网络虚拟化要点
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
从技术层面来讲,暗光纤/DWDM是实现可靠和可预测网络传输的最实用选择。 因为暗光纤/DWDM服务是端到端的可靠带宽而且不会与其他服务共享,用户可 以控制系统中的所有要素,而且可决定QoS,流量控制和性能。
VPLS
VPLS即Virtual Private LAN Services(虚拟专用 LAN业务),是一种在MPLS网络上提供类似 LAN的一种业务,它可以使用户从多个地理
VMDq VS SR-IOV
VMDq VMM在服务器的物理网卡中为每个虚 机分配一个独立的队列,这样虚机出来
的流量可以直接经过软件交换机发送到
指定队列上,软件交换机无需进行排序 和路由操作。
但是,VMM和虚拟交换机仍然需要将 网络流量在VMDq和虚机之间进行复制。 SR-IOV 对于SR-IOV来说,则更加彻底,它通过 创建不同虚拟功能(VF)的方式,呈现 给虚拟机的就是独立的网卡,因此,虚
IBM SDN VE/DOVE
IBM DOVE隧道协议是自有的,但它 使用VXLAN帧格式进行封装,这意味 着它可以支持任何VXLAN的底层网络 硬件。这种硬件支持对于物理网络 间DOVE流量的管理、安全性和故障 排除非常重要。此外,与VXLAN一样, DOVE将子网中可用VLAN数量从4000 增加到1600万以上,从而提高了云 环境的可扩展性。 与VXLAN不同的是,DOVE在创建一 个覆盖时,不需要物理基础设施组 播运行。
IBM SDN VE/DOVE
MS. NVGRE VmWare/Nicira STT
SDN
虚拟机安全
云端访问
OpenFlow通过将网络设
备控制面与数据面分离 虚拟服务器内同一端口 跨数据中心迁移
开来,从而实现了网络 组虚机间流量管理
的服务访问
流量的灵活控制。
虚拟交换机缺少对流量
网络控制平面、数据平 面与物理设备解耦。
IRF
H3C IRF(Intelligent Resilient Framework)是N:1网络虚拟化技术。IRF可将多台网络 设备(成员设备)虚拟化为一台网络设备(虚拟设备),并将这些设备作为单一设 备管理和使用。 IRF虚拟化技术不仅使多台物理设备简化成一台逻辑设备,同时网络各层之间的多条 链路连接也将变成两台逻辑设备之间的直连,因此可以将多条物理链路进行跨设备 的链路聚合,从而变成了一条逻辑链路,增加带宽的同时也避免了由多条物理链路 引起的环路问题。
统计、端口安全、ACL、 QoS 支持,因此不能很好
IP与位置的解耦
地实现网络监管。
开放网络基金会
wk.baidu.com
ONF(Open Networking vShield
动态DNS
Foundation)
OpenDaylight开源项目, 主要来自业界厂商
FortiGate
RHI
欧洲电信标准协会用于
讨论NFV(Network Function Virtualization)的
Intel提供了用于在网卡中分类数据包的VMDq技术, 减轻hypervisor的负担。VMware则在hypervisor交换 机层进行了一些完善,不仅将数据导向到分别的目 的虚拟机中,还将中断信号指向各自的CPU内核和 目的虚拟机。通过在虚拟化环境中实施这种结合的 队列技术,不仅吞吐量会翻一番,而且CPU利用率 也有显著提升。
网络虚拟化@云数据中心
网络虚拟化历史
网络虚拟化技术一览
虚拟网卡
虚拟交换机(大二层)虚拟数据中心
采用封装和隧道技术,
功能
实现服务器物理网卡的共享 与VM隔离
实现交换机的无环路 高效横向整合
在同一个物理网络上通 过叠加技术来构建多个
虚拟网络拓扑。
关键 点
如何在虚拟化的情况下,获
得良好的 I/O 性能并且有效 地共享 I/O 设备。
穿透网卡
直接 I/O 设备分配模型被提出来消除基于软 件的 I/O 虚拟化所带来的开销,缩小和本地 I/O 性能直接的差距。直接 I/O 设备分配模 型允许客户机直接访问特别设计定制的 I/O 设备。
