隨著技術的成熟和應用的推動，很多企業的IT系統已經邁出了走向云計算的第一步，這一步就是虛擬機的應用。在一臺物理服務器上虛擬出多個服務器，這種方式給IT帶來了實實在在的效益：服務器的采購數量減少了；用虛擬機為原來沒有HA的業務增加上了HA，減少了業務中斷的投訴和抱怨;硬件不再只發揮出10%的能力，有了更強勁的用武之地，……

　　下圖是IDC 2011年的報告，報告顯示，2010年已經有51%的負荷是由虛擬機在承擔;到2013年，將有69%的負荷將由虛擬機來承擔。

　　和虛擬機的應用與技術發展相比，網絡對虛擬機感知的發展明顯滯后了，這給虛擬機的應用帶來了諸多困擾。服務器中需要有虛擬交換機來實現虛擬機間的通信;虛擬交換機的管理需要服務器管理員掌握網絡知識，或者網絡管理員將手伸到服務器領域;虛擬機網絡故障的問題，是在虛擬交換機，還是在物理網絡，故障的定位更加困難;隨著虛擬機技術的發展，虛擬機遷移、資源池調度的應用越來越普及，在虛擬機遷移的目的地，網絡需要提前就緒，包括配置、動態表項等。

　　就像飛機起降前機場的準備就緒需要由機場指揮塔來調度一樣，虛擬機起降前網絡的準備就緒也需要網絡“指揮塔”來調度解決。

　　虛擬機的網絡環境分析

　　IEEE標準802.1Qbg[1]中對虛擬機接入網絡的各種方案做了全面的總結。主要有以下三種：

　　“軟件實現的虛擬交換機”是最原始、最基本的方式，VMWare ESX、微軟 Hyper-V等虛擬機平臺都作為基本功能模塊提供。“由智能網卡實現交換”是網卡廠商主導的硬件加速方案，虛擬機平臺對這種方式也已經逐步支持起來。這兩種方式在數據流量管控上都存在較大的困難，例如，要實現流量采集，需要在物理服務器中創建一個虛擬機，專門用來運行探針。“接入交換機環回轉發”的方式性能最佳，流量管控能力最強，但需要接入交換機支持該功能，由于部分舊的交換機需要被更換，適合在新建數據中心部署。

　　總之，無論哪種方式，網絡“指揮塔”都需要能夠很好的支持。

　　“指揮塔”要縱觀全局

　　網絡“指揮塔”要能夠看到“虛擬交換機”，看到虛擬機和虛擬交換機的連接關系，看到“虛擬交換機”和物理交換機的連接關系，這是對虛擬機網絡進行指揮調度的基礎。

　　本文以華為公司的相應產品為藍本，介紹業界在虛擬機網絡管理方面的技術應用。

　　華為公司的虛擬機網絡“指揮塔”nCenter(Network Center)，和VM的管理器vCenter是兄弟。

　　虛擬機網絡管理一般包括虛擬資源管理和虛擬機遷移管理，其中虛擬資源管理是指物理和虛擬資源的信息采集和拓撲管理，物理和虛擬資源包含虛擬機、虛擬交換機、物理服務器、物理交換機。

　　nCenter通過網管標準協議發現TOR，通過vCenter的開放接口從vCenter獲取虛擬機信息(包括虛擬機和虛擬交換機的連接關系)。

　　TOR通過LLDP、CDP等設備發現協議發現虛擬交換機，明確虛擬交換機和TOR的拓撲關系。

　　綜合上述信息，nCenter能夠繪制出完整的物理、虛擬資源及拓撲。下圖是nCenter上查看虛擬機網絡拓撲的一個實例。

　　圖中38、40是TOR，下面的框分別是兩臺物理服務器，內部各有幾臺虛擬交換機和幾個虛擬機。圖中清晰簡潔地呈現出了物理節點、虛擬節點，物理、虛擬的拓撲連接關系也清楚明了。故障定位有圖可循，能夠極大的提高管理維護效率，降低管理維護成本。

　　拓撲管理還提供搜索功能，在大規模的網絡中，也能方便快捷地搜索出虛擬機。

　　虛擬機“起降”的指揮調度

　　僅僅實現拓撲管理，還不能成為“指揮塔”。“指揮塔”還必須能夠管理虛擬機的“起降”(遷移)，在虛擬機“起降”時，網絡必須能夠按需配置、動態調整、及時就緒。

　　每個虛擬機，根據其部署的具體業務，需要規劃網絡配置，包括：QoS、ACL等。在虛擬機部署前，需要先在nCenter上創建策略模版，策略模版被統一管理起來，虛擬機“起降”時，參數配置就可以從策略模版中獲取。

　　開放支持各種虛擬機“起降”

　　IEEE的標準802.1Qbg有兩種方案，一種是“帶內管理”方案。如下圖所示：

　　其中VSI Manager是管理VSI(Virtual Station Interface)的配置信息，即上面說的虛擬機的策略模版。隨路信令在802.1Qbg中定義了，包括：ECP(Edge Control Protocol)用于封裝VDP協議;VDP(VSI Discovery and Configuration Protocol)用于VSI的發現與配置，基于ECP;和CDCP(S-Channel Discovery and Configuration Protocol)用于配置、創建和刪除S-Channel(非必選)。#p#

