vSwitch：虛擬和物理網(wǎng)絡的紐帶

　　云計算意味著可以更便捷的使用計算、網(wǎng)絡、存儲資源，每一個元素都可根據(jù)用戶業(yè)務靈活組合配置，其中網(wǎng)絡環(huán)境直接關系到云中的信息流通，如何構建控制、可靠、效率俱佳的網(wǎng)絡環(huán)境，是云計算在IaaS層面必須面對的挑戰(zhàn)，而虛擬交換機作為IaaS體系中連接虛擬網(wǎng)絡、物理網(wǎng)絡的橋梁的地位已經(jīng)無可撼動。

　　SDN是數(shù)通行業(yè)大約每十年一次變革的最新版本，不同于以往的ISO與TCP/IP之爭，也不同于ATM與IP之爭，SDN從一開始就不打算作現(xiàn)有網(wǎng)絡的顛覆者，而是在現(xiàn)有網(wǎng)絡基礎上，提供極致的面向應用的控制方式，虛擬交換機在這輪變革中充當了急先鋒，作為第一個Openflow交換機，Openvswitch已經(jīng)廣為業(yè)界所熟悉并采用。

　　同時在兩波浪潮中扮演重要角色，虛擬交換機地位不言而喻，他將可控的網(wǎng)絡邊緣延伸到服務器中，除了在服務器內高效地轉發(fā)，還可將統(tǒng)一的控制策略和安全策略無縫地從物理網(wǎng)絡過度到虛擬網(wǎng)絡。

　　虛擬交換機的問題和對策

　　虛擬化服務器中，如何將虛擬機的流量以更優(yōu)的方式接入到物理網(wǎng)絡中經(jīng)歷了一系列技術變動，包括VNTag(802.1Qbh)、VEPA(802.1Qbg)，做法不一而同，但到目前為止，使用虛擬交換機作為支撐服務器網(wǎng)絡的基石已經(jīng)基本成為共識，因為更方便部署、對物理網(wǎng)絡要求更低、擴展和控制更簡便。

　　圖1 虛擬交換機運行環(huán)境

　　如圖1所示虛擬交換機運行在虛擬服務器Hypervisor內部，VM之間的流量、VM到物理網(wǎng)絡之間的流量均通過vSwitch轉發(fā)，vSwitch 的轉發(fā)行為完全由SDN Controller控制。

　　基于虛擬交換機的主機Overlay方案更易于虛擬網(wǎng)絡的管理，進一步減少了對Overlay物理承載網(wǎng)絡的額外要求，使虛擬網(wǎng)絡最大限度擺脫了物理網(wǎng)絡的限制，可以說主機Overlay是對虛擬交換機地位的強化。

　　為了交付高品質的虛擬交換機產(chǎn)品，需要在性能、開放性、安全性、多平臺、適應性方面下一番功夫。

　　怎樣才算是開放的虛擬交換機?提供開放的API控制接口，控制器與虛擬交換機之間的會話基于開放的標準，承載網(wǎng)絡的封裝基于開放的協(xié)議，比如Openstack網(wǎng)絡組件兼容的REST API，Openflow控制協(xié)議，VxLAN/VLAN封裝，這些關鍵技術都是開放的標志，但還不僅于此，能夠在開放技術基礎上進一步發(fā)展、交付豐富的特性，并與開源云平臺系統(tǒng)、第三方云平臺系統(tǒng)和第三方SDN網(wǎng)絡深度融合，而又不失上述開放性，也許才是更有價值的開放，這樣的虛擬交換機帶給客戶的將不僅是透明的技術方案，還有抓住未來發(fā)展趨勢的可能。

　　如何提高虛擬交換機的轉發(fā)性能?從石頭中擠水是從實現(xiàn)級別進行優(yōu)化的形象比喻。 對網(wǎng)絡和SDN內涵的深入理解，可以幫助我們從局部優(yōu)化的深井中爬出，看到DVR技術、DFW技術如何促成虛擬機間的流量如何避開繞行網(wǎng)關，高效、安全的轉發(fā)。

　　圖2 DVR原理示意

　　如圖2所示紅色VM屬于同租戶的不同虛機，并且分屬不同網(wǎng)段，按照某些系統(tǒng)的設計，跨主機的VM通信必須經(jīng)過L3 Gateway做集中的三層轉發(fā)，DVR(Distribute Vritual Routing，分布式虛擬路由)技術是指在控制器控制下，這些VM之間的流量無需繞行L3 Gataway，直接在服務器內部或通過二層交換機即可實現(xiàn)跨三層轉發(fā)，較繞行L3 Gateway性能提高，同租戶內虛機從邏輯上好像擁有了一臺邏輯上存在的路由器，也就是DVR所代表的含義。

　　系統(tǒng)級的性能提升技術也是從根本上解決問題的手段之一，比如基于服務器主流的硬件X86平臺的性能提升技術Intel DPDK(Data Plane Development Kit)，甚至連基于DPDK的實驗性質的OVDK(Openvswitch的DPDK版本)項目也備受關注，業(yè)界的期待程度可見一斑，各廠商都在積極研究，并以可靠可用的方式逐步落地為工業(yè)級數(shù)通產(chǎn)品。

