新一代企業(yè)級(jí)數(shù)據(jù)中心的網(wǎng)絡(luò)虛擬化

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著數(shù)據(jù)集中在企業(yè)信息化領(lǐng)域的展開，企業(yè)級(jí)數(shù)據(jù)中心的建設(shè)當(dāng)前成為行業(yè)信息化的新熱點(diǎn)。傳統(tǒng)的數(shù)據(jù)中心的關(guān)鍵需求是性能、安全、永續(xù)，隨著應(yīng)用的展開，服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)在數(shù)據(jù)中心內(nèi)的不斷增長(zhǎng)、集中，引起較多的問題，網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)部門往往為單個(gè)或少數(shù)幾個(gè)應(yīng)用建設(shè)獨(dú)立的基礎(chǔ)網(wǎng)絡(luò)，使得數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)十分復(fù)雜。 隨著應(yīng)用的整合需求越來越強(qiáng)烈，對(duì)數(shù)據(jù)中心的資源進(jìn)行虛擬化是當(dāng)前的主要趨勢(shì)，也是當(dāng)前IT業(yè)內(nèi)最為令人關(guān)注的技術(shù)領(lǐng)域。

數(shù)據(jù)中心虛擬化的基礎(chǔ)網(wǎng)絡(luò)技術(shù)趨勢(shì)，延續(xù)了傳統(tǒng)數(shù)據(jù)中心性能、安全、永續(xù)的基本需求，而且進(jìn)一步簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)，更有力支撐應(yīng)用層面虛擬化，降低運(yùn)維復(fù)雜度，提高了靈活性。

網(wǎng)絡(luò)虛擬化

網(wǎng)絡(luò)虛擬化技術(shù)也隨著數(shù)據(jù)中心業(yè)務(wù)要求有不同的形式。多種應(yīng)用承載在一張物理網(wǎng)絡(luò)上，通過網(wǎng)絡(luò)虛擬化分割(稱為縱向分割)功能使得不同企業(yè)機(jī)構(gòu)相互隔離，但可在同一網(wǎng)絡(luò)上訪問自身應(yīng)用，從而實(shí)現(xiàn)了將物理網(wǎng)絡(luò)進(jìn)行邏輯縱向分割虛擬化為多個(gè)網(wǎng)絡(luò)；多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)承載上層應(yīng)用，基于冗余的網(wǎng)絡(luò)設(shè)計(jì)帶來復(fù)雜性，而將多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行整合(稱為橫向整合)，虛擬化成一臺(tái)邏輯設(shè)備，提升數(shù)據(jù)中心網(wǎng)絡(luò)可用性、節(jié)點(diǎn)性能的同時(shí)將極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)。

網(wǎng)絡(luò)虛擬化——縱向分割

如果把一個(gè)企業(yè)網(wǎng)絡(luò)分隔成多個(gè)不同的子網(wǎng)絡(luò)――它們使用不同的規(guī)則和控制，用戶就可以充分利用基礎(chǔ)網(wǎng)絡(luò)的虛擬化路由功能，而不是部署多套網(wǎng)絡(luò)來實(shí)現(xiàn)這種隔離機(jī)制。

網(wǎng)絡(luò)虛擬化概念并不是什么新概念，因?yàn)槎嗄陙?，虛擬局域網(wǎng)（VLAN）技術(shù)作為基本隔離技術(shù)已經(jīng)廣泛應(yīng)用。當(dāng)前在交換網(wǎng)絡(luò)上通過VLAN來區(qū)分不同業(yè)務(wù)網(wǎng)段、配合防火墻等安全產(chǎn)品劃分安全區(qū)域，是數(shù)據(jù)中心基本設(shè)計(jì)內(nèi)容之一。