服務器中的虛擬機創建、刪除，通過VDP協議通告給TOR，TOR向VSI Manager獲取網絡策略，完成網絡屬性配置。因為VDP協議和虛擬機的網絡鏈路是同一條，因此，稱為“帶內管理”。

　　另一種方案是“帶外管理”方案。如下圖所示：

　　虛擬機的創建、刪除、遷移，vCenter是控制發起者，通過vCenter的開放接口通知到nCenter，nCenter向相關的網絡設備下發相關的網絡策略的配置。

　　“帶內管理”方案，由于目前協議標準尚未確立，各虛擬機平臺廠商均未推出相關產品，協議未具體規定和vCenter的接口，VSI Manager需要針對各虛擬機平臺進行適配，因此，目前還難以實際應用。

　　“帶外管理”方案，各虛擬機平臺廠商均提供開放接口，nCenter按照開放接口適配各虛擬機平臺，是開放合作的方案。

　　采用“帶外管理”方案，不用等待虛擬機平臺支持802.1Qbg標準的VDP，現在就可以用虛擬機平臺的開放接口，實現虛擬機的網絡感知。

　　因此，華為nCenter采用了“帶外管理”方案，開放支持VMware、Citrix Xen，以及微軟Hyper-V等虛擬化平臺。

　　繁忙的機場需要高效的調度技術

　　nCenter向網絡設備下發策略配置，可以采用命令行、SNMP或NETCONF等方式，但在原型測試中，發現性能只能達到每秒10～20個虛擬機上線;而采用RADIUS協議，原型測試結果能夠達到每秒200個虛擬機上線，這個性能能夠滿足多大規模的虛擬機“起降”呢?

　　讓我們來計算一下，假設有N個物理服務器，其中1/2忙，每個忙的服務器需要將4個VM(測試數據，受限于帶寬和CPU能力)遷移出去，每個虛擬機的遷移時間為3分鐘(180秒)。則每秒處理虛擬機遷移數量為：N/2×4/180。

　　如果是1萬臺物理服務器，則每秒處理虛擬機遷移數量為：10000/2×4/180=111。

　　200個虛擬機每秒的處理性能，可以滿足：200×180/4*2=18000臺物理服務器的云計算環境。

　　nCenter采用RADIUS協議，能夠滿足近2萬臺物理服務器的云計算環境虛擬機突發大規模“起降”。

　　虛擬機“起降”

　　在虛擬機“起降”的過程中，nCenter負責網絡策略的遷移，和虛擬機平臺vCenter配合，保證了流程處理的及時、準確和自動化。

　　下圖是虛擬機遷移的流程：

　　遷移前的拓撲：準備將“Purple”這個VM遷移到服務器.52上

　　① vCenter啟動VM遷移。

　　② 進行VM遷移。

　　① vCenter通過開放接口通知nCenter遷移開始。

　　② nCenter通知目的TOR交換機VM上線，上線信息中包含VM的身份信息：VM的MAC地址、VLAN信息、應用的策略模板ID。

　　③ 目的TOR通過RADIUS協議向nCenter申請VM策略(ACL、QoS、DHCP Snooping綁定表)。

　　④ nCenter內置的RADIUS服務器響應目的TOR的申請，將VM綁定策略應答給目的TOR，目的TOR收到后，解析出VM的策略，完成轉發配置。

　　⑤ vCenter通過開放接口通知nCenter遷移完成。

　　⑥ nCenter通知源TOR交換機VM下線。

　　⑦ 源TOR接收到下線通知，刪除本地策略的同時，通過RADIUS的用戶下線接口通知RADIUS服務器更新用戶在線狀態。

　　遷移后的拓撲：虛擬機“Purple”已經成功遷移到服務器.52上

　　華為虛擬感知解決方案總結

　　華為虛擬感知解決方案以nCenter為核心，和各種虛擬化平臺vCenter開放兼容，在接入交換機上及時下發靜態配置、動態表項，實現了對服務器虛擬化環境的全面支持，通過開放高效的網絡“指揮塔”，真正建立起供虛擬機自由“起降”的“云機場”。

　　讓我們回顧一下前面分析的網絡和虛擬機配合的問題：

　　管理界面：系統管理員只需要管理服務器、虛擬機，網絡管理員負責管理虛擬交換機、物理交換機、虛擬機的網絡屬性，管理界面清晰。

　　可視運維：nCenter提供虛擬機、虛擬交換機、物理服務器、物理交換機的一體化拓撲視圖，方便故障定位。

　　虛擬感知：虛擬機創建、遷移，都能夠得到及時感知、處理，網絡開通速度快，和虛擬化平臺、服務器的兼容性好。

　　結束語

　　華為虛擬感知解決方案，為虛擬機的應用打通了網絡之“脈”，助力數據中心進一步擴大虛擬機的應用，降低IT成本，提高IT效率。相信在不久的將來，一定能夠建設起來完全虛擬化、自動化、高效的云計算基礎設施，以IaaS的方式支持大容量、多樣化的業務應用系統，更好地滿足支撐業務運營創新發展的需要。

　　[1]截至2012年4月15日，802.1Qbg尚未成為標準