所有物理設備,其他物理設備收到后會更新本地的路由表及協議狀態,以保證邏輯設備內的各個物理設備上路由相關信息的嚴格同步。
#p#
當Master故障時,新選舉的Master可以接手舊Master的工作,新的Master接收到鄰居路由器過來的OSPF報文后,會將更新的路由表項以及協議狀態信息發給其它所有物理設備,并不會影響中OSPF協議的運行。此時,域內路由協議不會隨之出現中斷,二三層轉發流量和業務也不會出現中斷,從而實現了不中斷業務的故障保護和設備切換功能。
圖4 設備協議狀態備份機制
環形拓撲連接使網絡更可靠
如圖5所示,四個接入網絡通過跨設備聚合方式連接到邏輯設備上,邏輯設備采用環形拓撲方式進行連接。環形拓撲連接可以做到任何一臺設備的故障、設備端口故障、連接線故障,不影響到其他物理設備間的流量轉發,提高了網絡高可靠性。
圖5 環形拓撲帶來更高的冗余可靠性
二、 1:N虛擬化
1:N虛擬化技術將一臺物理設備虛擬化成多臺邏輯設備(注:在本節中所有邏輯設備都表示1:N的邏輯設備概念),劃分出來的邏輯設備具有單獨的轉發表項和芯片資源,可以單獨組網,單獨配置等網絡業務所需功能。
一臺物理設備虛擬成多個邏輯設備分別承擔不同的網絡應用,保持原有網絡的獨立性的同時,降低了硬件資源消耗,提高了網絡設備的利用率。各邏輯設備之間嚴格隔離,可以將安全級別不同的業務劃分到兩個邏輯設備中,通過虛擬化隔離,單獨進行管理和配置,不同業務之間不會相互影響。
圖6 N:1虛擬化示意圖
在具體技術實現上,H3C的相關技術是MDC(Multitenant Device Context,多租戶設備環境),Cisco采用的是VDC技術。各技術實現的功能上是一致的,以下以MDC技術為例來闡述1:N虛擬化的技術特點。
#p#
1. 網絡操作系統的虛擬化
網絡操作系統作為管理網絡設備的基礎,對網絡設備的硬件資源和軟件資源進行了分層管理。
1:N虛擬化技術首先需對網絡操作系統進行虛擬化,目的是能做到每個邏輯設備都有支撐自身系統運行的硬件和軟件資源,包括獨立的接口、CPU等,獨立維護的路由和轉發表項。
以MDC技術為例,采用基于操作系統級別的虛擬化技術,在操作系統內核模擬出一個個運行應用程序的容器,操作系統級別的進程管理、內存管理、磁盤管理基于每個MDC進行了虛擬化管理。對比目前服務器虛擬化時通常采用的Full-virtualization虛擬化技術(在Host操作系統和底層硬件之間建立一層抽象系統,各Guest操作系統無需修改代碼,通過CPU支持虛擬化將Guest操作系統的高權限指令Trap到抽象系統中的代碼中代理執行)和Para-virtualization虛擬化技術(修改Guest操作系統以適配Host系統),操作系統級的虛擬化由于不存在Guest系統到Host系統的轉換,調度性能上最好,耗費資源最少。
圖7 MDC 1:N虛擬化示意圖
2. 分布式物理設備的邏輯設備劃分
在核心層和匯聚層的網絡設備,一般采用分布式設備來提高設備的流量處理能力和性能規格。典型的分布式設備模型包括多塊主控板和多塊接口板,支持虛擬化后,每塊單板都可以支持多個邏輯設備的啟動,可將端口資源在多個邏輯設備之間進行劃分。
劃分后的邏輯設備也同樣為分布式設備形態,能操作分布式資源,并且相關的數據也和獨立的分布式設備一樣,進行同步和備份。如圖8所示,數據只在邏輯設備所屬的單板間進行同步,可以將I/O單板只劃分給某個邏輯設備。由于該單板上的資源只為一個邏輯設備所有,這樣I/O單板能達到作為單獨物理設備時的規格。
圖8 邏輯設備的表項數據同步
#p#
3. 獨立的配置管理平面
從管理設備業務功能的角度來看,每一個邏輯設備就是一臺獨立的設備。用戶可通過屬于邏輯設備的虛擬網管口直接登入邏輯設備內,進行管理和配置。邏輯設備所產生的系統告警信息可以單獨輸出到部屬的告警服務器上。每個邏輯設備有單獨的配置文件,支持獨立的重啟和恢復配置(如圖9所示)。
圖9 用戶對邏輯設備的配置管理
4. 故障隔離
由于采用操作系統級的虛擬化技術后,所有邏輯設備都有獨立的進程和獨立的網絡轉發數據,通過合理的資源劃分,甚至有獨立的轉發芯片資源和獨立的CPU資源。基于此,一個邏輯設備的故障可以控制在本邏輯設備內,不會影響其它的邏輯設備;
如圖10中MDC1邏輯設備內的某個服務的故障,可能導致該邏輯設備內的該服務不可工作。但其他邏輯設備還能繼續運行提供服務。
圖10 邏輯設備內的故障隔離
#p#
三、N:1:M虛擬化