出于將多個(gè)邏輯網(wǎng)絡(luò)隔離、整合的需要，VLAN、MPLS-VPN、Multi-VRF技術(shù)在路由環(huán)境下實(shí)現(xiàn)了網(wǎng)絡(luò)訪問的隔離，虛擬化分割的邏輯網(wǎng)絡(luò)內(nèi)部有獨(dú)立的數(shù)據(jù)通道，終端用戶和上層應(yīng)用均不會(huì)感知其它邏輯網(wǎng)絡(luò)的存在。但在每個(gè)邏輯網(wǎng)絡(luò)內(nèi)部，仍然存在安全控制需求，對(duì)數(shù)據(jù)中心而言，訪問數(shù)據(jù)流從外部進(jìn)入數(shù)據(jù)中心，則表明了數(shù)據(jù)在不同安全等級(jí)的區(qū)域之間流轉(zhuǎn)，因此，有必要在網(wǎng)絡(luò)上提供邏輯網(wǎng)絡(luò)內(nèi)的安全策略，而不同邏輯網(wǎng)絡(luò)的安全策略有各自獨(dú)立的要求，虛擬化安全技術(shù)，將一臺(tái)安全設(shè)備可分割成若干臺(tái)邏輯安全設(shè)備(成為多個(gè)實(shí)例)，從而很好滿足了虛擬化的深度強(qiáng)化安全要求。

如圖1所示，虛擬化網(wǎng)絡(luò)與虛擬化安全的整體結(jié)合，通道化設(shè)計(jì)，構(gòu)成了完整的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)架構(gòu)。

網(wǎng)絡(luò)虛擬化——橫向整合

數(shù)據(jù)中心是企業(yè)IT架構(gòu)的核心領(lǐng)域，不論是服務(wù)器部署、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，都做到精細(xì)入微。因此，傳統(tǒng)上的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)由于多層結(jié)構(gòu)、安全區(qū)域、安全等級(jí)、策略部署、路由控制、VLAN劃分、二層環(huán)路、冗余設(shè)計(jì)等諸多因素，導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，使得數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)的運(yùn)維管理難度較高。

使用智能彈性架構(gòu)(intelligent resilient framework, IRF)虛擬化技術(shù)，用戶可以將多臺(tái)設(shè)備連接，“橫向整合”起來組成一個(gè)“聯(lián)合設(shè)備”，并將這些設(shè)備看作單一設(shè)備進(jìn)行管理和使用。多個(gè)盒式設(shè)備整合類似于一臺(tái)機(jī)架式設(shè)備，多臺(tái)框式設(shè)備的整合相當(dāng)于增加了槽位，虛擬化整合后的設(shè)備組成了一個(gè)邏輯單元，在網(wǎng)絡(luò)中表現(xiàn)為一個(gè)網(wǎng)元節(jié)點(diǎn)，管理簡(jiǎn)單化、配置簡(jiǎn)單化、可跨設(shè)備鏈路聚合，極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)，同時(shí)進(jìn)一步增強(qiáng)冗余可靠性。

網(wǎng)絡(luò)虛擬交換技術(shù)為數(shù)據(jù)中心建設(shè)提供了一個(gè)新標(biāo)準(zhǔn)，定義了新一代網(wǎng)絡(luò)架構(gòu)，使得各種數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)都能夠使用這種靈活的架構(gòu)，能夠幫助企業(yè)在構(gòu)建永續(xù)和高度可用的狀態(tài)化網(wǎng)絡(luò)的同時(shí)，優(yōu)化網(wǎng)絡(luò)資源的使用。

在虛擬化架構(gòu)上，通過OAA集成虛擬化安全，使得傳統(tǒng)網(wǎng)絡(luò)中離散的安全控制點(diǎn)被整合進(jìn)來，進(jìn)一步強(qiáng)化并簡(jiǎn)化了基礎(chǔ)網(wǎng)絡(luò)安全，網(wǎng)絡(luò)虛擬化技術(shù)將在數(shù)據(jù)中心端到端總體設(shè)計(jì)中發(fā)揮重要作用。

圖2的虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)與傳統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)相比，提供了多項(xiàng)顯著優(yōu)勢(shì)：

1）運(yùn)營(yíng)管理簡(jiǎn)化。數(shù)據(jù)中心全局網(wǎng)絡(luò)虛擬化能夠提高運(yùn)營(yíng)效率，虛擬化的每一層交換機(jī)組被邏輯化為單管理點(diǎn)，包括配置文件和單一網(wǎng)關(guān)IP地址，無需VRRP。

