vSwitch：虛擬和物理網(wǎng)絡(luò)的紐帶

　　云計(jì)算意味著可以更便捷的使用計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源，每一個(gè)元素都可根據(jù)用戶(hù)業(yè)務(wù)靈活組合配置，其中網(wǎng)絡(luò)環(huán)境直接關(guān)系到云中的信息流通，如何構(gòu)建控制、可靠、效率俱佳的網(wǎng)絡(luò)環(huán)境，是云計(jì)算在IaaS層面必須面對(duì)的挑戰(zhàn)，而虛擬交換機(jī)作為IaaS體系中連接虛擬網(wǎng)絡(luò)、物理網(wǎng)絡(luò)的橋梁的地位已經(jīng)無(wú)可撼動(dòng)。

　　SDN是數(shù)通行業(yè)大約每十年一次變革的最新版本，不同于以往的ISO與TCP/IP之爭(zhēng)，也不同于ATM與IP之爭(zhēng)，SDN從一開(kāi)始就不打算作現(xiàn)有網(wǎng)絡(luò)的顛覆者，而是在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上，提供極致的面向應(yīng)用的控制方式，虛擬交換機(jī)在這輪變革中充當(dāng)了急先鋒，作為第一個(gè)Openflow交換機(jī)，Openvswitch已經(jīng)廣為業(yè)界所熟悉并采用。

　　同時(shí)在兩波浪潮中扮演重要角色，虛擬交換機(jī)地位不言而喻，他將可控的網(wǎng)絡(luò)邊緣延伸到服務(wù)器中，除了在服務(wù)器內(nèi)高效地轉(zhuǎn)發(fā)，還可將統(tǒng)一的控制策略和安全策略無(wú)縫地從物理網(wǎng)絡(luò)過(guò)度到虛擬網(wǎng)絡(luò)。

　　虛擬交換機(jī)的問(wèn)題和對(duì)策

　　虛擬化服務(wù)器中，如何將虛擬機(jī)的流量以更優(yōu)的方式接入到物理網(wǎng)絡(luò)中經(jīng)歷了一系列技術(shù)變動(dòng)，包括VNTag(802.1Qbh)、VEPA(802.1Qbg)，做法不一而同，但到目前為止，使用虛擬交換機(jī)作為支撐服務(wù)器網(wǎng)絡(luò)的基石已經(jīng)基本成為共識(shí)，因?yàn)楦�方便部署、�?duì)物理網(wǎng)絡(luò)要求更低、擴(kuò)展和控制更簡(jiǎn)便。

　　圖1 虛擬交換機(jī)運(yùn)行環(huán)境

　　如圖1所示虛擬交換機(jī)運(yùn)行在虛擬服務(wù)器Hypervisor內(nèi)部，VM之間的流量、VM到物理網(wǎng)絡(luò)之間的流量均通過(guò)vSwitch轉(zhuǎn)發(fā)，vSwitch 的轉(zhuǎn)發(fā)行為完全由SDN Controller控制。

　　基于虛擬交換機(jī)的主機(jī)Overlay方案更易于虛擬網(wǎng)絡(luò)的管理，進(jìn)一步減少了對(duì)Overlay物理承載網(wǎng)絡(luò)的額外要求，使虛擬網(wǎng)絡(luò)最大限度擺脫了物理網(wǎng)絡(luò)的限制，可以說(shuō)主機(jī)Overlay是對(duì)虛擬交換機(jī)地位的強(qiáng)化。

　　為了交付高品質(zhì)的虛擬交換機(jī)產(chǎn)品，需要在性能、開(kāi)放性、安全性、多平臺(tái)、適應(yīng)性方面下一番功夫。

　　怎樣才算是開(kāi)放的虛擬交換機(jī)?提供開(kāi)放的API控制接口，控制器與虛擬交換機(jī)之間的會(huì)話基于開(kāi)放的標(biāo)準(zhǔn)，承載網(wǎng)絡(luò)的封裝基于開(kāi)放的協(xié)議，比如Openstack網(wǎng)絡(luò)組件兼容的REST API，Openflow控制協(xié)議，VxLAN/VLAN封裝，這些關(guān)鍵技術(shù)都是開(kāi)放的標(biāo)志，但還不僅于此，能夠在開(kāi)放技術(shù)基礎(chǔ)上進(jìn)一步發(fā)展、交付豐富的特性，并與開(kāi)源云平臺(tái)系統(tǒng)、第三方云平臺(tái)系統(tǒng)和第三方SDN網(wǎng)絡(luò)深度融合，而又不失上述開(kāi)放性，也許才是更有價(jià)值的開(kāi)放，這樣的虛擬交換機(jī)帶給客戶(hù)的將不僅是透明的技術(shù)方案，還有抓住未來(lái)發(fā)展趨勢(shì)的可能。

