摘 要:云计算网络作为云计算基础架构和服务提供的重要组成部分,需要满足更高的要求。本文首先给出网络的重要性,之后从数据中心网络、跨数据中心网络分析了主要技术要点,同时说明广东联通在实践过程中遇到的问题及关注要点。关键 词: 云计算、虚拟化、虚拟化网络、数据中心
前言
云计算技术是IT行业的一场技术革命,已经成为了IT行业未来发展的方向,这种趋势使得IT基础架构的运营专业化程度不断集中和提高,从而对基础架构层面,特别是网络层面提出了更高的要求。虚拟化的计算资源和存储资源最终都需要通过网络为用户所用。如何让云平台中各种业务系统尽可能安全的使用云平台网络,如何让业务便利的接入和使用云计算服务,以及通过网络满足数据中心间的数据传输和配置迁移,如何通过虚拟化技术提高网络的利用率,并让网络具有灵活的可扩展性和可管理性,这些都是云计算网络研究的重点。
随着增值业务系统的发展,原有传统数据中心存在资源利用率低、维护成本高、电力消耗严重等诸多弊端。由此广东联通开展了以构建云计算平台实现动态基础架构的数据中心,通过虚拟化手段进行物理资源的共享,节约单一系统的使用成本。本文着重介绍一下广东联通在搭建云计算网络过程中所遇到的问题以及进行的思考。
云计算的网络层次
云平台的基础架构主要包含计算(服务器)、网络以及存储。对于网络,从云平台整个网络架构上来说,可以分为三个层面,数据中心网络、跨数据中心网络以及云接入网络,如图1所示。
- 云计算中的网络层次
数据中心网络包括连接服务器、存储以及四到七层各类服务器(如防火墙、负载均衡、应用服务器、IDS/IPS等)的数据中心局域网,以及边缘虚拟网络,即主机虚拟化之后,虚拟机之间的多虚拟网络交换网络,包括分布式虚拟交换机、虚拟桥接和I/O虚拟化等;
跨数据中心网络主要用于不同数据中心间的网络连接,实现数据中心间的数据备份、配置迁移、多数据中心间的资源优化以及多数据中心混合业务提供等;
接入网络用于数据中心与终端用户互联,为公众用户或企业用户提供云计算服务。
本文着重介绍数据中心网络以及跨数据中心网络两个层次的技术特点以及部署方式。
数据中心网络
数据中心是整个云计算平台的核心,数据中心是利用虚拟化技术将物理资源进行整合,进而实现增强服务能力;通过动态资源分配及调度,提高资源利用率和服务可靠性;通过提供自服务能力,降低运维成本;通过有效的安全机制和可靠性机制,满足自由业务系统和合作运营系统以及地方业务系统的安全需求。由于云计算技术的逐步发展,使得传统的数据中心网络已经不能满足新一代数据中心网络高速、扁平、虚拟化的要求。
首先,目前传统的数据中心由于多种技术和业务之间的孤立性,使得数据中心网络结构复杂,存在相对独立的三张网,包括数据网、存储网和高性能计算网,和多个对外I/O接口。数据中心的前端访问接口通常采用以太网进行互联而成,构成高速的数据网络;数据中心后端的存储则多采用NAS、FCSAN等接口;服务器的并行计算和高性能计算则需要低延迟接口和架构。由于以上这些问题,导致了服务器之间存在操作系统和上层软件异构、接口与数据格式不统一;
其次,数据中心内网络传输效率低。由于云计算技术的使用,使得虚拟数据中心中业务的集中度、服务的客户数量远超过传统的数据中心,因此需要对网络的高带宽、低拥塞提出更高的要求。一方面,传统数据中心中大量使用的二层网络产生的拥塞和丢包,需要三层以上协议来保证重传,效率低;另一方面,二层以太网网络采用生成树协议来保持数据包在互联的交换机回路中传递,也会产生大量冗余。
因此在使用云计算后,数据中心的网络需要解决数据中心内部的数据同步传送的大流量、备份大流量、虚拟机迁移大流量问题。同时,还需要采用统一的交换网络减少布线、维护工作量和扩容成本。引入虚拟化技术之后,在不改变传统数据中心网络设计的物理拓扑和布线方式的前提下,可以实现网络各层的横向整合,形成一个统一的交换架构。
数据中心网络虚拟化分为以下三个方面:
1)核心层虚拟化
核心层网络虚拟化,主要指的是数据中心核心网络设备的虚拟化。它要求核心层网络具备超大规模的数据交换能力,以及足够的万兆接入能力;提供虚拟机箱技术,简化设备管理,提高资源利用率,提高交换系统的灵活性和扩展性,为资源的灵活调度和动态伸缩提供支撑。其中VPC技术(VirtualPort-Channel)可以实现跨交换机的端口捆绑,这样在下级交换机上连属于不同机箱的虚拟交换机时,可以把分别连向不同机箱的万兆链路用IEEE802.3ad兼容的技术实现以太网链路捆绑,提高冗余能力和链路互连带宽,简化网络维护。
