解決服務(wù)器虛擬化帶來的管理難題 |
發(fā)布時(shí)間: 2012/7/30 23:36:08 |
事實(shí)是,它使網(wǎng)絡(luò)管理變復(fù)雜了。具體來說,服務(wù)器虛擬化帶來兩個(gè)大的網(wǎng)絡(luò)問題。首先是VLAN(虛擬局域網(wǎng))的配置。網(wǎng)絡(luò)管理員需要確保虛擬機(jī)(VM)使用的VLAN和運(yùn)行虛擬機(jī)的物理服務(wù)器可以分配相同的交換機(jī)端口。
對(duì)于服務(wù)器虛擬化的管理人員而言,一種解決方案是告訴網(wǎng)絡(luò)設(shè)備管理組每個(gè)虛擬機(jī)上可能啟動(dòng)的每一個(gè)服務(wù)器,并預(yù)先為這些服務(wù)器配置交換機(jī)端口。這不是一個(gè)完美的解決方案,因?yàn)樗梢詫?dǎo)致交換機(jī)端口上配置太多的VLAN,而服務(wù)器管理組可能不知道這個(gè)物理服務(wù)器上運(yùn)行有這么多的虛擬服務(wù)器,這就使得網(wǎng)絡(luò)管理變得更加復(fù)雜,特別是在緊急情況下需要采取措施快速恢復(fù)系統(tǒng)時(shí),這一情況更為嚴(yán)重。
第二個(gè)問題是確保QoS和網(wǎng)絡(luò)訪問策略得到執(zhí)行,如訪問控制列表(ACL)。以前,訪問控制策略是由和應(yīng)用服務(wù)器相連的網(wǎng)絡(luò)交換機(jī)來執(zhí)行。而服務(wù)器虛擬化之后,這個(gè)工作改由Hypervisor下面的軟交換機(jī)來完成,而不再由與物理服務(wù)器相連的物理網(wǎng)絡(luò)交換機(jī)來完成了。
訪問控制策略的執(zhí)行對(duì)軟交換機(jī)中仍然是重要的。例如,即使運(yùn)行在同一個(gè)物理服務(wù)器上的兩個(gè)虛擬機(jī)不允許互相通信,但控制了虛擬機(jī)1仍然有可能與打開虛擬機(jī)2的連接,竊取虛擬機(jī)2上的數(shù)據(jù)資料。而如果訪問控制列表是由服務(wù)器中的軟交換來實(shí)施的,這就可以被阻止。在采用虛擬化技術(shù)之前,虛擬機(jī)1和虛擬機(jī)2運(yùn)行在不同的物理服務(wù)器上,物理交換機(jī)將根據(jù)訪問控制列表阻止兩個(gè)虛擬機(jī)之間的通信。軟交換機(jī)也必須通過這些策略來維護(hù)網(wǎng)絡(luò)安全,現(xiàn)在問題是如何通過軟件來執(zhí)行這些策略。
解決上述兩個(gè)問題對(duì)于服務(wù)器虛擬化的順利進(jìn)行是非常重要的。如果供應(yīng)商們制定出一個(gè)統(tǒng)一的標(biāo)準(zhǔn),適用于所有不同的虛擬化廠商那就很好了。實(shí)際情況是,由于虛擬化這門新技術(shù)還處在迅速發(fā)展之中,這種標(biāo)準(zhǔn)也并沒有出現(xiàn)。目前,行業(yè)內(nèi)有四種途徑來解決這些問題。
虛擬化廠商的解決方案
引領(lǐng)服務(wù)器虛擬化市場的廠商是VMware,除此之外市場上也存在其他許多虛擬化產(chǎn)品,包括Citrix的Zen、微軟的Hyper - V的、紅帽的KVM和其他許多小供應(yīng)商的產(chǎn)品。當(dāng)然,最廣泛使用的產(chǎn)品還是VMware的產(chǎn)品,因此,這里以VMware的產(chǎn)品為例說明解決辦法。
VMware的vCenter控制虛擬化的整個(gè)過程,并指示在哪里安裝虛擬機(jī)。Hypervisor控制服務(wù)器和在物理服務(wù)器上運(yùn)行的虛擬機(jī)。vSwitch是VMware提供的一個(gè)軟件形式的2層交換機(jī)。每個(gè)虛擬機(jī)有一個(gè)虛擬網(wǎng)卡(vNIC),該虛擬網(wǎng)卡的MAC地址要么使用虛擬化廠商提供的MAC地址池中的一個(gè),要么使用由企業(yè)為之分配的MAC地址。訪問控制策略的配置過程如下:
