传统的数据中心网络基本都为三层架构,主要是以控制南北数据流量为主,由于分布式数据中心及虚拟化和云计算的大规模使用,虚拟机的快速增长以及迁移也成为一个常态性业务,这些都受到了数据中心物理网络能力的约束,主要体现在以下3个方面:
1.虚拟机迁移范围受限
由于虚拟机迁移的网络属性要求,其从一个物理机上迁移到另一个物理机上,如果虚拟机不间断业务,则需要其IP、MAC等参数保持不变,这就要求分布在多地的数据中心网络处于同一个二层网络。传统的生成树(STP)技术不仅部署繁琐,而且协议复杂,限制了虚拟化的网络扩展;基于各厂商私有的IRF/vPC等设备级的虚拟化技术,虽能简化拓扑并提供高可靠性的能力,但是对于网络有强制的拓扑结构限制,在网络的规模和灵活性上有所欠缺,只适用于某个数据中心的内部网络;新出现的大规模二层网络技术TRILL/SPB/FabricPath,虽然支持二层网络的良好扩展,但对网络设备有特殊要求,网络中的设备需要软硬件升级才能支持此类新技术,部署成本高昂。
2.虚拟机规模受限
在大二层网络环境下,数据流均需要通过明确的网络寻址以保证准确到达目的地,因此网络设备的二层即MAC地址表的大小,成为决定云计算环境下虚拟机的规模上限,特别是低成本的TOR接入设备MAC表项一般规格更小,完全限制了整个数据中心的虚拟机数量。
3.虚拟机的隔离受限
VLAN数量在标准定义中可用的数量为4K,这样的数量级不足以支撑公有云或大型虚拟化及云计算应用,其网络隔离要求轻而易举会突破4K上限;VLAN技术当前为静态配置,整个数据中心的网络被允许所有VLAN通过(核心设备更是如此),这会导致VLAN的广播数据在整网泛滥,无节制消耗网络交换能力与带宽。
综上所述,数据中心的二层网络已经成为虚拟化和云计算发展的瓶颈,以前解决该问题的思路是把原先的网络架构改造为互通的大二层网络,但这样总是带来新的问题。本文则通过对新兴的多层虚拟化网络技术的分析,提出了基于Vxlan的Overlay虚拟化网络技术在数据中心的应用,着重构建和总结了其在数据中心中的三种组网模型,以期为解决目前的问题提供一种方法。
Overlay网络在分布式数据中心中的应用分析
Overlay网络模型
Overlay在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其他网络业务分离,并且以基于IP的基础网络技术为主,如图1所示。该网络中的结点可以看作通过虚拟或逻辑链路而连接起来的。具有独立的控制和转发平面,对于连接在Overlay边缘设备之外的终端系统来说,物理网络是透明的。Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化能力可以摆脱物理网络的重重限制,是实现云网融合的关键。
Overlay网络优势
1.针对虚拟机迁移范围受限的解决方法
Overlay把二层报文封装在IP报文之上,形成新的数据格式。因此,只要网络支持IP路由可达就可以部署Overlay网络,而IP路由网络本身已经非常成熟,且在网络结构上没有特殊要求。而且路由网络本身具备良好的扩展能力、故障自愈能力和负载均衡能力。采用Overlay技术后,不用改变原有网络架构即可用于支撑数据中心新的云计算业务,极方便用户部署。
2.针对业务规模受限的解决方法虚拟机数据封装在IP数据包中后,对网络只表现为封装后的的网络参数,即隧道端点的地址。因此,对于承载网络(特别是TOR交换机),MAC地址规格需求极大降低,最低规格也就是几十个(每个端口一台物理服务器的隧道端点MAC)。当然,对于核心/网关处的设备表项(MAC/ARP)要求依然极高,当前的解决方案仍然是采用分散方式,通过多个核心/网关设备来分散表项的处理压力。(另一种更分散的方式便是虚拟网络路由服务方式,详见后文描述)
3.针对网络隔离能力受限的解决方法在Overlay技术中将报文隔离标识的位数扩展,突破了二层网络只能支持4K以内的VLAN数量的限制,可以支持高达16M的用户,极大扩展了隔离数量。针对VLAN技术下广播风暴问题,Overlay对广播流量转化为组播流量,可以避免网络本身的无效流量消耗带宽资源。
Overlay网络的三种技术方案分析
IETF在Overlay技术领域提出三大技术方案:
1.Vxlan
Vxlan是将以太网报文封装在UDP传输层上的一种隧道转发模式,目的UDP端口号为4798;为了使Vxlan充分利用承载网络路由的均衡性,Vxlan通过将原始以太网数据头(MAC、IP、四层端口号等)的HASH值作为UDP的号;采用24比特标识二层网络分段,称为VNI(VxlanNetwork Identifier),类似于VLAN ID作用;未知目的、广播、组播等网络流量均被封装为组播转发,物理网络要求支持任意源组播(ASM)。
2.NVGRE
NVGRE是将以太网报文封装在GRE内的一种隧道转发模式;采用24比特标识二层网络分段,称为VSI(Virtual SubnetIdentifier),类似于VLAN ID作用;为了使NVGRE利用承载网络路由的均衡性,NVGRE在GRE扩展字段flowID,这就要求物理网络能够识别到GRE隧道的扩展信息,并以flowID进行流量分担;未知目的、广播、组播等网络流量均被封装为组播转发。
