隨著數字化校園建設的不斷深化、用戶應用的快速發展和信息孤島資源的逐漸整合,數據中心的服務器、存儲、網絡設備不斷地增長和集中,使得數據中心的網絡系統變得非常復雜,服務器、存儲設備、虛擬機的增加也帶來了數據中心應用資源的增加,數據中心資源管理以及虛擬化整合也成為亟待解決的問題。數據中心的虛擬化由此成為了數據中心建設的一個重要的發展趨勢。
虛擬化數據中心被也稱為下一代數據中心,而支持其得以實現的核心技術包括:服務器虛擬化、存儲虛擬化以及網絡虛擬化。其中服務器的虛擬化是虛擬化數據中心的核心技術,借助不同應用分配不同配置的虛擬機,虛擬機的應用使得應用服務的物理資源得以整合;存儲虛擬化是將不同的存儲資源虛擬成一個“存儲池”,把零散的存儲資源整合起來,然后再從“存儲池”中分配存儲容量,從而提高整體利用率,同時降低系統管理成本;網絡虛擬化是使用基于軟件的抽象從物理網絡元素中分離網絡流量的一種方式,它抽象隔離了網絡中的交換機、網絡端口、路由器以及其他物理元素的網絡流量。每個物理元素被網絡元素的虛擬表示形式所取代。管理員能夠對虛擬網絡元素進行配置以滿足其獨特的需求。
具有虛擬化功能的智能網絡與統一網絡的結合是保證服務器虛擬化性能和存儲虛擬化之關鍵。然而目前還沒有特別可行的虛擬化網絡方案,因此本文針對校園網建設的具體需求,提出了一種網絡虛擬化方案,目的在現有的虛擬化的平臺下,設計合理、健壯、安全的虛擬化網絡。
1 問題描述
數據中心虛擬化的網絡涉及網絡物理設備的虛擬化即網絡虛擬化及在虛擬化平臺下虛擬化網絡的實現。目前存在如下兩個主要的問題。
1.1問題1
數據中心在出現虛擬化服務器模式之前,應用程序與物理資源捆綁在一起,所需要的全部網絡功能均在服務器外部來完成。分組交換和路由選擇等操作以及防火墻和入侵防御等網絡安全功能均在遠離主機服務器端的設備層中完成。在對主機資源進行虛擬化時,將應用程序與服務器的比例由1:1調整為N:1,有可能N個服務共享有限上聯網絡接口,從而導致單一網絡交換機數據流量成本增加,形成數據傳輸瓶頸,而且一旦該上聯的交換機出現故障,那么該主機下的所有服務將停止,如何合理、高效使用這些網絡接口,并提供可靠的冗余成為本文設計網絡必須考慮的問題。
1.2問題2
隨著越來越多的校園應用系統服務器遷移或者搭建在虛擬化平臺上,數據中心內部的物理網口越來越少,以往基本上每個提供web服務的系統就需要一個以太網口,而現在提供web服務的系統就是駐留在一臺物理服務器的一個虛擬機,并且X86 cpu性能的提供,往往一臺物理服務器可以跑上百個服務,而它們共享一條上聯網線。如果這些服務不加網絡上隔離,那么一個服務遭到攻擊,則會影響到整個虛擬主機的性能,同時使得其他的服務訪問收到影響。
2 方案1
針對問題1,本文提出了外網整合的網絡虛擬化方案。
2.1基本原理
數據中心是數據中心架構的核心領域,隨著數據中心業務的增加,為了管理的方便、數據中心的容災、備份,根據數據中心業務的分類建立了多個子數據中心,其中各個數據中心之間借助虛擬化平臺vcenter來進行管理,各個中心之間的數據交換需要外接的網絡來保證線路的暢通。
結合網絡架構虛擬化技術,將多臺網絡設備進行連接,“橫向整合”起來組成一個“聯合設備”,并將這些網絡設備看作單一網絡設備進行管理和使用。通過在接人層交換機使用堆疊交換機,可以與ESX虛擬交換機實現跨設備鏈路聚合,進一步提高鏈路可靠性,從而實現網絡設備的冗余、網口接口的擴展。同時通過管理簡單化、配置簡單化、可跨設備鏈路聚合等極大簡化網絡架構。
網絡拓撲如圖1所示。
圖1 方案1網絡拓撲圖
2.2方案描述
本文選用以vware的Esxi搭建虛擬化數據中心,服務器選用intel的一體機,共配置了6片刀片,每片刀片配有4塊網卡,用于同虛擬機進行管理和數據通信,并配置了兩個交換機模塊機,主要用于物理網絡和虛擬網絡之間傳遞數據。這里intel交換機的雙網卡分別連接到一個IRF系統的兩臺物理交換機pSwtichl和pSwitch2,利用IRF技術將這兩臺物理設備通過物理端口連接在一起,進行必要的配置后,虛擬化成一臺“分布式設備”。
①IRF的設計
IRF通常由多臺成員設備組成(如圖2所示),采用兩臺H3C5500EI的交換機,其中一臺pSwitchl作為Master,Master設備負責IRF的運行、管理和維護,pSwitch2作為Slave設備在作為備份的同時也可以處理業務。一旦Master設備故障,系統會迅速自動選舉新的Master,以保證業務不中斷,從而實現了設備的備份;同時兩個成員設備之間的IRF鏈路支持聚合功能,多條鏈路之間可以互為備份也可以進行負載分擔,從而進一步提高了IRF的可靠性。同時采用這種架構可以擁有強大的網絡擴展能力。通過增加成員設備,可以輕松自如的擴展IRF的端口數、帶寬。
圖2 IRF配置流程圖
②鏈路聚合
