隨着技術的成熟和應用的推動,很多企業的IT系統已經邁出了走向雲計算的第一步,這一步就是虛擬機的應用。在一臺物理服務器上虛擬出多個服務器,這種方式給IT帶來了實實在在的效益:服務器的採購數量減少了;用虛擬機爲原來沒有HA的業務增加上了HA,減少了業務中斷的投訴和抱怨;硬件不再只發揮出10%的能力,有了更強勁的用武之地,……
下圖是IDC 2011年的報告,報告顯示,2010年已經有51%的負荷是由虛擬機在承擔;到2013年,將有69%的負荷將由虛擬機來承擔。
和虛擬機的應用與技術發展相比,網絡對虛擬機感知的發展明顯滯後了,這給虛擬機的應用帶來了諸多困擾。服務器中需要有虛擬交換機來實現虛擬機間的通信;虛擬交換機的管理需要服務器管理員掌握網絡知識,或者網絡管理員將手伸到服務器領域;虛擬機網絡故障的問題,是在虛擬交換機,還是在物理網絡,故障的定位更加困難;隨着虛擬機技術的發展,虛擬機遷移、資源池調度的應用越來越普及,在虛擬機遷移的目的地,網絡需要提前就緒,包括配置、動態表項等。
就像飛機起降前機場的準備就緒需要由機場指揮塔來調度一樣,虛擬機起降前網絡的準備就緒也需要網絡“指揮塔”來調度解決。
虛擬機的網絡環境分析
IEEE標準802.1Qbg[1]中對虛擬機接入網絡的各種方案做了全面的總結。主要有以下三種:
“軟件實現的虛擬交換機”是最原始、最基本的方式,VMWare ESX、微軟 Hyper-V等虛擬機平臺都作爲基本功能模塊提供。“由智能網卡實現交換”是網卡廠商主導的硬件加速方案,虛擬機平臺對這種方式也已經逐步支持起來。這兩種方式在數據流量管控上都存在較大的困難,例如,要實現流量採集,需要在物理服務器中創建一個虛擬機,專門用來運行探針。“接入交換機環迴轉發”的方式性能最佳,流量管控能力最強,但需要接入交換機支持該功能,由於部分舊的交換機需要被更換,適合在新建數據中心部署。
總之,無論哪種方式,網絡“指揮塔”都需要能夠很好的支持。
“指揮塔”要縱觀全局
網絡“指揮塔”要能夠看到“虛擬交換機”,看到虛擬機和虛擬交換機的連接關係,看到“虛擬交換機”和物理交換機的連接關係,這是對虛擬機網絡進行指揮調度的基礎。
本文以華爲公司的相應產品爲藍本,介紹業界網絡推廣在虛擬機網絡管理方面的技術應用。
華爲公司的虛擬機網絡“指揮塔”nCenter(Network Center),和VM的管理器vCenter是兄弟。
虛擬機網絡管理一般包括虛擬資源管理和虛擬機遷移管理,其中虛擬資源管理是指物理和虛擬資源的信息採集和拓撲管理,物理和虛擬資源包含虛擬機、虛擬交換機、物理服務器、物理交換機。
nCenter通過網管標準協議發現TOR,通過vCenter的開放接口從vCenter獲取虛擬機信息(包括虛擬機和虛擬交換機的連接關係)。
TOR通過LLDP、CDP等設備發現協議發現虛擬交換機,明確虛擬交換機和TOR的拓撲關係。
綜合上述信息,nCenter能夠繪製出完整的物理、虛擬資源及拓撲。下圖是nCenter上查看虛擬機網絡拓撲的一個實例。
圖中38、40是TOR,下面的框分別是兩臺物理服務器,內部各有幾臺虛擬交換機和幾個虛擬機。圖中清晰簡潔地呈現出了物理節點、虛擬節點,物理、虛擬的拓撲連接關係也清楚明瞭。故障定位有圖可循,能夠極大的提高管理維護效率,降低管理維護成本。
拓撲管理還提供搜索功能,在大規模的網絡中,也能方便快捷地搜索出虛擬機。
虛擬機“起降”的指揮調度
僅僅實現拓撲管理,還不能成爲“指揮塔”。“指揮塔”還必須能夠管理虛擬機的“起降”(遷移),在虛擬機“起降”時,網絡必須能夠按需配置、動態調整、及時就緒。
每個虛擬機,根據其部署的具體業務,需要規劃網絡配置,包括:QoS、ACL等。在虛擬機部署前,需要先在nCenter上創建策略模版,策略模版被統一管理起來,虛擬機“起降”時,參數配置就可以從策略模版中獲取。
開放支持各種虛擬機“起降”
IEEE的標準802.1Qbg有兩種方案,一種是“帶內管理”方案。如下圖所示:
其中VSI Manager是管理VSI(Virtual Station Interface)的配置信息,即上面說的虛擬機的策略模版。隨路信令在802.1Qbg中定義了,包括:ECP(Edge Control Protocol)用於封裝VDP協議;VDP(VSI Discovery and Configuration Protocol)用於VSI的發現與配置,基於ECP;和CDCP(S-Channel Discovery and Configuration Protocol)用於配置、創建和刪除S-Channel(非必選)。