3.STT
STT利用了TCP的数据封装形式,但改造了TCP的传输机制,数据传输不遵循TCP状态机,而是全新定义的无状态机制,将TCP各字段意义重新定义,无需三次握手建立TCP连接,因此称为无状态TCP;以太网数据封装在无状态TCP;采用64比特Context ID标识二层网络分段;为了使STT充分利用承载网络路由的均衡性,通过将原始以太网数据头(MAC、IP、四层端口号等)的HASH值作为无状态TCP的源端口号;未知目的、广播、组播等网络流量均被封装为组播转发。
这三种二层Overlay技术,大体思路均是将以太网报文承载到某种隧道层面,差异性在于选择和构造隧道的不同,而底层均是IP转发。如表1所示为这三种技术关键特性的比较。
Vxlan 和STT对于现网设备对流量均衡要求较低,即负载链路负载分担适应性好,一般的网络设备都能对L2-L4的数据内容参数进行链路聚合或等价路由的流量均衡,而NVGRE则需要网络设备对GRE扩展头感知并对flow ID进行HASH,需要硬件升级;STT对于TCP有较大修改,隧道模式接近UDP性质,隧道构造技术属于革新性,且复杂度较高,而Vxlan利用了现有通用的UDP传输,成熟性极高。
总体比较,Vxlan技术相对具有优势:
1.位置无关性:业务可在任意位置灵活部署,缓解了数据中心的服务器虚拟化后相关的网络扩展问题;
2.可扩展性:在传统网络架构上规划新的Overlay虚拟网络,部署方便,同时避免了大二层的广播风暴,可扩展性强;
3.部署简单:由SDN Controller完成控制面的配置和管理,将数据中心虚拟机的网络调配完全脱离物理网络,避免了大规模的组播部署,提供了可靠性;
4.适合云业务:支持千万级别租户隔离,有力支持云业务的大规模部署;
5.技术成熟度高:利用了通用的UDP传输,成熟性极高,全球各大商用网络芯片大部分支持。
Vxlan控制平面隧道的三种实现方式
Vxlan控制平面隧道的实现方式主要分为三种:通过数据平面自学习、通过控制协议学习(利用扩展路由协议IS-IS或BGP完成Vxlan控制平面的地址学习)和通过SDN Controller实现,见表2。
三种实现方式对比可以发现,在现在的数据中心大规模的虚拟化环境中,Controller模式的优势最为明显。整个过程不需要物理网络支持大量组播组,而且协议已趋标准化,可扩展性强,可通过Controller集中管理和控制设备快速部署。
Overlay的vSwitch本身具备IP隧道的封装与解封装能力。因此,现在很多主流厂商都可以提供一种虚拟路由器来配合这种基本方式。可以将在硬件路由器中运行的软件,作为虚拟应用运行在虚拟主机中,提供Overlay网络的虚拟路由功能(即vRouter能力)。vRouter的接口同时连接到Vxlan的虚拟网络和Vlan基本功能的物理网络。
从vSwitch接收到的Vxlan数据包被解除封装后,进入vRouter路由接口,可以被路由到外部网络;反之,vRouter接收到外部网络的数据可以进入Vxlan网络,如图2所示。
该模型的中涉及Vxlan的功能均在虚拟服务器的vSwitch里实现,并且虚拟路由功能使得Vxlan虚拟网络的部署更加灵活,极大降低外部物理网络要求,但是对虚拟池整体的资源消耗却极大。
本互联模型使用虚拟服务器中的vSwitch专门作为Vxlan的Gateway功能,解决Vxlan虚拟网络内部的虚拟服务器的互通,而数据的路由功能则由外部网络的物理路由器来承担,可以提供更高和更可靠的对外信息服务的能力。
该模型相比第一种模型,除了不具备虚拟路由能力外,Overlay的功能也是通过虚拟服务器环境中的vSwitch来实现。在解决Vxlan内部互通的同时,能够实现虚拟服务器与非虚拟化的服务器之间二层数据的通信要求,是虚机到物理机或物理机到虚机的迁移更为便捷,如图3所示。
当物理交换机支持Vxlan功能时,则pSwitch与vSwicth可以实现Overlay的统一虚拟化组网。物理交换机执行VxlanGateway功能,不仅可以实现Overlay网络在物理网络上的终结,也可以支持虚拟服务器与非虚拟化服务器的混合组网。因为基于物理实现(物理交换机+物理路由器),所以网络整体性能远比前两种组网模型高,而且稳定性也是最好的。
但是现在物理交换机对于Vxlan的支持还不是很成熟,各个厂商物理设备之间的接口可能不是很标准,难免出现不能互通的问题。但是因为优势明显,这个模式是数据中心虚拟网络结构发展的方向,如图4所示。
在数据中心的发展过程中,计算虚拟化和存储虚拟化已经取得长足发展,但网络虚拟化一直是云业务资源虚拟化的短板。本文通过分析Overlay的三种主流技术,提出了三种基于Vxlan的Overlay虚拟网络架构在数据中心的互联网络模型。但Overlay技术并不是非常成熟,还需要较长时间发展和应用,随着应用的不断深入,仍有大量关键问题需要深入研究。