隨著虛擬化技術(shù)的深入應(yīng)用,軟件定義網(wǎng)絡(luò)(SDN)和網(wǎng)絡(luò)功能虛擬化(NFV)可以帶來很多好處,但增加網(wǎng)絡(luò)抽象層是有代價(jià)的:對(duì)物理層鏈路的流量的可視性。
同時(shí),越來越快的網(wǎng)絡(luò)也加劇了這一挑戰(zhàn),因?yàn)楝F(xiàn)在幾乎沒有網(wǎng)絡(luò)監(jiān)控、管理或安全工具可以在40Gbps或100Gbps運(yùn)行。網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)(NPB),也被稱為網(wǎng)絡(luò)可視性控制器,它可以通過捕捉、過濾、聚合和優(yōu)化流量來解決這個(gè)挑戰(zhàn)。這可以使1Gbps和10Gbps性能管理和安全系統(tǒng)在40/100Gbps網(wǎng)絡(luò)運(yùn)行。但這些物理NPB能否有效在虛擬網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行?并且,NPB功能本身是否可以虛擬化以用于軟件定義網(wǎng)絡(luò)中的“白盒”交換機(jī)嗎?
第一個(gè)問題的答案取決于用于創(chuàng)建虛擬網(wǎng)絡(luò)流量的工具和協(xié)議的要求。很多網(wǎng)絡(luò)和應(yīng)用性能管理及安全工具需要從物理鏈路的總流量隔離個(gè)別流量或會(huì)話。
為了適應(yīng)這一需求,NPB一直支持各種網(wǎng)絡(luò)分段、封裝和隧道協(xié)議,例如虛擬局域網(wǎng)、多協(xié)議標(biāo)簽交換和GPRS隧道協(xié)議。
但比這些協(xié)議(特別是協(xié)議生態(tài)系統(tǒng)不斷發(fā)展)更重要的是能夠在2層網(wǎng)絡(luò)到7層網(wǎng)絡(luò)檢測和識(shí)別數(shù)據(jù)包,還有可以靈活地配置和編程N(yùn)PB來剝離和切片數(shù)據(jù)包以優(yōu)化監(jiān)控應(yīng)用程序,以及支持新興協(xié)議,例如VXLAN。
NPB必須還支持其他方法以提供對(duì)虛擬化基礎(chǔ)設(shè)施中流量的可視性。例如,思科和VMware虛擬交換機(jī)讓應(yīng)用編程接口(API)可用于虛擬鏡像或SPAN端口。主機(jī)服務(wù)器內(nèi)的vSwitch將流量從虛擬SPAN端口導(dǎo)向物理監(jiān)控基礎(chǔ)設(shè)施,從而在單個(gè)高性能帶外可視性平面或監(jiān)控架構(gòu)提供物理和虛擬網(wǎng)絡(luò)可視性。
這種配置不僅不需要用于網(wǎng)絡(luò)監(jiān)控的虛擬機(jī),而且還不需要任何主機(jī)資源,這是完全無代理的方法,不會(huì)占用管理程序的額外負(fù)載。但這種配置的缺點(diǎn)是,當(dāng)vSwitch超載時(shí),數(shù)據(jù)包時(shí)間戳變得不精確,即使虛擬SPAN端口負(fù)載明顯小于在混雜模式運(yùn)行vSwitch。監(jiān)管有此限制,虛擬SPAN功能確實(shí)可以提高虛擬應(yīng)用程序(完全在虛擬交換機(jī)內(nèi))間流量的可視性。
使用單獨(dú)物理元素(例如管理NIC)從虛擬SPAN端口導(dǎo)向流量可以避免純軟件做法的兩個(gè)額外的問題:不能確保全面的可視性,因?yàn)檫@是使用盡力傳輸來跨網(wǎng)絡(luò)流量的相同端口轉(zhuǎn)發(fā)復(fù)制流量;以及通用路由封裝(GRE)來分離復(fù)制流量會(huì)導(dǎo)致大型數(shù)據(jù)包的碎片,因?yàn)楸仨氉袷鼐W(wǎng)絡(luò)的最大傳輸單元(MTU)。