SR-IOV共享网卡
这个模型是 I/O 直接分配模型的一个扩展 (VMDc),网卡提供多个虚拟功能模块 (Virtual Function)以提供给虚拟机直接使 用,每个虚拟机直接连接到网卡的 Function 上。
思科 VSS
CISCO VSS 是一种网络系统虚拟化技术,将 两台Cisco系列交换机或者路由器组合为单一 虚拟交换机/路由器,从而提高运营效率、 增强不间断通信。
这两个物理交换机通过标准万兆以太网接口
相连,因此能位于任何位置,其相隔的距离 仅受限于所选的万兆以太网光纤长度。
TRILL
TRILL技术构建的数据中心大二层网络如图所示,网络分为核心层(相当于传统数据中心 汇聚层)、接入层。接入层是TRILL网络与传统以太网的边界;核心层RBridge不提供主机 接入,只负责TRILL帧的高速转发。每个接入层RBridge通过多个高速端口分别接入到多 台核心层RBridge上。TRILL最大可以支持16台核心层RBridge。 TRILL技术目前在芯片实现上存在客观缺陷:核心层不能支持三层终结,必须要在核心 层上再增加一层设备来做网关。这导致网络结构变得复杂,管理难度增加,网络建设、 运维成本都会增加。
数据中心互联扩展比较
MS NVGRE
NVGRE提议使用GRE来创建一个独立的虚拟2层网络,限制物理2层网络或扩展超 过子网边界。
NVGRE终端接收来自VM的以太网数据包,将它们封装并通过GRE通道发送出去。 终端会打开接收的数据包,将它们分配给对应的VM。
STT
STT是一种mac over ip的协议,和vxlan, nvgre类似,都是把二层的帧封装在一个 ip报文的payload中,在ip报文的payload中,除了虚拟网络的二层包以外,还要 把构造的一个tcp头,和一个stt头加在最前面。 STT封装在两个方面与NVGRE和VXLAN有所不同。第一,在IP报头内使用了无状 态TCP类报头,允许端系统的隧道端点利用驻留在服务器网卡上的TCP卸载引擎 (TOE)的TCP分片卸载功能(TSO)。利用主机的好处包括较低的CPU使用率和较高 的万兆以太网接入链路使用率。 STT还可为每个数据包的元数据分配更多的头空间,而元数据则可为虚拟网络的 控制平面提供额外的灵活性。有了这些功能,STT便可针对hypervisor vSwitch作 为封装/拆装隧道端点进行优化。
CSS
华为集群交换系统CSS(Cluster Switch System),又 被称为集群,是指将多台支持集群特性的交换机设 备组合在一起,从逻辑上组合成一台整体交换设备, 如图所示。 通过跨框Eth-Trunk,用户可以将不同成员设备上的 物理以太网端口配置成一个聚合端口。即使某些端 口所在的设备出现故障,也不会导致聚合链路完全 失效,其它正常工作的成员设备会继续管理和维护 剩下的聚合端口。这样即可以增大设备容量,又可 以进行设备间的业务备份,增加可靠性。
CISCO OTV
OTV执行的是“MAC in IP” “MAC路由”,是思科的跨二层私有技术,思科对数 据报文进行了特殊封装,定义了一种Shim封装格式来实现二层报文跨三层转发 功能,通过组播与单播两种方式形成建立邻接关系,与STP自动隔离。
HP/H3C EVI
H3C的EVI技术,是基于现有的数据中心架构,在多个跨区域的数据中心整合成一 个大二层组网,通过MAC in IP的GRE封装技术充分利用现有三层网路链路实现。
虚拟防火墙
云计算数据中心的关键
二层网络灵活扩展
数据内中心扩展 跨数据中心扩展
云计算网络
服务器网络虚拟化
✓VM精确策略控制 ✓VM接入自动关联 ✓VM迁移自动感知
云端三层不中断访问
服务器网络虚拟化
软件模拟网卡(全虚拟/半虚拟)
设备仿真模型用软件模拟真实硬件所有行为。 Guest OS 和特权域之间的通信和数据传递都需要 在 VMM 的控制下完成,带来了很大的虚拟化开销。
大规模部署下网络的 毫秒级收敛
三层网络上叠加二层网 络来实现数据中心物理 位置解耦。
