一种云数据中心虚拟交换的解决方案.doc

一种云数据中心虚拟交换的解决方案 2012-07-09 09:58　来源：存储在线　作者：佚名　责任编辑：王玉平yesky　评论(0) 　　随着虚拟化技术的成熟和x86?CPU性能的发展，越来越多的数据中心开始向虚拟化转型。数据中心虚拟化的基础网络技术趋势，延续了传统数据中心性能、安全、永续的基本需求，而且进一步简化网络架构，更有力支撑应用层面虚拟化，降低运维复杂度，提高了灵活性。 　　当前数据中心虚拟化发展面临许多关键性问题，而安全问题首当其冲，并且随着云计算的不断普及，安全问题的重要性呈现逐步上升趋势，已成为制约其发展的重要因素。 　　在虚拟化当中有一种重大威胁，即同一个物理服务器上的多个虚拟机彼此之间的通信都是在虚拟交换机上进行的，这一点是防火墙、入侵检测、预防系统和异常行为检测器，这些针对物理服务器网络流量的外部网络安全工具视若无睹的。 　　针对这些安全问题，本文旨在设计出一种合理的与数据中心虚拟机通信方式，以解决目前安全方面的盲点。虚拟以太网端口汇聚器((Virtual Ethernet Port Aggregator，VEPA)是最新IEEE 802.1Qbg草案标准化工作的一个组成部分，其设计目标是降低与高度虚拟化部署有关的复杂性和提高数据的安全性。运用VEPA技术，能有效解决虚拟机之间相互通讯无法监控的问题，为云架构数据中心的实现提供安全的屏障。 　　1 云计算数据中心架构概述 　　云计算系统分成两部分：前端和后端，二者一般通过网络互相连接。前端指的是用户的计算机或客户端，后端指的是系统中的计算机群，也就是前端包括用户计算机(或计算机网络)以及云计算系统登陆程序。不同的云计算系统具有不同的用户界面。后端是各种各样的计算机、服务器和数据存储系统，它们共同组成了云计算系统中的云。理论上，任何应用程序都可以在云计算系统中运行。 　　一般来说，每个应用程序都有其专用的服务器。管理整个系统的是中央服务器，它监管流量和用户需求并确保一切运行顺利。中央服务器遵循一套被称为协议的规则，并使用一种被称为中间件(middleware)的专门软件。中间件可以使联网的计算机互相通讯。 　　VMware和微软公司的Hyper-V是目前支持云计算完全虚拟化的主流产品。以WM ware为例，在完全虚拟化的环境下，VMware ESXi运行在裸硬件上，充当主机操作系统。在装有WM ware Esxj的物理主机上虚拟出虚拟服务器，运行客户端操作系统。整个WMvare ESXi的物理主机集群由一台VMware vCenter Server来管理。如图1所示。 　　图1 VMware私有云架构 　　2 基于VEPA技术改进的虚拟通信解决方案 　　2.1 虚拟以太网端口汇聚器(VEPA) 　　VEPA是IEEE 802.1Qbg标准草案的核心部分。VEPA的核心机制就是两条：修改生成树协议、重用Q-in-Q。 　　VEPA是虚拟机管理器内的一个分层，它采用一种新型转发模式融人物理交换机中，使流量能够从来时的端口“原路返回”。VEPA能接纳所有虚拟机之间的传输资料，然后直接传送到外部的交换机，在物理交换机上查表处理后，再回到目的虚拟机上，从而简化同一服务器上虚拟机之间的通信。 　　当两个处于同一服务器内的虚拟机要交换数据时，从虚拟机出来的数据帧首先会经过服务器网卡送往上联交换机，上联交换机通过查看帧头中带的MAC地址(虚拟机MAC地址)发现目的主机在同一台物理服务器中，因此又将这个帧送回原服务器，完成寻址转发。 　　整个数据流好像一个发卡一样在上联交换机上绕了一圈，因此这个行为又称作“发卡弯”。“发卡弯”实现了对虚拟机的数据转发，但这个行为违反了生成树协议的一项重要原则，即数据帧不能发往收到这个帧的端口，而目前虚拟接人环境基本是属于二层，因此，在接人层，不可能使用路由来实现这个功能，这就造成了VEPA的机制与生成树协议之间的矛盾。 　　针对VEPA和生成树协议相矛盾的体制，在IEEE 802.1Qbg标准草案中，重写了生成树协议，即在下联端口上强制进行反射数据帧的行为(ReflectiveRelay)，通过强制性的方法解决了二者机制上的冲突。 　　图2对比了使用虚拟交换机和VEPA两种不同的虚拟机通信方式。左图中，虚拟机之间通讯通过虚拟交换机完成;右图虚拟机之间通信由外部交换机完成。 　　图2 虚拟交换机和VEPA转发比较图 一种云数据中心虚拟交换的解决方案 2012-07-09 09:58　来源：存储在线　作者：佚名　责任编辑：王玉平yesky　评论(0) 　　2.2 VI AN翻译技术简介 　　VLAN翻译(VLAN Translation)又叫VLAN映射，主要用于城域网中，它允许不同VLAN的主机通过交换机翻译实现通信。借助于VL