那就沒有辦法了么？本文介紹了vSwitch的最佳實踐方法，分析了vSwitch支持的功能，它們對網(wǎng)絡(luò)的影響、潛在的問題，以及有效管理vSwitch和虛擬流量的策略。

 

虛擬交換機如何影響網(wǎng)絡(luò)

 

數(shù)據(jù)中心虛擬化有利于提高數(shù)據(jù)的網(wǎng)絡(luò)傳輸速度和使用率，但是也會帶來一些網(wǎng)絡(luò)問題。在虛擬化設(shè)置中，網(wǎng)絡(luò)訪問層位于虛擬機管理程序內(nèi)，內(nèi)置的vSwitch負責管理流量。但是這些交換機存在一些特殊的問題。

 

傳統(tǒng)物理交換機是根據(jù)物理設(shè)備的MAC地址來確定消息幀的發(fā)送目標。vSwitch也采用類似的方式，每一臺虛擬宿主都必須連接到一臺vSwitch上，方式與物理主機連接物理交換機相同。

 

但是，深入分析之后，我們會發(fā)現(xiàn)物理與虛擬交換機有一些顯著的區(qū)別。在物理交換機上，如果專用的物理線路或交換機端口出現(xiàn)問題，那么只會有一臺服務(wù)器受到影響。但是在虛擬化環(huán)境中，一條線路可能連接10臺以上的虛擬機（VM），出現(xiàn)問題可能會導致多臺VM連接中斷。而且，連接多臺VM需要更多帶寬，這都必須由vSwitch進行處理。

 

這些區(qū)別在設(shè)計復雜的大型網(wǎng)絡(luò)中尤為明顯，如支持跨數(shù)據(jù)中心或災(zāi)難恢復的VM基礎(chǔ)架構(gòu)。

 

由于vSwitch是手工配置，然后由各個ESX主機管理，因此，如果管理員或網(wǎng)絡(luò)工程師不理解虛擬化和ESX管理，就可能出現(xiàn)重大的配置錯誤或問題。

 

為了實現(xiàn)數(shù)據(jù)中心虛擬化，思科和VMware開發(fā)了兩種技術(shù)，它們能改進ESX主機內(nèi)vSwitch功能。VMware提出了分布式虛擬交換機（DVS）的概念，它是一種將端口和管理分布于集群中所有ESX服務(wù)器的vSwitch。思科開發(fā)了Nexus 1000V，它是替代ESX的vSwitch，能夠?qū)⒕W(wǎng)絡(luò)交回給網(wǎng)絡(luò)運營團隊管理。

 

虛擬交換技術(shù)選擇和架構(gòu)設(shè)計問題

 

虛擬交換機(vSwitch)是一個vSphere主機的核心網(wǎng)絡(luò)組件，它將宿主服務(wù)器的物理NIC(pNIC)連接到虛擬機的虛擬NIC（vNIC）。在規(guī)劃的vSwitch架構(gòu)中，工程師必須決定他們?nèi)绾问褂梦锢鞱IC（pNIC），以分配vSwitch端口組保障冗余、分片和安全。

 

vSphere vSwitch有三種。vNetwork標準交換機（vSS）最適合小型環(huán)境使用，其中每一臺vSwtich都必須在各個主機上單獨配置。第二種是vNetwork分布式vSwitch，它與標準vSwitch類似，不同的是它使用vCentre服務(wù)器集中配置。第三種是思科Nexus 1000v，這是由思科和VMware共同開發(fā)的一種混合分布式vSwitch，它更智能。vSphere vSwitch的選擇取決于您是否有vSphere Enterprise Plus授權(quán)。

 

所有這些交換機都支持802.1Q標記技術(shù)，它可以在一個物理交換端口上使用多個VLAN（通過在所有網(wǎng)絡(luò)幀上用標簽來確定它們是否屬于某個特定VLAN），從而減少一臺主機需要的pNIC數(shù)量。要在vSphere實現(xiàn)這個功能，我們必須保證模塊位于使用標記的位置。

 

安全性對于vSphere vSwitch也很重要。單獨使用各種端口和端口組，而不是將它們整合到一個vSwitch上，這樣能夠?qū)崿F(xiàn)更高的安全性和更好的管理。這些端口類型包括服務(wù)控制臺、VMkernel和虛擬機。

 

vSwitch冗余是另一個重要問題。冗余是通過給一臺vSwitch分配至少兩個pNIC實現(xiàn)的，每一個pNIC分別連接不同的物理交換機。

 

虛擬網(wǎng)絡(luò)挑戰(zhàn)

 

網(wǎng)絡(luò)團隊通常不具備虛擬化環(huán)境的管理權(quán)限。事實上，虛擬化會帶來許多新的網(wǎng)絡(luò)問題，包括流量可見性有限、需要實施新的網(wǎng)絡(luò)策略、手工修復vSwitch和網(wǎng)絡(luò)配置，VM遷移造成的I/O帶寬壓力。除了這些技術(shù)問題，虛擬化也會引起虛擬化管理和網(wǎng)絡(luò)管理的沖突。

 

諸如此類的許多問題是由于相同主機VM之間的流量不會流出服務(wù)器并進入物理網(wǎng)絡(luò)，因此網(wǎng)絡(luò)團隊很難監(jiān)控或管理這些流量。缺少可見性也意味著網(wǎng)絡(luò)防火墻、QoS、ACL和IDS/IPS系統(tǒng)無法監(jiān)控物理網(wǎng)絡(luò)的數(shù)據(jù)傳輸。

