虚拟化下的网络现状调查报告(上)
虚拟化正迅速发展成为下一代数据中心的核心元素,而这种变化也给网络带来新的挑战。本报告探讨了虚拟基础设施带来的技术问题,并分享了让你的网络做好准备迎接虚拟化的标准、技术以及最佳做法。
早期服务器虚拟化部署大大节约了成本,而同时加强了部署灵活性和适应性。随着虚拟化软件逐渐成熟,简单的服务器集成(1:10的集成度)开始让道给涉及对服务器环境进行完全重新架构的策略。下一代服务器硬件将支持虚拟机,并且大部分软件在设计时就考虑了虚拟化,也就是说,所有企业应用程序都将支持虚拟化。
这也给网络带来一些挑战:对带宽和交换能力的要求,大大提高了拓扑复杂性,并且使管理复杂化,因为虚拟化模糊了物理和虚拟、网络和服务器以及数据和存储网络之间的区别。
好消息是:在未来虚拟化为主的网络新时代中,将会出现新标准和创新技术来帮助大家。例如,虚拟机需要从服务器迁移到另一个服务器,802.1QbhBridgePortExtension(桥接口扩展标准)就能够解决这个问题。同时,供应商也在开发新技术,例如端口配置技术,能够将正确的政策设置附加到虚拟机上,无论虚拟机在服务器还是VLAN移动都将适用。
本报告探讨了高度虚拟化环境给网络带来的挑战,并分析了解决这种网络复杂性的不同方法。
服务器虚拟化vs.网络
服务器虚拟化就像是IT的“福音”。虚拟机比传统操作系统或应用程序更加容易部署。企业还可以通过在单个服务器上运行多个虚拟机来减少成本。例如,在2010年的InformationWeekAnalytics对虚拟化的调查显示,24%的受访者在其生产环境中,平均每台服务器运行六到九台虚拟机,而另外16%运行10到20台虚拟机(详见图1)。
▲图1
当问及到明年年底将会对百分之多少的服务器进行虚拟化时,20%的受访者表示至少有四分之一的服务器会进行虚拟化。而另外19%则表示一半或者一半以上(详见图2)。
▲图2
但是虚拟化也有缺点,对于服务器管理员和网络管理员而言。例如,2010年与2009年相比,IT增加了管理工具来解决虚拟机蔓延的问题(详见图3)。
▲图3
而在网络方面来看,虽然虚拟化减少了物理服务器的数量,但是虚拟化也增加了虚拟设备和网络设备的数量。从交换机的角度来看,虚拟网络端口与物理网络端口存在一些差异。另外,虚拟机的增加(每台虚拟机能够处理更丰富的数据集)使网络流量猛增,无论是在网络核心还是边缘。10台或者20台虚拟机共享相同的物理网络端口,每台虚拟机都运行很多应用程序,增加了数据量(无论是较大的电子邮件附件还是流媒体),造成潜在网络瓶颈问题和管理难题。
此外,新的管理程序继续改善了其网络协议栈,甚至能够扩展到10Gbps链接。
服务器的简单化和网络的复杂化,这个看似矛盾实而正确的组合有点类似于:如果数千名乘客愿意放弃个人轿车,而选择共同乘坐小型火车,每个乘客要去不同的目的地。虽然这样能够减少高速公路上的汽车数量,但是这并不会减少行程距离,因为司机必须纵横交错地行驶将乘客送到不同的目的地。而且还使路线更加复杂化了。不是由每个乘客自己找出家和办公室的最快路线,货车司机必须优化这些路线和时间表以尽量减少开车时间和缩短距离。
这个问题其实可以分解为五个问题:首先,增加的网络复杂性会影响性能。除了增加网络设备外,虚拟化增加了交换结构的层级,增加了延迟性、功能损耗和管理复杂度。
大多数数据中心使用三层结构:边缘交换机、汇聚交换机和机架顶交换机(TOR)或者布线方式交换机EOR。管理程序增加了一个具有软件交换机(又称虚拟交换机)附件层来管理内部管理程序流量。有些服务器可能会使用具有硬件端口虚拟化的智能NIC,而刀片机箱往往有交换机模块,每个模块都会增加另一个交换层(见图4)。
▲图4
其次,物理服务器上的虚拟机器的集成会影响交换可扩展性和性能。随着六核、八核甚至十核CPU的双处理器变得越来越普遍,集成率将会逐渐上升。目前,管理程序虚拟交换机的工作量为每个系统10到15个虚拟机占用大约10%到15%的流量,但是当处理虚拟机时这个数字肯定将会增加。
此外,因为虚拟交换机在第2层运行,虚拟机的增加将会改变局域网拓扑,让其变得更大。这还使在边缘交换机出现之前局域网设计师遭遇的很多问题重新出现了,例如广播流量开销和地址表爆炸等问题。虚拟机集成率还限制了VLAN分区的有效性。因为虚拟交换机在第2层运行,更像是连接到外部网络的桥梁,并且因为VLAN标签是基于端口的,任何特定应用程序VLAN对于系统上的虚拟机都是可见的。因此,如果更多虚拟机共享相同的以太网端口,并且这些虚拟机上的不同的应用程序源自不同VLAN,然后每个端口将需要对更多VLAN的访问权限,这大大限制了有效性。
.第三个挑战是:软件交换机使管理和安全复杂化了。网络监控、管理、流量报告和安全工具使用标准协议在物理端口上运行,但是随着越来越多的流量在管理程序间交换,这些工具失去了对大量网络活动的可视性。一些供应商让其监控和分析软件能够在虚拟机上使用来重新获得可视性,但是这些都是专有解决方案,通常只能支持一个或两个管理程序供应商,并且通常需要额外的证书成本。
虚拟化也加剧了IT部门的管理分化。例如,服务器组负责管理虚拟机、管理程序和虚拟交换机;网络管理人员处理交换结构和政策;而存储团队处理SAN和相关光纤通道(FC)结构。从组织结构图来看,这种划分似乎很合理,但是如果这些团队间没有紧密的协调,就可能出现问题。例如,没有经过网络培训或者没有相关经验的服务器和存储管理员通常会对网络进行配置更改。
第四个问题:将虚拟机无缝地透明地从一台物理服务器转移到另一台服务器的过程让管理和安全工作更加复杂化了。这种对应用程序工作负载进行动态移动的操作很难确保应用程序遵守网络政策。网络管理员可能将不同的应用程序服务器绑定到特定的VLAN,或者给应用程序网络流量指定不同的QoS优先级和安全ACL。但是如果虚拟机移动到位于完全不同局域网的另一台服务器上,网络管理系统如何知道迁移相应的政策?目前来看,网络管理系统并不知道如何操作,除非网络供应商在其交换机产品中整合了管理程序。这种整合可以是交换机到管理程序,例如思科和Arista的虚拟机API。这种整合还可以通过一个管理站,ExtremeNetworks提供的管理站。
网络标准和技术的发展是基于这样的假设:VLAN分配、QoS和ACL等政策是设置在物理接口(第二层)或端口(第三层)。虽然将这些政策绑定到特定虚拟机很难,然而,让这些政策随着虚拟机的移动保持同步则是难上加难。
第五个问题,虚拟化加剧了共享存储的需求,因为存在从底层服务器硬件分离出OS映像、应用程序和数据的内在需求。对于这个问题,传统解决方案是使用一个单独的、专用的SAN,对于大多数人来说,这仍然意味着光纤通道。然而,SAN很昂贵,并且难于管理,添加了一个全新的网络协议,交换结构和管理团队。
随着虚拟机数量及其存储需求的增加,扩展和管理SAN变得具有挑战性和复杂化。#p#
虚拟化下的网络现状调查报告(下)
虚拟化正迅速发展成为下一代数据中心的核心元素,而这种变化也给网络带来新的挑战。本报告探讨了虚拟基础设施带来的技术问题,并分享了让你的网络做好准备迎接虚拟化的标准、技术以及最佳做法。在上篇《服务器虚拟化带来的网络现状及问题分析》中,我们已经分析了高度虚拟化环境给网络带来的挑战,在本篇当中,我们将分析解决这种网络复杂性的不同方法。
应该说,这一连串的问题已经引起和行业的注意,并推出了很多新产品和标准来提高虚拟服务器网络的性能、可扩展性和可管理性。
例如,将交换机从管理程序中脱离出来。虚拟交换机是解决交换多个独立操作系统(每个系统有独特的IP和MAC地址,共享相同的物理接口,这是以太网协议不涉及的情况)的特殊解决方案,虽然管理程序交换是可行的,但是还存在其他替代方案。
其中一种替代方法就是虚拟以太桥(VirtualEthernetBridging,VEB),它将桥接功能移动到一个智能NIC上,这个NIC支持所谓的单根I/O虚拟化(SingleRootI/OVirtualization,SR-IOV)(这是PCI-SIG提出的标准)。SR-IOV将智能NIC划分为多个虚拟NIC,每个虚拟机分配一个NIC,它是通过为每个虚拟机提供独立的内存空间、中断和DMA流来实现的。这允许桥接发生在硬件,而不是在管理程序中。
