虛擬以太網(wǎng)端口匯聚器(VEPA)是最新IEEE 802.1Qbg標準化工作的一個組成部分,其設計目標是降低與高度虛擬化部署有關的復雜性。如果我們研究一下使用虛擬交換機的傳統(tǒng)方法就會發(fā)現(xiàn),它與VEPA方法存在很大的不同,VEPA使用戶可以深入了解虛擬化及聯(lián)網(wǎng)中的各項部署挑戰(zhàn)和需要考慮的因素。
當您的物理主機上的監(jiān)視程序上有多臺虛擬機(每臺虛擬機都包含一套操作系統(tǒng)和多種應用)時,這些虛擬機在相互通信和與外部世界通信時都要使用虛擬交換機。事實上,虛擬交換機是一種第2層交換機,通常以軟件的形式在監(jiān)視程序內(nèi)運行。每種監(jiān)視程序通常都有一個內(nèi)建的虛擬交換機。不同的監(jiān)視程序所含的虛擬交換機在能力方面也是千差萬別的。
當虛擬交換機從聯(lián)網(wǎng)領域轉(zhuǎn)移到服務器領域時,就有必要針對虛擬環(huán)境對傳統(tǒng)的基于網(wǎng)絡的工具和解決方案進行重新測試、重新定性和重新部署。從某些方面來說,這種變化會對虛擬化的快速擴展和普及造成阻礙。
例如,傳統(tǒng)的網(wǎng)絡和服務器運營團隊是截然分開的,每個團隊都有自己的流程、工具和控制范圍。由于虛擬交換機的原因,聯(lián)網(wǎng)進入了服務器的范疇,因此像供應虛擬機這樣的簡單任務也需要這些團隊之間開展額外的協(xié)調(diào)工作,從而確保虛擬交換機的配置與物理網(wǎng)絡配置保持一致。
由于缺乏網(wǎng)絡中虛擬機之間流量的可視性,因此涉及到虛擬機之間通信的故障查找和監(jiān)視也變成了一項極具挑戰(zhàn)性的工作。而且隨著虛擬機數(shù)量的增長,單個服務器中的虛擬機目前已經(jīng)達到8至12臺,并且會在不久的將來達到32至64臺,因此,保護虛擬機彼此不受干擾,以及不受外界威脅的侵害都變成了一項需要認真考慮的問題。
從防火墻到IDS/IPS,基于網(wǎng)絡的傳統(tǒng)設備和工具都需要針對這些高度虛擬化的環(huán)境重新開發(fā)、重新認證和重新部署,從而確保虛擬機之間通過虛擬交換機的通信能夠滿足法規(guī)一致性和安全方面的要求。
由于在虛擬交換機方面缺乏標準,因此會增加涉及不同監(jiān)視技術的培訓、互用性和管理開銷,進入使這些挑戰(zhàn)變得更加復雜。事實上,物理服務器正在變成一種全面的網(wǎng)絡環(huán)境,擁有自身的互用性、部署、認證和測試要求。
有趣的是,這種趨勢與虛擬化最基本的優(yōu)勢之一是背道而馳的,即虛擬化能夠?qū)⒎掌髦羞^剩的容量以更高的效率來運行各類應用。目前,這種“服務器中的網(wǎng)絡”很有可能演變成這些過剩容量的消費方,將CPU和內(nèi)存資源吞噬殆盡。
VEPA的方法
為應用這些挑戰(zhàn),各方已經(jīng)提出了多種不同的解決方案,其中就包括VEPA。VEPA是一種虛擬交換機替代產(chǎn)品;它不僅進入了標準化進程,而且成為業(yè)界眾多廠商的一致選擇。
事實上,VEPA會將服務器上虛擬機生成的所有流量轉(zhuǎn)移到外部的網(wǎng)絡交換機上。外部網(wǎng)絡交換機接下來會為同一臺物理服務器上的虛擬機和基礎設施的其它部分提供連接。
