隨著數(shù)字化校園建設(shè)的不斷深化、用戶應(yīng)用的快速發(fā)展和信息孤島資源的逐漸整合，數(shù)據(jù)中心的服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備不斷地增長和集中，使得數(shù)據(jù)中心的網(wǎng)絡(luò)系統(tǒng)變得非常復(fù)雜，服務(wù)器、存儲設(shè)備、虛擬機的增加也帶來了數(shù)據(jù)中心應(yīng)用資源的增加，數(shù)據(jù)中心資源管理以及虛擬化整合也成為亟待解決的問題。數(shù)據(jù)中心的虛擬化由此成為了數(shù)據(jù)中心建設(shè)的一個重要的發(fā)展趨勢。

    虛擬化數(shù)據(jù)中心被也稱為下一代數(shù)據(jù)中心，而支持其得以實現(xiàn)的核心技術(shù)包括：服務(wù)器虛擬化、存儲虛擬化以及網(wǎng)絡(luò)虛擬化。其中服務(wù)器的虛擬化是虛擬化數(shù)據(jù)中心的核心技術(shù)，借助不同應(yīng)用分配不同配置的虛擬機，虛擬機的應(yīng)用使得應(yīng)用服務(wù)的物理資源得以整合；存儲虛擬化是將不同的存儲資源虛擬成一個“存儲池”，把零散的存儲資源整合起來，然后再從“存儲池”中分配存儲容量，從而提高整體利用率，同時降低系統(tǒng)管理成本；網(wǎng)絡(luò)虛擬化是使用基于軟件的抽象從物理網(wǎng)絡(luò)元素中分離網(wǎng)絡(luò)流量的一種方式，它抽象隔離了網(wǎng)絡(luò)中的交換機、網(wǎng)絡(luò)端口、路由器以及其他物理元素的網(wǎng)絡(luò)流量。每個物理元素被網(wǎng)絡(luò)元素的虛擬表示形式所取代。管理員能夠?qū)μ摂M網(wǎng)絡(luò)元素進行配置以滿足其獨特的需求。

    具有虛擬化功能的智能網(wǎng)絡(luò)與統(tǒng)一網(wǎng)絡(luò)的結(jié)合是保證服務(wù)器虛擬化性能和存儲虛擬化之關(guān)鍵。然而目前還沒有特別可行的虛擬化網(wǎng)絡(luò)方案，因此本文針對校園網(wǎng)建設(shè)的具體需求，提出了一種網(wǎng)絡(luò)虛擬化方案，目的在現(xiàn)有的虛擬化的平臺下，設(shè)計合理、健壯、安全的虛擬化網(wǎng)絡(luò)。

1 問題描述

    數(shù)據(jù)中心虛擬化的網(wǎng)絡(luò)涉及網(wǎng)絡(luò)物理設(shè)備的虛擬化即網(wǎng)絡(luò)虛擬化及在虛擬化平臺下虛擬化網(wǎng)絡(luò)的實現(xiàn)。目前存在如下兩個主要的問題。

    1．1問題1

    數(shù)據(jù)中心在出現(xiàn)虛擬化服務(wù)器模式之前，應(yīng)用程序與物理資源捆綁在一起，所需要的全部網(wǎng)絡(luò)功能均在服務(wù)器外部來完成。分組交換和路由選擇等操作以及防火墻和入侵防御等網(wǎng)絡(luò)安全功能均在遠離主機服務(wù)器端的設(shè)備層中完成。在對主機資源進行虛擬化時，將應(yīng)用程序與服務(wù)器的比例由1：1調(diào)整為N：1，有可能N個服務(wù)共享有限上聯(lián)網(wǎng)絡(luò)接口，從而導(dǎo)致單一網(wǎng)絡(luò)交換機數(shù)據(jù)流量成本增加，形成數(shù)據(jù)傳輸瓶頸，而且一旦該上聯(lián)的交換機出現(xiàn)故障，那么該主機下的所有服務(wù)將停止，如何合理、高效使用這些網(wǎng)絡(luò)接口，并提供可靠的冗余成為本文設(shè)計網(wǎng)絡(luò)必須考慮的問題。

