服务器的虚拟化,接连带动了机房网络的虚拟化,原本在机房内部随处可见的交换机等网络设备,随着实体服务器的精简,也一并被整合到虚拟平台,透过软件仿真的方式,形成虚拟交换机等组件,继续为虚拟机器提供网络服务。其实,不单是我们这里所介绍的几款企业端虚拟化平台,就连规模较小的个人产品,也同样能看到虚拟交换机技术的运用。以VMware Workstation为例,在5.0的版本推出之后,利用新加入的“Team”功能,让数台虚拟机器可以套用相同的设置连接网络,就功能上来看,俨然已经具备了虚拟交换机的雏型。
虚拟网络端口,联机接口 编辑本段回目录
虚拟交换机是构成虚拟平台网络的关键角色,相较于实体的交换机设备,虚拟交换机所具备的网络功能较为简单,一般来说,以L2层面的应用为主。整体而言,内置大量的虚拟网络端口,以及提供速度更快的联机接口,是交换机虚拟化之后所带来的最大好处。
就网络端口的数量来说,一台实体交换机内置的网络端口数量约在5~48接口之间,如果机房内部需要连接网络的设备超过这个数字,就有必要扩充设备,而在虚拟平台的环境下,光是一台虚拟交换机便能提供为数可观的虚拟网络端口,以VMware的ESX为例,一台ESX服务器最多可以透过软件仿真的方式,建立出248台虚拟交换机,每台交换机预设的虚拟网络端口数量是56个,可透过手动修改交换机设置的方式,扩充到1016接口的最大上限。
不仅如此,服务器虚拟化之后,网络的传输速度也能获得增加。虽然10GbE网络推出已有数年之久的时间,速度更快的100GbE网络也呼之欲出,不过由于10GbE网络设备的价格至今仍是居高不下,一张10GbE网卡即要价数万元不等,更不用说是内置多个网络端口的交换机设备,因此使得行之有年的GbE仍旧在大多数的企业机房,担负着骨干线路的重责大任。
在虚拟化技术的推波助澜下,企业可以花费较少的预算,便能提升网络的效能。例如,微软的Hyper-V平台,虚拟机器与虚拟交换机之间的联机速度,可达10Gbps,换句话说,虚拟化之后,企业仅需购买数张10GbE实体网卡,加上一台内置10GbE接口的交换机,就能将机房网络升级到全10GbE的环境,而建置费用仅为过去实体环境的数分之一。
主要角色 编辑本段回目录
服务器虚拟化之后,企业仍然可以保留原始的网络架构,不会因为大多数实体服务器、网络设备整合到虚拟平台运作,而产生需要重新规画的问题。
依照功能上的不同,我们可以将虚拟平台上的交换机,区分为两种不同的角色,一种是用来连接外部实体网络的“External”,另外一种则是完全封闭,无法连接外界网络的“Private”。
设置External交换机的时候,必须将服务器的实体网卡接口指派给External交换机做为级联线路使用。反之,设置Private交换机的时侯,由于不需要指派实体的网卡接口,因此自然形成一个封闭式的网络环境,适用于不需要连接外部网络的测试环境。
以企业的实际应用来说,两种虚拟交换机大多是搭配使用,目的是为了在虚拟平台的网络环境中,建立起阶层式的网络架构。举例来说,我们可以将上线运作中的虚拟机器放置在一台Private虚拟交换机之上,做为底层的接入交换机使用,此时,再透过一台同时连接前端External虚拟交换机的虚拟机器的串接之下,使得虚拟机器能与外部网络进行联机。
该台同时连接External、Private虚拟交换机的虚拟机器,可以是一台防火墙(例如Check Point的VPN-1 VE、微软的ISA),或者是Windows Server 2003集群服务器、IPS(例如Reflex System的Virtual Security Appliance)采用透通模式从事安全过滤的安全产品,若为防火墙,则后端的Private交换机就会变成DMZ区,除了透过NAT区隔外部网络之外,同时也会套用防火墙的联机规则从事管理,假使是集群服务器、IPS的话,则External、Private交换机之间仅会进行单纯的桥接。
除了具备前述两种的虚拟交换机机制之外,微软的Hyper-V还额外提供了一种“Internal”虚拟交换机。
严格来说,它是Private虚拟交换机的其中一种,但是在功能上,位于Internal虚拟交换机之上的虚拟机器,可以和Hyper-V平台的Host OS联机,而Private虚拟交换机,则不具备这项功能。
通过一台虚拟机器的连接,使得原本各自独立的2台虚拟交换机得以连接,让后端的虚拟机器与外部网络进行联机。
实体交换机设备编辑本段回目录
除了提供虚拟机器集线的用途之外,一般在实体交换机常用到的网络功能,例如VLAN、QoS,以及EtherChannel等项目,在虚拟交换机上也同样可以做到。
和实体交换机不同的是,内置于虚拟交换机的部份网络功能,仍然需要搭配实体的网络设备才能运作,例如企业经常使用到的VLAN。无论是何种虚拟化平台,两台虚拟交换机之间,均无法建立VLAN的Trunk。
较为特别的是,虚拟交换机也同样能够执行封包收集的动作,相当方便。在实体网络的环境下,这项功能必须借助于具备Mirror封包镜射功能的交换机,或者是L1层面的集线器,才能进行。
在ESX的虚拟交换机上头,我们可以启用Promiscuous Mode的功能,之后就可以使用Wireshark(Ethereal)一类的封包侧录工具,监听位于同一台虚拟交换机、Port Group,或者是同一个VLAN上的所有网络流量,对于有需要在虚拟平台从事网络除错,或者找寻中毒主机的企业来说,就十分有用。
虚拟机器的动态转移,是企业导入虚拟化平台之后,经常使用到的一项功能,以ESX的VMotion为例,启用这项功能之前,必须先在虚拟交换机上完成相关的一些设置,值得注意的是,连接两台ESX服务器间的网络,建议采用GbE以上的等级,若为速度较低的10/100Mbps网络,那么在迁移的过程中将有可能造成虚拟机器短暂断线的情况发生。
预计在2009年推出的ESX 4.0,具备一项名为分布式虚拟交换机的新技术。通过DVS,我们可以将分散在同一个局域网络下的多台虚拟交换机集结起来,虚拟成一台大型的机箱式交换机集中管理,在不需要个别连接每一台虚拟交换机的情况下,简化管理作业。
除此之外,DVS另一项值得一提的应用在于,它同时提供了交换机政策的动态转移。就现有版本的ESX来说,虚拟机器完成VMotion动态迁移之后,就必须在该台虚拟机器所在的虚拟交换机上重新设置,但DVS的特色是随着虚拟机器的迁移而同步迁移交换机设置,不需要额外的手动设置。
DVS的相关技术目前已经提供给网络设备厂商用来开发新产品,例如Cisco新推出的Nexus 1000V交换机,就是一款支持DVS且能部署在未来ESX平台上的虚拟交换机产品。
目前各家厂牌的企业虚拟化产品,除了一般常见的付费版本之外,也有提供功能简化后的免费版本,供自由下载。相较于市售版本,免费版本的套件在网络功能方面皆有所精简。举例来说,像是虚拟机器的动态迁移能力(如VMware ESX的VMotion),以及实体服务器之间的高可用性(High Availability,HA)备份机制,就只有付费版本才有提供;此外,像是Citrix XenServer的免费版本XenExpress还更进一步地,去除在虚拟交换机上设置VLAN的能力。
就功能来说,这些免费版本仅适合测试,而非应用于架构复杂的实际上线环境。
原厂管理工具编辑本段回目录
和实体的交换机设备相比,虚拟交换机的设置显然要相对容易许多,利用原厂提供的管理工具,在企业于虚拟平台建立虚拟机器的同时,也能针对网络功能的部分一并完成设置。
VMware ESX
VMware的ESX是现有企业虚拟化产品中,历史最悠久的一款产品,当我们安装好一台ESX服务器之后,即可从ESX的网页接口下载VMware Infrastructure Client(VIC)软件,利用软件的图形化接口,连接个别的ESX服务器,再加以管理。
整体来说,ESX所有的网络功能,包括虚拟交换机的新增、移除,以及VLAN的切割等,均可透过图形化的接口以勾选方式完成,设置上相当容易。
另外一种方式,则是同样使用VIC软件,连接Virtual Center服务器,如此一来,便可以透过同一接口,管理内部网络的多台ESX服务器,而在网络功能的设置方面,也比透过VMware Infrastructure Client软件,个别连接单一服务器时要来得强大,像是VMotion,就必须在Virtual Center的平台上才能进行设置。
除此之外,管理者可以透过SSH,远程登入ESX服务器的文字管理接口,并且利用输入文字指令的方式,去设置虚拟平台,例如虚拟交换机在内的各项网络功能。
Citrix XenServer
XenCenter是Citrix XenServer的图形化管理工具,利用这套软件,企业可以使用单一介绍,同时连接多台的XenServer服务器进行集中式的管理。
在XenServer的平台上,虚拟交换机的组件被称之为“Network”,基本功能的设置大致与ESX雷同,一样可以在XenCenter完成前述各项的虚拟交换机功能设置。
微软Hyper-V
“Hyper-V管理员”是Windows Server 2008的虚拟化管理工具,当我们通过服务器管理员,安装好Hyper-V的组件之后,该应用程序也会一并地安装完成,利用这项工具,即可管理虚拟交换机的各项设置。
Hyper-V管理员的功能与ESX的VIC相类似,同样都是提供给企业连接个别的虚拟平台服务器从事管理,如果企业环境中同时存在有多台Hyper-V服务器需要集中管理,或者需要建立高可用性的备份机制,则必须借助于自家的System Center Virtual Machine Manager(SCVMM)软件才能进行。
微软日前推出的新版SCVMM 2008,除了具备完整管理Windows Server 2008以及Hyper-V Server 2008的Hyper-V平台网络设置之外,也支持其它厂商的第3方平台,如VMware ESX的管理,通过与VMware Virtual Center之间的介接,企业可以在SCVMM 2008的管理画面中,浏览ESX平台的网络设置。
Cisco推出专属虚拟交换机产品,部份规格将成为802.3标准
除了VMware等推出虚拟化产品的系统厂商之外,网络设备业者近期在虚拟交换机的技术议题上也有所著墨,例如支持VMware不遗余力的Cisco,即是最早有所动作的一家厂商,他们在9月份VMworld大会当中,展示了一款能部署在VMware ESX平台上的虚拟交换机产品──Nexus 1000V。
Cisco将自家的虚拟交换机技术统称为“VN-Link”,在这架构之下,除了软件型式的Nexus 1000V,未来也会有硬件的相关方案,像是能与ESX平台整合运作的实体交换机Nexus 5000。
Nexus 1000V预计在2009年的上半年推出,是一款搭配ESX销售的产品,届时VMware会推出两种不同版本的ESX套件,一种是内置Nexus 1000V的特别版本,另一种则是使用VMware原有虚拟交换机技术的一般版本。
相较于ESX、Hyper-V等其它虚拟平台的原生虚拟交换机技术,Nexus 1000V具备更多的网络功能,例如Netflow流量控制、QoS、ERSPAN、VLAN,以及Access Control List(ACL)的联机控制等。
该款虚拟交换机亦支持VMware的VMotion,十分特别的是,在虚拟机器迁移的过程之中,原本对应到该台虚拟机器从事管理的交换机设置,也会跟着一起迁移到其它的ESX服务器上的Nexus 1000V交换机继续使用。
值得一提的是,搭配未来内置于ESX平台上的DVS API技术,企业可以将原本分散于各台ESX服务器上的Nexus 1000V交换机连接起来,虚拟成一台机箱式交换机,此时Nexus 1000V的角色就如同安装在交换机机箱内的线路卡,此外,在虚拟机器动态迁移的同时,对应到该台虚拟机器的交换机设置,运用这项机制后,企业也能通过DVS的设置同时迁移,使得企业对于虚拟机器的管理更完善,不致因为实体服务器环境的变更而出现落错。
Nexus 5000交换机推出的时间,预计是2009年的下半,可以整合未来新版的ESX平台协同运作。执行的流程如下,在虚拟机器送出封包时,会同时在VLAN标签的字段中加入一些额外信息,当Nexus 5000交换机透过ESX原生的虚拟交换机,以及ESX服务器上的实体网卡接收到封包之后,便会根据标签当中的内容,套用适合的政策规则。
Cisco技术事业群资深技术顾问表示,由虚拟机器送出的这种VLAN标签,是一种新型的VLAN标签,不同于一般传统的802.1Q标签,只有支持这项规格的实体网卡、交换机设备才能传送带有这类VLAN标签的封包,而Nexus 5000是业界首款支持这项规格的交换机产品。
目前这种新的VLAN标签格式,已经被Cisco与VMware送交至IEEE审查,预计将会成为802.3规范当中的一员,一旦通过之后,未来市售的网络卡,以及交换机等基础网络设备将会跟进,支持这项技术规范。
和软件版本的Nexus 1000V相比,由于交换机政策的指派、执行,改由硬件的Nexus 5000交换机负责,因此可降低上层ESX服务器的运作负荷,不过另一方面,企业则需要更换包含网络卡、交换机在内的网络基础设备,在花费较软件方案为高。
产品支持 编辑本段回目录
相对于Cisco,另外一家网络设备厂商Juniper的做法就有所不同,他们整合虚拟化的方式是利用现有的交换机设备,来延伸虚拟化技术的应用,而不是直接和VMware等平台厂商合作,去推出新的技术标准或产品。
Juniper表示,利用EX 4200系列交换机的虚拟机箱功能,企业可以将分散在内部机房,甚至于两个异地机房之间的同系列交换机集结起来(上限是10台),当做是一台本地的大型机箱式交换机运用。
因此原本只能在同一网段下执行的虚拟机器动态迁移作业,在这项功能的辅助之下,使得企业得以跨越机房之间的地域限制,将虚拟机器迁移到相隔数十公里远的另外一台虚拟平台服务器继续提供服务。
不仅如此,在Juniper的架构之下,异地之间的交换机设备仍旧可以从事VLAN Trunk的工作,为了避免网关的路由器清除夹带在封包内容中的VLAN标签,造成交换机无法辨识,在这种情况下,透过与核心端的EX 8200交换机(或者是路由器)间的整合,不同VLAN的封包可以各自透过不同的MPLS VPN通道传送,确保两地机房间的VLAN功能可以正常运作。
参考资料编辑本段回目录
[1] 硅谷动力 http://www.enet.com.cn/