為了實現網絡擴展帶寬,使用鏈路聚合技術來整合數據中心一體機的一臺內置intel Gigabit EthernetSwitch的上聯鏈路。將其中的2條鏈路捆綁在一起成為一條邏輯鏈路(如圖3所示),使網絡帶寬由原來的單通道1 Gbit擴展為2 Gbit,從而實現增加鏈路帶寬的目的。同時,這些捆綁在一起的鏈路通過相互間的動態備份,可以有效地提高鏈路的可靠性。
③端口匯聚
刀片服務器上的intel Gigabit Ethemet Switch配置,將外置的第1、2端口匯聚一個通道與外部的交換機連接,將Extl和Ext2接口加入LAGl聚合組(如圖4所示)。
圖3鏈路聚合 圖4刀片服務器的端口示意圖
④鏈路聚合以Cisco Catalyst 3750為例:
將gI/O/1和gI/O/2匯聚為一個通道與刀片服務器上的交換機連接interface Port-channell
3 方案2
針對上述問題2,本文提出了內網整合的虛擬化網絡建設方案。
3.1基本原理
內部網絡虛擬化通過在虛擬服務器內部定義邏輯交換機以及網絡適配器,創建了一個或多個邏輯網絡。內部虛擬化網絡能夠連接運行在一臺服務器上的兩個或多個虛擬機,而且虛擬機之間的網絡流量不會經過物理網絡基礎設施。內部網絡虛擬化最小化了物理網絡上的網絡流量,是讓服務器內部相關的工作負載進行網絡通信的一種更快和更有效的方式。
為了服務的安全我們需要多網絡環境并存,通過在ESXi主機上配置vlan實現多網絡并存,實現不同部門或者不同應用的多網絡并存,但是現實情況往往一個vlan下一個虛擬機被病毒入侵,往往會造成整個vlan網段的無法正常訪問,于是這里將PVLAN的技術引入,主要討論PVLAN在虛擬化平臺上的實現與應用。
PVLAN即私有VLAN(private VLAN),該技術在解決通信安全、防止廣播風暴和浪費ip地址方面的優勢是顯而易見。對于保證接入網絡的各個虛擬機的數據通信的安全性是非常有效的。PVLAN采用兩層dan隔離技術,只有上層primary vlan全局可見,下層的輔助vlan(secndeary vlan)相互隔離。輔助vlan(secondary vlall)包含兩種類型:隔離vlan(isolated vlan)和公共vlan(community vlan),見圖5所示。
圖5 PVLAN特性圖
3.2方案描述
Intel一體機中提供的內置的物理交換機模塊和VDS(vnetwork distributed switch)分布式虛擬交換機。其中VDS與物理交換機一樣,包含一定數據量的端口,相同特性的端口集合就是端口組,邏輯上分為虛擬機端口組,主要用于虛擬機的網絡連接。
3.3網絡拓撲
方案2網絡拓撲圖如圖6所示,為了滿足不同需求的虛擬機用戶之間的安全訪問,需要先在pSwitch交換機建立了多個Vlan3010-P和Vlam3020-P,同時建立相應的輔助Vlan,分別是(Vlan3021-C1)(Vlan3022-I)(Vlan3011-C)(Vlan3012-I),只需將需要互相隔離的VM劃分到輔助Vlan3012.I或Vlan3022.I網段下即可,而如果需要某個服務(需要多臺VM)同別的應用服務隔離,可以通過在一個主Vlan下建立多個Vlan—C來實現。下面的實例是建立一個PVLAN的實現過程。
圖6方案2網絡拓撲圖
具體的實例的實現步驟:
①物理交換機端的配置
在刀片交換機上也建立這三個Vlan(3020,3021,3022),并通過Vlan Trunk方式連接外部的接入交換機和Vmware中的虛擬分布式交換機。
首先在Vmware的虛擬分布式交換機上需要進行編輯設置將兩個輔助Vlan與主Vlan關聯。在創建分布式虛擬端口組的配置中完成關聯。
再創建新的端口組的時候就可以選擇這些輔助Vlan了。可以查看到端口組與專有Vlan的對應關系。
隨后在創建的VM中,通過添加網絡設備,制定相應的Vlan網段,完成VM網絡的配置。
通過以上操作保證Vlan.C中的VM能夠互相訪問,多個Vlan—C之間互相隔離,Vlan—I中的VM相互隔離。最大限度的保證了VM的網絡安全。
4 結語
本文針對新一代的虛擬化的數據中心的網絡問題進行分析,結合目前校園網數據中心的網絡現狀,提出基于外網及內網的解決方案。為了提高網絡的冗余及可靠性,采用IRF技術;為了提高鏈路帶寬,采用鏈路聚合的技術;為了加強虛擬機的網絡訪問安全性,采用PVLAN的技術,結合目前數據中心的實際架構進行實現。該方案達到了增強網絡高可靠性,提高鏈路帶寬,加強虛擬機網絡安全的目的。而且隨著新的VDC(虛擬化的數據中心)概念的提出,以上的解決方案對將來大型的數據中心的建設和維護做了很好的可行性的研究。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:數據中心的網絡虛擬化方案研究
相關文章