    1．2問題2

    隨著越來越多的校園應(yīng)用系統(tǒng)服務(wù)器遷移或者搭建在虛擬化平臺上，數(shù)據(jù)中心內(nèi)部的物理網(wǎng)口越來越少，以往基本上每個提供web服務(wù)的系統(tǒng)就需要一個以太網(wǎng)口，而現(xiàn)在提供web服務(wù)的系統(tǒng)就是駐留在一臺物理服務(wù)器的一個虛擬機，并且X86 cpu性能的提供，往往一臺物理服務(wù)器可以跑上百個服務(wù)，而它們共享一條上聯(lián)網(wǎng)線。如果這些服務(wù)不加網(wǎng)絡(luò)上隔離，那么一個服務(wù)遭到攻擊，則會影響到整個虛擬主機的性能，同時使得其他的服務(wù)訪問收到影響。

2 方案1

    針對問題1，本文提出了外網(wǎng)整合的網(wǎng)絡(luò)虛擬化方案。

    2．1基本原理

    數(shù)據(jù)中心是數(shù)據(jù)中心架構(gòu)的核心領(lǐng)域，隨著數(shù)據(jù)中心業(yè)務(wù)的增加，為了管理的方便、數(shù)據(jù)中心的容災(zāi)、備份，根據(jù)數(shù)據(jù)中心業(yè)務(wù)的分類建立了多個子數(shù)據(jù)中心，其中各個數(shù)據(jù)中心之間借助虛擬化平臺vcenter來進行管理，各個中心之間的數(shù)據(jù)交換需要外接的網(wǎng)絡(luò)來保證線路的暢通。

    結(jié)合網(wǎng)絡(luò)架構(gòu)虛擬化技術(shù)，將多臺網(wǎng)絡(luò)設(shè)備進行連接，“橫向整合”起來組成一個“聯(lián)合設(shè)備”，并將這些網(wǎng)絡(luò)設(shè)備看作單一網(wǎng)絡(luò)設(shè)備進行管理和使用。通過在接人層交換機使用堆疊交換機，可以與ESX虛擬交換機實現(xiàn)跨設(shè)備鏈路聚合，進一步提高鏈路可靠性，從而實現(xiàn)網(wǎng)絡(luò)設(shè)備的冗余、網(wǎng)口接口的擴展。同時通過管理簡單化、配置簡單化、可跨設(shè)備鏈路聚合等極大簡化網(wǎng)絡(luò)架構(gòu)。

    網(wǎng)絡(luò)拓撲如圖1所示。

圖1 方案1網(wǎng)絡(luò)拓撲圖

    2．2方案描述

    本文選用以vware的Esxi搭建虛擬化數(shù)據(jù)中心，服務(wù)器選用intel的一體機，共配置了6片刀片，每片刀片配有4塊網(wǎng)卡，用于同虛擬機進行管理和數(shù)據(jù)通信，并配置了兩個交換機模塊機，主要用于物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)之間傳遞數(shù)據(jù)。這里intel交換機的雙網(wǎng)卡分別連接到一個IRF系統(tǒng)的兩臺物理交換機pSwtichl和pSwitch2，利用IRF技術(shù)將這兩臺物理設(shè)備通過物理端口連接在一起，進行必要的配置后，虛擬化成一臺“分布式設(shè)備”。