2)接入层虚拟化
接入层虚拟化,可以实现数据中心接入层的分级设计。根据数据中心的走线要求,接入层交换机要求能够支持各种灵活的部署方式和新的以太网技术。目前无损以太网技术标准发展很快,称为数据中心以太网DCE或融合增强以太网CEE,包括拥塞通知(IEEE802.1Qau)、增强传输选择ETS(IEEE802.1Qaz)和优先级流量控制PFC(IEEE802.1Qbb)、链路发现协议LLDP(IEEE802.1AB)[4]。
3)虚拟机网络交换
虚拟机网络交互包括物理网卡虚拟化和虚拟网络交换机,在服务器内部虚拟出相应的交换机和网卡功能。虚拟交换机在主机内部提供了多个网卡的互联以及为不同的网卡流量设定不同的VLAN标签功能,使得主机内部如同存在一台交换机,可以方便的将不同的网卡连接到不同的端口。虚拟网卡是在一个物理网卡上虚拟出多个逻辑独立的网卡,使得每个虚拟网卡具有独立的MAC地址、IP地址,同时还可以在虚拟网卡之间实现一定的流量调度策略。因此,虚拟机网络交互需要实现以下功能:
1.虚拟机的双向访问控制和流量监控,包括深度包检测、端口镜像、端口远程镜像、流量统计;
2.虚拟机的网络属性应包括:VLAN、QoS、ACL、带宽等;
3.虚拟机的网络属性可以跟随虚拟机的迁移而动态迁移,不需要人工的干预或静态配置,从而在虚拟机扩展和迁移过程中,保障业务的持续性;
4.虚拟机迁移时,与虚拟机相关的资源配置,如存储、网络配置随之迁移。同时保证迁移过程业务不中断。
IEEE802.1Qbg EVB (Edge Virtual Bridging)和802.1QbhBPE(Bridge PortExtension)是为扩展虚拟数据中心中交换机和虚拟网卡的功能而制定的,也称为边缘网络虚拟化技术标准,这两种标准都在制定中。其中802.1Qbg要求所有VM数据的交换(即使位于同一物理服务器内部)都通过外部网络进行,即外部网络能够支持虚拟交换功能,对于虚拟交换网络范围内VM动态迁移、调度信息,均通过LLDP扩展协议得到同步以简化运维。802.1Qbh可以将远程交换机部署为虚拟环境中的策略控制交换机,而不是部署成为邻近服务器机架的交换机,通过多个虚拟通道,让边缘虚拟桥复制帧到一组远程端口,可以利用瀑布式的串联端口灵活地设计网络,从而更有效地为多播、广播和单播帧分配带宽。
跨数据中心网络
数据中心之间会有计算或存储资源的迁移和调度,对于大型的集群计算,可以构建大范围的二层互联网络,对于采用多个虚拟数据中心提供云计算服务,可以构建路由网络连接。采用二层网络的好处是对虚拟机的透明化,通过简化数据中心的二层互联设计,就可以利用网络虚拟化技术在更短时间内完成确定性二层链路恢复,同时不影响L3链路,这与传统的MSTP+VRRP设计有所不同。此外,虚拟化能够在跨数据中心网络各层间横向扩展,这有利于数据中心规模的扩大,同时又不影响网络管理拓扑。但为了保证网络的高性能、可靠性,需要解决网络环路问题。
实践过程遇到的问题
以上说明了云计算网络层面的技术要点,结合以上技术要点,广东联通实际进行云计算网络搭建过程中主要遇到了以下三个网络虚拟化相关问题:
1.如何实现物理机内部的虚拟网络。
2.外部网络如何调整以适应虚拟资源对网络的变化要求。
3.如何对网络进行统一管理并保证虚拟网络的安全性。
下文将针对以上问题进行详细说明。
物理机内部虚拟网络
广东联通云计算平台主机硬件设备主要以刀片服务器群为主:全高或半高的机框内放置了多台刀片服务器。内置三层网络交换机、存储交换机,并配置有管理模块。利用云计算管理平台在刀片服务器上创建虚拟机、调整分配虚拟机资源,
每个刀框系统中包含多个内置的三层物理交换机。刀框系统中的每个物理服务器都连接在这些物理交换机上。所有刀框系统内各设备都通过这些物理交换机与外界通讯,实现不同的功能:业务对外通讯、资源管理信息和存储通讯。
在各物理机上根据资源的分配,虚拟出单个或多个虚拟机。每个虚拟机可虚拟出多个网卡用于对外通讯,根据需求归属不同的业务系统,使用不同的IP地址。在各物理机上虚拟出虚拟网桥。同一物理机上的虚拟机借助虚拟网桥共用物理机网络带宽,实现虚拟机之间的通讯。在同一刀框系统内,跨物理机的虚拟机则通过刀框系统中内置的三层物理交换机实现跨物理机的通讯。
通过物理机上创建虚拟机,分配物理机计算能力;通过设置虚拟机上的虚拟网卡,实现虚拟机的对外通讯;通过设置虚拟网桥,实现虚拟机之间的通讯和带通讯宽的共享。这样,通过虚拟层实现了资源的分配和调度。