由于虛擬網(wǎng)絡(luò)作為到物理網(wǎng)絡(luò)的輔助或者覆蓋,同樣重要的是提供物理鏈路層可視性,特別是對(duì)于性能管理和安全工具?,F(xiàn)在NPB可以很好地處理這些需求,對(duì)于SDN和NFV,這些相同的要求將繼續(xù)存在。
NPB作為虛擬網(wǎng)絡(luò)功能
對(duì)于虛擬化NPB功能本身的第二個(gè)問題,開放網(wǎng)絡(luò)基金會(huì)(ONF)在2014年3月推出了Sample Tap應(yīng)用程序,而OpenFlow 1.4版本已經(jīng)包括一個(gè)用例,用于使用類似NPB的功能來配置交換機(jī)。
ONF承認(rèn)其Sample Tap并不是用于在生產(chǎn)網(wǎng)絡(luò)中發(fā)揮作用,而是作為一種教學(xué)工具來幫助程序員利用OpenFlow和OpenDaylight。NPB的配置和控制被虛擬化作為這項(xiàng)工作的一部分,而專門的NPB或者在“白盒”硬件中運(yùn)行的簡裝NPB則可以處理對(duì)流量的實(shí)時(shí)線速復(fù)制和轉(zhuǎn)發(fā)。
供應(yīng)商和一些用戶,特別是運(yùn)營商和大型企業(yè),需要考慮的問題是,構(gòu)建自己的監(jiān)控系統(tǒng)是否更具成本效益。部署示例應(yīng)用程序完全不同于部署矩陣交換機(jī)或部署商品交換機(jī)平臺(tái)用于生產(chǎn)網(wǎng)絡(luò)—尤其是運(yùn)行40Gbps或100Gbps的網(wǎng)絡(luò)。
就目前而言,基于交換機(jī)的監(jiān)控系統(tǒng)有局限性,并需要進(jìn)行顯著的業(yè)務(wù)變更?;诮粨Q機(jī)的系統(tǒng)需要NPB來支持精確時(shí)間戳或高級(jí)功能,例如流量感知負(fù)載均衡和優(yōu)化。這些功能可以幫助讓1/10Gbps工具有效地在40/100Gbps網(wǎng)絡(luò)運(yùn)作。即使交換機(jī)性能提高,矩陣交換機(jī)將繼續(xù)在單獨(dú)的硬件運(yùn)作以保持所有監(jiān)控流量不在生產(chǎn)網(wǎng)絡(luò)。
通過利用兩層部署,即基本虛擬可視性層聚合端口和轉(zhuǎn)發(fā)流量到高級(jí)層來提供更深入的可視性、流量疏導(dǎo)和/或更高的性能,企業(yè)可以直接從虛擬主機(jī)捕捉更多流量。
與此同時(shí),基于交換機(jī)的監(jiān)控系統(tǒng)和專用NPB將會(huì)變得越來越開放,超越SDN協(xié)議和網(wǎng)絡(luò)虛擬化標(biāo)簽,并暴露自己的API。這種分層的原因在于,專用NPB更符合成本效益,因?yàn)樗麄儾恍枰硗獾能浖_發(fā)人員,或者需要摒棄網(wǎng)絡(luò)架構(gòu),而部署新的但未必更有效的架構(gòu)。
最后,很顯然的是,網(wǎng)絡(luò)解決方案需要接受遷移到SDN和NFV作為降低資本支出和運(yùn)營費(fèi)用的方法。在遷移過程中,新方法需要能夠提高性能和成本效益,而不需要轉(zhuǎn)移這些支出到軟件開發(fā)團(tuán)隊(duì),而不需要昂貴的新的運(yùn)營模式,或者部署新的硬件和軟件僅僅是復(fù)制可視性平面的一部分。
網(wǎng)絡(luò)數(shù)據(jù)包代理創(chuàng)建的可視性平面現(xiàn)在是新的更高效運(yùn)營模式的一部分,其本身必須也能夠像生產(chǎn)網(wǎng)絡(luò)一樣適應(yīng)網(wǎng)絡(luò)虛擬化。
D1Net評(píng)論:
因此,NPB應(yīng)該成為SDN和NFV規(guī)劃的組成部分,其中可視性平面在虛擬化基礎(chǔ)設(shè)施中利用API來為基本用例提供成本效益解決方案,同時(shí)提高硬件加速的使用來實(shí)現(xiàn)高級(jí)功能、安全和高性能部署。