Device emulation models VLAN
裸光纤/VPLS
技术 split-driver model 产品
Direct Assignment
H3C IRF
Vmware. VxLAN
SR-IOV
华为 CSS 思科 VSS
Fabric Path
FabricPath是Cisco的私有解决方案,但可以看作一个“增强版的TRILL”,是 TRILL的基本功能加上“基于会话的MAC地址学习”、“Vpc+”和“多重拓扑” 等高级功能的合集。
数据中心二层扩展
近年来,服务器高可用集群技术和虚拟服务器动态迁移技术(如VMware的 VMotion),在数据中心容灾及计算资源调配方面得以广泛应用,这两种技术不
SPB
SPB可细分为SPBV(VLAN QinQ)和SPBM(MACinMAC)两个部分,目前看主要用到的 是SPBM。SPBM是标准的MACinMAC封装,在SPB区域中数据报文也都是依靠外层 MAC做传统Ethernet转发。外层Ethernet报头中的源目的MAC就代表了SPB区域边 缘的UNI设备,此设备MAC是由L2 ISIS在SPB区域中传递的。 由于在SPB网络中还是采用传统Ethernet进行转发,因此需要定义一系列的软件算 法以保证多路径的广播无环和单播负载均衡。
VMotion需要在二层网络中完成迁移
VMware ESX Server x86 Architecture
VMotion迁移虚拟机
VMware ESX Server x86 Architecture
VLAN-STP
VLAN采用Spanning Tree Protocol(STP)协议按 照树的结构来构造网络拓扑,消除网络中的
拟机直接跟网卡通信,不需要经过软件 交换机。
VF和VM之间通过DMA进行高速数据传 输。
数据中心网络
传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵 贯式大流量,同时使网络管理员能够对流量流进行管理。工程师在这些架构中采 用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余。 虚拟化从根本上改变了数据中心网络架构的需求。最重要的一点就是,虚拟化引 入了虚拟机动态迁移技术。从而要求网络支持大范围的二层域。从根本上改变了 传统三层网络统治数据中心网络的局面。
仅要求在数据中心内实现大二层网络接入,而且要求在数据中心间也实现大范围 二层网络扩展。
园区
IP 互联
分支
Layer 3
主数据中心A
Layer 2
二层互联
Layer 3 Layer 2
数据中心B
Server
SAN
存储
Layer 2 DWDM
DWDM
Layer 2
DWDM
SAN
Server
存储
暗光纤/DWDM
位置分散的点同时接入网络,相互访问,就 像这些点直接接入到LAN上一样。VPLS使用 户延伸他们的LAN到MAN,甚至WAN上。
VxLAN
vxlan(virtual Extensible LAN)虚拟可扩展局域网,是一种overlay的网络技术,使用 MAC in UDP的方法进行封装,共50字节的封装报文头。VXLAN提供了将二层网络 overlay在三层网络上的能力,VXLAN Header中的VNI有24个bit,数量远远大于4096, 并且UDP的封装可以穿越三层网络,比VLAN有更好的扩展性。
环路,避免由于环路的存在而造成广播风暴 问题。
STP的机制导致了二层链路利用率不足,尤 其是在网络设备具有全连接拓扑关系时,这
种缺陷尤为突出。如图所示,当采用全网 STP二层设计时,STP将阻塞大多数链路,使 接入到汇聚间带宽降至1/4,汇聚至核心间 带宽降至1/8。这种缺陷造成越接近树根的 交换机,端口拥塞越严重,造成的带宽资源 浪费就越可观。
Leadsec
lisp
ISG行业规范小组。
VmWare/Nicira NVP Cisco OnePK
Cisco VN-Tag HP VEPA