　　如何提高虛擬交換機(jī)的轉(zhuǎn)發(fā)性能?從石頭中擠水是從實(shí)現(xiàn)級(jí)別進(jìn)行優(yōu)化的形象比喻。 對(duì)網(wǎng)絡(luò)和SDN內(nèi)涵的深入理解，可以幫助我們從局部?jī)?yōu)化的深井中爬出，看到DVR技術(shù)、DFW技術(shù)如何促成虛擬機(jī)間的流量如何避開(kāi)繞行網(wǎng)關(guān)，高效、安全的轉(zhuǎn)發(fā)。

　　圖2 DVR原理示意

　　如圖2所示紅色VM屬于同租戶(hù)的不同虛機(jī)，并且分屬不同網(wǎng)段，按照某些系統(tǒng)的設(shè)計(jì)，跨主機(jī)的VM通信必須經(jīng)過(guò)L3 Gateway做集中的三層轉(zhuǎn)發(fā)，DVR(Distribute Vritual Routing，分布式虛擬路由)技術(shù)是指在控制器控制下，這些VM之間的流量無(wú)需繞行L3 Gataway，直接在服務(wù)器內(nèi)部或通過(guò)二層交換機(jī)即可實(shí)現(xiàn)跨三層轉(zhuǎn)發(fā)，較繞行L3 Gateway性能提高，同租戶(hù)內(nèi)虛機(jī)從邏輯上好像擁有了一臺(tái)邏輯上存在的路由器，也就是DVR所代表的含義。

　　系統(tǒng)級(jí)的性能提升技術(shù)也是從根本上解決問(wèn)題的手段之一，比如基于服務(wù)器主流的硬件X86平臺(tái)的性能提升技術(shù)Intel DPDK(Data Plane Development Kit)，甚至連基于DPDK的實(shí)驗(yàn)性質(zhì)的OVDK(Openvswitch的DPDK版本)項(xiàng)目也備受關(guān)注，業(yè)界的期待程度可見(jiàn)一斑，各廠商都在積極研究，并以可靠可用的方式逐步落地為工業(yè)級(jí)數(shù)通產(chǎn)品。

　　DPDK的技術(shù)思路有別于傳統(tǒng)的數(shù)據(jù)平面，他試圖拋棄已有系統(tǒng)的負(fù)擔(dān)，通過(guò)無(wú)鎖化、去掉中斷干擾、高效使用內(nèi)存、充分利用多核CPU并行等手段創(chuàng)造一個(gè)全新的數(shù)據(jù)平面運(yùn)行環(huán)境，在這個(gè)全新的環(huán)境中，超高效的轉(zhuǎn)發(fā)成為可能，已知的業(yè)界數(shù)據(jù)表明可以在Intel CPU和網(wǎng)卡上得到十Gbps、甚至百Gbps的吞吐量性能，雖然DPDK在某些場(chǎng)景還存在一定限制，但是必將成為未來(lái)提高基于軟件轉(zhuǎn)發(fā)的虛擬交換機(jī)性能的方向之一。

　　安全性方面，支持主流的VLAN、VxLAN網(wǎng)絡(luò)虛擬化技術(shù)，實(shí)現(xiàn)對(duì)租戶(hù)內(nèi)、租戶(hù)間網(wǎng)絡(luò)的底層隔離，同時(shí)支持多種安全策略，基于ACL的包過(guò)濾防火墻和分布式狀態(tài)防火墻，這些技術(shù)將服務(wù)器網(wǎng)絡(luò)的安全控制粒度和處理性能提升高到了新的高度，核心技術(shù)思路是控制和處理貼近流量來(lái)源，將安全的管理和處理真正延伸的到服務(wù)器。

　　圖3 vSwitch內(nèi)嵌防火墻

　　當(dāng)VM2向VM1發(fā)起訪問(wèn)時(shí)，控制器根據(jù)訪問(wèn)策略感知訪問(wèn)是否受限，若策略允許轉(zhuǎn)發(fā)，則在兩個(gè)服務(wù)器上同時(shí)下發(fā)正向和反向流表，確保雙向流量暢通。

　　相對(duì)于將所有VM間流量引入集中式的防火墻統(tǒng)一處理，分布式防火墻在安全策略處理位置上都更加貼近流量的源頭或目標(biāo)，所以他的優(yōu)勢(shì)不僅在于利用分布式的vSwitch提高整體轉(zhuǎn)發(fā)性能，規(guī)避集中式防火墻可能成為性能瓶頸和可能的單點(diǎn)故障，更在于第一時(shí)間將非法流量從網(wǎng)絡(luò)中清除，不讓它影響網(wǎng)絡(luò)的，這也是未來(lái)vSwitch的業(yè)務(wù)能力在多個(gè)維度增強(qiáng)的現(xiàn)實(shí)依據(jù)，值得包括用戶(hù)和廠商在內(nèi)的生態(tài)系統(tǒng)各方展開(kāi)想象，充分研究和利用。

