2010年6月30日 星期三

新網路標準取代虛擬交換器

http://www.ithome.com.tw/itadm/article.php?c=61963
文/劉哲銘 (記者) 2010-06-29

IEEE 802.1Qbg標準預計將在6~9個月內完成程序,標準通過後,未來虛擬機器對外連線,將可以不再需要設定虛擬交換器,硬體的交換器也將有辦法辨識不同 虛擬機器的流量


重 點
● 802.1Qbg標準將在6~9個月間通過,改變現有虛擬環境網路架構
● 交換器廠商Extreme於4月成功展示此新標準的技術應用

虛擬化大幅改變了機房與IT應用的面貌,為了配合虛擬化的應用,網路設備廠商推動的IEEE 802.1Qbg標準,預計將在6~9個月內通過,這將會讓交換器可以取代現在虛擬化平臺中虛擬交換器(Virtual Switch,vSwitch)的功能,替未來虛擬環境中的網路架構帶來極大變革。在今年4月於拉斯維加斯舉辦的Interop展上,交換器廠商 Extreme成功在KVM的虛擬化平臺上,做到了新標準的功能展示,未來當標準通過,所有的交換器廠商都能夠用類似的方法,與不同的虛擬化平臺合作。

能滿足虛擬機器搬移的SLA設定需求,也能強化安全
未來符合此一標準的交換器設備,將有能力直接做到現在虛擬交換器的功能,透過Virtual Ethernet Port Aggregator(VEPA)這一新功能的協助,虛擬機器的流量,未來將能夠直接將流量導到實體交換器,由實體交換器直接處理這些流量,然後再回傳至 要溝通的虛擬機器上。

新標準的作法隨之而來也會帶來一些新的優點,比如說,因為可以不再使用虛擬交換器,管理難度將大幅減低。特別是進行類似VMotion的虛擬機器搬移功能 時,由於在新標準的作法中,虛擬機器的溝通都透過實體交換器,所以交換器將有能力掌握SLA設定的資訊,例如QoS等等,所以當虛擬機器搬移到另一臺實體 機器時,這些資訊能夠透過交換器自動傳輸給對應的另一臺交換器,然後做到自動的SLA設定,減少現在手動設定的問題,管理上的問題也能紓解。

在現在的狀況下,虛擬機器搬移到另一臺實體伺服器後,因為往往連接的不是同一臺交換器,此時,網路相關的SLA設定並不會跟著過去,兩臺交換器間也沒有辦 法辨識出這是同一臺虛擬機器,所以在IT部門中,管理網路的IT人員,必須去找管理虛擬交換器的伺服器管理人員,共同設定,造成管理流程上非常複雜。

此外,安全上也能加強。所以針對DDoS此類的攻擊,未來實體交換器將有辦法針對同一臺實體機器中,不同的虛擬機器分別阻斷流量。

VEPA和802.1Q-2005的解禁,是標準上的最大突破
802.1Qbg標準的突破,最大的意義在於VEPA的建立,以及802.1Q-2005標準的解禁。最早發明虛擬化平臺的設計者,因為無法解決交換器無 法認得同一臺伺服器中虛擬機器的問題,於是透過軟體設計了虛擬交換器,提供基本的第二層交換器功能,做到同一臺實體機器上,虛擬機器間的互連。
而隨著虛擬化的應用越來越廣,虛擬機器跨實體機器的搬移,以及虛擬交換器數量增加,都造成了管理上的困難。舉例來說,4月成功展出802.1Qbg新功能 的Extreme資料中心解決方案總監Kevin Ryan,就在來臺記者會上表示,如果把虛擬交換器都計算進去,在12個42U高的機櫃,放滿了576刀的刀鋒伺服器這樣的環境下,如果把實體和虛擬的交 換器都計算進去,使用者就需要808臺交換器。網路設備的管理上,也從傳統的3層式網路架構,多了兩層由伺服器管理人員負責的虛擬交換器和刀鋒機箱交換器 模組,管理難度增加很多。

但是,Kevin Ryan指出,如果改採用支援新標準的交換器來做同樣環境的網路架構,交換器總數就減少到了僅需要4臺,而且使用者的IT單位,也只要由管理網路的IT人 員就能全權負責處理。

在現在的虛擬化環境中,每臺虛擬機器建立的時候,都會連帶建立虛擬網卡(vNIC)、虛擬連接介面,與串連這些虛擬機器的虛擬交換器。然後每個vNIC出 來的流量,透過虛擬交換器轉接到實體網路卡(NIC)的對外連接埠上,與實體交換器的連接埠相連。每臺虛擬機器有可能共享不同的實體網卡,也因此任兩臺虛 擬機器要溝通的時候,現在的架構是允許不用透過實體交換器。

而新的VEPA則取代了虛擬交換器的角色,限定虛擬機器的流量不能直接透過VEPA去轉接,而是必須先由實體網卡出去,傳輸到實體交換器,由實體交換器處 理了封包轉送的工作,再傳回去。雖然原理還是相同,仍然是透過同一張實體網卡共享的vNIC來做到虛擬機器間的互通,不過因為透過實體交換器處理過去虛擬 交換器的工作,所以伺服器的運算資源不會被耗用,也能做到前述的優點,如SLA設定隨著虛擬機器搬移而移動、安全阻斷流量等等。

另一個重要的突破,則是802.1Q-2005標準在前述VEPA這樣應用上的的解禁。由於過去802.1Q-2005標準規定,當實體交換器的一個連接 埠在進行封包轉送的時候,除了這個連接埠以外的其他連接埠,是潛在的資料傳送埠。也就是說,在這樣的標準規定下,虛擬機器資料是不能透過同一個實體交換器 的連接埠,同時進行資料的發送與接收。這就使得上述VEPA的應用,成為不可能。因為同一臺實體伺服器上的虛擬機器,是共用同一個交換器的同一個連接埠。 但是在這次的802.1Qbg標準中,這樣的規定被解禁了,VEPA成為802.1Q-2005標準的例外,允許交換器能夠在和VEPA溝通的時候,同時 以單埠傳輸與接收資料。這樣的做法,也才讓802.1Qbg的構想可行。文⊙劉哲銘