Cisco Virtual Interface Card TRILL
Juniper Junosphere
INTEL FPP
SPB Fabric Path
CISCO OTV HP EVI
VPLS
VPLS即Virtual Private LAN Services(虚拟专用 LAN业务),是一种在MPLS网络上提供类似 LAN的一种业务,它可以使用户从多个地理
VMDq VS SR-IOV
VMDq VMM在服务器的物理网卡中为每个虚 机分配一个独立的队列,这样虚机出来
的流量可以直接经过软件交换机发送到
指定队列上,软件交换机无需进行排序 和路由操作。
但是,VMM和虚拟交换机仍然需要将 网络流量在VMDq和虚机之间进行复制。 SR-IOV 对于SR-IOV来说,则更加彻底,它通过 创建不同虚拟功能(VF)的方式,呈现 给虚拟机的就是独立的网卡,因此,虚
IBM SDN VE/DOVE
IBM DOVE隧道协议是自有的,但它 使用VXLAN帧格式进行封装,这意味 着它可以支持任何VXLAN的底层网络 硬件。这种硬件支持对于物理网络 间DOVE流量的管理、安全性和故障 排除非常重要。此外,与VXLAN一样, DOVE将子网中可用VLAN数量从4000 增加到1600万以上,从而提高了云 环境的可扩展性。 与VXLAN不同的是,DOVE在创建一 个覆盖时,不需要物理基础设施组 播运行。
IBM SDN VE/DOVE
MS. NVGRE VmWare/Nicira STT
SDN
虚拟机安全
云端访问
OpenFlow通过将网络设
备控制面与数据面分离 虚拟服务器内同一端口 跨数据中心迁移
开来,从而实现了网络 组虚机间流量管理
的服务访问
流量的灵活控制。
虚拟交换机缺少对流量
网络控制平面、数据平 面与物理设备解耦。
IRF
H3C IRF(Intelligent Resilient Framework)是N:1网络虚拟化技术。IRF可将多台网络 设备(成员设备)虚拟化为一台网络设备(虚拟设备),并将这些设备作为单一设 备管理和使用。 IRF虚拟化技术不仅使多台物理设备简化成一台逻辑设备,同时网络各层之间的多条 链路连接也将变成两台逻辑设备之间的直连,因此可以将多条物理链路进行跨设备 的链路聚合,从而变成了一条逻辑链路,增加带宽的同时也避免了由多条物理链路 引起的环路问题。
统计、端口安全、ACL、 QoS 支持,因此不能很好
IP与位置的解耦
地实现网络监管。
开放网络基金会
wk.baidu.com
ONF(Open Networking vShield
动态DNS
Foundation)
OpenDaylight开源项目, 主要来自业界厂商
FortiGate
RHI
欧洲电信标准协会用于
讨论NFV(Network Function Virtualization)的
Intel提供了用于在网卡中分类数据包的VMDq技术, 减轻hypervisor的负担。VMware则在hypervisor交换 机层进行了一些完善,不仅将数据导向到分别的目 的虚拟机中,还将中断信号指向各自的CPU内核和 目的虚拟机。通过在虚拟化环境中实施这种结合的 队列技术,不仅吞吐量会翻一番,而且CPU利用率 也有显著提升。
网络虚拟化@云数据中心
网络虚拟化历史
网络虚拟化技术一览
虚拟网卡
虚拟交换机(大二层)虚拟数据中心
采用封装和隧道技术,
功能
实现服务器物理网卡的共享 与VM隔离
实现交换机的无环路 高效横向整合
在同一个物理网络上通 过叠加技术来构建多个
虚拟网络拓扑。
关键 点
如何在虚拟化的情况下,获
得良好的 I/O 性能并且有效 地共享 I/O 设备。
穿透网卡
直接 I/O 设备分配模型被提出来消除基于软 件的 I/O 虚拟化所带来的开销,缩小和本地 I/O 性能直接的差距。直接 I/O 设备分配模 型允许客户机直接访问特别设计定制的 I/O 设备。
SR-IOV共享网卡
这个模型是 I/O 直接分配模型的一个扩展 (VMDc),网卡提供多个虚拟功能模块 (Virtual Function)以提供给虚拟机直接使 用,每个虚拟机直接连接到网卡的 Function 上。
