解決服務器虛擬化帶來的管理難題

 

對于服務器虛擬化的管理人員而言，一種解決方案是告訴網絡設備管理組每個虛擬機上可能啟動的每一個服務器，并預先為這些服務器配置交換機端口。這不是一個完美的解決方案，因為它可以導致交換機端口上配置太多的VLAN，而服務器管理組可能不知道這個物理服務器上運行有這么多的虛擬服務器，這就使得網絡管理變得更加復雜，特別是在緊急情況下需要采取措施快速恢復系統時，這一情況更為嚴重。

 

第二個問題是確保QoS和網絡訪問策略得到執行，如訪問控制列表（ACL）。以前，訪問控制策略是由和應用服務器相連的網絡交換機來執行。而服務器虛擬化之后，這個工作改由Hypervisor下面的軟交換機來完成，而不再由與物理服務器相連的物理網絡交換機來完成了。

 

訪問控制策略的執行對軟交換機中仍然是重要的。例如，即使運行在同一個物理服務器上的兩個虛擬機不允許互相通信，但控制了虛擬機1仍然有可能與打開虛擬機2的連接，竊取虛擬機2上的數據資料。而如果訪問控制列表是由服務器中的軟交換來實施的，這就可以被阻止。在采用虛擬化技術之前，虛擬機1和虛擬機2運行在不同的物理服務器上，物理交換機將根據訪問控制列表阻止兩個虛擬機之間的通信。軟交換機也必須通過這些策略來維護網絡安全，現在問題是如何通過軟件來執行這些策略。

 

解決上述兩個問題對于服務器虛擬化的順利進行是非常重要的。如果供應商們制定出一個統一的標準，適用于所有不同的虛擬化廠商那就很好了。實際情況是，由于虛擬化這門新技術還處在迅速發展之中，這種標準也并沒有出現。目前，行業內有四種途徑來解決這些問題。

 

 

引領服務器虛擬化市場的廠商是VMware，除此之外市場上也存在其他許多虛擬化產品，包括Citrix的Zen、微軟的Hyper - V的、紅帽的KVM和其他許多小供應商的產品。當然，最廣泛使用的產品還是VMware的產品，因此，這里以VMware的產品為例說明解決辦法。

 

VMware的vCenter控制虛擬化的整個過程，并指示在哪里安裝虛擬機。Hypervisor控制服務器和在物理服務器上運行的虛擬機。vSwitch是VMware提供的一個軟件形式的2層交換機。每個虛擬機有一個虛擬網卡（vNIC），該虛擬網卡的MAC地址要么使用虛擬化廠商提供的MAC地址池中的一個，要么使用由企業為之分配的MAC地址。訪問控制策略的配置過程如下：

 

1. 由服務器管理人員定義虛擬機的所有網絡設備的屬性和安全策略。

 

2. 操作人員通知vCenter啟動VM2。在這個過程中vCenter和服務器上的Hypervisor之間要進行多次通信，其中一個重要內容是把網絡策略信息推送給Hypervisor。

 

3. Hypervisor根據正確的VLAN、QoS和策略信息配置虛擬交換機（vSwitch）。當VM2上的應用程序向外發送數據包的時候，vSwitch將執行這些訪問策略。

 

這解決了在第一個交換機上應用訪問控制策略的問題，但它并沒有真正解決網絡交換機上VLAN的配置問題。在虛擬機開始向外發送數據包之前，虛擬化管理人員需要告訴網絡管理人員在交換機端口上配置VLAN。這需要快速協調并迅速完成或者預先配置好。當虛擬機根據虛擬化管理人員的安排在多個物理服務器之間迅速遷移時，這種協調變得更加復雜。此時，如果虛擬化管理人員要遷移虛擬機，它就要與網絡管理人員進行溝通；一旦遷移完成，網絡管理人員還需要把原來交換機上的那些配置信息全部清除。

 

這一解決方案最大的問題是需要虛擬化管理人員和網絡管理人員之間的協調。虛擬化管理人員必須配置vCenter參數，而這些參數由網絡管理人員掌握，例如VLAN號、QoS和ACL策略。這意味著服務器虛擬化和網絡化管理人員之間需要一直保持高度的協調。否則，虛擬局域網或訪問策略有任何改變都可能會導致另一個故障點的出現，為此任何改變必須立即反映到虛擬服務器的配置中。

 

另一個令人關注的問題是，服務器虛擬化管理者對由網絡管理人員管理的網絡組件vSwitch中正在發生的事情不了解（可視性不足）。vSwitch在vCenter的控制之下，但它不是傳統的網絡管理軟件。此外，網絡管理人員對于虛擬機也幾乎毫不知情。不過，目前上述問題已得到解決，一些網絡廠商通過讓vCenter通知網絡工作團隊這些變更或對網絡配置變更情況進行輪詢，然后和傳統的網絡數據一起顯示出來，這將大大有助于網絡問題的解決。

 

 

Blade網絡公司在其交換機上安裝了一個新的應用以解決VLAN的問題，而Force10在它的下一個交換機操作系統中也承諾會解決VLAN問題。這些交換機對vCenter進行輪詢以發現可能做的任何更改，或者持續監聽vCenter發送的配置更改信息。如果交換機發現這些信息有任何改變，它會自動進行重新配置。這樣虛擬化管理人員就不需要與網絡管理人員就這些變更進行協調就可順利地啟動虛擬機運行。輪詢間隔必須比啟動虛擬機的時間更短，這可以確保交換機能第一時間發現變化。在Force10的操作系統第一個版本中它監控的唯一參數是VLAN。Blade網絡公司更進一步，它根據vNIC或VM的UUID把各種訪問策略應用到網絡交換機上。所有這些策略最終都由vSwitch來實施。
 

