文/王宏偉

根據(jù)Gartner調(diào)查顯示，2009年有18%的服務器工作負載是運行在虛擬化服務器上的，這個數(shù)字到今年將達到28%，到2012年將接近50%。由于服務器虛擬化的廣泛應用和優(yōu)勢明顯，虛擬化技術(shù)因而也迅速得到了擴散，存儲虛擬化、網(wǎng)絡虛擬化……，虛擬化技術(shù)在數(shù)據(jù)中心的應用不斷深入，涉及到數(shù)據(jù)中心的每一個領(lǐng)域，這些都在潛移默化的影響著數(shù)據(jù)中心的未來建設。

一、     什么是服務器虛擬化？

虛擬化實際上是一個廣義的術(shù)語，在計算機方面通常是指計算元件在虛擬的架構(gòu)上而不是真實的架構(gòu)上運行。虛擬化技術(shù)的一個典型應用就是服務器虛擬化技術(shù)，在服務器虛擬化技術(shù)中，同一臺物理服務器上可以同時運行多個操作系統(tǒng)，可以通過虛擬化技術(shù)的應用，模擬出多臺邏輯上的服務器設備，而且每一個操作系統(tǒng)中可以運行獨立的應用系統(tǒng)。服務器虛擬化技術(shù)可以實現(xiàn)服務器物理資源到邏輯資源的轉(zhuǎn)變，讓一臺服務器變成幾臺甚至上百臺相互隔離的虛擬服務器，或者讓幾臺服務器變成一臺服務器來用，使用戶不再受限于物理上的界限，而是讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動態(tài)管理的“資源池”，來靈活的進行資源的分配和調(diào)整。

二、     服務器虛擬化給數(shù)據(jù)中心網(wǎng)絡帶來的挑戰(zhàn)

服務器虛擬化的應用雖然給企業(yè)帶來新的活力，但就像一部電腦，雖然更換了一個強勁的CPU，但是如果其他關(guān)鍵配置沒有做出相應的改變，那么其瓶頸依然存在，最終無法發(fā)揮出最優(yōu)的效率，數(shù)據(jù)中心也是如此，服務器虛擬化技術(shù)的應用給網(wǎng)路帶來的影響，使得與其緊密相關(guān)的網(wǎng)絡資源同樣需要進行針對性的調(diào)整：

l  服務器的利用率從20%提高到80%，服務器端口流量大幅提升，對數(shù)據(jù)中心網(wǎng)絡承載性能提出了巨大的挑戰(zhàn)，對網(wǎng)絡可靠性要求也更高；

l  多種應用部署在同一臺物理服務器上運行，使網(wǎng)絡流量在同一臺物理服務器上產(chǎn)生疊加，流量模型更加不可控；

l  服務器虛擬化技術(shù)的應用必然伴隨著虛擬機的遷移，這種遷移需要一個苛刻的網(wǎng)絡環(huán)境來保障；

l  虛擬機的部署和遷移，使得安全策略的部署變得復雜和無助，需要一個動態(tài)的機制來對數(shù)據(jù)中心進行防護。

三、     數(shù)據(jù)中心網(wǎng)絡解決之道

l  端到端萬兆網(wǎng)絡解決服務器虛擬化帶來的性能挑戰(zhàn)

虛擬化給網(wǎng)絡帶來了性能挑戰(zhàn)，但提升網(wǎng)絡的整體性能需要有的放矢。首先需要明確網(wǎng)絡的瓶頸究竟在哪里。根據(jù)目前大量的案例和實踐總結(jié)分析，數(shù)據(jù)中心網(wǎng)絡主要面臨兩個瓶頸：一是數(shù)據(jù)中心的核心交換設備，它做為數(shù)據(jù)中心所有業(yè)務系統(tǒng)之間，以及業(yè)務系統(tǒng)和用戶之間的交換樞紐，將會是所有流量匯集的地方，所以網(wǎng)絡核心的性能壓力最大，是可能的瓶頸所在。另一個就是安全設備，安全設備的性能往往落后于網(wǎng)絡設備一個級數(shù)，而其在企業(yè)數(shù)據(jù)中心的部署又是必不可少的防護措施，所以如何突破安全的性能瓶頸至關(guān)重要。

網(wǎng)絡技術(shù)和數(shù)據(jù)中心的發(fā)展，同樣推動了數(shù)據(jù)中心級交換機的出現(xiàn)，目前數(shù)據(jù)中心級的核心交換機（例如：H3C的S12500和Cisco的Nexus 7000）已經(jīng)成為了數(shù)據(jù)中心網(wǎng)絡核心的寵兒?；?span lang="EN-US">CLOS的多級交換架構(gòu)，使其具備了10T以上的交換容量，能夠支持高密度的萬兆端口和未來的100GE標準，具有更好的擴展性，能夠很好的緩解數(shù)據(jù)中心網(wǎng)絡核心的交換壓力，解決核心網(wǎng)絡性能瓶頸。另一方面，雖然部門高端安全設備已經(jīng)搭建在10G平臺之上，但依然不能滿足對其在性能上的高要求，所以目前最好的解決方法就是將萬兆的安全設備與網(wǎng)絡設備結(jié)合部署，通過在網(wǎng)絡設備中部署支持安全模塊實現(xiàn)性能累加，該方式在當前的數(shù)據(jù)中心建設中已經(jīng)逐漸成為了主流方案，不但可以解決安全設備帶來的性能瓶頸，而且可以解決安全系統(tǒng)部署在可靠性上和空間上遇到的種種難題。

因此，在數(shù)據(jù)中心網(wǎng)絡部署時，核心交換設備建議部署基于100G平臺數(shù)據(jù)中心設備，以保障網(wǎng)絡的性能和可靠性；在匯聚層通過部署萬兆交換機及嵌入式安全業(yè)務模塊，來消除安全系統(tǒng)的性能瓶頸，并提供更好的擴展性（如圖1所示）。

圖1. 高性能數(shù)據(jù)中心網(wǎng)絡部署

l  分布式緩存應對虛擬環(huán)境下的突發(fā)流量沖擊

絕大多數(shù)應用系統(tǒng)的流量模型都有一定周期性（即流量波峰的出現(xiàn)時間），就像乘坐電梯一樣，通常都是上下班時間客流最多，其他時間電梯基本處于空閑狀態(tài)。但突發(fā)流量已經(jīng)成為了數(shù)據(jù)中心網(wǎng)絡系統(tǒng)面對的最棘手的問題之一，其難點在于業(yè)務的變化使得無法準確評估出其出現(xiàn)的峰值、精確的時間。服務器實現(xiàn)虛擬化后，多個應用的疊加產(chǎn)生的突發(fā)流量就更加難以衡量和控制。所帶來的直接影響就是造成網(wǎng)絡擁塞，嚴重的甚至會導致業(yè)務中斷。

要解決這個問題，首先需要分析哪里會產(chǎn)生擁塞？網(wǎng)絡的擁塞只有兩種情況，一種是多個端口向一個端口發(fā)送數(shù)據(jù)的情況，另一種就是高速端口向低速端口發(fā)送數(shù)據(jù)的情況。找出擁塞節(jié)點并增加其帶寬，可以解決一部分問題，但是對于數(shù)據(jù)中心中復雜的業(yè)務模型和應用的變更而言并不適用，更加實際和行之有效的方法就是利用分布式緩存技術(shù)。所謂分布式緩存技術(shù)，主要是相對于傳統(tǒng)設備的出端口緩存技術(shù)而言的。傳統(tǒng)的網(wǎng)絡設備，緩存都是部署在設備的出端口，該技術(shù)可以緩解網(wǎng)絡中高速端口向低速端口發(fā)送數(shù)據(jù)時產(chǎn)生的擁塞，但是對于網(wǎng)絡中存在的多個端口向一個端口發(fā)送數(shù)據(jù)的情況卻是無能為力。分布式緩存通過對傳統(tǒng)的出端口緩存機制進行改良，將端口緩存置于入端口，這樣的實現(xiàn)方式可以靈活的根據(jù)入端口數(shù)量來動態(tài)的調(diào)整可用緩存的容量，可以很好的解決數(shù)據(jù)中心網(wǎng)絡環(huán)境中突發(fā)流量在上述兩種情況下帶來的網(wǎng)絡擁塞，提高業(yè)務連續(xù)性。

所以，在數(shù)據(jù)中心的網(wǎng)絡部署時，為了應對網(wǎng)絡核心處交互式流量的過載而產(chǎn)生的擁塞，需要在網(wǎng)絡的核心位置部署分布式緩存機制的數(shù)據(jù)中心設備；在接入層可以通過縮小收斂比來減少服務器上行流量帶來的沖擊，并要求網(wǎng)絡設備具備一定的緩存能力，來緩解下行流量對接入交換機的影響（如圖2所示）。

圖2. 數(shù)據(jù)中心網(wǎng)絡過載點及應對措施

l  網(wǎng)絡虛擬化為虛擬機遷移鋪平道路

當虛擬機在物理服務器之間進行遷移，為了避免虛擬機遷移后路由的震蕩和修改網(wǎng)絡規(guī)劃，遷移只能在二層域進行，因此數(shù)據(jù)中心需要具備一個性能更高、二層域更大的網(wǎng)絡環(huán)境為遷移提供保障。在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡中，都是通過STP+VRRP的方式進行網(wǎng)絡拓撲設計，但由于STP+VRRP的設計和維護都比較復雜，這種設計在很大程度上阻礙了其二層域的擴大，隨著服務器的數(shù)量和網(wǎng)絡設備的增多，這種網(wǎng)絡設計方式將會變得無法實施。同時，虛擬機的遷移對網(wǎng)絡的可用性要求也非常高，在STP+VRRP的組網(wǎng)中，如果鏈路出現(xiàn)故障，其收斂時間都在秒級，增加了應用系統(tǒng)遷移的限制。

以上問題可以通過網(wǎng)絡虛擬化技術(shù)來解決，在數(shù)據(jù)中心的應用中，網(wǎng)絡虛擬化主要是通過將多臺物理設備虛擬成一臺邏輯設備的方式，來減少設備節(jié)點，并通過跨設備鏈路聚合技術(shù)取代傳統(tǒng)部署方式中的STP+VRRP協(xié)議，使網(wǎng)絡拓撲變得簡潔，具備更強的擴展性，以滿足虛擬機遷移所需要構(gòu)建的二層網(wǎng)絡環(huán)境，同時，其毫秒級的故障收斂時間，為虛擬機遷移提供了更加寬松的實現(xiàn)環(huán)境(如圖3所示)。

網(wǎng)絡虛擬化技術(shù)主要在數(shù)據(jù)中心交換機上實現(xiàn)，在服務器接入層、網(wǎng)絡匯聚層、核心層可以分別進行部署。當前業(yè)內(nèi)最成熟、在數(shù)據(jù)中心中應用最廣泛的虛擬化技術(shù)包括H3C的IRF2（Intelligent Resilient Framework 2，第二代智能彈性架構(gòu)）和Cisco的VSS（Virtual Switching System，虛擬交換系統(tǒng)），這兩種技術(shù)都可以幫助企業(yè)來構(gòu)建一個虛擬網(wǎng)絡架構(gòu)，其中IRF2技術(shù)目前已經(jīng)被H3C全系列數(shù)據(jù)中心交換機所支持（包括S12500、S9500E、S7500E、S5800、S5500、S5120等），VSS技術(shù)被C6500交換機支持。

圖3. 傳統(tǒng)網(wǎng)絡架構(gòu)向虛擬化網(wǎng)絡架構(gòu)的轉(zhuǎn)變

l  安全虛擬化實現(xiàn)動態(tài)安全策略的部署

在數(shù)據(jù)中心中，安全策略的部署一直是一個有挑戰(zhàn)的任務，需要根據(jù)具體服務器的應用特點對不同類型的應用系統(tǒng)制定不同級別的防護策略。在傳統(tǒng)的數(shù)據(jù)中心中，由于應用系統(tǒng)和服務器區(qū)域基本都是固定不變的，所以安全策略僅在規(guī)劃初期工作量較大，后期更多的是進行策略的更新和細微的調(diào)整。然而在虛擬化環(huán)境下則完全不同，應用系統(tǒng)和服務器是自由匹配和隨需遷移的關(guān)系，每一次虛擬機的遷移對應安全策略的改變和調(diào)整，如果不能實現(xiàn)動態(tài)的配置調(diào)整，對于虛擬環(huán)境下安全策略的部署將不具備可實施性。

在數(shù)據(jù)中心網(wǎng)絡進行虛擬化整合的基礎上進行安全虛擬化，將部署的安全業(yè)務系統(tǒng)進行邏輯的分割，即將一臺安全設備/模塊分割成若干臺邏輯安全設備，分割后的邏輯網(wǎng)絡內(nèi)部有獨立的數(shù)據(jù)通道，對數(shù)據(jù)中心網(wǎng)絡安全資源進行更加細致的劃分，可以根據(jù)業(yè)務特征在邏輯網(wǎng)絡內(nèi)進行靈活的安全策略的部署和匹配，實現(xiàn)虛擬機遷移后對應的安全策略也隨之動態(tài)遷移，掃清數(shù)據(jù)中心服務器虛擬化實施所帶來的安全策略部署的困難。在部署時，網(wǎng)絡設備和安全設備都需要支持虛擬化技術(shù)，網(wǎng)絡設備通過多虛一的方式整合網(wǎng)絡，然后在其基礎上部署支持虛擬化技術(shù)（一虛多的方式,例如：虛擬防火墻技術(shù)）的安全設備/模塊，最終實現(xiàn)虛擬環(huán)境下動態(tài)的安全策略部署。

圖4. 從靜態(tài)安全策略向虛擬環(huán)境下動態(tài)安全策略轉(zhuǎn)變

四、     總結(jié)

虛擬化技術(shù)在數(shù)據(jù)中心的整合、簡化流程、災難恢復備份、實現(xiàn)企業(yè)業(yè)務一致性等方面都起到了很重要的作用。本文主要針對計算虛擬化給數(shù)據(jù)中心網(wǎng)絡帶來的變革進行了簡單的分析，實際上在計算虛擬化的實施過程中，給數(shù)據(jù)中心的影響不止局限在網(wǎng)絡上，其給存儲系統(tǒng)和管理系統(tǒng)也同樣帶來了嚴峻的挑戰(zhàn)，需要我們投入更多的精力去分析和解決，為迎接云計算時代的到來做好充分的準備。