当几年前英特尔提出这种方法时,这似乎是一种很有前景的解决方案,但是由于NIC之间较差的互操作性,以及随着每台服务器承载的虚拟机数量增加而带来的可扩展性问题,这种解决方案没有赢得市场的青睐。另外一个问题是:每个嵌入式桥成了另一个需要管理的设备(与软件交换机没有什么区别),并且管理功能没有被整合到整个网络管理系统中。由于部署的不同(即扩展功能不是该标准的一部分),不同的NIC可能具有不同的桥接功能,而这些通常不能进行互相操作。
另一个解决方案是完全摒弃虚拟交换机,而将交换功能移回到边缘设备,这也是每个网络工程师认为交换功能应该存在的位置。
这也是该引入两个新IEEE标准项目的时候了,这两个标准属于两个平行且很大程度上互补的路线,都是对基础IEEE802.1QVLAN标签标准的修订。
第一个也是较为成熟的标准是802.1Qbg边缘虚拟桥接(EVB)。在惠普推出其相关技术后,这个标准有时也被称为虚拟以太网端口聚合(VEPA),尽管惠普的VEPA实际上包含额外的专有功能。EVB的目的是允许多个虚拟机共享一个共同端口,而同时从外部桥(即作为反射继电器的边缘交换机)获取服务。通常情况下,以太网帧并不会转回它们进来的那个接口,这个动作会造成网络端口形成环路。EVB提供了一个标准方法来解决这个问题。作为一个相对简单的协议扩展,EVB很有吸引力,因为它可以部署在现有的硬件上,而只需对交换机和管理程序的软件进行升级。
不幸的是,EVB还只是起步阶段,它并不能解决政策管理问题,而且会给交换机带来更多广播和组播流量的负担。这些棘手的问题正在通过802.1Qbh桥端口扩展来解决。虽然Qbg并不能修改底层以太网数据包,不过Qbh端口扩展标准增加了一个标签,就像是标准VLAN标签,允许网络流量被映射到特定虚拟机,并当虚拟机在网络移动时跟踪虚拟机。
这两个标准的修订版在去年的冬天才发布,在两个主要支持者(思科和惠普)之间存在激烈的技术辩论,在短期内应该无法达成协议。虽然两家供应商都是通过虚拟机标签的形式来增加协议,但细节不同,惠普对MAC安全标签提出了修改,思科则提供了一种新的所谓的端口扩展标签。最终,这个问题将会通过标准过程得到解决。结果将是可互相操作的网络交换机和NIC,允许VM生成的流量能像其他网络流量一样管理。
标准发展的步伐缓慢意味着消除虚拟交换机层可能还要好几年。不过,现在有很多技术可以简化边缘和存储网络。
10千兆以太网交换机端口和NIC接口的价格已经破了500美元大关,并且随着今年主板局域网单芯片解决方案的推出,进一步的跌价是不可避免的。在刀片密集环境中,机架顶(TOR)拓扑比将电缆路由到端列头交换机更有意义。
然而,机架内部的电缆管理是一个问题,尤其是当使用刀片时。每个机箱有12个或者更多服务器模块,每个机架可能有50个或者更多服务器,也就是在完全冗余拓扑情况下,机架顶交换机有100多个Cat6电缆。路由所有这些铜线电缆不是简单的事情。这也是很多刀片设计转移到直通模块的主要原因,这将每个服务器的LAN连接从机箱背板路由到配线架,到集成交换模块(从单个机箱聚合流量的模块)。然而,正如我们前面提到的,这又给交换结构增加了一层结构。
维持更平面的物理网络有两个解决方案。一种解决方案是使用新的高密度电缆标准,特别是MRJ21,它将6个RJ45电缆聚合到单个机箱,然后通过刀片直通模块路由到TOR交换机。另一个方法是使用结构扩展器,例如思科的UCS2100,本质上扩展了Nexus5000TOR交换机的背板到UCS刀片机箱。这些产品相对较新,虽然它们在特定供应商生态系统能够良好地工作,你需要根据你的具体需求来选择解决方案。
LAN加上SAN
运行并行数据和存储网络的时代已经结束了,取而代之的是存储I/O负载。10GbE使用GigE实现了带宽价格的比价,能够为网络功能提供足够的带宽。这将是下一代虚拟服务器农场的默认存储网络配置。