實現(xiàn)這一功能的方法是將一種新型轉(zhuǎn)發(fā)模式融入物理交換機中,使流量能夠從來時的端口“原路返回”,從而簡化同一服務器上虛擬機之間的通信。
“原路返回”模式(或稱“反射中繼”)可以在需要時將包的單一副本反向發(fā)送至同一臺服務器上的目的地或目標虛擬機。對于廣播或組播流量,VEPA能夠以本地方式向服務器上的虛擬機提供包復制能力。
傳統(tǒng)上,多數(shù)網(wǎng)絡交換機都不支持這種“原路返回”模式行為,因為它可能會在非虛擬世界中造成環(huán)路和廣播風暴。然而,許多網(wǎng)絡廠商都開始支持這種行為,目的就是解決虛擬機交換的問題,而且使用簡單的軟件或固件升級即可實現(xiàn)。
IEEE的802.1Qbg工作組還努力將這種行為變成了標準。VEPA能夠以軟件的方式,作為監(jiān)視程序中的瘦層在服務器中實施,也可以作為網(wǎng)卡中的硬件來實施,在后一種情況下還可以與SR-IOV等PCIe I/O虛擬化技術結(jié)合使用。其中一個典型的例子就是Linux KVM監(jiān)視程序中提供的基于軟件的VEPA實施。
事實上,VEPA將交換功能移出了服務器,并且將其放回物理網(wǎng)絡中,而且讓外部網(wǎng)絡交換機能夠看到所有的虛擬機流量。通過將虛擬機交換移回物理網(wǎng)絡,基于VEPA的方法使現(xiàn)有的網(wǎng)絡工具和流程可以在虛擬化和非虛擬化環(huán)境以及監(jiān)視程序技術中以相同的方式自由使用。
防火墻和IDS/IPS等基于網(wǎng)絡的設備,以及訪問控制列表(ACL)、服務質(zhì)量(QoS)和端口監(jiān)視等成熟的網(wǎng)絡交換機功能都可以直接用于虛擬機流量和虛擬機之間的交換,因此減少和消除了對虛擬網(wǎng)絡設備重新進行昂貴的質(zhì)量判定、測試和部署的需求。
此外,VEPA將網(wǎng)絡管理控制層重新交給了網(wǎng)絡管理員,為所有與虛擬機相關聯(lián)網(wǎng)功能的供應、監(jiān)視和故障查找提供了一個單一控制點。
將網(wǎng)絡功能從服務器卸載至網(wǎng)絡交換機能夠帶來諸多的優(yōu)勢,例如釋放服務器資源并將其用于更多的應用,同時還可在虛擬和非虛擬服務器之間提供線速交換;從1Gbps至10Gbps,甚至可以達到40Gbps和更高的100Gbps。
因此,基于VEPA的方法有助于擴大虛擬化部署,降低復雜性和成本,并且加快虛擬化的普及。
盡管基于VEPA的方法能夠帶來許多好處,但在某些環(huán)境下,虛擬機間流量的交換最好還是留在服務器內(nèi)部。例如,在有些環(huán)境下物理服務器要承擔虛擬機的巨大負荷,而且這些虛擬機之間的通信非常頻繁,因此為了將延遲降至最低程度,最好的方法是將虛擬機之間的流量留在服務器內(nèi)部。
在此類場景中,可能的方法之一是繞過基于監(jiān)視程序的軟件虛擬交換機,利用新型網(wǎng)卡提供的交換硬件能力,即SR-IOV等基于入向I/O虛擬化的能力。同樣,在使用這種方法時,也需要權衡考慮完全使用“服務器中的網(wǎng)絡”模型時的安全和成本問題。
隨著服務器虛擬化的廣泛普及,服務器內(nèi)和服務器間虛擬機交換流量的復雜性都在不斷提高?;赩EPA的虛擬機間流量交換方法能夠為基于虛擬交換機的傳統(tǒng)方法提供一種非常有趣且極具吸引力的替代方案。為了向網(wǎng)絡和服務器基礎設施提供支持VEPA的能力,此類技術的標準化工作正在緊鑼密鼓地進行當中。