利与弊同行 从网络管理看服务器虚拟化

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

  服务器虚拟化技术在数据中心里不断增长的应用已成为不争的事实。经济效益是推动这股趋势得以发展的坚强后盾。服务器虚拟化能通过减少物理服务器的数量,降低制冷和所需的能源,并且增加数据中心的灵活性,从而减少数据中心的整体拥有成本。这对于企业和服务器所有者都是有好处的,但是网络管理方面的效果又是怎样的呢?事实是服务器虚拟化让网络管理复杂化了。
  目前有两大与服务器虚拟化相关的网络问题。第一个是配置虚拟局域网。网络管理者必须确认当物理服务器运行虚拟机时,同样的交换机端口也被分配给了虚拟机使用的虚拟局域网。
  服务器虚拟化部门的一个解决方案是告知网络管理团队有关虚拟机运行的服务器和预先配置交换机端口的各种可能性。这并非一个完美的解决方案,因为这样会导致虚拟局域网要定义大比例的交换机端口。这就演变的更加复杂,因为服务器部可能并不了解映像开始运行的所有服务器,特别在灾难恢复情况下他们要采取紧急措施的时候。
  第二个问题是分配QoS和执行网络协议,比如访问控制清单(简称ACL)。传统做法是由连接到运行应用软件的服务器上的网络交换机来完成。服务器虚拟化这种在物理服务器管理程序下运行的软件交换机并不是传统意义上与物理服务器连接的物理网络交换机。
  在软件交换机上执行协议仍然很重要。举例来说,如果服务器上运行的虚拟机无法彼此互联,那么获得虚拟机1控制权的管理者就会打开到虚拟机2的连接并窃取它的数据。如果服务器上的软件交换机可以应用访问控制清单,那么这种情况就可以避免。
  在虚拟化出现之前,这种情况是可以被避免的,因为虚拟机1和虚拟机2的应用软件可以在不同服务器上运行,网络交换机中定义的访问控制清单可以阻止这种彼此通信。在软件交换机上执行这种协议可以保证安全性。问题是如何让软件来执行协议。
  克服这两种挑战是让服务器虚拟化顺畅运转的关键。如果厂商社区能建立适用于所有不同虚拟化厂家的统一标准将是个不错的主意。对于快速成长中的新技术这也是个正常的步骤,但标准目前还没有形成。整个行业采用了四种方式来解决这些问题。
  虚拟化厂商的解决方案
  VMware是市场上领先的虚拟化厂商,但虚拟化领域还有很多其他的虚拟化解决方案,比如思杰的Zen,微软公司的Hyper-V, KVM以及来自很多其他小型厂商的虚拟化软件。应用最为广泛的虚拟化解决方案是VMware,在此我们也以VMware为例来进行阐述。
  在以下的图表中,VMware的vCenter可以控制虚拟化流程和虚拟机开始的方向。管理程序控制着服务器和在物理服务器上运行的虚拟机。VSwitch 是VMware提供的Layer 2软件交换机。每个虚拟机都有一个虚拟网络接口卡,名为vNIC。vNIC使用的是来自虚拟化厂商访问控制清单地址池或者又企业建立和分配的访问控制清单地址。这张图表并没有显示出真实环境中所有变化的可能性。它只是展示整个虚拟化流程是如何运转的。
 

  第一步是服务器部门定义用于虚拟机的所有网络特性和协议。操作者告知vCenter启动步骤2中的虚拟机2。这个过程包括vCenter和服务器上运行的管理程序之间的多个信息,其中一个将网络协议信息传递给管理程序。在步骤3中,管理程序用来配置带有正确虚拟局域网,QoS和协议信息的虚拟交换机(vSwitch)。当虚拟机2上的应用软件开始发送信息包,虚拟交换机上应用的协议就由蓝点来表示。
这个方法可以解决在第一个交换机上应用网络协议的问题,但是无法解决网络交换机中虚拟局域网配置的问题。虚拟化部门必须在虚拟机开始发送流量之前,告知网络管理部门在交换机端口上配置虚拟局域网,这需要快速的实现同步或者交换机必须事先进行配置。当虚拟化部门将虚拟机进行迁移时这种同步就演变的更加复杂。然后虚拟化部门必须与网络部门保持一致,因为网络部门要负责迁移服务器,网络部门还必须在成功迁移后清理老交换机上的配置。
  与这种方式关系最大的是虚拟化部门和网络部门之间所需的协调一致性。虚拟化部门必须在由网络部门所控制的vCenter上配置参数,比如虚拟局域网数量,QoS和访问控制清单等。这意味着在服务器虚拟化部门和网络部门之间必须具备良好的协调性。虚拟局域网或者协议发生任何变化都必须立即在虚拟服务器配置上反馈出来,否则会导致其他可能的故障点。
  另一个相关问题就是网络部门部署的网络组件虚拟交换机缺乏透明度。虚拟交换机是在vCenter的控制下,而不是传统网络管理软件的控制下。另外,网络管理团队对虚拟机的认知度不高。这种透明度问题可以由几家网络厂商来解决,让vCenter通知网络团队所发生的变化或者对变化进行轮流检测,然后将这些信息和传统的网络数据一起展示出来,这对问题的判断帮助很大。
  第一个解决方案
  Blade Networks目前有一款可以在其交换机上运行的应用软件,Force10的新版本可以解决虚拟局域网的问题。交换机会检测vCenter来寻找任何发生的变化,或者有选择的倾听vCenter来发送宣布这种变化的信息。如果交换机发现了任何变化,就会自动执行配置。虚拟化操作者不必在网络运行中协调这种变化,帮助虚拟机顺利运转。轮流检测的间歇期必须小于启动虚拟机来确保交换机快速发现这种变化的时间。
  在Force10的第一个版本中,所监控的唯一参数就是虚拟局域网。Blade Network后来进一步将全系列的洗衣都应用在以虚拟网络接口卡或者虚拟机的UUID为基础的网络交换机上。这种解决方案仍然需要在虚拟交换机上执行协议。
  解决配置问题的第二种方法是使用来自惠普和Juniper这种公司的协调软件,他们的软件可以在他们自己的交换机上使用。
  还有来自Scalent和CA公司这种管理软件厂商的解决方案。在这种情况下,协调软件会协调网络交换机和vCenter之间的通信,协调这两种环境之间配置的变化。这种方法潜在的好处是适用于大范围的交换机和虚拟化厂商。
  思科的解决方案
  思科公司推出了他们自己的软件交换机解决方案1000V来取代vSwitch。1000V由两部分组成。VSM是虚拟交换机模块,用来替代在管理程序内部运行的vSwitch软件。Virtual Element Manager (VEM)是为VSM配置和存储网络协议的程序。
  以下的图表显示的流程是如何运转的。首先在虚拟机的UUID或者VEM的虚拟访问控制清单地址中配置虚拟机的虚拟局域网和协议。VCenter启动一个新的虚拟机或者将一个步骤二的虚拟机进行迁移。管理程序通知步骤3中的VSM。然后VSM从步骤4里的VEM中找回协议信息。如果网络交换机是来自Nexus 产品线,也可以从VEM中找回必需的虚拟局域网和协议信息。在这点上管理程序中的交换机和Nexus交换机都掌握了如何处理虚拟机2的正确信息。当虚拟机 2开始发送流量时,管理程序中的1000V交换机就应用了所有正确的协议(蓝点标识)。
 

>


  思科方式的好处与第一个方法相同。如果第一次交换机通过的流量非法或者没有应用正确的协议,这种方法就可以阻止两个虚拟机之间的任何通信。如果1000V使用在部署了虚拟化的Nexus交换机上,就可以解决网络交换机中的虚拟局域网问题。其他的好处是可以消除由网络管理软件控制的管理程序中的交换机,将相关责任返回给网络部门。不足之处是目前思科只有一个用于VMware的解决方案,还无法在 XEN和Hyper-V上运行。
  第四种方法
  第四种方法是以网络设备为中心;请看图表3。在步骤1中,网络管理软件中的虚拟机是由其虚拟网络接口卡来定义的。在步骤2中,vCenter指示管理程序启动虚拟机。管理程序发送告知信息包来通知其已经启动了步骤3中的虚拟机2。这个通知包含了虚拟机2的虚拟网络接口卡和其UUID。在步骤4中,交换机看到了这个通知并发送其虚拟局域网和其他协议信息的需求。然后交换机将协议应用到任何进入网络的流量上。
 

>


  关键点是交换机只将协议应用在网络交换机上(由蓝点显示)而不是在虚拟交换机上。交换机还要监控来自管理程序的信息,管理程序要指明所迁移的虚拟机,然后删除虚拟局域网和与虚拟网络接口卡相关的协议信息。采用这种解决方案的厂商有Arista Networks, Blade和Enterasy,还有通过协调软件来部署的惠普公司和Juniper。诸如博科公司等其他厂商也计划推出这种解决方案。Extreme Networks将这种技术用于QoS和协议,但是没有用于虚拟局域网。
  这种方式会尽可能消除虚拟部门执行网络协议的需求。不过仍然有两个问题需要解决。第一个问题是服务器虚拟化和网络部门仍然要协调虚拟局域网数量。目前Enterasys公司具备了为虚拟交换机自动化提供虚拟局域网数量的能力,Arista也在计划近期把这种能力增加到软件中去。
  这种方式最大的问题是它无法将协议应用到vSwitch上,因此会导致服务器虚拟机之间的流量绕过访问控制清单和其他安全协议。Enterasys和Arista打算通过增加将协议下推至vSwitch的功能来解决这个问题,图表中由A来显示。

 

标签: 安全 标准 服务器 服务器管理 服务器虚拟化 计划 企业 通信 网络 问题 行业 虚拟服务器 选择

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:开源Linux将要走进英国政府机构?

下一篇:Linux操作系统已成为数据中心首选