1 云计算简介
云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统, 并借助SaaS、PaaS、IaaS、MSP 等先进的商业模式把这强大的计算能力分布到终端用户手中。云计算的一个核心理念就是通过不断提高“云”的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并能按需享受“云”的强大计算处理能力。
云计算的核心思想,是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务,故如何快速合理的对网络资源进行调度是云计算须解决的关键问题。
2 快速调度网络资源的关键
云计算网络中,计算资源能够按需扩展、灵活调度部署,这由虚拟机的迁移功能实现,虚拟化环境的计算资源必须在二层网络范围内实现透明化迁移。
透明环境不仅限于数据中心内部,对于多个数据中心共同提供的云计算服务,要求云计算的网络对数据中心内部、数据中心之间均实现透明化交换,这种服务能力可以使客户分布在云中的资源逻辑上相对集中,如在相同的一个或数个VLAN 内,而不必关心具体物理位置;对云服务供应商而言,透明化网络可以在更大的范围内优化计算资源的供应,提升云计算服务的运行效率、有效节省资源和成本。
因此运营商云计算网络资源调度的关键就是构建大规模的二层网络,包括单数据中心和多数据中心之间的二层网络,覆盖更多的资源范围,同时虚拟主机所对应的交换机端口可以灵活的加入到用户业务VLAN 中,实现二层互访、业务迁移。
3 VPLS 技术介绍
VPLS(Virtual Private LAN Service,虚拟专用局域网服务)是在公用网络中提供的一种点到多点的二层VPN 业务。VPLS 使地域上隔离的用户站点能通过MAN 或WAN 相连, 并且使各个站点间的连接效果像在一个LAN 中一样。
VPLS 提供二层VPN 服务。在VPLS 中,用户是由多点网络连接起来,不同于传统VPN 提供的P2P 的连接服务。VPLS 实际上就是在PE上创建一系列的虚拟交换机租借给用户,虚拟交换机的组网和传统交换机完全相同, 这样, 用户就可以通过MAN 或WAN 来实现自己的LAN。
图1 VPLS典型组网示意图
4 大规模二层网络构建碰到的问题及解决办法
4.1 多拓扑二层网络
为了构建一张高可靠的二层网络,传统的二层网络扩展采用环形组网配合STP 生成树协议来完成,但是随着网络规模的扩大和VLAN数量的增加,实际的网络拓扑就会变得过于复杂。主要问题包括:1)网络结构复杂,节点多,管理难度大
2)网络内部流量大,核心链路压力高
3)STP 生成树、HSRP 冗余保护协议收敛速度慢
如何改变现有的网络状况,我们可以采用网络虚拟化技术,将同一层次的多台网络设备虚拟成一台逻辑设备, 破除了原先网络的环路,同时网络设备数量急剧减少,网络拓扑变成了清晰简单的树形网络。
典型的网络虚拟化技术,例如IRF2,第二代智能弹性架技术。
IRF2 的核心思想是将多台设备通过IRF 物理端口连接在一起,进行必要的配置后,虚拟化成一台“虚拟设备”,通过该“虚拟设备”来实现多台设备的协同工作、统一管理和不间断维护。如图2 所示:
图2 IRF 技术实例
IRF2 技术大大改善2 层网络性能,这主要表现在:
1)简化网络结构,减少设备数量
IRF2 形成以后,从逻辑上而言是一台设备,有统一的转发表项,包括MAC 表、ARP/ND 表、路由表和标签信息等。每个成员设备都有完整的转发能力,当它收到待转发报文时,直接查询本机的转发表项得到报文的出接口,以及下一跳和封装信息,然后将报文从正确的出接口送出去。这个出接口可以在本机上也可以在其它成员设备上。IRF2 通过IRF 端口将报文从一台成员设备送到其它成员设备的过程对外界是完全屏蔽的,例如对于三层报文来说,跨设备转发跳数上只增加1 跳,即表现为只经过了一个网络设备。
IRF2 组网条件下,对整个网络的配置管理发生了很大变化:原来的多台物理设备现在成为一台逻辑设备,也只有一个管理IP,其中所有的IRF 成员可以统一配置管理,不需要登录到不同设备各自管理运维。
2)链路聚合,分摊核心链路压力
IRF2 支持的新型分布式聚合技术可以跨设备配置链路备份,用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口,从而有效分摊核心链路流量压力。
IRF2 每个成员设备都有完整的二/三层转发能力, 当它收到待转发的二/三层报文时, 可以通过查询本机的二/三层转发表得到报文的出接口,以及下一跳,然后将报文从正确的出接口发送出去。