    ①IRF的設(shè)計

    IRF通常由多臺成員設(shè)備組成(如圖2所示)，采用兩臺H3C5500EI的交換機，其中一臺pSwitchl作為Master，Master設(shè)備負責IRF的運行、管理和維護，pSwitch2作為Slave設(shè)備在作為備份的同時也可以處理業(yè)務(wù)。一旦Master設(shè)備故障，系統(tǒng)會迅速自動選舉新的Master，以保證業(yè)務(wù)不中斷，從而實現(xiàn)了設(shè)備的備份；同時兩個成員設(shè)備之間的IRF鏈路支持聚合功能，多條鏈路之間可以互為備份也可以進行負載分擔，從而進一步提高了IRF的可靠性。同時采用這種架構(gòu)可以擁有強大的網(wǎng)絡(luò)擴展能力。通過增加成員設(shè)備，可以輕松自如的擴展IRF的端口數(shù)、帶寬。

圖2 IRF配置流程圖

    ②鏈路聚合

    為了實現(xiàn)網(wǎng)絡(luò)擴展帶寬，使用鏈路聚合技術(shù)來整合數(shù)據(jù)中心一體機的一臺內(nèi)置intel Gigabit EthernetSwitch的上聯(lián)鏈路。將其中的2條鏈路捆綁在一起成為一條邏輯鏈路(如圖3所示)，使網(wǎng)絡(luò)帶寬由原來的單通道1 Gbit擴展為2 Gbit，從而實現(xiàn)增加鏈路帶寬的目的。同時，這些捆綁在一起的鏈路通過相互間的動態(tài)備份，可以有效地提高鏈路的可靠性。

    ③端口匯聚

    刀片服務(wù)器上的intel Gigabit Ethemet Switch配置，將外置的第1、2端口匯聚一個通道與外部的交換機連接，將Extl和Ext2接口加入LAGl聚合組(如圖4所示)。

圖3鏈路聚合  圖4刀片服務(wù)器的端口示意圖

    ④鏈路聚合以Cisco Catalyst 3750為例：

    將gI／O／1和gI／O／2匯聚為一個通道與刀片服務(wù)器上的交換機連接interface Port-channell

3 方案2

    針對上述問題2，本文提出了內(nèi)網(wǎng)整合的虛擬化網(wǎng)絡(luò)建設(shè)方案。

    3．1基本原理

    內(nèi)部網(wǎng)絡(luò)虛擬化通過在虛擬服務(wù)器內(nèi)部定義邏輯交換機以及網(wǎng)絡(luò)適配器，創(chuàng)建了一個或多個邏輯網(wǎng)絡(luò)。內(nèi)部虛擬化網(wǎng)絡(luò)能夠連接運行在一臺服務(wù)器上的兩個或多個虛擬機，而且虛擬機之間的網(wǎng)絡(luò)流量不會經(jīng)過物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施。內(nèi)部網(wǎng)絡(luò)虛擬化最小化了物理網(wǎng)絡(luò)上的網(wǎng)絡(luò)流量，是讓服務(wù)器內(nèi)部相關(guān)的工作負載進行網(wǎng)絡(luò)通信的一種更快和更有效的方式。

    為了服務(wù)的安全我們需要多網(wǎng)絡(luò)環(huán)境并存，通過在ESXi主機上配置vlan實現(xiàn)多網(wǎng)絡(luò)并存，實現(xiàn)不同部門或者不同應(yīng)用的多網(wǎng)絡(luò)并存，但是現(xiàn)實情況往往一個vlan下一個虛擬機被病毒入侵，往往會造成整個vlan網(wǎng)段的無法正常訪問，于是這里將PVLAN的技術(shù)引入，主要討論PVLAN在虛擬化平臺上的實現(xiàn)與應(yīng)用。

    PVLAN即私有VLAN(private VLAN)，該技術(shù)在解決通信安全、防止廣播風暴和浪費ip地址方面的優(yōu)勢是顯而易見。對于保證接入網(wǎng)絡(luò)的各個虛擬機的數(shù)據(jù)通信的安全性是非常有效的。PVLAN采用兩層dan隔離技術(shù)，只有上層primary vlan全局可見，下層的輔助vlan(secndeary vlan)相互隔離。輔助vlan(secondary vlall)包含兩種類型：隔離vlan(isolated vlan)和公共vlan(community vlan)，見圖5所示。