思科 VSS
CISCO VSS 是一种网络系统虚拟化技术,将 两台Cisco系列交换机或者路由器组合为单一 虚拟交换机/路由器,从而提高运营效率、 增强不间断通信。
这两个物理交换机通过标准万兆以太网接口
相连,因此能位于任何位置,其相隔的距离 仅受限于所选的万兆以太网光纤长度。
TRILL
TRILL技术构建的数据中心大二层网络如图所示,网络分为核心层(相当于传统数据中心 汇聚层)、接入层。接入层是TRILL网络与传统以太网的边界;核心层RBridge不提供主机 接入,只负责TRILL帧的高速转发。每个接入层RBridge通过多个高速端口分别接入到多 台核心层RBridge上。TRILL最大可以支持16台核心层RBridge。 TRILL技术目前在芯片实现上存在客观缺陷:核心层不能支持三层终结,必须要在核心 层上再增加一层设备来做网关。这导致网络结构变得复杂,管理难度增加,网络建设、 运维成本都会增加。
数据中心互联扩展比较
MS NVGRE
NVGRE提议使用GRE来创建一个独立的虚拟2层网络,限制物理2层网络或扩展超 过子网边界。
NVGRE终端接收来自VM的以太网数据包,将它们封装并通过GRE通道发送出去。 终端会打开接收的数据包,将它们分配给对应的VM。
STT
STT是一种mac over ip的协议,和vxlan, nvgre类似,都是把二层的帧封装在一个 ip报文的payload中,在ip报文的payload中,除了虚拟网络的二层包以外,还要 把构造的一个tcp头,和一个stt头加在最前面。 STT封装在两个方面与NVGRE和VXLAN有所不同。第一,在IP报头内使用了无状 态TCP类报头,允许端系统的隧道端点利用驻留在服务器网卡上的TCP卸载引擎 (TOE)的TCP分片卸载功能(TSO)。利用主机的好处包括较低的CPU使用率和较高 的万兆以太网接入链路使用率。 STT还可为每个数据包的元数据分配更多的头空间,而元数据则可为虚拟网络的 控制平面提供额外的灵活性。有了这些功能,STT便可针对hypervisor vSwitch作 为封装/拆装隧道端点进行优化。
CSS
华为集群交换系统CSS(Cluster Switch System),又 被称为集群,是指将多台支持集群特性的交换机设 备组合在一起,从逻辑上组合成一台整体交换设备, 如图所示。 通过跨框Eth-Trunk,用户可以将不同成员设备上的 物理以太网端口配置成一个聚合端口。即使某些端 口所在的设备出现故障,也不会导致聚合链路完全 失效,其它正常工作的成员设备会继续管理和维护 剩下的聚合端口。这样即可以增大设备容量,又可 以进行设备间的业务备份,增加可靠性。
CISCO OTV
OTV执行的是“MAC in IP” “MAC路由”,是思科的跨二层私有技术,思科对数 据报文进行了特殊封装,定义了一种Shim封装格式来实现二层报文跨三层转发 功能,通过组播与单播两种方式形成建立邻接关系,与STP自动隔离。
HP/H3C EVI
H3C的EVI技术,是基于现有的数据中心架构,在多个跨区域的数据中心整合成一 个大二层组网,通过MAC in IP的GRE封装技术充分利用现有三层网路链路实现。
虚拟防火墙
云计算数据中心的关键
二层网络灵活扩展
数据内中心扩展 跨数据中心扩展
云计算网络
服务器网络虚拟化
✓VM精确策略控制 ✓VM接入自动关联 ✓VM迁移自动感知
云端三层不中断访问
服务器网络虚拟化
软件模拟网卡(全虚拟/半虚拟)
设备仿真模型用软件模拟真实硬件所有行为。 Guest OS 和特权域之间的通信和数据传递都需要 在 VMM 的控制下完成,带来了很大的虚拟化开销。
大规模部署下网络的 毫秒级收敛
三层网络上叠加二层网 络来实现数据中心物理 位置解耦。
Device emulation models VLAN
裸光纤/VPLS
技术 split-driver model 产品
Direct Assignment