N:1的虛擬化和1:N的虛擬化從技術角度采用了相反的實現技術,但可以將兩者的技術進行融合,實現將多臺物理設備通過N:1虛擬化技術虛擬成一臺邏輯設備,再將此邏輯設備通過1:N技術虛擬成多臺邏輯設備,這種組合簡稱為N:1:M虛擬化(如圖11所示)。
圖11 N:1:M虛擬化示意圖
以IRF+MDC組網為例,這種N:1:M的虛擬化的明顯特點就是:整合層次,降低運營成本。
利用IRF+MDC技術,可以對數據中心設計進行多層次的整合。整合方式可以分為三種方式(如圖12所示):
水平整合:將匯聚層的4臺設備整合成兩臺物理設備。將兩臺物理設備互為主備為接入網絡進行服務。
垂直整合:將核心層和匯聚層的設備整合,物理設備上分成兩個MDC,分別為核心層和匯聚層服務。
混合整合:將兩臺物理設備組成IRF邏輯設備上劃分三個MDC,兩個MDC管理接入網絡,做到接入的業務隔離,一個MDC連接核心層,滿足清晰的分層策略需求。
圖12 數據中心N:1:M虛擬化的整合方式
四、縱向虛擬化
上述的N:1虛擬化是一種對稱方式整合的網絡設備資源的技術,其中的N是有相同能力的對等設備,互為備份。隨著數據中心內服務器規模的迅速增長,縱向虛擬化技術(Vertical Converged Framework,縱向融合框架,以下簡稱VCF)應運而生。縱向虛擬化技術能將非對稱的網絡設備進行資源整合,既提高了網絡設備的端口密度,又方便了整體設備的管理。
VCF在縱向維度上支持對系統進行異構擴展,即在形成一臺邏輯虛擬設備的基礎上,可把一臺盒式設備作為一塊遠程接口板加入主設備系統,以達到擴展I/O端口能力和進行集中控制管理的目的。
在VCF技術體系中,設備按角色分為CB(Controlling Bridge)和PE(Port Extender)兩種。CB表示控制設備,PE表示縱向擴展設備,稱遠程接口板。
CB可以是N:1虛擬化后的邏輯設備組成,和縱向的PE設備采用跨設備聚合方式來進行連接。
PE設備相當于CB設備的端口擴展板,提高CB的端口密度。控制層面上的網絡配置、協議計算等由CB設備進行統一管理;PE設備的版本和配置文件可通過CB設備進行下載。
PE間的流量經過CB進行轉發,可通過對縱向連接端口進行聚合的方式擴大帶寬(如圖13所示)。
圖13 VCF典型拓撲
如圖14所示,利用VCF技術,可以將接入層和匯聚層進行整合,簡化管理,滿足網絡部屬中的高端口密度需求。
#p#
注:更多的VCF技術信息見本期【講堂】欄目的文章:VCF縱向虛擬化架構
圖14 VCF對匯聚和接入層的整合
五、虛擬化技術的整合應用
N:1網絡虛擬化減少了網絡上邏輯設備的數量,提高了設備管理效率,簡化網絡層次,并且提高設備擴展能力,保護用戶投資。1:N的虛擬化節約了網絡中的物理設備數量,用戶在網絡業務部屬中已經看不到具體的物理設備,而是一個個提供網絡服務的邏輯設備,將這兩種技術混合的N:1:M虛擬化使得網絡更有利于層次的整合、易于擴展。
在數據中心的應用中,網絡設備虛擬化技術也深入到各個層面(如圖15所示),在接入層設備采用縱向虛擬化技術來擴大網絡設備的接入設備端口密度,在PE設備上采用EVB協議和虛擬服務器間通過虛擬通道進行連接;在匯聚層設備采用N:1的虛擬化技術對下行鏈路提供了可靠冗余的連接,對上行的核心設備提供的簡單的協議控制,在匯聚層連接Internet的邊緣設備上,可以采用TRILL、PBB/SPB、EVI、VPLS等技術將該站點在數據中心大二層網絡中互聯;在核心層可以采用N:1:M的技術,在進行業務冗余備份的同時,將不同用戶的云劃分到不同的MDC中,即保證了業務的安全性,又可將邏輯設備托管由用戶自行進行各站點間的拓撲結構的管理。
圖15 數據中心內的虛擬化技術應用
六、 結束語
隨著面向應用的網絡進一步深化,出現了軟件定義網絡模型(Software Defined Network,SDN),SDN的出現將讓用戶能基于網絡設備廠商API接口更好的利用現有網絡設備資源,這些API接口可以基于設備本身提供,也能基于服務器上運行的Network OS提供。當用戶能更好的根據自己的應用來定義網絡設備時,將更需要網絡設備能夠實現完全徹底的虛擬化:將網絡設備通過N:1虛擬化后作為整體資源,通過1:N虛擬化技術根據應用創建新的邏輯設備和資源部屬;同時用戶可以根據該應用的流量、應用的安全等特點進行聯動——利用設備提供的自動化功能進行網絡資源的動態部屬,實現一個更加可靠、更加靈活、更易于擴展的網絡。