 

而且，標準和分布式的vSwitch交換機的管理都不簡單。管理員只能控制主機上物理NIC的上行端口，無法控制vSwitch上存在的諸多虛擬端口。

 

為了解決這些問題，網(wǎng)絡(luò)團隊需要新的網(wǎng)絡(luò)管理和安全產(chǎn)品，如Reflex System的虛擬管理中心、Altor Networks的虛擬防火墻和Catbird的vSecurity。所有這些產(chǎn)品都有專門設(shè)計的主機虛擬網(wǎng)絡(luò)流量安全、監(jiān)視、控制功能。

 

使用網(wǎng)絡(luò)邊緣技術(shù)改進vSwitch管理

 

網(wǎng)絡(luò)專業(yè)人員在處理網(wǎng)絡(luò)環(huán)境中新的虛擬網(wǎng)絡(luò)交換機（vSwitch）層時，可能會遇到管理、策略實施、安全性和擴展性問題。

 

網(wǎng)絡(luò)工程師能在一系列網(wǎng)絡(luò)邊緣虛擬技術(shù)中尋找解決方法。這些技術(shù)包括分布式虛擬交換（DVS）技術(shù)，它可以通過一個外部管理系統(tǒng)來控制多個虛擬交換機的數(shù)據(jù)。Nexus 1000v交換機就是思科的DVS產(chǎn)品。

 

邊緣虛擬橋接技術(shù)(EVB)通過虛擬機流量流的vSwitch可見性和緊密策略控制，解決了vSwitch管理問題。最后，EVB提供一種基于標準的解決方案，從而不需要在虛擬機管理程序中調(diào)用軟件交換技術(shù)。

 

將來，可能會出現(xiàn)單根I/O虛擬化（single root I/O virtualisation，SR-IOV）技術(shù)，它將基于軟件的虛擬交換機轉(zhuǎn)移到PCI NIC硬件上，并為邊緣網(wǎng)絡(luò)技術(shù)提供硬件支持，從而解決了vSwitch和虛擬流量管理問題。

 

使用分布式交換機實現(xiàn)控制

 

由于認識到網(wǎng)絡(luò)團隊實現(xiàn)虛擬化就是為了更好的監(jiān)控和管理虛擬流量，思科開發(fā)了Nexus 1000v分布式虛擬交換機（vSwitch）。這種分布式虛擬交換機將對虛擬主機內(nèi)的虛擬網(wǎng)絡(luò)管理權(quán)交回給網(wǎng)絡(luò)管理員，從而解決服務(wù)器和網(wǎng)絡(luò)團隊之間的沖突，在宿主上實現(xiàn)更嚴密的安全性和可管理性。

 

思科Nexus 1000v分布式虛擬交換機由虛擬超級管理模塊（VSM）和虛擬以太網(wǎng)模塊（VEM）組成，它與虛擬環(huán)境的其他組件一起保障數(shù)據(jù)傳輸流暢。

 

思科還開發(fā)了Nexus 1010v，它是VSM虛擬設(shè)備的物理版本，可替代在ESX和ESXi主機上運行的VSM。

 

常規(guī)VMware vSwitch與思科Nexus 1000v：如何選擇？

 

在傳統(tǒng)的VMware vSwitch、VMware的vNetwork分布式交換機（頂級Enterprise Plus 版本中有）和第三方的思科Nexus 1000V之間選擇，需要考慮很多問題。

 

一方面，基礎(chǔ)版vSwitch是免費的，它有一個便捷的管理界面，支持VMware界面的所有基礎(chǔ)特性，這個界面對經(jīng)驗豐富的管理員來說很熟悉。而思科Nexus 1000V需要付費，它的管理界面更復雜，但是它支持一些高級的思科IOS特性，從長遠來看有價格優(yōu)勢，并且能保護更深層次的安全。

 

Open vSwitch為網(wǎng)絡(luò)管理員提供流量控制和可見性

 

Open vSwitch是一種替代思科Nexus 1000v的開源軟件，專門管理多租賃公共云計算環(huán)境，為網(wǎng)絡(luò)管理員提供虛擬VM之間和之內(nèi)的流量可見性和控制。但是，由Citrix支持的Open vSwitch仍不能在VMware環(huán)境中使用。

 

Open vSwitch項目由網(wǎng)絡(luò)控制軟件創(chuàng)業(yè)公司Nicira Networks支持，旨在用虛擬化解決網(wǎng)絡(luò)問題，與控制器軟件一起實現(xiàn)分布式虛擬交換技術(shù)。這意味著，交換機和控制器軟件能夠在多個服務(wù)器之間創(chuàng)建集群網(wǎng)絡(luò)配置，從而不需要在每一個VM和物理主機上單獨配置網(wǎng)絡(luò)。這個交換機還支持VLAN中繼，通過NetFlow、sFlow和RSPAN實現(xiàn)可見性，通過OpenFlow協(xié)議進行管理。它還有其他一些特性：嚴格流量控制，它由OpenFlow交換協(xié)議實現(xiàn)；遠程管理功能，它能通過網(wǎng)絡(luò)策略實現(xiàn)更多控制。

 

現(xiàn)在，OpenFlow和由軟件定義的網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)領(lǐng)域的作用越來越大，分析顯示Open vSwitch正獲得更多的關(guān)注：它在vSphere環(huán)境中的應(yīng)用在增多。