H3C IRF
Vmware. VxLAN
SR-IOV
华为 CSS 思科 VSS
Fabric Path
FabricPath是Cisco的私有解决方案,但可以看作一个“增强版的TRILL”,是 TRILL的基本功能加上“基于会话的MAC地址学习”、“Vpc+”和“多重拓扑” 等高级功能的合集。
数据中心二层扩展
近年来,服务器高可用集群技术和虚拟服务器动态迁移技术(如VMware的 VMotion),在数据中心容灾及计算资源调配方面得以广泛应用,这两种技术不
SPB
SPB可细分为SPBV(VLAN QinQ)和SPBM(MACinMAC)两个部分,目前看主要用到的 是SPBM。SPBM是标准的MACinMAC封装,在SPB区域中数据报文也都是依靠外层 MAC做传统Ethernet转发。外层Ethernet报头中的源目的MAC就代表了SPB区域边 缘的UNI设备,此设备MAC是由L2 ISIS在SPB区域中传递的。 由于在SPB网络中还是采用传统Ethernet进行转发,因此需要定义一系列的软件算 法以保证多路径的广播无环和单播负载均衡。
VMotion需要在二层网络中完成迁移
VMware ESX Server x86 Architecture
VMotion迁移虚拟机
VMware ESX Server x86 Architecture
VLAN-STP
VLAN采用Spanning Tree Protocol(STP)协议按 照树的结构来构造网络拓扑,消除网络中的
拟机直接跟网卡通信,不需要经过软件 交换机。
VF和VM之间通过DMA进行高速数据传 输。
数据中心网络
传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵 贯式大流量,同时使网络管理员能够对流量流进行管理。工程师在这些架构中采 用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余。 虚拟化从根本上改变了数据中心网络架构的需求。最重要的一点就是,虚拟化引 入了虚拟机动态迁移技术。从而要求网络支持大范围的二层域。从根本上改变了 传统三层网络统治数据中心网络的局面。
仅要求在数据中心内实现大二层网络接入,而且要求在数据中心间也实现大范围 二层网络扩展。
园区
IP 互联
分支
Layer 3
主数据中心A
Layer 2
二层互联
Layer 3 Layer 2
数据中心B
Server
SAN
存储
Layer 2 DWDM
DWDM
Layer 2
DWDM
SAN
Server
存储
暗光纤/DWDM
位置分散的点同时接入网络,相互访问,就 像这些点直接接入到LAN上一样。VPLS使用 户延伸他们的LAN到MAN,甚至WAN上。
VxLAN
vxlan(virtual Extensible LAN)虚拟可扩展局域网,是一种overlay的网络技术,使用 MAC in UDP的方法进行封装,共50字节的封装报文头。VXLAN提供了将二层网络 overlay在三层网络上的能力,VXLAN Header中的VNI有24个bit,数量远远大于4096, 并且UDP的封装可以穿越三层网络,比VLAN有更好的扩展性。
环路,避免由于环路的存在而造成广播风暴 问题。
STP的机制导致了二层链路利用率不足,尤 其是在网络设备具有全连接拓扑关系时,这
种缺陷尤为突出。如图所示,当采用全网 STP二层设计时,STP将阻塞大多数链路,使 接入到汇聚间带宽降至1/4,汇聚至核心间 带宽降至1/8。这种缺陷造成越接近树根的 交换机,端口拥塞越严重,造成的带宽资源 浪费就越可观。
Leadsec
lisp
ISG行业规范小组。
VmWare/Nicira NVP Cisco OnePK
Cisco VN-Tag HP VEPA
Cisco Virtual Interface Card TRILL
Juniper Junosphere
INTEL FPP
SPB Fabric Path
CISCO OTV HP EVI