服務器中的虛擬機創建、刪除,通過VDP協議通告給TOR,TOR向VSI Manager獲取網絡策略,完成網絡屬性配置。因爲VDP協議和虛擬機的網絡鏈路是同一條,因此,稱爲“帶內管理”。
另一種方案是“帶外管理”方案。如下圖所示:
虛擬機的創建、刪除、遷移,vCenter是控制發起者,通過vCenter的開放接口通知到nCenter,nCenter向相關的網絡設備下發相關的網絡策略的配置。
“帶內管理”方案,由於目前協議標準尚未確立,各虛擬機平臺廠商均未推出相關產品,協議未具體規定和vCenter的接口,VSI Manager需要針對各虛擬機平臺進行適配,因此,目前還難以實際應用。
“帶外管理”方案,各虛擬機平臺廠商均提供開放接口,nCenter按照開放接口適配各虛擬機平臺,是開放合作的方案。
採用“帶外管理”方案,不用等待虛擬機平臺支持802.1Qbg標準的VDP,現在就可以用虛擬機平臺的開放接口,實現虛擬機的網絡感知。
因此,華爲nCenter採用了“帶外管理”方案,開放支持VMware、Citrix Xen,以及微軟Hyper-V等虛擬化平臺。
繁忙的機場需要高效的調度技術
nCenter向網絡設備下發策略配置,可以採用命令行、SNMP或NETCONF等方式,但在原型測試中,發現性能只能達到每秒10~20個虛擬機上線;而採用RADIUS協議,原型測試結果能夠達到每秒200個虛擬機上線,這個性能能夠滿足多大規模的虛擬機“起降”呢?
讓我們來計算一下,假設有N個物理服務器,其中1/2忙,每個忙的服務器需要將4個VM(測試數據,受限於帶寬和CPU能力)遷移出去,每個虛擬機的遷移時間爲3分鐘(180秒)。則每秒處理虛擬機遷移數量爲:N/2×4/180。
如果是1萬臺物理服務器,則每秒處理虛擬機遷移數量爲:10000/2×4/180=111。
200個虛擬機每秒的處理性能,可以滿足:200×180/4*2=18000臺物理服務器的雲計算環境。
nCenter採用RADIUS協議,能夠滿足近2萬臺物理服務器的雲計算環境虛擬機突發大規模“起降”。
虛擬機“起降”
在虛擬機“起降”的過程中,nCenter負責網絡策略的遷移,和虛擬機平臺vCenter配合,保證了流程處理的及時、準確和自動化。
下圖是虛擬機遷移的流程:
遷移前的拓撲:準備將“Purple”這個VM遷移到服務器.52上
① vCenter啓動VM遷移。
② 進行VM遷移。
① vCenter通過開放接口通知nCenter遷移開始。
② nCenter通知目的TOR交換機VM上線,上線信息中包含VM的身份信息:VM的MAC地址、VLAN信息、應用的策略模板ID。
③ 目的TOR通過RADIUS協議向nCenter申請VM策略(ACL、QoS、DHCP Snooping綁定表)。
④ nCenter內置的RADIUS服務器響應目的TOR的申請,將VM綁定策略應答給目的TOR,目的TOR收到後,解析出VM的策略,完成轉發配置。
⑤ vCenter通過開放接口通知nCenter遷移完成。
⑥ nCenter通知源TOR交換機VM下線。
⑦ 源TOR接收到下線通知,刪除本地策略的同時,通過RADIUS的用戶下線接口通知RADIUS服務器更新用戶在線狀態。
遷移後的拓撲:虛擬機“Purple”已經成功遷移到服務器.52上
華爲虛擬感知解決方案總結
華爲虛擬感知解決方案以nCenter爲核心,和各種虛擬化平臺vCenter開放兼容,在接入交換機上及時下發靜態配置、動態表項,實現了對服務器虛擬化環境的全面支持,通過開放高效的網絡“指揮塔”,真正建立起供虛擬機自由“起降”的“雲機場”。
讓我們回顧一下前面分析的網絡和虛擬機配合的問題:
管理界面:系統管理員只需要管理服務器、虛擬機,網絡管理員負責管理虛擬交換機、物理交換機、虛擬機的網絡屬性,管理界面清晰。
可視運維:nCenter提供虛擬機、虛擬交換機、物理服務器、物理交換機的一體化拓撲視圖,方便故障定位。
虛擬感知:虛擬機創建、遷移,都能夠得到及時感知、處理,網絡開通速度快,和虛擬化平臺、服務器的兼容性好。
結束語
華爲虛擬感知解決方案,爲虛擬機的應用打通了網絡之“脈”,助力數據中心進一步擴大虛擬機的應用,降低IT成本,提高IT效率。相信在不久的將來,一定能夠建設起來完全虛擬化、自動化、高效的雲計算基礎設施,以IaaS的方式支持大容量、多樣化的業務應用系統,更好地滿足支撐業務運營創新發展的需要。