虚拟化资源对网络的要求
每台刀框系统内置三层物理交换机,交换机负责刀框内各物理机和虚拟机与外界的通讯。交换机上联到一对三层交换机组成的云计算平台接入交换机。云计算平台接入交换机连接增值业务承载网汇聚交换机,通过增值业务承载网实现云计算平台各虚拟机与其他增值业务系统通讯,以及与其他非增值业务系统通讯。
根据业务需要,不同的业务系统划分为不同的VLAN,使用不同的IP地址段,归属不同业务系统的虚拟机也分配为相应的VLAN,这些VLAN终结在云计算平台接入交换机上。通过该交换机的三层路由功能,实现不同VLAN之间的通讯,实现跨刀框系统的虚拟机之间的通讯和资源调配。
网络的统一管理及安全防护
每台刀框系统带有CMC管理监控模块,用于对整个系统的各个硬件部分进行远程控制和管理。各刀框系统的CMC管理模块均连接在一台交换机上,作为独立的云计算平台硬件管理网段以VLAN方式接入云计算平台接入交换机上。
云计算管理平台软件安装在一台虚拟机上,通过云计算平台接入交换机与被监控管理的各物理刀片服务器进行统一管理,云计算管理软件与被管的物理刀片服务器是同一个VLAN,使用相同的IP地址段,随时可对其中的物理服务器进行管理。各虚拟机虚拟出用于管理的网卡,使用与云计算管理平台相同的IP地址段。这样,云计算管理平台可以访问物理刀片服务器和虚拟机,对物理服务器和虚拟机进行通讯和资源调配,对各虚拟资源进行统一的管理。
虚拟网络环境下,各虚拟机利用了传统的虚拟网络技术-VLAN实现虚拟机之间的隔离。对云计算环境下各虚拟机的网络安全监控和防护仍采用传统的针对主机网络安全防护工具,如防病毒软件、主机防火墙等。
需要重视的要点
当前广东联通云计算平台网络结构已基本满足需要,但仍存在以下几个问题,需要在接下来的时间摸索解决:
1. I/O接口多,维护复杂度高
当前虚拟机通过物理机的网卡实现了I/O接口,包括存储、监控管理、业务通讯三部分,启用HA还将包含HA通讯部分。这些I/O接口被分担在不同的物理机网卡上,通过不同的交换机进行通讯,需要针对不同的接口进行维护管理。
2.带宽的流量控制
物理服务器上多个虚拟机的对外业务通讯将共用同一组物理网卡,缺乏流量控制手段,对虚拟机的带宽使用情况进行有效的分配使用,只能通过对虚拟机的网卡设置模式的方式实现带宽的控制。
3.统一的资源调度
云计算平台的接入层网络是通过一组三层交换机实现各虚拟机VLAN的终结,受二层生成树结构的影响,无法跨接入层交换机进行同一VLAN内的资源调度,因此无法实现跨机房的资源调度。
4.虚拟机存在网络安全问题
虚拟机对外通讯是通过虚拟网桥实现,虚拟网桥并不能实现二层网络上的隔离,也没有加密通讯。业务系统内部通讯被虚拟网桥广播到其他业务系统。云计算平台需要对所有的虚拟机和物理服务器进行监控和资源调度,同属一个管理网段,而虚拟机是被用户控制和管理,存在着虚拟机受到攻击通过管理网段影响其他虚拟机的情况。
5.云计算平台的网络安全防护工具
构建云平台的防病毒以及业务系统隔离手段。
结束语
云计算是为不同用户提供虚拟、可靠、弹性、按需的IT服务,作为连接用户和承载各种计算存储资源的网络,除了具备现有基本网络功能外,还必须满足云计算特性的更高要求。本文着重分析了网络虚拟化在数据中心网络、跨数据中心网络的技术要点,同时说明了广东联通在实践的过程中遇到的问题及解决方法。可以预见,随着云计算产业发展步伐的加快,网络虚拟化技术将会更快的发展以实现有效的支撑整个云计算生态环境,通过网络虚拟化可实现弹性、安全、自适应以及易管理的基础网络,充分满足虚拟技术对基础网络带来的挑战,达到提高数据中心的运行效率、业务部署灵活、降低能耗、释放机架空间的目的。
参考文献
【1】童晓渝,张云勇,戴元顺.公众计算通信网架构及关键技术[J].通信学报,2010,31(8):134-140
【2】童晓渝,吴钢,张云勇,等.后电信时代[M].北京:人民邮电出版社,2010
【3】袁欣.云计算的统一基础网络[E B / O L ]
【4】卢国强.云计算环境下的泛联路由平台[J].信息安全与技术,2010(10):108-110;
【5】房秉毅.云计算网络虚拟化技术
需要5条以上参考文献。参考文献应包括作者、题名、出版地、出版者、出版日期、起止页码,期刊还应包括刊名、卷、期,标准还应包括标准编号
电子文献还应包括电子文献的出处或可获得地址,发表或更新日期/引用日期