1. 由服務(wù)器管理人員定義虛擬機(jī)的所有網(wǎng)絡(luò)設(shè)備的屬性和安全策略。
2. 操作人員通知vCenter啟動(dòng)VM2。在這個(gè)過程中vCenter和服務(wù)器上的Hypervisor之間要進(jìn)行多次通信,其中一個(gè)重要內(nèi)容是把網(wǎng)絡(luò)策略信息推送給Hypervisor。
3. Hypervisor根據(jù)正確的VLAN、QoS和策略信息配置虛擬交換機(jī)(vSwitch)。當(dāng)VM2上的應(yīng)用程序向外發(fā)送數(shù)據(jù)包的時(shí)候,vSwitch將執(zhí)行這些訪問策略。
這解決了在第一個(gè)交換機(jī)上應(yīng)用訪問控制策略的問題,但它并沒有真正解決網(wǎng)絡(luò)交換機(jī)上VLAN的配置問題。在虛擬機(jī)開始向外發(fā)送數(shù)據(jù)包之前,虛擬化管理人員需要告訴網(wǎng)絡(luò)管理人員在交換機(jī)端口上配置VLAN。這需要快速協(xié)調(diào)并迅速完成或者預(yù)先配置好。當(dāng)虛擬機(jī)根據(jù)虛擬化管理人員的安排在多個(gè)物理服務(wù)器之間迅速遷移時(shí),這種協(xié)調(diào)變得更加復(fù)雜。此時(shí),如果虛擬化管理人員要遷移虛擬機(jī),它就要與網(wǎng)絡(luò)管理人員進(jìn)行溝通;一旦遷移完成,網(wǎng)絡(luò)管理人員還需要把原來交換機(jī)上的那些配置信息全部清除。
這一解決方案最大的問題是需要虛擬化管理人員和網(wǎng)絡(luò)管理人員之間的協(xié)調(diào)。虛擬化管理人員必須配置vCenter參數(shù),而這些參數(shù)由網(wǎng)絡(luò)管理人員掌握,例如VLAN號(hào)、QoS和ACL策略。這意味著服務(wù)器虛擬化和網(wǎng)絡(luò)化管理人員之間需要一直保持高度的協(xié)調(diào)。否則,虛擬局域網(wǎng)或訪問策略有任何改變都可能會(huì)導(dǎo)致另一個(gè)故障點(diǎn)的出現(xiàn),為此任何改變必須立即反映到虛擬服務(wù)器的配置中。
另一個(gè)令人關(guān)注的問題是,服務(wù)器虛擬化管理者對(duì)由網(wǎng)絡(luò)管理人員管理的網(wǎng)絡(luò)組件vSwitch中正在發(fā)生的事情不了解(可視性不足)。vSwitch在vCenter的控制之下,但它不是傳統(tǒng)的網(wǎng)絡(luò)管理軟件。此外,網(wǎng)絡(luò)管理人員對(duì)于虛擬機(jī)也幾乎毫不知情。不過,目前上述問題已得到解決,一些網(wǎng)絡(luò)廠商通過讓vCenter通知網(wǎng)絡(luò)工作團(tuán)隊(duì)這些變更或?qū)W(wǎng)絡(luò)配置變更情況進(jìn)行輪詢,然后和傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)一起顯示出來,這將大大有助于網(wǎng)絡(luò)問題的解決。
其他四種解決方法
Blade網(wǎng)絡(luò)公司在其交換機(jī)上安裝了一個(gè)新的應(yīng)用以解決VLAN的問題,而Force10在它的下一個(gè)交換機(jī)操作系統(tǒng)中也承諾會(huì)解決VLAN問題。這些交換機(jī)對(duì)vCenter進(jìn)行輪詢以發(fā)現(xiàn)可能做的任何更改,或者持續(xù)監(jiān)聽vCenter發(fā)送的配置更改信息。如果交換機(jī)發(fā)現(xiàn)這些信息有任何改變,它會(huì)自動(dòng)進(jìn)行重新配置。這樣虛擬化管理人員就不需要與網(wǎng)絡(luò)管理人員就這些變更進(jìn)行協(xié)調(diào)就可順利地啟動(dòng)虛擬機(jī)運(yùn)行。