服务器虚拟化带来网络接入层的变化资料.docxVIP

服务器虚拟化带来网络接入层的变化 在数据中心接入层部署支持 EVB国际标准的数据中心交换机，与服务器端虚拟化软件联动 即可支持将流量上引至交换机上。 现有解决方案及问题 由丁一个虚拟机上可能存在多个虚拟后的系统，系统之间通讯就需要通 过网络，但和普通的物理系统问通过实体网络设备互联不同，虚拟系统的网络接 口也是虚拟的，因此不能直接通过实体网络设备互联。 目前流行的一种解决方案是：vSwitch技术。vSwitch作为最早出现的一 种的网络虚拟化技术，已经在 Linux Bridge、VMWare vSwitch等软件产品中实 现。所谓的vSwitch，就是VE眼术，即将虚拟网桥完全在服务器（终端）硬件上 实现，不涉及外部交换机的协作。 参考虚拟机的实现方式，将网络设备也虚拟化，并绑定在虚拟机中，这 样虚拟机上的网络接口可以不需要经过实体网络， 直接在虚拟机内部通过虚拟交 换机等虚拟的网络设备进行互联。 如上图所述，跟普通服务器设备一样，每个虚拟机有着自己的虚拟网卡 (virtual NIC) ，每个 virtual NIC 有着自己的 MACM址和 IP 地址。Virtual Switch(vSwitch)相当丁一个虚拟的二层交换机，ABCDBt是交换机上的虚拟端 口，该交换机连接虚拟网卡和物理网卡，将虚拟机上的数据报文从物理网口转发 出去。根据需要，vSwitch还可以支持二层转发、安全控制、端口镜像等功能。 物理主机(服务器)虚拟交换机，用丁虚拟机互访(本质上就是一种“软”交换 机的行为，软件虚拟出来交换机)： 性能低，特性少； 模糊了主机和网络管理界面； 带来的问题： 1、流量无法监控，存在安全隐患 从虚拟机到物理服务器之外的流量可以通过交换机镜像、网流分析设备 进行监控；虚拟机之间的流量无法进行监控； 2、无法实施安全策略 数据中心服务器之间采用了矩阵式的访问控制策略。 问题：①不同的虚 拟机之间需要通过ACL实现访问控制；②传统的VSwitch实现ACL?要消耗CPU 资源，对服务器性能有影响； ③安全策略与VM的迁移紧绑定问题需解决； 3、管理边界不活 （模糊了主机和网络管理界面，服务器和网络管理员 的管理界面） 物理服务器中的逻辑网络由谁管？相似的情况：刀片服务器中的交换机 模块由谁管？在管理权限上，网络管理员基本不能管理到 vSwitch ,而主机管理 员也不愿意在网络配置上花太多的时间，这样导致vSwitch游离丁网络整体管理 之外，不利丁整体网络策略以及网络安全的实现。 4、影响服务器性能 考虑到在一台物理服务器上可能运行数十个虚拟机，再掺杂上数据中心 的交换时，情况会非常复杂。给虚拟机增加这样一种智能，会给服务器额外增加 大量的网络处理负载，并且由丁虚拟交换机仅仅是通过一种软件实现， 在功能和 性能上必然无法与传统的实体网络设备相媲美。既然实体交换机已经实现了所有 这些功能，就没有必要在虚拟机上进行这些重复操作。 数据中心接入层虚拟交换 物理主机（服务器）虚拟交换机，用丁虚拟机互访（本质上就是一种“软” 交换机的行为，软件虚拟出来交换机） 采用一种“硬”交换机的思路，将虚拟机的交换能力回归到交换机 ，性 能保证，特性丰富，管理界面活晰 指定一种Edge Virtual Bridging(EVB) 标准，该标准基丁一个名为 Virtual Ethernet Port Aggregator (VEPA) 的技术。通过 VEPA 来自丁 VM的 所有流量都会被转发到邻近的物理接入交换机，或者当目标 VM也位丁同一个服 务器时被转回到相同的物理服务器。 VM2医W阿卡 VM2 医W阿卡 VEPA 物理网卡 部署方案： 在数据中心接入层部署支持 EVB国际标准的数据中心交换机，与服务器 端虚拟化软件联动即可支持将流量上引至交换机上。 通过VEP简日VSI发现功能，将VM的流量统统转移到交换机上来进行传 输，可以实现基丁 VM的流量控制。例如，网络管理员可以应用安全策略阻断某 个VM和其他VM的通讯，或者控制该VM只能和某些指定的VM通讯。 带来的好处 提升性能、降低复杂性，实现：将高级复杂的网络功能从 VM转移到外 部网络。 保持NIC （网卡）的低成本电路，实现：将高级网络功能调整到外部网 致性控制策略实现，实现：将所有流量转发到外部网络，网络实现更 加完备的的强制控制策略。 VM问流量可视性，实现：外部网络提供完善的管理工具。 活晰管理边界，降低服务器管理人员的网络配置要求 ，降低网络管理 人员的配置复杂性。