關(guān)于網(wǎng)絡(luò )虛擬化的完備指南

針對如何優(yōu)化數據中心以太網(wǎng)，支持其提供服務(wù)器虛擬化，已經(jīng)出現了很多新的和推薦的協(xié)議。其中有些協(xié)議的目的是希望通過(guò)創(chuàng )建多個(gè)可共享同一物理基礎設施的虛擬以太網(wǎng)來(lái)實(shí)現網(wǎng)絡(luò )虛擬化，其共享方式有些類(lèi)似于多個(gè)虛擬機共享同一臺物理服務(wù)器。

適用于網(wǎng)絡(luò )虛擬化的大部分協(xié)議基本上都是利用封裝和隧道技術(shù)來(lái)創(chuàng )建虛擬網(wǎng)絡(luò )覆蓋的。其中業(yè)界討論最多的協(xié)議包括VXLAN、NVGRE、STT和SPB MAC-in-MAC。SPB已是IEEE標準，而在有可能成為IETF標準的各種協(xié)議中，最有可能成為標準的是VXLAN。

傳統意義的網(wǎng)絡(luò )虛擬化

網(wǎng)絡(luò )實(shí)體的一對多虛擬化并不是什么新概念。最常見(jiàn)的例子就是VLAN和VRF(虛擬路由與轉發(fā))。

VLAN可將網(wǎng)絡(luò )劃分為最多4094個(gè)廣播域，在以太網(wǎng)報頭中為每個(gè)廣播域指定一個(gè)12位的VLAN ID。VLAN是在共享同一個(gè)包交換LAN基礎設施中隔離不同類(lèi)型流量的一種很方便的方法。

數據中心在大量使用著(zhù)服務(wù)器虛擬化，而VLAN數量上的限制可能產(chǎn)生問(wèn)題，尤其當大量的租戶(hù)需要獲得支持，每個(gè)租戶(hù)都需要多個(gè)VLAN的時(shí)候。借助802.1Q的trunk鏈路可在數據中心內部擴展VLAN以便支持VM(虛擬機)的移動(dòng)性，但這樣會(huì )增加運營(yíng)成本和復雜程度。即便在基于2層的服務(wù)器-服務(wù)器連接的數據中心里，大量的VM每個(gè)都有自己的MAC地址，也會(huì )給2層交換機的轉發(fā)表功能帶來(lái)負擔。

VRF是3層網(wǎng)絡(luò )虛擬化的一種，其中的物理路由器支持多個(gè)虛擬路由器實(shí)例，每個(gè)實(shí)例都運行自己的路由協(xié)議實(shí)例，維護自己的轉發(fā)表。

和VLAN不同，VRF不會(huì )在報頭中使用標簽為每個(gè)分組指定具體的VRF。在每一跳都會(huì )根據輸入接口和幀的信息獲得適當的VRF。另外一個(gè)要求是，在數據包經(jīng)過(guò)的端到端路徑中的每一個(gè)中轉路由器都需要配置一個(gè)VRF實(shí)例，以便能夠轉發(fā)該數據包。

利用覆蓋的網(wǎng)絡(luò )虛擬化

由于傳統VLAN或VRF模式存在缺陷，于是開(kāi)始涌現出眾多創(chuàng )建虛擬網(wǎng)絡(luò )的新技術(shù)。其中大多數都是采用封裝和隧道技術(shù)，在同一個(gè)物理網(wǎng)絡(luò )上通過(guò)覆蓋來(lái)構建多個(gè)虛擬網(wǎng)絡(luò )拓撲。

一個(gè)虛擬網(wǎng)絡(luò )可以是2層的或3層的網(wǎng)絡(luò )，而物理網(wǎng)絡(luò )可以是2層的、3層的，或者兩者結合的網(wǎng)絡(luò )，這要取決于采用了何種覆蓋技術(shù)。利用覆蓋技術(shù)，外層(封裝)報頭包含一個(gè)24位長(cháng)的域，攜帶一個(gè)虛擬網(wǎng)絡(luò )實(shí)例ID(VNID)，給要轉發(fā)的數據包專(zhuān)門(mén)指定一個(gè)虛擬網(wǎng)絡(luò )。

虛擬網(wǎng)絡(luò )的覆蓋可提供眾多的好處，包括：

● 可支持基本上沒(méi)有數量限制的虛擬網(wǎng)絡(luò );例如24位報頭可創(chuàng )建高達1600萬(wàn)個(gè)虛擬網(wǎng)絡(luò )。

● 可解耦虛擬網(wǎng)絡(luò )拓撲、服務(wù)類(lèi)別(L2或L3)和物理網(wǎng)絡(luò )尋址。這種解耦可避免出現諸如物理交換機上MAC表過(guò)大的問(wèn)題。

● 支持虛擬機的遷移與物理網(wǎng)絡(luò )的無(wú)關(guān)性。如果一個(gè)VM要改變位置，甚至遷移到新的子網(wǎng)，在覆蓋邊緣的交換機只須更新其映射表便可反映出這個(gè)VM的新位置。新的VM的網(wǎng)絡(luò )完全可在網(wǎng)絡(luò )邊緣進(jìn)行預配置。

