虛擬化交換網絡層邊緣層挑戰

　　熟悉IT發展歷史的人都知道，IT技術發展趨勢總是這樣，進入者在軟件上突破和實現，不斷應用于客戶和取得市場反饋，然后隨著性能提升要求和硬件技術發展，移植到高速、簡潔的ASIC上，虛擬化交換網絡領域也不外乎遵循這樣變化軌跡。

　　前面所講，計算資源內部虛擬交換網絡實際上是通過數據中心邊緣計算節點內部的虛擬交換機軟件實現。虛擬交換機放在數據中心網絡計算節點內部時就被稱為虛擬邊緣橋接VEB（Virtual Edge Bridge）。這種稱謂是非常合適的，因為此時虛擬交換機完成的功能和二十多年前我們使用的物理橋接設備（Bridge）類似，只完成不同網絡節點之間的數據轉發，沒有更細分的交換控制和管理比如網絡監視、更多標準協議支持等等。虛擬邊緣橋接優點是基于物理主機內部交換，基于計算節點內部資源，不會增加更多外部網絡流量，實現物理計算節點內部更快交換速度，不需要額外硬件支持，只需在虛擬機支撐管理平臺編寫告訴數據轉發引擎和開發控制平面，服務器管理人員更容易理解和實施，但是主機軟件交換機缺點是一方面是性能提高受制于CPU和網卡IO架構，另一方面是它通常只能由服務器團隊通過虛擬機支撐平臺配置和管理，傳統網絡團隊難以理解、學習和操作，缺乏鏈路底層的監控和安全控制，因此IT安全管理策略還需要在虛擬機和物理機不同層面分別實現。為了進一步提高性能和簡化管理，把卸載到網卡功能再卸載到強大的物理交換機。

　　虛擬化交換網絡邊緣層層技術發展

　　針對以上數據中心邊緣網絡技術和管理挑戰，目前業界發展“Edge Virtual Bridging”（EVB）邊緣虛擬橋接，形成了兩種的技術標準：

　　虛擬以太端口匯聚器（Virtual Ethernet Port Aggregator，簡稱VEPA）

　　VEPA技術標準是由HP、IBM、Dell、Juniper和Brocade等公司發起的，統一管理和監控各種虛擬機的橋接標準，目前已被采納為IEEE標準802.1Qbg，其主要功能由數據中心邊緣虛擬交換機硬件實現。VEPA有兩種實現模式，一種是標準模式，需要虛擬交換機和上聯交換機做少量代碼升級；另外一種是多通道模式，需要上聯交換機更多智能處理功能。

　　標準模式VEPA技術特點是實現簡單。傳統虛擬環境下，同一物理節點的不同虛擬機之間流量發送由虛擬交換機直接處理了，并不會發出網口。在VEPA下，情況發生了一點點改變，虛擬機內部之間流量不再由本地虛擬交換機處理，而是被強制發往物理網卡外部，由網卡上聯的VEPA交換機接收處理后才發送回來，這種技術叫Hairpin（發夾）。因為大家知道，傳統交換機固件不允許從一個物理接口接收數據幀，又同時從同一口發送同樣目的MAC地址的數據幀，所以需要我們需要對傳統交換機固件做一些簡單修改，允許其繞回。這種方式下，很簡單，所有虛擬機流量被重新導向了上聯物理交換機，用戶可以輕松地以傳統管理方式，在修改后的物理交換機上實現流量統計、安全控制管理，減少物理節點寶貴CPU資源，不必浪費在簡單的網絡I/O層面。不過VEPA實現方式也有明顯缺點，所有虛擬機之間流量在物理節點和交換機來回了兩次，浪費了網絡帶寬和增加數據延遲，但是與安全管理簡單控制收益相比，這些代價是值得的。另外一方面，專用網絡設備芯片對網絡流量轉發和控制效率通常比我們標準服務器來得更加經濟有效，我們還可以結合第一節中提到的單根IO虛擬化（Single Root I/O Virtualization）或VMDq直接路徑I/O減少虛擬機之間來回轉發數據包負面影響。
 

圖1 標準VEPA EVB操作模式

圖2 VEPA多通道運行模式

　　多通道模式VEPA（Mutli-Channel VEPA）則增強了標準模式功能，同時兼容傳統虛擬交換機和標準模式VEPA，實現方式是將物理鏈路分成多個服務通道Channel，網絡交換機和網卡獨立識別每個通道，這些通道可以分配給傳統直聯虛擬機、傳統VEB模式虛擬化交換機或VEPA虛擬以太端口聚合交換機。每個通道物理標識采用802.1ad（Q-in-Q）技術，簡單來講，就是在802.1Q VLAN標記基礎上增加了“S-Tag”服務字段標記每個通道，很顯然，服務器網卡和交換機都需要支持Q in Q特性，才能區分不同源虛擬機或橋接流量。

　　虛擬網絡標識（VN-Tag）

　　VN-Tag標準由Cisco為主發起的虛擬化網絡控制協議，實現了虛擬網絡智能識別和控制，在不擴大生成樹域和管理界面的前提下擴展了接入層，目前已被IEEE接納成802.1Qbh“Bridge Port Extension”橋接口擴展標準，實現方式主要是在傳統以太網幀基礎上增加VN-Tag幀頭以標識每個虛擬機所綁定的虛擬接口（Virtual Interface, 簡稱VIF）。VN-Tag幀頭其中最重要兩個字段分別是目的虛擬接口標識DVIF_ID和源虛擬接口標識SVIF_ID，它們清楚地區分了來自同一個物理網口上的每個虛擬機虛擬網絡接口。每個接口功能實現機理有兩種，物理網卡芯片固件或虛擬機平臺軟件交換。VN-Tag缺點是需要網卡和交換機硬件升級，但是與傳統交換機兼容，因為虛擬接口VIF只是本地查找有效，VN-Tag在VN-Tag交換機入口處寫入，在出口處去除VN-Tag，中間交換機只是需要根據傳統以太網幀模式傳輸，VIF作用有點類似我們以前常用幀中繼的本地邏輯鏈路接口DLCI。
 

圖3 VN_Tag幀格式

圖4  VN_Tag幀轉發模式

　　總的來說，目前兩大標準802.1Qbg和802.1Qbh都在不斷完善過程中。可以看出，VEPA主要改進在于減少軟件交換機在數據轉發層面性能影響，虛擬流量以802.1q和服務通道表示，整個控制平面交由VEPA物理交換機實現。而VN-Tag主要改進在于虛擬化得數據轉發層面和控制平面端對端實現了革命性變化，虛擬流量以源和目的VIF虛擬端口表示，既可以通過軟件交換機內核實現也可以物理交換機實現。實際上，兩者具有互補作用，VEPA設備自動發現方式就可以用于VN-Tag，未來不排除出現融合兩者技術的新標準，做為IT管理者，對當前采購的設備需要充分考慮與原有設備和協議的兼容性，運行效率提高，同時不會由于哪一個技術發展障礙而受到影響。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：云計算虛擬化交換網絡——邊緣篇

本文網址：http://www.guhuozai8.cn/html/support/1112157420.html