輪詢間隔必須比啟動(dòng)虛擬機(jī)的時(shí)間更短,這可以確保交換機(jī)能第一時(shí)間發(fā)現(xiàn)變化。在Force10的操作系統(tǒng)第一個(gè)版本中它監(jiān)控的唯一參數(shù)是VLAN。Blade網(wǎng)絡(luò)公司更進(jìn)一步,它根據(jù)vNIC或VM的UUID把各種訪問策略應(yīng)用到網(wǎng)絡(luò)交換機(jī)上。所有這些策略最終都由vSwitch來實(shí)施。
解決配置問題的第二種方法是利用交換機(jī)供應(yīng)商提供的Orchestration軟件,這種軟件運(yùn)行在交換機(jī)上;萜蘸蚃uniper都有這樣的軟件,另有一些管理軟件廠商也提供類似的解決方案,如Scalent和CA。Orchestration軟件的作用是在網(wǎng)絡(luò)交換機(jī)和vCenter之間擔(dān)當(dāng)中介,協(xié)調(diào)兩個(gè)環(huán)境之間的配置更改。這種方法的優(yōu)點(diǎn)就是,讓更多交換機(jī)廠商和虛擬化廠商的產(chǎn)品能夠一起工作。
思科也推出了自己的解決方案,它用自己開發(fā)的1000v軟交換機(jī)來替代vSwitch。1000V有兩個(gè)組成部分:虛擬交換機(jī)模塊VSM,它替換vSwitch軟件運(yùn)行在Hypervisor中;虛擬元素管理程序(VEM),它是VSM進(jìn)行網(wǎng)絡(luò)策略配置和存儲(chǔ)的地方。工作過程如下所示:
1. 根據(jù)VEM中的虛擬機(jī)的UUID或vMAC地址配置虛擬機(jī)的VLAN和策略,VCenter啟動(dòng)一個(gè)新的虛擬機(jī)或進(jìn)入下一步(遷移虛擬機(jī))。
2. 進(jìn)行虛擬機(jī)的遷移。
3. Hypervisor通知VSM。
4. VSM從VEM中檢索策略信息。如果網(wǎng)絡(luò)交換機(jī)屬于Nexus產(chǎn)品線,它還要從VEM中檢索必要的VLAN和策略信息。此時(shí),無論是Hypervisor中的交換機(jī)還是Nexus的交換機(jī)都有了關(guān)于如何處理VM2的正確信息。當(dāng)VM2開始發(fā)送數(shù)據(jù)包,所有的策略都會(huì)在Hypervisor中的1000V交換機(jī)上得到執(zhí)行。
思科的做法的好處與第一種方法相同。未經(jīng)允許,它會(huì)阻止兩個(gè)虛擬機(jī)之間的任何通信,并且在數(shù)據(jù)包到達(dá)交換機(jī)的第一時(shí)間采取適當(dāng)?shù)牟呗浴H绻\(yùn)行1000V的交換機(jī)是支持虛擬化的Nexus交換機(jī),這將在網(wǎng)絡(luò)交換機(jī)上解決VLAN問題。它的另外一個(gè)好處是,把交換機(jī)放到Hypervisor中并置于網(wǎng)絡(luò)管理軟件的控制下,使得對(duì)網(wǎng)絡(luò)管理管理人員的審計(jì)工作非常清晰。不足是,目前思科僅為VMware提供了解決辦法,而沒有為Xen和Hyper-V提供解決方案。
1. 網(wǎng)絡(luò)管理軟件根據(jù)虛擬網(wǎng)卡對(duì)虛擬機(jī)進(jìn)行定義。
2. vCenter指示Hypervisor啟動(dòng)虛擬機(jī)。
3. 管理程序發(fā)送廣播包告知它正在啟動(dòng)VM2。該廣播包包含VM2的vNIC及其UUID信息。
4.交換機(jī)收到廣播包后回復(fù)一個(gè)請(qǐng)求,詢問VM2的VLAN以及其他的策略信息,隨后交換機(jī)對(duì)過往的流量執(zhí)行規(guī)定的策略。