根据特定I/O流量,从TOR交换机到聚合层的回程可以通过10Gbps链接或者移动到最近推出的40GbE标准来实现。今年的Interop大会简直是40GbE发布大会,ExtremeNetworks和Force10推出了边缘交换机模块,预计今年晚些时候会推出。诚然,40GbE很昂贵,大约每个端口1000美元。40GbE需要Cat6A电缆,这是Cat6价格的两倍。
10GbE提供了原始带宽,不过有几种方法可以将这种带宽用于共享存储。在以太网建立块级SAN可以通过使用iSCSI或者以太网光纤通道(FCoE)来实现。虽然都是使用以太网作为传输,区别在于iSCSI在第三层运行(使用IP来封装SCSI命令),而FCoE是纯粹的第二层。
FCoE并不是完全与本地光纤通道提供的网络可靠性相同,而增加了IEEE的数据中心桥接(DCB)任务组。DCB实际上融合了几个标准,目的在于解决本地以太网协议中的不足,并复制了FC和Infiniband功能,例如保证可靠性、拥塞通知、流量控制和流量优先级。iSCSI和FCoE之间的选择在很大程度上取决于你的现有基础设施。对于新建的部署,iSCSI绝对是不错的选择,它更加成熟,更加便宜。
一些虚拟环境可能能够完全避免SAN,因为现有管理程序版本(从VMware、CitrixXen和MicrosoftHyper-V)可以支持通过NFS从NAS阵列启动虚拟机映像。
对于不要求阻止I/O的虚拟应用程序,有很多理由应该使用NFS,它更加容易安装、管理和扩展,更加便宜,并且,因为它是基于文件的,所以更加容易备份。
虚拟ADC
最新虚拟机管理平台的自动创建新机器以响应应用程序负载或者硬件故障的能力能够提高性能和可靠性。因此,虚拟机实时迁移和按需配置应该成为任何下一代环境的一部分。然而,“颠沛流离的”虚拟机不仅给网络管理和安全工具带来问题,而且还给传统负载均衡器(又称应用程序交付控制器)带来影响。
这是虚拟化带来的另一个问题,这也可以得到解决。
对于处理在很多服务器间平衡应用程序负载或者在故障情况下自动重定向流量到冗余DR站点的传统方法,通常是使用硬件负载平衡器与异地数据复制。一种新的虚拟网络负载平衡和广域网优化设备模仿了其之前硬件的功能,这些软件设备通常更加适合虚拟环境,因为它们能够无缝与底层虚拟机管理平台进行整合,允许自动化重新配置以响应虚拟机移动,并能根据负载增加来进行扩展,而不需要升级。
IT部门的不同团队负责不同的领域,网络、服务器和存储等,这些管理“孤岛”问题被虚拟化加剧了,并不能靠纯粹的技术解决方案来解决。IT经理必须明确每个管理任务的职责,例如服务器和存储配置或网络配置,然后协调不同团队的共同角色。根据信息周刊的调查,29%的受访者因为虚拟化而重组或者计划重组了他们的IT团队,另外21%的受访者认为需要重组,但还没有这样做,如下图所示。
虚拟交换机并不会很快消失,但是这些虚拟网络设备的配置和管理不应该完全交给服务器团队处理,仅仅因为他们拥有底层虚拟机管理平台的所有权。在技术允许虚拟端口管理可以在全面的管理工具中进行之前,网络和服务器团队必须共享虚拟平台的权利。供应商正在通过软件解决这些管理问题,例如思科与VMware合作,将VMware的vSphere整合了思科的Nexus1000V软件交换机。
网络团队必须考虑扩展器架构来方便监控、安全和故障排除工具,例如使用虚拟跨度端口(混杂模式端口镜像)
虚拟基础架构,真正的影响
企业虚拟化正从简单的服务器整合发展为新型类似云计算的数据中心基础设施。这种转变必然会给网络带来新的要求,要求增加容量,重新设计的交换机脱坡,新的管理软件和融合数据和存储网络。
对于虚拟化给网络带来的诸多问题,需要开发新的技术和新标准来解决,同时,企业还应该对虚拟化采取战略方法以确保IT团队某个部门获得利益而不会给另一个部门造成问题。
虽然实现高度虚拟化基础设施还有很长的路要走,但是最终的结果将会使企业的性能、可靠性、灵活性和效率达到新的高度。
【编辑推荐】