随着应用的整合需求越来越强烈,越来越多的用户希望可以通过整合或者共享物理资产的方式来提高资源利用率,数据中心物理资源的池化不仅可以提高50%~60%的利用率,而且可是实现对资源的快速部署和重部署,同时还可以减少物理设备、电缆,空间、电力、制冷等方面的需求,能够满足飞速变化的业务发展需求。
以IRF为代表的网络虚拟化技术帮助企业实现了IT大集中的需求,即“整合”的需求,简化了网络拓扑,提升了网络性能,使得更大规模的数据中心建设成为可能。但是,企业也随之面对大量系统利用率不足的问题,不同的系统运行在独占的硬件资源中,效率低下而数据中心的能耗、空间问题逐步突显出来。如何让网络资源实现“共享”,让网络资源在集中后实现再分配,解决系统利用率不足的问题?H3C Multitenant Device Context(以下简称MDC)技术将有助于这一问题的解决。
1 Multitenant Device Context(MDC)
1.1 MDC介绍
MDC技术是一种完全的1:N网络设备虚拟化技术,可以实现将一台物理网络设备通过软件虚拟化成多台逻辑网络设备,虚拟化出来的逻辑网络设备简称MDC(如图1所示)。
在软件上,MDC技术将网络设备操作系统的数据平面、控制平面、管理平面进行了完全的虚拟化,各用户态进程在每个MDC独立启动运行,各MDC共用一个操作系统内核。
在硬件上,MDC将网络设备的硬件资源进行了虚拟化,不仅可以将板卡、端口等硬件资源划分到独立的逻辑设备,而且可配置每个逻辑设备的CPU权重、内存、存储空间等资源。
图1 MDC技术
通过软、硬件虚拟化的配合,MDC逻辑设备具有完全的设备功能,有独立的软件环境和数据,有独立的硬件资源。甚至可以像一台物理设备一样单独重启,而不影响物理设备上其它MDC的正常运行,这一切使得MDC非常接近于一个单独的物理设备,用户可以像使用物理设备一样来使用MDC逻辑设备。
MDC技术具备了复用、隔离以及高伸缩性的优点:
复用,多台MDC共用物理设备的资源,使物理资源能得到充分利用;
隔离, 同一台物理设备上的多个MDC具有独立的软硬件资源,独立运行互不影响;
高伸缩性,可整合多个物理网络到一个物理设备上,也可以将一个物理设备扩展为多个逻辑网络
目前,H3C S12500、S10500系列交换机产品均支持MDC技术,可以将一台物理交换机逻辑上模拟成多台虚拟交换机。
1.2 MDC架构及实现
MDC采用基于容器的操作系统级别虚拟化技术,和目前1:N计算虚拟化所采用的Hypervisor和Bare-metal技术相比,所有MDC共享内核空间,操作系统级的虚拟化调度性能上***,耗费资源最少。
MDC整体架构如图2所示:
图2 MDC架构示意
虚拟出来的MDC逻辑设备具备独立的安全管理界限划分和故障隔离域,包括管理平面隔离、控制平面隔离、基础架构平面隔离、数据平面隔离,每个MDC可以分别运行自己的控制协议进程,各MDC完全隔离,独立运行。
设备支持MDC功能后,整台物理设备就是一个MDC,称为缺省MDC(也被称为管理MDC)。缺省MDC拥有对整台物理设备的所有权限,它可以使用和管理设备所有的硬件资源,缺省MDC下可以创建、删除非缺省MDC,给非缺省MDC分配接口、CPU资源、磁盘空间等资源。
与缺省MDC相对应的是非缺省MDC(也被称为用户MDC),非缺省MDC下不可再创建、删除MDC,它只能使用缺省MDC分配给自己的硬件资源,并在缺省MDC指定的硬件资源限制范围内工作,不能抢占其他MDC或者系统剩余的硬件资源。
对于设备的软、硬件资源,可通过配置手段进行各MDC间分配,以达到资源最有效的利用。对于全局性软、硬件资源,可以只在缺省MDC中进行管理,无需进行虚拟化,由设备管理员进行维护。
支持MDC的网络设备支持分级权限管理,实现了管理平面的隔离和再授权。MDC技术针对虚拟化有两级权限划分、4种用户角色:
物理设备级
network-admin角色,可操作系统所有功能和资源,有创建删除MDC权限;
network-operator角色,可执行系统所有功能和资源的相关显示命令;可执行切换MDC命令,登录到MDC后可以执行MDC内的资源相关的显示命令。
MDC级
mdc-admin角色,可操作该MDC所有功能和资源。无创建删除MDC权限,无切换MDC权限;
mdc-operator角色,可执行该MDC所有功能和资源的相关显示命令。
对于非缺省MDC,只有MDC级的mdc-admin和mdc-operator角色,登录的用户只能操作该MDC内的资源,也只能对该MDC进行配置,不会影响到其他MDC。
1.3 MDCVS VLAN、Multi-VRF
原有网络技术在逻辑分区的划分上,一般选择通过VLAN或者Multi-VRF技术来完成,VLAN通过使用VLAN标签在数据转发平面完成二层逻辑隔离,Multi-VRF则是通过划分独立的路由表在控制平面完成三层逻辑隔离,但不论是VLAN还是Multi-VRF技术,单一设备的管理平面上还是需要面对多VLAN或多VRF的管理,无法通过设置管理权限来支持管理域的分离。
图MDC与VLAN、Multi-VRF的关系
MDC技术将网络设备操作系统的数据平面、控制平面、管理平面进行了完全的虚拟化,各用户态进程在每个MDC独立启动运行,管理员可以通过划分MDC来实现管理域的分离,同时配合MDC独有的分级权限管理,可以实现对于网络更细致的管理和运维,满足不同层次的网络隔离需求。
值得说明的是,每个MDC虚拟设备和物理设备一样,都拥有独立的数据转发平面和控制平面,这也意味着每个MDC可以完全独享4K VLAN以及对应的路由表项(大小取决于实际规格),VLAN和Multi-VRF可以配合MDC一起使用,满足更细粒度的隔离划分需求。
2 利用IRF和MDC完成网络资源化
网络资源化是指把网络设备也作为IT资源的一种类型,构建网络资源池,让网络资源可分配、可回收,有效支撑计算资源池的建设要求,适配计算资源的地理位置无关性,在不牺牲效率、设备利用率和扩展性的前提下,降低了资本支出(CAPEX)和运营支出(OPEX),提高了运行效率。
构建网络资源池的关键在于实现:
网络设备如何构建资源池;
网络资源按照什么粒度来分配,是否可回收再分配。
对于***点,网络设备N:1虚拟化技术IRF可以实现将多台物理网络设备虚拟成一台网络设备;对于第二点,网络设备1:N虚拟化技术MDC可以实现在单台网络设备上虚拟多台逻辑设备,网络资源池可以实现按照以逻辑设备为资源组成单位的资源分配,同时通过MDC技术所支持的实时增加/删除逻辑设备的能力来实现对于网络资源池资源的回收再分配。
图4 网络资源池建设
如图4所示,通过IRF虚拟化完成多台物理设备的N:1,初步完成资源池的建设,然后利用MDC的1:N技术,在IRF虚拟网络资源池中划分逻辑设备资源,按需分配、按需回收以及按需部署网络节点,提升了企业IT网络架构的灵活性,进一步提升了数据中心资源利用率,降低运行成本。
3 MDC技术的实践
上文已经谈到在企业数据集中的过程中,随着业务的整合与发展,数据中心业务种类不断丰富,系统规模不断扩展,单个业务系统也会由一个庞大的服务器群实现,数据中心的基础设施资源、存储资源、计算资源以及网络资源需求都在大幅度持续增长,这一方面导致分布式基础设施资源的激增,大量新建数据中心在各地不断涌现,另一方面,由于数据中心设计容量和运营容量的差异,整个数据中心网络未充分利用的基础设施能力总体呈现过剩状态。
这个阶段的数据中心分区设计一般按照业务类型来分区,同时兼顾安全等级要求,这是业务大集中后最有效的分区方式,同类业务部署在同一分区内,不同业务之间物理隔离,安全部署完全从业务安全等级出发,以金融行业数据中心为例,数据中心分区架构基本如图5所示:
图5 大集中模式下的数据中心分区
随着企业业务的发展,新的业务类型越来越多,客户需求也不断增加,数据中心在架构上只能拿更多的分区、投入更多的服务器、存储设备以及网络设备来承载,未充分利用的系统的数量继续增长,同时数据中心的电力投入、空调制冷投入以及高额的人力投入,导致资本支出(CAPEX)和运营支出(OPEX)随着时间的增长不断攀升。
基础设施整合成为解决企业业务大集中后的设备利用率低下问题的首要手段。
首先改变的就是数据中心分区方式,数据中心分区不再严格按照企业业务来划分,而是按照功能、性质以及设备类型来划分了,同时兼顾安全等级,通过部署计算虚拟化,合并原有的众多业务分区,整合基础设施,提高基础设施利用率。
以金融行业为例,在虚拟化部署阶段,数据中心分区架构如图6所示:
图6 虚拟化部署阶段的数据中心分区
因为金融行业大量使用的大型机、小型机和x86体系服务器的虚拟化技术存在较大差异,大型机、小型机可以考虑单独成区,基于x86体系的业务服务器单独构成另外一个区,以便有效利用计算虚拟化的优势(如快速部署、虚拟机迁移、快速恢复等),其它分区均为功能区,提供数据中心的运维管理、业务开发/测试以及内接外联等服务。
在技术实现上,先利用具备高密度网络接口的机框式网络设备通过N:1设备虚拟化技术IRF完成分区汇聚接入,满足海量服务器接入要求,同时可利用1:N设备虚拟化技术MDC,在IRF Fabric上虚拟多个网络设备,满足业务隔离要求(如图7所示)。
图7 IRF+MDC整合网络资源
对于新增业务,仅仅需要在汇聚层通过单独虚拟出一个MDC设备,以MDC虚拟网络设备为网络资源的分配单位,新虚拟出来的MDC虚拟网络设备负责新业务逻辑分区的核心接入,即可完成新业务区的部署,对其它正常运行业务毫无影响(如图8所示)。
图8 以MDC为单位完成网络资源分配
同样,当某个业务区需要撤销,直接删除MDC虚拟网络设备即可,释放出来的网络接口可以即时的添加到其他MDC上,用来扩充其他分区,实现网络资源的回收和再分配。
4 结束语
随着虚拟化技术的逐渐普及,虚拟化技术在数据中心的应用也不仅仅局限于服务器虚拟化和存储虚拟化,网络虚拟化技术开始进入用户的视野。
一方面,数据中心网络需要适应服务器虚拟化和存储虚拟化带来的变化,另一方面,用户对于网络资源化的需求也在不断增长,通过网络设备N:1虚拟化(IRF技术)完成资源池的初步构建,再通过网络设备1:N虚拟化(MDC技术)完成网络资源的再分配,配合网络路径虚拟化技术,完成端到端的网络虚拟化部署。
5 附录:网络资源化的三个阶段
网络技术对于企业IT系统的不同阶段也有对应的技术来支撑,网络资源化的三个阶段可大致划分如图所示:
图 网络资源化的阶段性演进
***个阶段,主要是网络设备N:1技术的部署,对应企业IT大集中过程,主要部署IRF技术。在这一过程中,企业分散的数据资源、IT资源进行了物理集中,形成了规模化的数据中心基础设施,网络规模相比原来有了几何倍数的增长,网络拓扑越来越复杂,原有的STP组网在带宽利用和部署复杂性上越来越不适应用户需求,通过网络设备N:1技术,将原有的多台设备虚拟成一台逻辑设备,简化了网络拓扑,使得更大规模的数据中心建设成为可能,从而带动了企业IT建设的下一阶段的到来。
第二个阶段,主要是网络设备N:1技术以及1:N技术的组合部署,对应企业IT实施虚拟化的过程,主要部署IRF和MDC技术。企业IT系统在完成计算虚拟化、存储虚拟化的部署后,初步解决了服务器设备、存储设备的系统利用率不足的问题,网络设备的系统利用率以及能耗、空间问题逐步突显出来。因此,以降低成本、提升IT运行灵活性、提升资源利用率为目的的网络虚拟化开始在数据中心进行部署。
第三个阶段,主要是网络资源管理技术的部署,对应企业IT的云计算阶段。网络也将成为企业IT运行的一种被使用的资源,可按需获得,网络资源的调度、分配、回收以及管理解决了IT网络资源的动态需求,使得IT部门可以专注于服务的提供和业务运营。
