您的位置: 网界网 > 周报全文 > 正文

[周报全文]VEPA:虚拟交换解决之道

2011年01月17日 15:46:53 | 作者:Shehzad Merchant | 来源:网界网 | 查看本文手机版

摘要:VEPA旨在将虚拟机产生的网络流量重新归还给物理以太网交换机,从而将虚拟机接入层网络纳入到传统服务器接入网络管理体系中。

标签
VEPA
虚拟交换

Extreme公司高级战略主管 Shehzad Merchant

虚拟以太网端口汇聚器(Virtual Ethernet Port Aggregator,VEPA)是最新IEEE 802.1Qbg标准化工作的一个组成部分,其设计目标是降低与高度虚拟化部署有关的复杂性。如果我们研究一下使用虚拟交换机的传统方法就会发现,它与VEPA方法存在很大的不同,VEPA使用户可以深入了解虚拟化及联网中的各项部署挑战和需要考虑的因素。

虚拟机激增带来的挑战

当您的物理主机的hypervisor(管理程序)上有多台虚拟机(每台虚拟机都包含一套操作系统和多种应用)时,这些虚拟机在相互通信和与外部世界通信时都要使用虚拟交换机(vSwitch)。事实上,虚拟交换机是一种两层交换机,通常以软件的形式在hypervisor内运行。每个hypervisor通常都有一个内置的虚拟交换机。不同的hypervisor所含的虚拟交换机在能力方面也是千差万别的。

当虚拟交换机从网络领域转移到服务器领域时,就有必要针对虚拟环境对基于传统网络的工具和解决方案进行重新测试、重新定性和重新部署。从某些方面来说,这种变化会对虚拟化的快速扩展和普及造成阻碍。

例如,传统模式下的网络和服务器运营团队是截然分开的,每个团队都有自己的流程、工具和管控范围。如今,由于虚拟交换机的原因,网络进入了服务器的管控范畴。因此像供应虚拟机这样的简单任务,也需要这些团队之间开展额外的协调工作,从而确保虚拟交换机的配置与物理网络配置保持一致。

由于在网络中缺乏虚拟机之间流量的可视性,因此涉及到虚拟机之间通信的故障查找和监控也变成了一项极具挑战性的工作。而且随着虚拟机数量的增长,单个服务器中的虚拟机目前已经达到8至12台,并且会在不久的将来达到32至64台。因此,保护虚拟机彼此不受干扰,以及不受外界威胁的侵害,都变成了一项需要认真考虑的问题。

从防火墙到IDS/IPS,基于传统网络的设备和工具,都需要针对这些高度虚拟化的环境重新开发、重新认证和重新部署,从而确保虚拟机之间通过虚拟交换机的通信,能够满足法规一致性和安全方面的要求。

不同hypervisor技术在互操作性和管理上的开销是一项挑战,而虚拟交换机标准方面的缺乏将使这些挑战变得更加复杂。事实上,物理服务器正在变成一种全面的网络环境,拥有自身的互操作性、部署、认证和测试要求。

有趣的是,这种趋势与虚拟化最基本的优势之一是背道而驰的,即虚拟化能够将服务器中过剩的容量,以更高的效率来运行各类应用。目前,这种“服务器中的网络”很有可能演变成这些过剩容量的消费方,将CPU和内存资源吞噬殆尽。

VEPA为服务器“减负”

为应用这些挑战,各方已经提出了多种不同的解决方案,其中就包括VEPA。VEPA是一种虚拟交换机替代产品,它不仅进入了标准化进程,而且成为业界不少厂商的选择。

事实上,VEPA会将服务器上虚拟机生成的所有流量转移到服务器外部的网络交换机上,外部网络交换机接下来会为同一台物理服务器上的虚拟机和基础设施的其他部分提供连接。

实现这一功能的方法是将一种新型转发模式融入物理交换机中,使流量能够从来时的端口“原路返回”(802.1Qbg标准的作者之一,惠普的Paul Condon将这种工作模式形象地描述为“发卡弯”),从而简化同一服务器上虚拟机之间的通信。

“原路返回”模式(或称“反射中继”)可以在需要时,将包的单一副本反向发送至同一台服务器上的目的地或目标虚拟机。对于广播或组播流量,VEPA能够以本地方式向服务器上的虚拟机提供包复制能力。

传统上,多数网络交换机都不支持这种“原路返回”模式行为,因为它可能会在非虚拟世界中造成环路和广播风暴。然而,许多网络厂商都开始支持这种行为,目的就是解决虚拟机交换的问题,而且使用简单的软件或固件升级即可实现。

IEEE的802.1Qbg工作组还努力将这种行为变成了标准。VEPA能够作为hypervisor中薄薄的一个软件层的方式,在服务器中实施,也可以作为网卡中的硬件来实施。在后一种情况下,还可以与SR-IOV等PCIe I/O虚拟化技术结合使用。其中一个典型的例子就是Linux KVM hypervisor中提供的基于软件的VEPA实施。

