每次谈起虚拟化或云计划,你会听到相同的抱怨:“数据中心网络妨碍了我。”先忘记网络基本设施(过去20年,层层叠叠的神秘的架构系统)是主要问题。只关注于尚未明确的***虚拟化网络解决方案。
理想状态是:虚拟化网络方案涉及网络的第2层和第3层数据中心网络结构,能够实现任意互达,无阻塞链接来支持虚拟网络和服务。Juniper Networks Qfabric 就可以做到,还有其他一些厂商,包括Avaya, Force10 Networks和Brocade Networks也可以。但是多数厂商在这方面缺少细节,对于这些结构能够多大程度上整合到虚拟化架构中,我们仍需观察。
即使在***方案中,数据中心网络结构也存在问题
假设你可以在数据中心建立一个***的第二层结构和第三层结构,你仍然面临3大挑战:
1.由于TCP/IP协议栈的限制(更具体而言就是在TCP/IP中缺少会话层)和损坏的API套接字,使得服务器(或者虚拟机)的IP地址在操作中没法更改,导致DNS不能变成协议栈的一部分。
2.虚拟化厂商提供了唯一的解决方案,我们可以在数据中心周围移动一台实际的虚拟机,同时桥接(有时也称第2层交换)没有回话丢失。但是桥接由于内在限制,如广播/组播/未知单播洪泛,没法扩展而造成进程丢失。我们渐渐不再使用生成树协议。但就算有有多链接透明互联(TRILL), 最短路径桥接, FabricPath或者VCS这些技术,洪泛问题依然存在。
3网络层服务(防火墙和负责均衡)附在虚拟服务器前端,迫使流量经过固定的中间点(物理或者虚拟网络设备),造成流量阻塞。
这些基本难题的解决方案无法只在网络结构中实现,必须用到嵌入在现代管理程序上的虚拟交换机。不幸的是,至今只有VMware和Cisco提供了可以把基于管理程序的交换机直接整合于其他网络设备的架构设备(其他厂商嵌入vCenter来调整他们的设备配置)。
VMware虚拟化网络策略
VMware在第2层交换机vSwitch上提供了2种虚拟化网络解决方案:集中DVfilter API,可以使安全设备在独立虚拟机和网络其他部分之间拦截流量;而vCDNI,使用专业的MAC-in-MAC封装方案来隔离虚拟网络。但是他们都没能解决可扩展性问题。他们都使用桥接作为底层网络传输技术,但是在vShield Edge设备VLAN内部传递流量,使vCDNI 的传输问题更为严重。
思科虚拟化网络策略
思科有着完全不同的架构。它实施的虚拟以太网模块(VEM)包含VMware的vPath API,容许工程师随需要,拦截和重定向流量。该功能用于虚拟安全网关(VSG)--一个能根据需求嵌入在转发路径的防火墙。一段进程的包首先通过VSG,相同进程剩余流量被VEM转发,这极大地减少了传输问题。
思科在它的Nexus 1000v中致力于定位器/标识符分离协议(LISP)。Nexus 1000v 能够跨第3层(IP基础架构)移动虚拟机,消除了大规模桥接域的需求,最终提供了一套可升级的虚拟机移动解决方案。
但是思科的架构仍然是粗糙的。在大规模数据中心中,LISP的可扩展性仍待证明,在VSG和LISP间可能也存在集成问题。而且,思科的竞争对手声称他们的数据中心结构能够以更低的价格上,提供更好的性能。
多厂商虚拟化网络策略
幸运的是,对于那些相信集合单项优势,用多厂商支持网络的数据中心架构师,可以结合VMware的管理程序,思科的虚拟化网络策略以及它的统一计算系统刀片服务器。把思科或者多数其他厂商产品整合到物理网络架构中,这不见得是***方案,但是探索的大门是敞开的。
【编辑推荐】