1 云計(jì)算簡介
云計(jì)算是網(wǎng)格計(jì)算、分布式計(jì)算、并行計(jì)算、效用計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化、負(fù)載均衡等傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。它旨在通過網(wǎng)絡(luò)把多個(gè)成本相對(duì)較低的計(jì)算實(shí)體整合成一個(gè)具有強(qiáng)大計(jì)算能力的完美系統(tǒng), 并借助SaaS、PaaS、IaaS、MSP 等先進(jìn)的商業(yè)模式把這強(qiáng)大的計(jì)算能力分布到終端用戶手中。云計(jì)算的一個(gè)核心理念就是通過不斷提高“云”的處理能力,進(jìn)而減少用戶終端的處理負(fù)擔(dān),最終使用戶終端簡化成一個(gè)單純的輸入輸出設(shè)備,并能按需享受“云”的強(qiáng)大計(jì)算處理能力。
云計(jì)算的核心思想,是將大量用網(wǎng)絡(luò)連接的計(jì)算資源統(tǒng)一管理和調(diào)度,構(gòu)成一個(gè)計(jì)算資源池向用戶按需服務(wù),故如何快速合理的對(duì)網(wǎng)絡(luò)資源進(jìn)行調(diào)度是云計(jì)算須解決的關(guān)鍵問題。
2 快速調(diào)度網(wǎng)絡(luò)資源的關(guān)鍵
云計(jì)算網(wǎng)絡(luò)中,計(jì)算資源能夠按需擴(kuò)展、靈活調(diào)度部署,這由虛擬機(jī)的遷移功能實(shí)現(xiàn),虛擬化環(huán)境的計(jì)算資源必須在二層網(wǎng)絡(luò)范圍內(nèi)實(shí)現(xiàn)透明化遷移。
透明環(huán)境不僅限于數(shù)據(jù)中心內(nèi)部,對(duì)于多個(gè)數(shù)據(jù)中心共同提供的云計(jì)算服務(wù),要求云計(jì)算的網(wǎng)絡(luò)對(duì)數(shù)據(jù)中心內(nèi)部、數(shù)據(jù)中心之間均實(shí)現(xiàn)透明化交換,這種服務(wù)能力可以使客戶分布在云中的資源邏輯上相對(duì)集中,如在相同的一個(gè)或數(shù)個(gè)VLAN 內(nèi),而不必關(guān)心具體物理位置;對(duì)云服務(wù)供應(yīng)商而言,透明化網(wǎng)絡(luò)可以在更大的范圍內(nèi)優(yōu)化計(jì)算資源的供應(yīng),提升云計(jì)算服務(wù)的運(yùn)行效率、有效節(jié)省資源和成本。
因此運(yùn)營商云計(jì)算網(wǎng)絡(luò)資源調(diào)度的關(guān)鍵就是構(gòu)建大規(guī)模的二層網(wǎng)絡(luò),包括單數(shù)據(jù)中心和多數(shù)據(jù)中心之間的二層網(wǎng)絡(luò),覆蓋更多的資源范圍,同時(shí)虛擬主機(jī)所對(duì)應(yīng)的交換機(jī)端口可以靈活的加入到用戶業(yè)務(wù)VLAN 中,實(shí)現(xiàn)二層互訪、業(yè)務(wù)遷移。
3 VPLS 技術(shù)介紹
VPLS(Virtual Private LAN Service,虛擬專用局域網(wǎng)服務(wù))是在公用網(wǎng)絡(luò)中提供的一種點(diǎn)到多點(diǎn)的二層VPN 業(yè)務(wù)。VPLS 使地域上隔離的用戶站點(diǎn)能通過MAN 或WAN 相連, 并且使各個(gè)站點(diǎn)間的連接效果像在一個(gè)LAN 中一樣。
VPLS 提供二層VPN 服務(wù)。在VPLS 中,用戶是由多點(diǎn)網(wǎng)絡(luò)連接起來,不同于傳統(tǒng)VPN 提供的P2P 的連接服務(wù)。VPLS 實(shí)際上就是在PE上創(chuàng)建一系列的虛擬交換機(jī)租借給用戶,虛擬交換機(jī)的組網(wǎng)和傳統(tǒng)交換機(jī)完全相同, 這樣, 用戶就可以通過MAN 或WAN 來實(shí)現(xiàn)自己的LAN。
圖1 VPLS典型組網(wǎng)示意圖
4 大規(guī)模二層網(wǎng)絡(luò)構(gòu)建碰到的問題及解決辦法
4.1 多拓?fù)涠泳W(wǎng)絡(luò)
為了構(gòu)建一張高可靠的二層網(wǎng)絡(luò),傳統(tǒng)的二層網(wǎng)絡(luò)擴(kuò)展采用環(huán)形組網(wǎng)配合STP 生成樹協(xié)議來完成,但是隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和VLAN數(shù)量的增加,實(shí)際的網(wǎng)絡(luò)拓?fù)渚蜁?huì)變得過于復(fù)雜。主要問題包括:1)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,節(jié)點(diǎn)多,管理難度大
2)網(wǎng)絡(luò)內(nèi)部流量大,核心鏈路壓力高
3)STP 生成樹、HSRP 冗余保護(hù)協(xié)議收斂速度慢
如何改變現(xiàn)有的網(wǎng)絡(luò)狀況,我們可以采用網(wǎng)絡(luò)虛擬化技術(shù),將同一層次的多臺(tái)網(wǎng)絡(luò)設(shè)備虛擬成一臺(tái)邏輯設(shè)備, 破除了原先網(wǎng)絡(luò)的環(huán)路,同時(shí)網(wǎng)絡(luò)設(shè)備數(shù)量急劇減少,網(wǎng)絡(luò)拓?fù)渥兂闪饲逦唵蔚臉湫尉W(wǎng)絡(luò)。
典型的網(wǎng)絡(luò)虛擬化技術(shù),例如IRF2,第二代智能彈性架技術(shù)。
IRF2 的核心思想是將多臺(tái)設(shè)備通過IRF 物理端口連接在一起,進(jìn)行必要的配置后,虛擬化成一臺(tái)“虛擬設(shè)備”,通過該“虛擬設(shè)備”來實(shí)現(xiàn)多臺(tái)設(shè)備的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)。如圖2 所示:
圖2 IRF 技術(shù)實(shí)例
IRF2 技術(shù)大大改善2 層網(wǎng)絡(luò)性能,這主要表現(xiàn)在:
1)簡化網(wǎng)絡(luò)結(jié)構(gòu),減少設(shè)備數(shù)量
IRF2 形成以后,從邏輯上而言是一臺(tái)設(shè)備,有統(tǒng)一的轉(zhuǎn)發(fā)表項(xiàng),包括MAC 表、ARP/ND 表、路由表和標(biāo)簽信息等。每個(gè)成員設(shè)備都有完整的轉(zhuǎn)發(fā)能力,當(dāng)它收到待轉(zhuǎn)發(fā)報(bào)文時(shí),直接查詢本機(jī)的轉(zhuǎn)發(fā)表項(xiàng)得到報(bào)文的出接口,以及下一跳和封裝信息,然后將報(bào)文從正確的出接口送出去。這個(gè)出接口可以在本機(jī)上也可以在其它成員設(shè)備上。IRF2 通過IRF 端口將報(bào)文從一臺(tái)成員設(shè)備送到其它成員設(shè)備的過程對(duì)外界是完全屏蔽的,例如對(duì)于三層報(bào)文來說,跨設(shè)備轉(zhuǎn)發(fā)跳數(shù)上只增加1 跳,即表現(xiàn)為只經(jīng)過了一個(gè)網(wǎng)絡(luò)設(shè)備。
IRF2 組網(wǎng)條件下,對(duì)整個(gè)網(wǎng)絡(luò)的配置管理發(fā)生了很大變化:原來的多臺(tái)物理設(shè)備現(xiàn)在成為一臺(tái)邏輯設(shè)備,也只有一個(gè)管理IP,其中所有的IRF 成員可以統(tǒng)一配置管理,不需要登錄到不同設(shè)備各自管理運(yùn)維。
2)鏈路聚合,分?jǐn)偤诵逆溌穳毫?/strong>
IRF2 支持的新型分布式聚合技術(shù)可以跨設(shè)備配置鏈路備份,用戶可以將不同成員設(shè)備上的物理以太網(wǎng)端口配置成一個(gè)聚合端口,從而有效分?jǐn)偤诵逆溌妨髁繅毫Α?/p>