 

解決配置問題的第二種方法是利用交換機供應商提供的Orchestration軟件，這種軟件運行在交換機上。惠普和Juniper都有這樣的軟件，另有一些管理軟件廠商也提供類似的解決方案，如Scalent和CA。Orchestration軟件的作用是在網絡交換機和vCenter之間擔當中介，協調兩個環境之間的配置更改。這種方法的優點就是，讓更多交換機廠商和虛擬化廠商的產品能夠一起工作。

 

思科也推出了自己的解決方案，它用自己開發的1000v軟交換機來替代vSwitch。1000V有兩個組成部分：虛擬交換機模塊VSM，它替換vSwitch軟件運行在Hypervisor中；虛擬元素管理程序（VEM），它是VSM進行網絡策略配置和存儲的地方。工作過程如下所示：

 

1. 根據VEM中的虛擬機的UUID或vMAC地址配置虛擬機的VLAN和策略，VCenter啟動一個新的虛擬機或進入下一步（遷移虛擬機）。

 

2. 進行虛擬機的遷移。

 

3. Hypervisor通知VSM。

 

4. VSM從VEM中檢索策略信息。如果網絡交換機屬于Nexus產品線，它還要從VEM中檢索必要的VLAN和策略信息。此時，無論是Hypervisor中的交換機還是Nexus的交換機都有了關于如何處理VM2的正確信息。當VM2開始發送數據包，所有的策略都會在Hypervisor中的1000V交換機上得到執行。

 

思科的做法的好處與第一種方法相同。未經允許，它會阻止兩個虛擬機之間的任何通信，并且在數據包到達交換機的第一時間采取適當的策略。如果運行1000V的交換機是支持虛擬化的Nexus交換機，這將在網絡交換機上解決VLAN問題。它的另外一個好處是，把交換機放到Hypervisor中并置于網絡管理軟件的控制下，使得對網絡管理管理人員的審計工作非常清晰。不足是，目前思科僅為VMware提供了解決辦法，而沒有為Xen和Hyper-V提供解決方案。

 

1. 網絡管理軟件根據虛擬網卡對虛擬機進行定義。

 

2. vCenter指示Hypervisor啟動虛擬機。

 

3. 管理程序發送廣播包告知它正在啟動VM2。該廣播包包含VM2的vNIC及其UUID信息。

 

4．交換機收到廣播包后回復一個請求，詢問VM2的VLAN以及其他的策略信息，隨后交換機對過往的流量執行規定的策略。
 

 

最關鍵的一點是這些訪問策略只在網絡交換機上執行，而不是在vSwitch上。該交換機還會監視Hypervisor發出的消息，看虛擬機是否已經遷移，如果是就要刪除與虛擬網卡有關的VLAN及其策略信息。包括Arista Networks、Blade、Enterasys等網絡設備供應商都采用了這種解決辦法，而HP 和Juniper除了它們的Orchestration軟件也提供這種解決方案。另有廠商也計劃提供這種解決方案的廠商，例如Brocade，而Extreme網絡把這項技術應用到QoS及其策略上但不針對VLANs。

 

這種方法的一個重要目的是可以避免讓虛擬化管理人員介入到與網絡策略有關的工作中。但是，這里仍然有兩個問題沒有解決。第一個是服務器虛擬化和網絡管理人員仍然必須協調VLAN的編號。目前，Enterasys公司已能自動提供帶有VLAN號的vSwitch，而Arista計劃在短期內增加這一功能。

 

這種方法最大的問題是，它不能把網絡策略應用到vSwitch上，這就為服務器虛擬機之間的流量繞過ACL和其他安全策略提供了可乘之機。Enterasys和Arista計劃通過把這些策略應用到vSwitch的能力來解決這個問題。

 

為了克服這個問題，未來的方法是由交換機來完成所有策略的執行。此時的vSwitch被配置成將所有的流量，甚至包括VM1到VM2的流量，都直接發送到網絡交換機，由網絡交換機來決定采取適當的策略以及保證QoS，然后再把VM1到VM2的流量回送到vSwitch上，最后將它傳送到VM2。

 

這將使vSwitch成為只有一個轉發功能的“啞巴”交換機。問題是，802.1d這個所有第二層交換機都遵循的橋接標準，不允許來自于某一個端口的數據包又被送回到同一個端口。因此，根據現行的規則，網絡交換機不能把從VM1送給VM2的數據包返回給VM1，因為這樣做會打破這種規則，形成循環。IEEE正在修訂802.1d，允許交換機擔當總執行的角色，同時，Hypervisor中的啞交換機的標準化工作也在進行之中。如果這種標準被普遍推廣之后，上述問題就會迎刃而解，將消除網絡和服務器管理者之間的大量協調工作。

 

Enterasys有一個折中的解決辦法，就是讓vSwitch把每一個虛擬機放進一個單獨的VLAN中。它們選擇那些沒有用過的VLAN號，以防止可能出現問題。由于每個虛擬機都位于不同的VLAN里，它們不能互相通信。當數據包到達網絡交換機時，交換機用真正分配給虛擬機的編號來替換VLAN號，從而使得它在網絡上可見，并保證發送的目標總是在正確的VLAN中。