　　如果說(shuō)DFW解決了虛擬網(wǎng)絡(luò)側(cè)的安全性能和第一時(shí)間安全處理問(wèn)題，那么vSwitch結(jié)合豐富的服務(wù)鏈(Service Chain)，則是為整個(gè)云網(wǎng)絡(luò)提供了終極的安全、業(yè)務(wù)綜合能力：

　　圖4 vSwitch與服務(wù)鏈綜合組網(wǎng)

　　通過(guò)對(duì)vLB、vFW等類(lèi)型服務(wù)節(jié)點(diǎn)的編排和組合，可以在流量的轉(zhuǎn)發(fā)路徑中根據(jù)控制其的統(tǒng)一策略完成一些列預(yù)定的安全、業(yè)務(wù)處理，達(dá)到整體網(wǎng)絡(luò)安全性的目標(biāo)，流量的方向包括虛擬機(jī)之間、虛擬機(jī)到外部網(wǎng)絡(luò)，而虛擬交換機(jī)作為虛擬機(jī)流量的接入設(shè)備，需要首先對(duì)報(bào)文進(jìn)行標(biāo)識(shí)，這樣，所經(jīng)過(guò)服務(wù)鏈節(jié)點(diǎn)才得以了解所需處理的業(yè)務(wù)。

　　多虛擬化平臺(tái)方面，目前可商用的雖然種類(lèi)繁多，但是主流不外乎VMware vSphere、H3C VCK(CAS)、KVM和XEN等一系列基于Linux的Hypervisor，每種虛擬化平臺(tái)均可看到成熟的虛擬交換機(jī)產(chǎn)品，比如VMware vSphere平臺(tái)上既可以運(yùn)行VMware自有的NSX，也可以運(yùn)行Cisco的F1000V，而KVM、XEN上則是開(kāi)源的Openvswitch，控制和運(yùn)行機(jī)制也有所不同，在一些需要互操作、兼容性的場(chǎng)合，往往讓用戶(hù)的管理方式、運(yùn)維方式難以統(tǒng)一，造成一定的困擾，如何將適用于多種虛擬化平臺(tái)的虛擬交換機(jī)統(tǒng)一管理也是未來(lái)云環(huán)境中網(wǎng)絡(luò)發(fā)展的重要課題。

　　適應(yīng)性方面，可以把虛擬交換機(jī)的運(yùn)行環(huán)境按照控制方式的“輕”、“重”分為兩種，一種是在高度智能、可靠的SDN控制器控制下的“重”控制網(wǎng)絡(luò);一種是在云計(jì)算系統(tǒng)中或第三方云系統(tǒng)中，僅通過(guò)VSM(Virtual Supervisor Module)響應(yīng)少量的關(guān)鍵事件即可完成對(duì)虛擬交換機(jī)的信息下發(fā)的“輕”控制網(wǎng)絡(luò)。“重”控制方式下，虛擬交換機(jī)側(cè)重于對(duì)控制器的響應(yīng)，“輕”控制方式下，則側(cè)重于自身的功能和靈活性，和與第三方系統(tǒng)的融合程度，表面上看更“輕”了，其實(shí)要求更“重”了，這種適應(yīng)性往往也是衡量虛擬交換機(jī)是否具有彈性和擴(kuò)展性的重要標(biāo)志。

【vSwitch：虛擬和物理網(wǎng)絡(luò)的紐帶】相關(guān)文章：

盤(pán)點(diǎn)網(wǎng)絡(luò)虛擬化技術(shù) 軟件定義網(wǎng)絡(luò)時(shí)代到來(lái)08-27

當(dāng)網(wǎng)絡(luò)虛擬化不足以解決問(wèn)題時(shí)06-27

網(wǎng)絡(luò)營(yíng)銷(xiāo)和網(wǎng)絡(luò)推廣的區(qū)別08-11

中考物理復(fù)習(xí)《汽化和液化》06-26

網(wǎng)絡(luò)營(yíng)銷(xiāo)和互動(dòng)網(wǎng)絡(luò)營(yíng)銷(xiāo)的區(qū)別10-19

網(wǎng)絡(luò)營(yíng)銷(xiāo)之網(wǎng)絡(luò)推廣的方法和技巧11-05

戲曲表演的虛擬手法08-15

網(wǎng)絡(luò)營(yíng)銷(xiāo)和推廣方法08-26

網(wǎng)絡(luò)營(yíng)銷(xiāo)的工具和方法06-10

網(wǎng)絡(luò)營(yíng)銷(xiāo)的渠道和方法06-01