　　DPDK的技術思路有別于傳統(tǒng)的數(shù)據(jù)平面，他試圖拋棄已有系統(tǒng)的負擔，通過無鎖化、去掉中斷干擾、高效使用內存、充分利用多核CPU并行等手段創(chuàng)造一個全新的數(shù)據(jù)平面運行環(huán)境，在這個全新的環(huán)境中，超高效的轉發(fā)成為可能，已知的業(yè)界數(shù)據(jù)表明可以在Intel CPU和網(wǎng)卡上得到十Gbps、甚至百Gbps的吞吐量性能，雖然DPDK在某些場景還存在一定限制，但是必將成為未來提高基于軟件轉發(fā)的虛擬交換機性能的方向之一。

　　安全性方面，支持主流的VLAN、VxLAN網(wǎng)絡虛擬化技術，實現(xiàn)對租戶內、租戶間網(wǎng)絡的底層隔離，同時支持多種安全策略，基于ACL的包過濾防火墻和分布式狀態(tài)防火墻，這些技術將服務器網(wǎng)絡的安全控制粒度和處理性能提升高到了新的高度，核心技術思路是控制和處理貼近流量來源，將安全的管理和處理真正延伸的到服務器。

　　圖3 vSwitch內嵌防火墻

　　當VM2向VM1發(fā)起訪問時，控制器根據(jù)訪問策略感知訪問是否受限，若策略允許轉發(fā)，則在兩個服務器上同時下發(fā)正向和反向流表，確保雙向流量暢通。

　　相對于將所有VM間流量引入集中式的防火墻統(tǒng)一處理，分布式防火墻在安全策略處理位置上都更加貼近流量的源頭或目標，所以他的優(yōu)勢不僅在于利用分布式的vSwitch提高整體轉發(fā)性能，規(guī)避集中式防火墻可能成為性能瓶頸和可能的單點故障，更在于第一時間將非法流量從網(wǎng)絡中清除，不讓它影響網(wǎng)絡的，這也是未來vSwitch的業(yè)務能力在多個維度增強的現(xiàn)實依據(jù)，值得包括用戶和廠商在內的生態(tài)系統(tǒng)各方展開想象，充分研究和利用。

　　如果說DFW解決了虛擬網(wǎng)絡側的安全性能和第一時間安全處理問題，那么vSwitch結合豐富的服務鏈(Service Chain)，則是為整個云網(wǎng)絡提供了終極的安全、業(yè)務綜合能力：

　　圖4 vSwitch與服務鏈綜合組網(wǎng)

　　通過對vLB、vFW等類型服務節(jié)點的編排和組合，可以在流量的轉發(fā)路徑中根據(jù)控制其的統(tǒng)一策略完成一些列預定的安全、業(yè)務處理，達到整體網(wǎng)絡安全性的目標，流量的方向包括虛擬機之間、虛擬機到外部網(wǎng)絡，而虛擬交換機作為虛擬機流量的接入設備，需要首先對報文進行標識，這樣，所經(jīng)過服務鏈節(jié)點才得以了解所需處理的業(yè)務。

　　多虛擬化平臺方面，目前可商用的雖然種類繁多，但是主流不外乎VMware vSphere、H3C VCK(CAS)、KVM和XEN等一系列基于Linux的Hypervisor，每種虛擬化平臺均可看到成熟的虛擬交換機產(chǎn)品，比如VMware vSphere平臺上既可以運行VMware自有的NSX，也可以運行Cisco的F1000V，而KVM、XEN上則是開源的Openvswitch，控制和運行機制也有所不同，在一些需要互操作、兼容性的場合，往往讓用戶的管理方式、運維方式難以統(tǒng)一，造成一定的困擾，如何將適用于多種虛擬化平臺的虛擬交換機統(tǒng)一管理也是未來云環(huán)境中網(wǎng)絡發(fā)展的重要課題。

　　適應性方面，可以把虛擬交換機的運行環(huán)境按照控制方式的“輕”、“重”分為兩種，一種是在高度智能、可靠的SDN控制器控制下的“重”控制網(wǎng)絡;一種是在云計算系統(tǒng)中或第三方云系統(tǒng)中，僅通過VSM(Virtual Supervisor Module)響應少量的關鍵事件即可完成對虛擬交換機的信息下發(fā)的“輕”控制網(wǎng)絡。“重”控制方式下，虛擬交換機側重于對控制器的響應，“輕”控制方式下，則側重于自身的功能和靈活性，和與第三方系統(tǒng)的融合程度，表面上看更“輕”了，其實要求更“重”了，這種適應性往往也是衡量虛擬交換機是否具有彈性和擴展性的重要標志。

【vSwitch：虛擬和物理網(wǎng)絡的紐帶】相關文章：

戲曲表演的虛擬手法10-08

中考物理復習《汽化和液化》09-04

中考物理復習之內能和熱量07-09

網(wǎng)絡營銷和推廣方法05-29

網(wǎng)絡營銷的工具和方法10-13

網(wǎng)絡營銷的渠道和方法07-19

中考物理電壓和電阻復習題05-17

中考物理光的反射和折射解析復習08-09

中考物理實驗和探究題的答題技巧09-15

ppt物理學史和實驗模板07-26