圖5 PVLAN特性圖

    3．2方案描述

    Intel一體機中提供的內(nèi)置的物理交換機模塊和VDS(vnetwork distributed switch)分布式虛擬交換機。其中VDS與物理交換機一樣，包含一定數(shù)據(jù)量的端口，相同特性的端口集合就是端口組，邏輯上分為虛擬機端口組，主要用于虛擬機的網(wǎng)絡(luò)連接。

    3．3網(wǎng)絡(luò)拓撲

    方案2網(wǎng)絡(luò)拓撲圖如圖6所示，為了滿足不同需求的虛擬機用戶之間的安全訪問，需要先在pSwitch交換機建立了多個Vlan3010-P和Vlam3020-P，同時建立相應(yīng)的輔助Vlan，分別是(Vlan3021-C1)(Vlan3022-I)(Vlan3011-C)(Vlan3012-I)，只需將需要互相隔離的VM劃分到輔助Vlan3012．I或Vlan3022．I網(wǎng)段下即可，而如果需要某個服務(wù)(需要多臺VM)同別的應(yīng)用服務(wù)隔離，可以通過在一個主Vlan下建立多個Vlan—C來實現(xiàn)。下面的實例是建立一個PVLAN的實現(xiàn)過程。

圖6方案2網(wǎng)絡(luò)拓撲圖

    具體的實例的實現(xiàn)步驟：

    ①物理交換機端的配置

    在刀片交換機上也建立這三個Vlan(3020，3021，3022)，并通過Vlan Trunk方式連接外部的接入交換機和Vmware中的虛擬分布式交換機。

    首先在Vmware的虛擬分布式交換機上需要進行編輯設(shè)置將兩個輔助Vlan與主Vlan關(guān)聯(lián)。在創(chuàng)建分布式虛擬端口組的配置中完成關(guān)聯(lián)。

    再創(chuàng)建新的端口組的時候就可以選擇這些輔助Vlan了。可以查看到端口組與專有Vlan的對應(yīng)關(guān)系。

    隨后在創(chuàng)建的VM中，通過添加網(wǎng)絡(luò)設(shè)備，制定相應(yīng)的Vlan網(wǎng)段，完成VM網(wǎng)絡(luò)的配置。

    通過以上操作保證Vlan．C中的VM能夠互相訪問，多個Vlan—C之間互相隔離，Vlan—I中的VM相互隔離。最大限度的保證了VM的網(wǎng)絡(luò)安全。

4 結(jié)語

    本文針對新一代的虛擬化的數(shù)據(jù)中心的網(wǎng)絡(luò)問題進行分析，結(jié)合目前校園網(wǎng)數(shù)據(jù)中心的網(wǎng)絡(luò)現(xiàn)狀，提出基于外網(wǎng)及內(nèi)網(wǎng)的解決方案。為了提高網(wǎng)絡(luò)的冗余及可靠性，采用IRF技術(shù)；為了提高鏈路帶寬，采用鏈路聚合的技術(shù)；為了加強虛擬機的網(wǎng)絡(luò)訪問安全性，采用PVLAN的技術(shù)，結(jié)合目前數(shù)據(jù)中心的實際架構(gòu)進行實現(xiàn)。該方案達到了增強網(wǎng)絡(luò)高可靠性，提高鏈路帶寬，加強虛擬機網(wǎng)絡(luò)安全的目的。而且隨著新的VDC(虛擬化的數(shù)據(jù)中心)概念的提出，以上的解決方案對將來大型的數(shù)據(jù)中心的建設(shè)和維護做了很好的可行性的研究。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.zudvwvb.cn/

本文標題：數(shù)據(jù)中心的網(wǎng)絡(luò)虛擬化方案研究

本文網(wǎng)址：http://www.zudvwvb.cn/html/support/1112188398.html