網(wǎng)絡(luò )設備在虛擬化后是否依舊可以快速提供良好的性能?這是目前大家最為關(guān)注的問(wèn)題之一。下面就討論一下傳統網(wǎng)絡(luò )設備和虛擬化后面臨的問(wèn)題以及怎樣使用網(wǎng)絡(luò )設備才能提供實(shí)時(shí)管理監控,保護SDN/NFV網(wǎng)絡(luò )的安全。
虛擬化的性能瓶頸
虛擬化進(jìn)程中,服務(wù)器虛擬化和存儲虛擬化因為大部分屬于軟件技術(shù),發(fā)展較為迅速,并快速商用。網(wǎng)絡(luò )虛擬化,是對網(wǎng)絡(luò )資源如端口、帶寬、IP地址等進(jìn) 行抽象,并支持按照租戶(hù)和應用進(jìn)行動(dòng)態(tài)分配和管理。網(wǎng)絡(luò )虛擬化因為網(wǎng)絡(luò )標準、網(wǎng)絡(luò )處理芯片更新周期長(cháng)而發(fā)展較為滯后,成為數據中心虛擬化過(guò)程中的難點(diǎn)和關(guān) 鍵點(diǎn)。網(wǎng)絡(luò )虛擬化技術(shù)走過(guò)了一條由軟件到硬件、由服務(wù)器內部到物理網(wǎng)絡(luò )的發(fā)展道路。
從很多方面來(lái)看,現在對網(wǎng)絡(luò )設備虛擬化已經(jīng)做的比較完善了,可以基于標準的x86架構的服務(wù)器硬件設備運行與之匹配的應用,但是性能卻一直不盡如人 意。不過(guò),即使是物理網(wǎng)絡(luò )設備,高速運行時(shí)性能也不太理想。這就是為什么大多數高性能設備使用分析加速硬件。盡管分析加速硬件釋放CPU進(jìn)行分析處理,但 大多數網(wǎng)絡(luò )設備依舊會(huì )將所有CPU處理能力用來(lái)執行任務(wù)。
從虛擬化角度來(lái)看,設備的虛擬化只能實(shí)現到一定程度。如果待處理的數據速率和數據數量比較低,那么就可以使用虛擬化設備。一旦數據速率和數量上升, 對虛擬設備的處理需求就會(huì )提高。首先,這就意味著(zhù)虛擬化設備需要單獨訪(fǎng)問(wèn)所有可用的CPU資源。即使那樣,使用標準NIC接口的虛擬化設備還是會(huì )遇到與物 理設備一樣的問(wèn)題,例如丟包率、時(shí)間戳精確性、跨多個(gè)可用的CPU內核的有效負載均衡等方面的問(wèn)題。
虛擬化性能優(yōu)化的努力
服務(wù)器虛擬化通過(guò)嵌入在基礎物理服務(wù)器和操作系統之間的中間軟件層Hypervisor實(shí)現,其接管操作系統對CPU、內存、I/O資源的控制,為 每個(gè)VM(Virtual Machine,虛擬機)分配一定的資源,并實(shí)現VM之間的隔離和通信。Hypervisor提供一個(gè)或多個(gè)模擬物理交換機的軟件虛擬交換機 vSwitch(Virtual Switch)來(lái)進(jìn)行VM之間的通信,并為每個(gè)VM分配一個(gè)虛擬網(wǎng)口和一定的帶寬。vSwitch除了具備物理交換機基本的MAC學(xué)習和轉發(fā)、VLAN功 能外,還具有配置靈活和成本低廉的優(yōu)點(diǎn)。由于vSwitch通過(guò)軟件實(shí)現,其分配的網(wǎng)絡(luò )資源實(shí)際還是由服務(wù)器CPU資源來(lái)保證。
軟件虛擬化交換機(包括I/O加速的vSwtich)雖然有部署靈活和便宜的優(yōu)點(diǎn),但也存在著(zhù)一些缺點(diǎn):第一,性能提升受限于CPU以及網(wǎng)卡的I /O架構;第二,軟件交換機實(shí)現的網(wǎng)絡(luò )功能相對簡(jiǎn)單,只實(shí)現了轉發(fā)功能,被稱(chēng)為VEB(虛擬網(wǎng)絡(luò )橋),缺少交換控制、網(wǎng)絡(luò )監視、QoS、安全等功能;第 三,管理界限模糊,軟件交換機運行在服務(wù)器內部,而服務(wù)器管理團隊對于網(wǎng)絡(luò )理解不深;第四,VM和vSwitch數量激增帶來(lái)的管理難題。為進(jìn)一步優(yōu)化性 能、簡(jiǎn)化管理并繼承傳統交換機特性,網(wǎng)絡(luò )設備商和相關(guān)標準組織提出邊緣交換機虛擬化技術(shù),把VM交換功能再進(jìn)一步由網(wǎng)卡卸載到物理交換機上來(lái)。涉及到的關(guān) 鍵技術(shù)有VEPA(Virtual Ethernet Port Aggregator)/Multi-Channel和PE(Port Extender)兩種,分別由IEEE 802.1Qbg和IEEE 802.1Qbh(現由IEEE802.1BR替代)兩個(gè)標準定義和推動(dòng)。
物理和虛擬的融合
事實(shí)上,物理設備即使虛擬化也無(wú)法擺脫曾經(jīng)面臨的那些問(wèn)題,需要將這些問(wèn)題一一解決。解決方法之一就是考慮采用物理設備監控、保護虛擬網(wǎng)絡(luò )。虛擬化 感知網(wǎng)絡(luò )設備可以作為“服務(wù)鏈”的環(huán)節同虛擬客戶(hù)端一起充當服務(wù)定義的一部分。這就要求網(wǎng)絡(luò )設備能夠識別虛擬網(wǎng)絡(luò ),目前這個(gè)工作由大部分高性能設備和分析 加速硬件所支持的VLAN封裝技術(shù)完成,確保設備提供與具體VLAN、虛擬網(wǎng)絡(luò )相關(guān)的分析功能。
在向SDN、NFV階段性轉移的過(guò)程中這個(gè)方法顯得尤為實(shí)用。人們廣泛的認為目前高性能的功能很難在實(shí)現虛擬化的同時(shí)保證性能幾乎不損耗。因此,務(wù) 實(shí)的解決方案所倡導的SDN和NFV管理、編排方法既考慮了物理網(wǎng)絡(luò )元素又考慮了虛擬網(wǎng)絡(luò )元素。這樣一來(lái),策略和配置無(wú)需考慮資源是否虛擬化了,只需要使 用相同的機制即可。
因此我們應該想到的是,引進(jìn)SDN和NFV需要一個(gè)通用的架構以及通用的接口和拓撲機制,將傳統的網(wǎng)絡(luò )管理、網(wǎng)絡(luò )安全解決方案和新的解決方案結合起來(lái)。只有這樣,才能隨時(shí)、隨地虛擬化網(wǎng)絡(luò )功能并且不影響整個(gè)網(wǎng)絡(luò )架構和進(jìn)程。