IRF 端口采用多个IRF 物理端口聚合形成,既可以实现流量的负载分担提高带宽,又能够进行互相备份。
3)STPHSPR 协议被取代
在虚拟化整合过程中, 被整合设备的互联链路成为IRF2 的内部线路,对IRF2 系统外部来说不可见。虚拟化整合后的IRF2 系统,对外表现为单台物理设备,因此,在保持网络基本互联条件下,可将一对IRF2 系统之间的多条线缆进行链路捆绑聚合动作, 从而将不同网络层之间的网状互联简化成单条逻辑链路。
使用IRF2 虚拟化后, 消除了原先网络需要部署的STP 生成树或HSRP 冗余保护协议,通过链路捆绑实现了链路和节点的保护倒换。4.2 分布式的虚拟端口组
随着云计算规模的扩大, 同一业务组的虚拟机跨越多个交换机,形成同一个虚拟端口组分布在多个交换机上。虚拟端口组对应同一业务组的所有虚拟机,虚拟端口组的配置需要保持一致,包括端口基本配置、VLAN、QoS 及安全策略等, 对虚拟端口组内的一个端口的配置修改,可以自动同步到组内的所有端口上。
可以通过网络设备配置管理平台, 例如Solarwinds 配置管理模块,实现在大二层网络范围内的统一管理,同时虚拟机动态迁移的时候网络设备的配置也能够保持同步。
4.3 虚拟交换机vSwitch
为了实现服务器内虚拟机之间以及虚拟机同其他网络之间的通信,出现了虚拟交换机vSwitch,其实现的基本原理就是在服务器内部虚拟出一台交换机,完成虚拟机的通讯要求,这也是现阶段服务器虚拟化软件VMWare、XEN 等采用的方法, 即VEB (Virtual EthernetBridge)。
现阶段vSwitch 的实现方式存在多方面的不足:
1)服务器内部虚拟机的交换流量直接在服务器内部的vSwitch 上完成,流量不可见,没有办法做到流量监控;
2)服务器和网络设备的管理界面不明确,随之带来业务部门和网络部门管理上的不便;
3)没有明确的安全域界面,不易部署安全策略。
通过VEPA 技术进行改进, 将服务器内部的vSwitch 改成一个逻辑通道,主要功能就是将虚拟机的流量转到接入交换机,由接入交换机实现虚拟机之间的流量转发,现有的交换机在转发流量的时候都是不允许本端口转发,也就是从本端口进来的流量不会从本端口再转发出去,VEPA 就需要对现有的IEEE 802.1B 标准进行修改,允许交换机本端口转发,实现虚拟机之间的相互通信。
通过VEPA 技术,明确了服务器和网络设备的界面分工,所有的流量都通过网络设备,可以通过端口镜像等技术轻松实现虚拟机流量的监控,安全性得到保证,同时也明确了管理上的分工。
4.4 VLAN 扩展
随着运营商IDC 云计算服务规模扩展到多中心, 用户数量的增加,用于隔离用户的VLAN 数量已不能满足要求,需要对VLAN 进行扩展。
云计算VLAN 扩展方案一:QinQ 方案
QinQ 技术,也称Stacked VLAN 或Double VLAN。标准出自IEEE802.1ad, 其实现将用户私网VLAN Tag 封装在公网VLAN Tag 中,使报文带着两层VLAN Tag 穿越运营商的骨干网络(公网)。QinQ 技术通过在以太帧中堆叠两个802.1Q 包头, 有效地扩展了VLAN 数目,使VLAN 的数目最多可达4096x4096 个。
通过用户VLAN 和运营商VLAN 的叠加实现VLAN 数量的扩展,配置简单、易维护,但QinQ 方案接入网络规模较小。
图3 云计算VLAN 扩展--QinQ 方案
云计算VLAN 扩展方案二:VPLS 方案
VPLS 技术的核心就是采用三层信令、二层转发,将VPLS 技术应用到数据中心内部,实现VLAN 数量的扩展,采用VPLS 技术后接入网络规模大,可伸缩性强,但是VPLS 方案配置复杂,维护难度增大。
图4 云计算VLAN 扩展--VPLS 方案
4.5 DC 之间资源调度
运营商云计算服务的一大特点就是规模化,虚拟化资源池越大越好,通过规模化效应降低成本,一个数据中心不够就利用多个数据中心,因此数据中心之间的互联和资源调度就成了运营商IDC 在提供云计算服务时需要考虑的问题。
结合VLAN 扩展方式的不同,数据中心的扩展也有对应的两种方案。
云计算DC 间扩展方案一:VPLS+QinQ 方案
数据中心内部采用QinQ 方式扩展VLAN 数量, 通过构建专用的VPLS 网络将城域范围甚至广域范围内的多个数据中心进行二层互联,将云计算的资源池扩大到多个数据中心。
云计算DC 间扩展方案二:VPLS 方案
数据中心内部采用VPLS 方式扩展VLAN 数量, 建立VPLS 核心网通道实现多个数据中心的VPLS 互联。