IRF2 每個(gè)成員設(shè)備都有完整的二/三層轉(zhuǎn)發(fā)能力, 當(dāng)它收到待轉(zhuǎn)發(fā)的二/三層報(bào)文時(shí), 可以通過查詢本機(jī)的二/三層轉(zhuǎn)發(fā)表得到報(bào)文的出接口,以及下一跳,然后將報(bào)文從正確的出接口發(fā)送出去。
IRF 端口采用多個(gè)IRF 物理端口聚合形成,既可以實(shí)現(xiàn)流量的負(fù)載分擔(dān)提高帶寬,又能夠進(jìn)行互相備份。
3)STPHSPR 協(xié)議被取代
在虛擬化整合過程中, 被整合設(shè)備的互聯(lián)鏈路成為IRF2 的內(nèi)部線路,對(duì)IRF2 系統(tǒng)外部來說不可見。虛擬化整合后的IRF2 系統(tǒng),對(duì)外表現(xiàn)為單臺(tái)物理設(shè)備,因此,在保持網(wǎng)絡(luò)基本互聯(lián)條件下,可將一對(duì)IRF2 系統(tǒng)之間的多條線纜進(jìn)行鏈路捆綁聚合動(dòng)作, 從而將不同網(wǎng)絡(luò)層之間的網(wǎng)狀互聯(lián)簡化成單條邏輯鏈路。
使用IRF2 虛擬化后, 消除了原先網(wǎng)絡(luò)需要部署的STP 生成樹或HSRP 冗余保護(hù)協(xié)議,通過鏈路捆綁實(shí)現(xiàn)了鏈路和節(jié)點(diǎn)的保護(hù)倒換。4.2 分布式的虛擬端口組
隨著云計(jì)算規(guī)模的擴(kuò)大, 同一業(yè)務(wù)組的虛擬機(jī)跨越多個(gè)交換機(jī),形成同一個(gè)虛擬端口組分布在多個(gè)交換機(jī)上。虛擬端口組對(duì)應(yīng)同一業(yè)務(wù)組的所有虛擬機(jī),虛擬端口組的配置需要保持一致,包括端口基本配置、VLAN、QoS 及安全策略等, 對(duì)虛擬端口組內(nèi)的一個(gè)端口的配置修改,可以自動(dòng)同步到組內(nèi)的所有端口上。
可以通過網(wǎng)絡(luò)設(shè)備配置管理平臺(tái), 例如Solarwinds 配置管理模塊,實(shí)現(xiàn)在大二層網(wǎng)絡(luò)范圍內(nèi)的統(tǒng)一管理,同時(shí)虛擬機(jī)動(dòng)態(tài)遷移的時(shí)候網(wǎng)絡(luò)設(shè)備的配置也能夠保持同步。
4.3 虛擬交換機(jī)vSwitch
為了實(shí)現(xiàn)服務(wù)器內(nèi)虛擬機(jī)之間以及虛擬機(jī)同其他網(wǎng)絡(luò)之間的通信,出現(xiàn)了虛擬交換機(jī)vSwitch,其實(shí)現(xiàn)的基本原理就是在服務(wù)器內(nèi)部虛擬出一臺(tái)交換機(jī),完成虛擬機(jī)的通訊要求,這也是現(xiàn)階段服務(wù)器虛擬化軟件VMWare、XEN 等采用的方法, 即VEB (Virtual EthernetBridge)。
現(xiàn)階段vSwitch 的實(shí)現(xiàn)方式存在多方面的不足:
1)服務(wù)器內(nèi)部虛擬機(jī)的交換流量直接在服務(wù)器內(nèi)部的vSwitch 上完成,流量不可見,沒有辦法做到流量監(jiān)控;
2)服務(wù)器和網(wǎng)絡(luò)設(shè)備的管理界面不明確,隨之帶來業(yè)務(wù)部門和網(wǎng)絡(luò)部門管理上的不便;
3)沒有明確的安全域界面,不易部署安全策略。
通過VEPA 技術(shù)進(jìn)行改進(jìn), 將服務(wù)器內(nèi)部的vSwitch 改成一個(gè)邏輯通道,主要功能就是將虛擬機(jī)的流量轉(zhuǎn)到接入交換機(jī),由接入交換機(jī)實(shí)現(xiàn)虛擬機(jī)之間的流量轉(zhuǎn)發(fā),現(xiàn)有的交換機(jī)在轉(zhuǎn)發(fā)流量的時(shí)候都是不允許本端口轉(zhuǎn)發(fā),也就是從本端口進(jìn)來的流量不會(huì)從本端口再轉(zhuǎn)發(fā)出去,VEPA 就需要對(duì)現(xiàn)有的IEEE 802.1B 標(biāo)準(zhǔn)進(jìn)行修改,允許交換機(jī)本端口轉(zhuǎn)發(fā),實(shí)現(xiàn)虛擬機(jī)之間的相互通信。
