云内互联网络是云计算网络的核心,也是近年来新技术、新标准创新最为密集的地方。与传统数据中心网络相比,云计算数据中心内部互联网络面临着如下挑战:
• 从物理服务器互联到虚拟机的互联
传统数据中心网络互联对象是物理服务器的网卡(NIC),在云计算数据中心内,服务器虚拟化技术将大规模部署,物理服务器被虚拟化为虚拟机,物理网卡也被虚拟化为虚拟网卡(vNIC),因此在云计算数据中心内的网络互联将演变为面向虚拟机的互联。虚拟机与物理服务器相比,有着规模大、动态迁移等特点,这将对网络的性能、规格、安全策略及管理等多方面提出新的要求。
• 从小规模二层网络到大规模二层网络互联
传统数据中心通常是按照模块化的思路进行规模设计,网络设计与模块对应进行分区,在此模块化分区组网架构下,二层网络(VLAN)的范围一般仅局限在模块分区内部。在云计算数据中心内,通常按照资源池方式构建网络,为满足资源池内任意两台服务器/虚拟机均可进行业务集群或迁移调度,二层网络(VLAN)的范围需要扩大到整个资源池。从小规模二层网络大规模二层网络互联,会带来二层环路复杂、设备/链路利用率低、运维管理难度大等一系列问题。
• 从静态实体安全到动态虚拟安全
传统数据中心按照模块化分区的方式设计,安全边界清晰、安全域固定,网络层安全的部署一般在安全边界在线或旁挂FW、IPS等安全设备来实现,安全设备和策略与较固定,调整和更改的需求较少。在云计算数据中心内,由于计算和存储资源的虚拟化构成了资源池,安全边界模糊。而且这些资源会随着租户的需求随时进行调度与调整,安全域和安全策略时常会有变化与调整。如何让安全资源的部署与租户的虚拟IT资源进行绑定,并根据租户的要求进行灵活动态调整,是云计算数据中心内网络安全部署需要考虑的问题。
• 从孤立管理到智能联动管理
传统数据中心的基础IT资源管理平台通常包括“服务器/虚拟化管理平台”、“存储管理平台”、“网络管理平台”,这三个管理平台之间通常是“各自为政”,彼此是孤立的,各自由相应的管理员进行管理。云计算数据中心的管理平台在这三个管理平台之后,有一个全局的“云计算运营管理平台”或“Cloud OS”,由此对计算、存储和网络三大IT基础资源池进行全局的调度和资源编排,将这些资源以服务的形式交付给租户。为保证云计算运营管理平台能够对这三大基础IT资源进行管理,“服务器/虚拟化管理平台”、“存储管理平台”和“网络管理平台”需要向上提供云计算运营管理平台提供相关的接口调用,形成紧耦合,而不再是各自为政、彼此孤立。
针对上述四个方面的问题,H3C在“新一代数据中心解决方案”在基础上进行不断优化与完善,通过“虚拟机感知网络”、“增强二层网络”、“虚拟化动态安全”和“开放网络架构”来解决上述问题:
1.1 虚拟机感知网络
在云计算数据中心内,服务器虚拟化会大规模部署,如下图所示:
服务器虚拟化的大规模部署,会给网络带来以下两个大层面的问题:
(1) 网络设备的性能与功能规格
随着服务器虚拟化的大规模部署,网络中的业务流量和服务器主机表项(ARP/MAC等)会成10~20倍的增长,这对网络设备的性能和表项规格提出了更高的要求。流量模型从纵向流量网络切换成混合的方式,为保证网络的高性能,整网的收敛比要求较小,保证网络的低收敛甚至无收敛。网络从核心至接入各层均不应存在阻塞,还要具备对突发流量的承受能力。
S12500是中国国内第一款100G平台交换机,支持未来40GE和100GE以太网标准,整机可以提供576个万兆端口,提供高密度万兆接入能力;面对下一代数据中心突发流量,创新的采用了“分布式入口缓存”技术,可以实现数据200ms缓存,满足数据中心、高性能计算等网络突发流量的要求;为了满足数据中心级网络高可靠、高可用、虚拟化的要求,S12500采用创新IRF2(第二代智能弹性架构)设计,将多台高端设备虚拟化为一台逻辑设备,同时支持独立的控制引擎、检测引擎、维护引擎,为系统提供强大的控制能力和50ms的高可靠保障。
为了解决服务器虚拟化带来的高密度接入问题,H3C推出了新一代S5820高密万兆全线速交换机,提供48个万兆SFP+端口和4个40GE端口,而且每个40GE端口可方便扩展为4个万兆端口。同时提供前后可选风向风道,保证数据中心的高效散热。
(2) 虚拟机接入网络的管理与控制
服务器虚拟化之后如何网络进行对接,如何在网络层实现对虚拟机的管理与控制?将是云计算环境下网络面临的新问题。针对此问题,HP与H3C于2009年向IEEE EVB(Edge Virtual Bridging)组织提交了VEPA(Virtual Ethernet Port Aggregator)方案,此方案作为802.1Qbg标准草案立项,目前已经到Draft 2.1版本(2012年1月),而且得到了Juniper、IBM、Qlogic、Brocade等众多厂商的支持,H3C的产品和整体方案已在泰尔试验室测试通过。如下图所示:
VEPA方案的目标是要将虚拟机之间的交换从服务器内部移出到接入硬件交换机上,实现虚拟机之间的“硬交换”。采用这种方法,通常只需要对网卡驱动、VMM桥模块和外部交换机的软件做很小的改动,从而实现低成本方案目标,而且对当前网卡、交换机、现有以太网报文格式和标准影响最小。此方案具有性能高、控制力度强、配置管理简单等特点。
采用VEPA方案,虚拟机的流量都是通过物理接入层交换机完成,它的访问控制和报文下发策略也是基于物理接入层交换机,因此很好地避免了网络和服务器设备管理边界模糊的难题。VEPA标准协议VDP还能准确的感知虚拟机的工作状态,当虚拟机发生迁移时,VEPA协议会将与此相关的访问控制和报文下发等策略重新部署到新的接入交换机。
1.2 增强二层网络
云计算环境下,计算、存储资源通常以资源池的方式构建。池内虚拟机迁移与集群是两种典型的应用模型,这两种模型均需要二层网络的支持。随着云计算资源池的不断扩大,二层网络的范围正在逐步扩大:
大规模部署二层网络则带来的第一个问题就是二层环路问题。采用传统STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题,因此网络方案的设计需要重点考虑增强二层网络技术(如IRF/VSS、TRILL、VPLS等)的应用,以解决传统技术带来的问题。此外,云计算数据中心大二层网络由于虚拟机的迁移、集群,无序突发流量会大大增加,再另上业务系统的复杂性,使得突发流量还具有不可预测的特点,因此要求云计算数据中心设备具有超大缓存的特性。
针对二层环路的问题,H3C采用IRF2(第二代智能弹性架构)技术将多台网络设备虚拟化为一台,通过跨设备的链路捆绑消除网络环路,同时将这些设备作为一台统一管理、配置和使用。目前,基于增强的IRF2技术,H3C能将4台核心交换机虚拟化为1台,开创了核心设备虚拟化的新纪元,在行业内处于领先地位。
如上图所示,IRF2虚拟化技术不仅可以将多台物理设备简化成一台逻辑设备,而且使得网络各层之间的多条链路连接也变成两台逻辑设备之间的直连,因此可以将多条物理链路进行跨设备的链路聚合从而变成一台逻辑链路,这样避免了由多条链路引起的环路问题。
在云计算环境下,由于计算、存储资源的“池”化,并以服务器形式租赁给多租户,而租户的业务特征对云运营管理者透明的。因此网络的流量模型将变的模糊,流量的突发性也变得无法预知。针对云计算中心的突发流量,H3C交换机创新的采用了“分布式大缓缓存”技术,如下图所示:
1)“大缓存”---- S12500每万兆端口256MB Buffer,万兆全线速转发时可实现200ms的报文缓存,满足云计算数据中心高突发流量的需求;
2)“分布式”---- 将端口缓存由传统的Egress方向移至Ingress方向,在“多对一”的拥塞模型下,Ingress方向的缓存能力比传统Egress方向缓存提升了N倍(N为入端口数目)。可以更好的匹配云计算数据中心向多个WEB/APP服务器向单个DB服务器的流量模型。
1.3 虚拟化动态安全
云计算将IT资源进行虚拟化和池化,这些资源将以服务的形式动态分配给租户使用。对于云计算网络层的安全防护,需要解决下图所示的两个问题:
1. 位于同一物理服务器内的多个不同虚拟机之间的流量安全防护,此类流量有部分是直接通过vSwitch进行交互的,部署在外部网络层的防火墙策略将无法实现安全防护;
2. 随着云计算中心内新租户的上线和业务变更,传统静态的防火墙部署方式已经不能满足,需要将防火墙也进行虚拟化并交付给租户使用。
H3C动态虚拟安全的构建主要分4个层面,一是基于VEPA或VLAN将VM流量引出并进行识别,为下一步给不同流量部署不同级别安全策略作准备;二是防火墙资源动态分配,这是动态安全最为核心的一个步骤。通过1虚多的虚拟化技术,将一台防火墙设备虚拟化为多个虚拟墙vFW,根据不同的需要动态分配;三是通过SecBlade防火墙插卡平滑扩展规格,在H3C的核心设备如S12500/S10500/S95E/S75E/S58等设备上都能插上防火墙业务模块,满足虚拟防火墙数量和性能平滑扩展,实现大规模的运营;四是防火墙资源池统一管理,虚拟化的防火墙资源池能够在防火墙管理平台上进行可视化的统一管理和操作。如下图所示:
1.4 开放网络架构
为保证网络、安全资源能够被云计算运营平台良好的调度与管理,要求网络及安全设备、管理平台提供开放的API接口,云计算运营管理平台(CloudOS)能够通过API接口实现对网络资源的调度及管理。
H3C iMC网络管理平台将云计算网络资源封装成两类服务,可供云运营管理平台进行调用:
1. NaaS(网络即服务):此服务将网络资源及策略封装成API接口,CloudOS在将计算、存储资源交付给租户使用时,可以调用此接口来绑定网络资源(如VLAN、带宽、安全策略等)。实现网络资源与租户的紧耦合,不同租户拥用不同的网络资源。
2. CaaS(连接即服务):此服务将计算与网络的连接封装成API接口,与第三方的计算、及虚拟化平台进行信息交互,实现虚拟机的创建、迁移时网络的感知,并在网络管理平台上实现网络及虚拟交换机的管理。如下图所示:
