1 虚拟化浪潮来袭,给网络带来哪些新的变化?
虚拟化在最近几年的发展形势可谓日新月异,以不可阻挡的势头改变了企业的信息化建设。作为云计算的基础,虚拟化在个人办公、计算服务申请、服务器开通各个领域大放其彩,云成为了这个时代的新潮流。根据Gartner报告,企业中大约16%的服务器已经完全运行在虚拟化架构下,预计到年底这个比例会达到50%。福布斯500强的企业中,99%都开始使用虚拟化技术。虚拟化给用户带来提高计算资源利用率、缩短业务发放时间等好处,如果你的企业还没有计划去品尝虚拟化这块奶酪,那可以说是“奥特曼”了。
虚拟化实施后,服务器与接入物理交换机的以太端口之间的通信,从1:1变成了N:1。为了满足虚拟机与外部网络、同一服务器内虚拟机之间的通信需求,虚拟软件厂商提供了软件模拟的虚拟交换机,作为虚拟机对外联络的第一层交通枢纽。
2 这些变化对于管理来说,有哪些挑战?
虚拟机与虚拟交换机的部署给网络管理带来了什么变化:
1、 虚拟交换机的管理权归属。
虚拟交换机运行在服务器内部,按照传统的管理权限分配,服务器和虚拟交换机都属于系统管理员的职责范围。然而,从事物本质上看,它是纯网络领域的概念,系统管理员不具备管理好虚拟交换机的主观意愿和客观能力。
2、 虚拟网络的可视化。
不同于服务器和交换机设备等实物,虚拟机和虚拟交换机看不见摸不着。虚拟软件管理视图上只能看到虚拟机和虚拟交换机清单,看不到接入的物理交换机。传统的网络管理软件上又不能看到虚拟资源,二者存在管理鸿沟。
3、 虚拟机的网络策略控制。
服务器虚拟化之后,基于物理接入端口上配置的原网络策略不再适用,网络策略需要能够控制到单个虚拟机。由于历史和技术限制,虚拟交换机上的网络策略控制能力远不如物理网络设备。首先,就要求物理网络设备能够识别虚拟机流量,然后为每股流量应用不同的ACL、QoS策略。其次,提供可行的策略配置手段。如果用传统的命令行进行单设备、单虚拟机的配置,对于数据中心动辄上千的虚拟机数量而言,出错风险和工作量都是不可承受之重。我们需要寻求能够简化网络管理员工作难度的技术手段。
4、 网络策略需要跟随虚拟机迁移
出于下面几个原因,虚拟机会从一个物理服务器迁移到另一个物理服务器:
原物理服务器硬件故障、升级或检修。
原物理服务器负荷过重,系统性能下降。
节能环保,关停利用率低下的服务器。
VM分布不合理,占用较多外部网络资源
虚拟机迁移到新的服务器,接入物理网络的位置也发生了变化,新的接入位置上要开通VLAN通道,延续原有的ACL、QoS策略。这个动作需要自动化进行,不能依赖人工,否则在及时性、正确性和工作强度上都有很大风险。
3 如何克服挑战,帮助企业品尝虚拟化的成果?
要克服虚拟化带来的管理烦恼,首先就要求企业IT中心的管理者改变认识,重新划分系统管理员和网络管理员的职责边界。将虚拟交换机的管理权由系统管理员交还给网络管理员。
下面我们就以VMware和华为的产品组合为例,描述如何才能有效支持企业虚拟化战略的实施。
1、 部署VMware分布式虚拟交换机,减少管理节点,提高配置效率。
分布式虚拟交换机将系统管理员在每个ESX主机上配置虚拟交换机的工作简化为只需在vCenter服务器上配置一个分布式虚拟交换机,简化工作量的同时也获得了更丰富的网络特性。当然,这项工作的责任主体应该收归网络管理员。
在Huawei eSight数据中心 nCenter虚拟网络管理系统上也可以配置分布式虚拟交换机,这使得网络管理员可以在一个管理平台上统一管理虚拟网络和物理网络。
2、 虚拟机网络策略配置与绑定
VMware的端口组就是虚拟机网络策略,但它只能在分布式虚拟交换机上生效,控制不到物理网络。华为的数据中心交换机支持对每一个虚拟机定义ACL规则和QoS带宽保证,我们称之为虚拟机的物理网络策略。eSight 数据中心nCenter系统对端口组和物理网络策略都提供了图形化配置界面,而且支持将二者绑定,实现物理网络策略跟随虚拟机进行移动。
3、 系统管理员创建虚拟机实例,按需选择端口组。
通过eSight 数据中心nCenter系统配置好了端口组,系统管理员再创建虚拟机时,无需再和网络管理员沟通、确认,直接使用现成的端口组即可。
4、 虚拟、物理网络统一监控
eSight平台对物理网络有全面的管理能力, 其中的数据中心nCenter组件又提供了对物理服务器和虚拟资源的监控。eSight DC nCenter通过vSphere API从vCenter Server上读取服务器、虚拟机、虚拟交换机和端口组等对象的具体信息,包括虚拟机的性能和告警数据。这样,管理员在获得完整的虚拟资源存量数据时,也能及时发现虚拟机是否离线、CPU是否使用率过高等异常情况。
借助虚拟交换机发送的链路报文,eSight可以发现虚拟交换机与物理交换机的连接关系,进而在一个界面上同时显示虚拟网络拓扑和物理网络拓扑。下面这张拓扑图包含的信息量非常丰富,可在至少三点上帮助到网络管理员:
直观展示虚拟机分布,从流量和性能的角度提出虚拟机实例调整的建议。
发现“荒废”的虚拟机实例,协助系统管理员做好计算资源回收。
快速定位虚拟机的上行以太端口,在虚拟机业务出现问题时,快速定位、快速排障。
5、 物理网络策略自动迁移
当虚拟机发生迁移时,nCenter的工作任务:
1) 从vCenter Server获取迁移通知,查找出虚拟机的原上行以太端口和要迁往的目的上行以太端口,以及该虚拟机使用的物理网络策略、VLAN ID。
2) 向目的以太端口下发虚拟机使用的网络策略,打通所需的VLAN通道。
3) 收到迁移结束的消息后,向原上行以太端口发送删除虚拟机网络策略的指令。
自动迁移网络策略保证了虚拟机业务在迁移时不致于中断,同时及时回收了不再需要的网络资源,做到了网络资源按需分配。
4 未来的数据中心虚拟网络之路走向何方?
在虚拟机接入网络技术上,粗略地归类,存在两个技术流派,一类以VMware为主要代表,虚拟交换机越做越强;另一类则是想在物理交换机上争夺虚拟网络控制权的CT设备厂家。
未来哪个流派能得到市场认可,还需时间检验。但是,华为认为:无论这种技术如何发展,虚拟机网络的自动配置、智能分析、端到端的监控都是对新时代网络管理系统的要求。