通過VEPA 技術(shù),明確了服務(wù)器和網(wǎng)絡(luò)設(shè)備的界面分工,所有的流量都通過網(wǎng)絡(luò)設(shè)備,可以通過端口鏡像等技術(shù)輕松實(shí)現(xiàn)虛擬機(jī)流量的監(jiān)控,安全性得到保證,同時(shí)也明確了管理上的分工。
4.4 VLAN 擴(kuò)展
隨著運(yùn)營商IDC 云計(jì)算服務(wù)規(guī)模擴(kuò)展到多中心, 用戶數(shù)量的增加,用于隔離用戶的VLAN 數(shù)量已不能滿足要求,需要對(duì)VLAN 進(jìn)行擴(kuò)展。
云計(jì)算VLAN 擴(kuò)展方案一:QinQ 方案
QinQ 技術(shù),也稱Stacked VLAN 或Double VLAN。標(biāo)準(zhǔn)出自IEEE802.1ad, 其實(shí)現(xiàn)將用戶私網(wǎng)VLAN Tag 封裝在公網(wǎng)VLAN Tag 中,使報(bào)文帶著兩層VLAN Tag 穿越運(yùn)營商的骨干網(wǎng)絡(luò)(公網(wǎng))。QinQ 技術(shù)通過在以太幀中堆疊兩個(gè)802.1Q 包頭, 有效地?cái)U(kuò)展了VLAN 數(shù)目,使VLAN 的數(shù)目最多可達(dá)4096x4096 個(gè)。
通過用戶VLAN 和運(yùn)營商VLAN 的疊加實(shí)現(xiàn)VLAN 數(shù)量的擴(kuò)展,配置簡單、易維護(hù),但QinQ 方案接入網(wǎng)絡(luò)規(guī)模較小。
圖3 云計(jì)算VLAN 擴(kuò)展--QinQ 方案
云計(jì)算VLAN 擴(kuò)展方案二:VPLS 方案
VPLS 技術(shù)的核心就是采用三層信令、二層轉(zhuǎn)發(fā),將VPLS 技術(shù)應(yīng)用到數(shù)據(jù)中心內(nèi)部,實(shí)現(xiàn)VLAN 數(shù)量的擴(kuò)展,采用VPLS 技術(shù)后接入網(wǎng)絡(luò)規(guī)模大,可伸縮性強(qiáng),但是VPLS 方案配置復(fù)雜,維護(hù)難度增大。
圖4 云計(jì)算VLAN 擴(kuò)展--VPLS 方案
4.5 DC 之間資源調(diào)度
運(yùn)營商云計(jì)算服務(wù)的一大特點(diǎn)就是規(guī)模化,虛擬化資源池越大越好,通過規(guī)模化效應(yīng)降低成本,一個(gè)數(shù)據(jù)中心不夠就利用多個(gè)數(shù)據(jù)中心,因此數(shù)據(jù)中心之間的互聯(lián)和資源調(diào)度就成了運(yùn)營商IDC 在提供云計(jì)算服務(wù)時(shí)需要考慮的問題。
結(jié)合VLAN 擴(kuò)展方式的不同,數(shù)據(jù)中心的擴(kuò)展也有對(duì)應(yīng)的兩種方案。
云計(jì)算DC 間擴(kuò)展方案一:VPLS+QinQ 方案
數(shù)據(jù)中心內(nèi)部采用QinQ 方式擴(kuò)展VLAN 數(shù)量, 通過構(gòu)建專用的VPLS 網(wǎng)絡(luò)將城域范圍甚至廣域范圍內(nèi)的多個(gè)數(shù)據(jù)中心進(jìn)行二層互聯(lián),將云計(jì)算的資源池?cái)U(kuò)大到多個(gè)數(shù)據(jù)中心。
云計(jì)算DC 間擴(kuò)展方案二:VPLS 方案
數(shù)據(jù)中心內(nèi)部采用VPLS 方式擴(kuò)展VLAN 數(shù)量, 建立VPLS 核心網(wǎng)通道實(shí)現(xiàn)多個(gè)數(shù)據(jù)中心的VPLS 互聯(lián)。