● 管理多個(gè)租戶(hù)間相互覆蓋IP地址的能力。

● 在虛擬網(wǎng)絡(luò )中支持多路徑轉發(fā)。

各種覆蓋協(xié)議之間的主要差異在于其封裝格式和控制平面的功能性，即允許入口(封裝)設備將一個(gè)幀映射到適當的出口(拆裝)設備。

VXLAN

虛擬可擴展LAN(VXLAN)是在一個(gè)3層網(wǎng)絡(luò )上借助MAC-in-UDP封裝，疊加一個(gè)2層網(wǎng)絡(luò )來(lái)實(shí)現網(wǎng)絡(luò )虛擬的。VXLAN網(wǎng)段是一個(gè)3層構建，可替代VLAN為數據中心的VM生成LAN網(wǎng)段。

因此，一個(gè)VM只能在一個(gè)VXLAN段內通信或遷移。該VXLAN段有一個(gè)24位的VXLAN網(wǎng)絡(luò )標識符。VXLAN對VM來(lái)說(shuō)是透明的，仍可使用MAC地址來(lái)通信。VXLAN封裝借助所謂VXLAN隧道端點(diǎn)(VTEP)來(lái)完成，該端點(diǎn)一般是通過(guò)一臺hypervisor交換機或物理接入交換機來(lái)提供的。

VXLAN封裝允許2層與任何端點(diǎn)進(jìn)行通信，只要該端點(diǎn)在同一個(gè)VXLAN網(wǎng)段內即可，即便這些端點(diǎn)是在不同的IP子網(wǎng)內也沒(méi)有關(guān)系。這可以讓VM的實(shí)時(shí)遷移越出3層邊界。因為MAC幀是在IP包內封裝的，因此對個(gè)別的2層交換機來(lái)說(shuō)是無(wú)需知道MAC地址的。

這樣做可以減輕交換機出現MAC地址表的硬件容量問(wèn)題。覆蓋的IP和MAC地址可由VXLAN ID來(lái)處理，這個(gè)VXLAN ID就像是特定VXLAN網(wǎng)段的限定符/標識符，在這一網(wǎng)段內，IP和MAC地址都是有效的。這種VXLAN控制解決方案是使用基于任意源組播(ASM)的泛紅來(lái)傳播端系統位置信息的。

如上所述，VXLAN采用的是MAC-in-UDP封裝。這么做的理由之一是現代的3層設備可解析5元組(包括4層的源和目的端口)。VXLAN雖然采用了清晰明確的目的UDP端口，但源UDP端口卻可以是任何值。因此一個(gè)VTEP便可從跨很多UDP源端口的單一VM上傳播所有的流。這樣便允許中轉的3層交換機在僅有的兩個(gè)VM之間充分利用多路徑，甚至是多流的優(yōu)勢。

在一個(gè)VXLAN覆蓋網(wǎng)絡(luò )上，如果VXLAN節點(diǎn)需要和網(wǎng)絡(luò )的傳統網(wǎng)段(例如VLAN)中的節點(diǎn)通信，可以用一個(gè)VXLAN網(wǎng)關(guān)來(lái)執行要求的隧道終端功能，包括封裝/拆裝。該網(wǎng)關(guān)的功能可利用硬件或軟件來(lái)實(shí)現。

VXLAN是IETF標準草案的一個(gè)子集，支持廠(chǎng)商有VMware、思科、Arista網(wǎng)絡(luò )、博科、紅帽和Citrix。IBM也支持VXLAN。在hypervisor vSwitch和物理交換機上實(shí)現這個(gè)預標準的現象已開(kāi)始出現。

NVGRE

采用通用路由封裝的網(wǎng)絡(luò )虛擬化(NVGRE)用的是RFC 2784和RFC 2890所定義的GRE隧道協(xié)議。NVGRE在很多方面和VXLAN相似，只有兩處例外。雖然GRE封裝不是什么新概念，但大多數網(wǎng)絡(luò )設備卻不會(huì )去解析硬件的GRE報頭，因為這樣做可能影響性能，在多路徑數據中心LAN中解析流量分發(fā)的5元組哈希表也可能產(chǎn)生問(wèn)題。

另一個(gè)例外是現有的IETF NVGRE標準草案并沒(méi)有為前面在講述一般的網(wǎng)絡(luò )覆蓋時(shí)所提到的控制平面功能指定一種解決方案，這可能得留待未來(lái)的草案去解決，或者留待SDN控制器去解決。

支持NVGRE的一些廠(chǎng)商(例如微軟和Emulex)認為，某些性能問(wèn)題可通過(guò)智能網(wǎng)卡來(lái)解決，即用智能網(wǎng)卡卸載hypervisor vSwitch上的NVGRE端點(diǎn)處理。智能網(wǎng)卡還擁有與覆蓋控制器和hypervisor管理系統集成的API。Emulex還演示過(guò)可卸載VMware分布式交換機的VXLAN處理的智能網(wǎng)卡。