最關(guān)鍵的一點(diǎn)是這些訪問策略只在網(wǎng)絡(luò)交換機(jī)上執(zhí)行,而不是在vSwitch上。該交換機(jī)還會(huì)監(jiān)視Hypervisor發(fā)出的消息,看虛擬機(jī)是否已經(jīng)遷移,如果是就要?jiǎng)h除與虛擬網(wǎng)卡有關(guān)的VLAN及其策略信息。包括Arista Networks、Blade、Enterasys等網(wǎng)絡(luò)設(shè)備供應(yīng)商都采用了這種解決辦法,而HP 和Juniper除了它們的Orchestration軟件也提供這種解決方案。另有廠商也計(jì)劃提供這種解決方案的廠商,例如Brocade,而Extreme網(wǎng)絡(luò)把這項(xiàng)技術(shù)應(yīng)用到QoS及其策略上但不針對(duì)VLANs。
這種方法的一個(gè)重要目的是可以避免讓虛擬化管理人員介入到與網(wǎng)絡(luò)策略有關(guān)的工作中。但是,這里仍然有兩個(gè)問題沒有解決。第一個(gè)是服務(wù)器虛擬化和網(wǎng)絡(luò)管理人員仍然必須協(xié)調(diào)VLAN的編號(hào)。目前,Enterasys公司已能自動(dòng)提供帶有VLAN號(hào)的vSwitch,而Arista計(jì)劃在短期內(nèi)增加這一功能。
這種方法最大的問題是,它不能把網(wǎng)絡(luò)策略應(yīng)用到vSwitch上,這就為服務(wù)器虛擬機(jī)之間的流量繞過ACL和其他安全策略提供了可乘之機(jī)。Enterasys和Arista計(jì)劃通過把這些策略應(yīng)用到vSwitch的能力來解決這個(gè)問題。
為了克服這個(gè)問題,未來的方法是由交換機(jī)來完成所有策略的執(zhí)行。此時(shí)的vSwitch被配置成將所有的流量,甚至包括VM1到VM2的流量,都直接發(fā)送到網(wǎng)絡(luò)交換機(jī),由網(wǎng)絡(luò)交換機(jī)來決定采取適當(dāng)?shù)牟呗砸约氨WCQoS,然后再把VM1到VM2的流量回送到vSwitch上,最后將它傳送到VM2。
這將使vSwitch成為只有一個(gè)轉(zhuǎn)發(fā)功能的“啞巴”交換機(jī)。問題是,802.1d這個(gè)所有第二層交換機(jī)都遵循的橋接標(biāo)準(zhǔn),不允許來自于某一個(gè)端口的數(shù)據(jù)包又被送回到同一個(gè)端口。因此,根據(jù)現(xiàn)行的規(guī)則,網(wǎng)絡(luò)交換機(jī)不能把從VM1送給VM2的數(shù)據(jù)包返回給VM1,因?yàn)檫@樣做會(huì)打破這種規(guī)則,形成循環(huán)。IEEE正在修訂802.1d,允許交換機(jī)擔(dān)當(dāng)總執(zhí)行的角色,同時(shí),Hypervisor中的啞交換機(jī)的標(biāo)準(zhǔn)化工作也在進(jìn)行之中。如果這種標(biāo)準(zhǔn)被普遍推廣之后,上述問題就會(huì)迎刃而解,將消除網(wǎng)絡(luò)和服務(wù)器管理者之間的大量協(xié)調(diào)工作。
Enterasys有一個(gè)折中的解決辦法,就是讓vSwitch把每一個(gè)虛擬機(jī)放進(jìn)一個(gè)單獨(dú)的VLAN中。它們選擇那些沒有用過的VLAN號(hào),以防止可能出現(xiàn)問題。由于每個(gè)虛擬機(jī)都位于不同的VLAN里,它們不能互相通信。當(dāng)數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)交換機(jī)時(shí),交換機(jī)用真正分配給虛擬機(jī)的編號(hào)來替換VLAN號(hào),從而使得它在網(wǎng)絡(luò)上可見,并保證發(fā)送的目標(biāo)總是在正確的VLAN中。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |