|
隨著服務(wù)器虛擬化和數(shù)據(jù)中心的蓬勃興起���,用于連接服務(wù)器的網(wǎng)絡(luò)組件也開始了虛擬化的發(fā)展�,本文主要以VMWARE ESX的vswitch為例來進行介紹�����,說明一些關(guān)于交換機虛擬化的一些技術(shù)及應(yīng)用
一��、虛擬交換機的網(wǎng)絡(luò)介紹
在物理環(huán)境之中���,主機是通過pSwitch連接到網(wǎng)絡(luò)當(dāng)中�。而在虛擬化環(huán)境中���,ESX提供了vswitch和dvswitch�。ESX的虛擬主機通過vSwitch來連接網(wǎng)絡(luò)�。vSwitch是通過主機上的物理網(wǎng)卡作為上行鏈路與外界網(wǎng)絡(luò)進行連接。
如圖所示:
跟普通服務(wù)器設(shè)備一樣�����,每個虛擬機有著自己的虛擬網(wǎng)卡(virtual NIC),每個 virtual NIC有著自己的MAC地址和IP地址��。 Virtual Switch(vSwitch)相當(dāng)于一個虛擬的二層交換機���, ABCDE便是交換機上的虛擬端口vPort�����,該交換機連接虛擬網(wǎng)卡和物理網(wǎng)卡����,將虛擬機上的數(shù)據(jù)報文從物理網(wǎng)口轉(zhuǎn)發(fā)出去����。根據(jù)需要,vSwitch 還可以支持二層轉(zhuǎn)發(fā)����、安全控制���、端口鏡像等功能����。
每個vSwitch與物理交換機一樣,包含一定數(shù)量的端口�����,相同特性的虛擬端口vPort集合就是端口組;vSwitch端口邏輯上可分為三種類型:
- 虛擬機端口組,用于虛擬網(wǎng)絡(luò)連接
- VmKernel端口:用于VMotion網(wǎng)絡(luò)�����、iSCSI/NFS網(wǎng)絡(luò)��、ESX/ESXi管理網(wǎng)絡(luò)(ESXi中沒有Service Console)
- Service Console端口:用于ESX Service Console管理網(wǎng)絡(luò)���,如:vSphere Client和vCenter就是使用此網(wǎng)絡(luò)管理ESX
二�、虛擬交換機的功能及配置
ESX的vSwitch是當(dāng)前虛擬化產(chǎn)品中功能較為全面和易于管理的一款虛擬化交換機�。他主要有以下幾個功能:
|
ESX/ESXi Standard Vswitch
|
|
功能
|
說明
|
|
多網(wǎng)絡(luò)管理
|
在vSwitch作為全局的虛擬交換機管理基礎(chǔ)上,vNetwork細(xì)分了每個vlan下的虛擬主機的安全管理����,流量控制及網(wǎng)卡綁定規(guī)則 |
|
流量控制
|
定義vPort中的流量策略 |
|
安全管理
|
簡單的網(wǎng)絡(luò)安全管理 |
|
網(wǎng)卡綁定
|
主要用于網(wǎng)絡(luò)冗余及負(fù)載均衡 |
多網(wǎng)絡(luò)管理
我們知道在數(shù)據(jù)中心中不可能只有一個網(wǎng)絡(luò),比如為webgame服務(wù)器和注冊站reg服務(wù)器分配在不同的vlan�����;那么在虛擬網(wǎng)絡(luò)環(huán)境中如何做到多個網(wǎng)絡(luò)環(huán)境并存? vSwitch與物理交換機一樣可通過配置Vlan實現(xiàn)多網(wǎng)絡(luò)并存���。
物理交換機上配置Vlan后����,兩臺交換機之間通過Trunk通道傳輸vlan標(biāo)記信息��;與物理交換機相似�,在vSwitch中可在虛擬機端口組vNetwork、VMkernel端口上配置Vlan信息�����,與外界物理網(wǎng)絡(luò)Vlan間的通信也需要在vSwitch上行鏈路上配置Trunk通道����。
以下以實例介紹配置步驟:
ESX的vSwitch0和vSwitch1的上聯(lián)分別由兩張物理網(wǎng)卡連接組成的teaming,接入交換機并配置vSwitch0上不同的vlan網(wǎng)絡(luò)分別為ESX管理網(wǎng)絡(luò),iscsi,vSwitch1上不同的vlan網(wǎng)絡(luò)分別為 webgame,reg�����。通過不同的vNetwork來細(xì)化虛擬機的流量策略���,網(wǎng)絡(luò)綁定策略��,安全控制等
在交換機上配置與ESX服務(wù)器相連的端口為TRUNK
Switch(config)#interface range TenGigabitEthernet 1/11-14
Switch(config-if-range)#switchport mode trunk
Switch(config-if-range)#switchport trunk allowed vlan all
流量控制
控制vSwitch下的虛擬機簡單流量策略����,支持虛擬機平均流量控制�,虛擬機流量峰值管理,突發(fā)流量控制等�。也可以在vNetwork中進行配置,vNetwork的優(yōu)先級高于vswitch�����。
安全控制
Promiscuous Mode虛擬交換機的混雜模式��。開啟該模式���,所有vNic的報文會復(fù)制到vSwitch的所有vPort上面
MAC Address Changes:是否允許虛擬機的網(wǎng)卡變更�,如果禁止的話����,在修改了MAC地址的vm所有報文將不能夠被轉(zhuǎn)發(fā)。
Forged Transmits:一個和MAC地址相關(guān)的安全配置���,當(dāng)允許了MAC address changes后�,修改了MAC地址的VM,可以成功的轉(zhuǎn)發(fā)報文�。
在NLB的單播模式,需要允許MAC address changes 和 forged transmits 因為單播模式會修改主機的MAC地址���。如果禁止的話�����,會被vSwitch過濾�。
網(wǎng)卡綁定
VMware建議ESX中的三種網(wǎng)絡(luò)類型最好配置不同的Vlan�,并且使用不同的上行物理鏈路分配流量,并且為了保證故障冗余�,每個網(wǎng)絡(luò)類型至少關(guān)聯(lián)2塊網(wǎng)卡。這就需要在vSwitch進行網(wǎng)卡綁定��。
ESX NIC teaming�,相當(dāng)于vSwitch與交換機的聚合,通過下圖可以看到�,vSwitch網(wǎng)卡綁定主要功能有:
- 網(wǎng)絡(luò)的負(fù)載均衡
- 網(wǎng)絡(luò)故障切換檢測
- 交換機通知
- 故障恢復(fù)
1. ESX的網(wǎng)絡(luò)負(fù)載均衡的3種方式
(1) 基于端口的負(fù)載均衡(默認(rèn)) (Route based on the originating virtual port ID)
這種方式下,負(fù)載均衡是基于vPort ID的���。一個vPort和ESX主機上的一個pNIC(從vSwitch角度看就是某個uplink)捆綁在一起��,只有當(dāng)這個pNIC失效的時候����,才能切到另外的pNIC鏈路上�����。這種方式的負(fù)載均衡只有在vPort數(shù)量大于pNIC的數(shù)量時才生效���。
什么是vPort呢�����?形象的說就是vSwitch交換機上的一個端口
因為基于vPort id的負(fù)載均衡����,VM是vNIC綁定在其中的一個PNIC上,他的uplink速率不可能大于單個PNIC����,只有當(dāng)VM的數(shù)量大于PNIC的時候,所以vPort的負(fù)載均衡就是VM各個vPort之間的負(fù)載均衡���。
(2) 基于源MAC的負(fù)載均衡(Route based on source MAC hash)
這種方式下��,負(fù)載均衡的實現(xiàn)是基于源MAC地址的�����。因為每個vNIC總是具有一個固定的MAC地址�,因此這種方式的負(fù)載均衡同基于端口的負(fù)載均衡具有同樣的缺點。同樣是要求vPort數(shù)量大于pNIC的時候才會有效���。同樣是vNIC的速率不會大于單個pNIC的速率��。
(3) 基于IP hash的負(fù)載均衡(Route based on IP hash)
這種方式下���,負(fù)載均衡的實現(xiàn)是根據(jù)源IP地址和目的IP地址的。因為同一臺VM(源IP地址總是固定的)到不同目的的數(shù)據(jù)流���,就會因為目的IP的不同�,走不同的pNIC�����。只有這種方式下�,VM對外的流量的負(fù)載均衡才能真正實現(xiàn)。但是VMware的負(fù)載均衡(Load Balancing)只是出站(Outbound)的負(fù)載均衡��,入站流量的負(fù)載均衡就需要在物理交換機上配置靜態(tài)AP。 VMware不支持動態(tài)鏈路聚合協(xié)議(例如802.3ad LACP或者Cisco的PAgP).
交換機配置:
Switch(config)#interface range TenGigabitEthernet 1/13-14
Switch(config-if-range)#port-group 1
Switch(config-if-AggregatePort 1)#switch mode trunk
Switch(config-if-AggregatePort 1)#exit
Switch(config)#aggregateport load-balance src-dst-ip
ESX的三種負(fù)載均衡優(yōu)缺點:
| 負(fù)載均衡方式 |
優(yōu)點 |
缺點 |
| vPort |
- 配置容易�,
- 不需要配置pSwitch,可以跨pSwitch實現(xiàn)鏈路冗余
- Vnetwork還可以選擇SMAC的負(fù)載均衡方式
- 對于某個VM���,最大的帶寬就是某個PNIC的帶寬
|
|
| SMAC |
- 配置容易不需要配置pSwitch��,可以跨物理交換機實現(xiàn)鏈路冗余
- Vnetwork還可以選擇vport的負(fù)載均衡方式
- 對于某個VM,最大的帶寬就是某個PNIC的帶寬
|
|
| IPhash |
- 能夠真正的利用網(wǎng)卡多鏈路的冗余及擴容
- 需要在pSwitch配置靜態(tài)AP
- 不能夠跨交換機實現(xiàn)冗余
- Vnetwork必須和vswitch配置相同的負(fù)載均衡策略
|
|
2. 網(wǎng)絡(luò)故障切換檢測(Network failover Detection)
ESX提供了兩種方式的網(wǎng)絡(luò)故障檢測分別為link status only 和 beacon probing�����,下面用圖表來說明兩者的主要優(yōu)缺點:
a. Link status only:僅判斷網(wǎng)絡(luò)鏈路的up 和down狀態(tài)
b. Beacon probing: vswitch的每個物理網(wǎng)卡周期性的發(fā)送廣播信號報文�����,實現(xiàn)網(wǎng)絡(luò)鏈路檢測���。
beacon報文如下:
| 網(wǎng)絡(luò)故障檢測方式 |
優(yōu)點 |
缺點 |
| Link status only |
- 能夠檢測鏈路狀態(tài)的up和down狀態(tài)
- 不會造成額外的網(wǎng)絡(luò)開銷
- 需要交換機支持“Link state tracking”
- 無法判斷鏈路的配置是否正確�����,報文是否正常轉(zhuǎn)發(fā)
|
|
| Beacon probing |
- 能夠檢測鏈路狀態(tài)
- 能夠確保網(wǎng)絡(luò)的連通情況
- 發(fā)送信號廣播報文���,有額外的網(wǎng)絡(luò)開銷
- 只有兩個網(wǎng)卡綁定的物理網(wǎng)絡(luò)無法使用
|
|
3. 交換機通知(Notify switches)
ESX的交換機通知是用于在VM發(fā)生鏈路變更及vm遷移的時候��,用來通告物理交換機��,保障物理交換機上能夠感知虛擬機的端口變化并更新MAC地址表��。
ESX默認(rèn)配置Failback為YES���,當(dāng)Teaming中的網(wǎng)卡恢復(fù)后,會依照failover設(shè)定好的故障切換順序����,還原Teaming中的PNIC優(yōu)先級。
三��、分布式虛擬交換機
Dvswitch:分布式虛擬交換機是主要是為了簡化數(shù)據(jù)中心的虛擬網(wǎng)絡(luò)連接��,它可以將跨多個 ESX/ESXi主機將網(wǎng)絡(luò)連接聚合到一個集中的集群級別��。 Distributed Switch 可對各個虛擬機的配置進行抽象化處理��,并通過Vcenter實現(xiàn)集中部署����、管理和監(jiān)控。原來每ESX標(biāo)準(zhǔn)交換機分別配置��,現(xiàn)在vCenter Distributed vSwitch可在數(shù)據(jù)中心級別集中配置、管理����,并且在vSphere 4.0中除了可以使用VMware內(nèi)置的Distributed vSwitch外,還支持加載第三方廠商的交換模塊��,比如Cisco針對vSphere虛擬網(wǎng)絡(luò)環(huán)境開發(fā)的nexus 1000v 和 nexus 1010�����。Dvswitch邏輯架構(gòu)圖:
通過dvswitch��,配置不同類型的dvport模板�����,將數(shù)據(jù)中心中同一類型vnetwork中的vm遷移到對應(yīng)的dvport����,大大提高了虛擬機的管理效率�����。
下面我們通過實例將vm接入Dvswitch:
實驗?zāi)康模涸谔摂M數(shù)據(jù)中心lixukai,創(chuàng)建一個dvswitch����,并將數(shù)據(jù)中心的vm1和vm2服務(wù)器中的虛擬機����,由vswitch遷移至dvswitch���。
- VM1遷移前:
2. VM2遷移前
3. 遷移后
通過上圖��,不僅可以很清楚的看到數(shù)據(jù)中心的網(wǎng)絡(luò)情況�,并且通過定義了多個不同的分布式端口組的方式��,大大提搞了vSwitch的布署效率����。
Dvswitch優(yōu)點:
| 數(shù)據(jù)中心布署環(huán)境 |
布署10臺ESX,每個ESX有10個vnetwork |
耗時(假設(shè)每個vnetwork需要10min) |
| vswitch |
分別創(chuàng)建vnetwork�����,一共需要創(chuàng)建100個vnetwork |
耗時= 1000min |
| Dvswitch |
通過vCenter一次性創(chuàng)建10個dv_network����,并將10臺ESX接入dvswitch即可 |
耗時100min |
四、總結(jié):
本章介紹的僅僅是虛擬化的一個很小的方面���。隨著虛擬化技術(shù)蓬勃興起�,它正在走向數(shù)據(jù)中心的各個領(lǐng)域,服務(wù)器虛擬化�����,交換機虛擬化桌面虛擬化�����。最終還是要落實到如何實實在在的應(yīng)用上�����。
- 如何提高業(yè)務(wù)用戶的訪問速度
- 提高業(yè)務(wù)訪問的穩(wěn)定性
- 節(jié)省業(yè)務(wù)的帶寬成本
- 增加業(yè)務(wù)持續(xù)運行時間�,增加可靠性
- 減少業(yè)務(wù)的數(shù)據(jù)丟失風(fēng)險
- 降低業(yè)務(wù)異常的維護時間
- 減少業(yè)務(wù)計劃內(nèi)的維護時間
- 減少業(yè)務(wù)硬件成本
- 給業(yè)務(wù)運營分析���,業(yè)務(wù)改進提供數(shù)據(jù)支持
帶著這些問題�����,我們更深入的去了解��、學(xué)習(xí)和應(yīng)用虛擬化����,一起努力把我們的虛擬化產(chǎn)品做好。
|