事实上,VEPA将交换功能移出了服务器,并且将其放回物理网络中,而且让外部网络交换机能够看到所有的虚拟机流量。通过将虚拟机交换移回物理网络,基于VEPA的方法使得现有的网络工具和流程可以在虚拟化和非虚拟化环境,以及hypervisor技术中以相同的方式自由使用。

并且,防火墙和IDS/IPS等基于网络的设备,以及访问控制列表(ACL)、服务质量(QoS)和端口监控等成熟的网络交换机功能,都可以直接用于虚拟机流量和虚拟机之间的交换,从而减少或消除了对虚拟网络设备重新进行昂贵的质量判定、测试和部署的需求。

此外,VEPA将网络管理控制层重新交给了网络管理员,为所有与虚拟机相关联网功能的供应、监视和故障查找提供了一个单一控制点。

将网络功能从服务器卸载至网络交换机,能够带来诸多的优势。例如释放服务器资源并将其用于更多的应用。同时还可在虚拟和非虚拟服务器之间提供线速交换:从1Gbps至10Gbps,甚至可以达到40Gbps和更高的100Gbps。

因此,基于VEPA的方法有助于扩大虚拟化部署,降低复杂性和成本,并且加快虚拟化的普及。

尽管基于VEPA的方法能够带来许多好处,但在某些环境下,虚拟机间流量的交换最好还是留在服务器内部。例如,在有些环境下,物理服务器要承担虚拟机的巨大负荷,而且这些虚拟机之间的通信非常频繁。因此,为了将延迟降至最低程度(+微信关注网络世界),最好的方法是将虚拟机之间的流量留在服务器内部。

在此类场景中,可能的方法之一是绕过基于hypervisor的软件虚拟交换机,或利用新型网卡提供的交换硬件能力。同样,在使用这种方法时,也需要权衡考虑完全使用“服务器中的网络”模型时的安全和成本问题。

随着服务器虚拟化的广泛普及,服务器内和服务器间虚拟机交换流量的复杂性都在不断加大。VEPA的虚拟机间流量交换方法能够为基于虚拟交换机的传统方法提供一种非常有趣且极具吸引力的替代方案。为了向网络和服务器基础设施提供支持VEPA的能力,此类技术的标准化工作正在紧锣密鼓地进行当中。(美国《Network World》供本报专稿,更多内容详见: http://www.cnw.com.cn/P/3147)

相关链接

VEPA除掉云计算[注]一大障碍

美《Network World》专栏作家 Jon Oltsik

我最近跟Extreme探讨过它的数据中心网络[注]策略。对我来说,这一策略的一大亮点就是Extreme准备采用IEEE还在制定中的虚拟以太网端口聚合器(VEPA)标准。简单说来,VEPA可以将今天基于hypervisor虚拟交换机上的所有交换活动都卸载到实际的物理交换机上去。至于这种交换机应该放置在边缘,还是放置在汇聚交换机上,惠普和思科之间存在着分歧,不过只要明白双方的目的都是为了简化就足够了。

那么VEPA的关键之点是什么?根据ESG研究公司的调查,大多数企业在每台物理服务器上的一个虚拟交换机上会运行5到10个虚拟机。这个数字是初步的,如果进一步发展,很有可能虚拟机和服务器的比例就会随之增加,基于服务器的网络必然会变得越来越复杂。例如,可以想象一台物理服务器运行30个虚拟机,这种情况下就可能需要多个虚拟交换机、VLAN、QoS标签、安全域等。网络的这一发展进程将会给基于英特尔的服务器增加大量的开销,从而会要求hypervisor具备更多的功能。而VEPA则提供了另外的选择——服务器还是服务器(也就是说依然只做应用处理),并且会为网络提供hypervisor的可见性,从而简单地将交换任务派发给物理交换机。

对我来说,从安全和网络的角度来看,这么做太有道理了。假如下一代交换机支持VEPA,那么所有的虚拟数据中心/云迁移就能获得更大的发展。

我的一个建议是,在VEPA和OVF(即开放虚拟化格式)之间应该有某种联系。OVF推荐用一种元数据标准来描述虚拟机的特性。当一个虚拟机从一台服务器向另一台本地的、远程的,或者云服务器迁移时,OVF就会提供一个虚拟机标签,向其他VEPA交换机描述该虚拟机的特性。总而言之,VEPA和OVF可以帮助和虚拟化,以及云相关联的自动化网络及安全运营。

既然说虚拟化是通往云计算的途径,那么虚拟化的信息共享对于网络设计和网络安全来说就是至关重要的。VEPA恰好是实现这一目标而迈出的正确的一步。

参考资料

1.数据中心网络:(Data Center Network)是应用于数据中心内的网络,因为数据中心内的流量呈现出典型的交换数据集中、东西流量增多等特征,对数据中心网络提出了进一步的要求:大规模、高扩...详情>>

2.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]