2）整體無環(huán)設(shè)計(jì)。跨設(shè)備的鏈路聚合創(chuàng)建了簡(jiǎn)單的無環(huán)路拓?fù)浣Y(jié)構(gòu)，不再依靠生成樹協(xié)議（STP）。虛擬交換組內(nèi)部經(jīng)由多個(gè)萬(wàn)兆互聯(lián)，在總體設(shè)計(jì)方面提供了靈活的部署能力。

3）進(jìn)一步提高可靠性。虛擬化能夠優(yōu)化不間斷通信，在一個(gè)虛擬交換機(jī)成員發(fā)生故障時(shí)，不再需要進(jìn)行L2/L3重收斂，能快速實(shí)現(xiàn)確定性虛擬交換機(jī)的恢復(fù)。

4) 安全整合。安全虛擬化在于將多個(gè)高性能安全節(jié)點(diǎn)虛擬化為一個(gè)邏輯安全通道，安全節(jié)點(diǎn)之間實(shí)時(shí)同步狀態(tài)化信息，從而在一個(gè)物理安全節(jié)點(diǎn)故障時(shí)另一個(gè)節(jié)點(diǎn)能夠無縫接管任務(wù)。

安全整合的進(jìn)一步表現(xiàn)為OAA架構(gòu)下，IRF集成的安全模塊之間仍然延續(xù)了此虛擬化能力，使得整個(gè)數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)具有非常簡(jiǎn)捷的架構(gòu)。

端到端虛擬化

數(shù)據(jù)中心虛擬化技術(shù)帶來了對(duì)上層應(yīng)用極大的靈活支持，也在很大程度上對(duì)數(shù)據(jù)中心運(yùn)營(yíng)提供了簡(jiǎn)化。數(shù)據(jù)中心容納了企業(yè)的多種應(yīng)用，計(jì)算層虛擬化技術(shù)使得應(yīng)用與具體物理服務(wù)器之間沒有完全固定的映射關(guān)系。

計(jì)算資源池化的結(jié)果是數(shù)據(jù)中心高密虛擬機(jī)，而由于對(duì)計(jì)算資源的動(dòng)態(tài)調(diào)整，要求虛擬機(jī)可以在物理服務(wù)器之間遷移，并且要求遷移網(wǎng)絡(luò)是二層連接性的。基于極大簡(jiǎn)化數(shù)據(jù)中心的二層互聯(lián)設(shè)計(jì)，與傳統(tǒng)MSTP+VRRP設(shè)計(jì)不同，使用網(wǎng)絡(luò)IRF虛擬化能在更短時(shí)間內(nèi)完成確定性L2鏈路恢復(fù)，同時(shí)不影響L3鏈路。虛擬化能夠在網(wǎng)絡(luò)各層橫向擴(kuò)展，有利于數(shù)據(jù)中心的規(guī)模增大，設(shè)計(jì)更簡(jiǎn)單，完全不影響網(wǎng)絡(luò)管理拓?fù)?，基于虛擬化技術(shù)的二層網(wǎng)絡(luò)在保證HA的同時(shí)，消除了網(wǎng)絡(luò)環(huán)路，便于更大范圍的虛擬機(jī)遷移。

業(yè)務(wù)連續(xù)性，是企業(yè)IT運(yùn)營(yíng)的關(guān)鍵。目前基于容災(zāi)、負(fù)載分擔(dān)的多數(shù)據(jù)中心是企業(yè)建設(shè)數(shù)據(jù)中心，保證業(yè)務(wù)連續(xù)性的重要話題。集群互聯(lián)是關(guān)鍵應(yīng)用連續(xù)性設(shè)計(jì)的主要技術(shù)(服務(wù)器集群也是計(jì)算虛擬化的技術(shù))，目前在同一數(shù)據(jù)中心內(nèi)實(shí)現(xiàn)集群不是難事，一般的集群(Microsoft MSCS、Veritas Cluster Server (Local)、Solaris Sun Cluster Enterprise、Oracle RAC (Real Appl.Cluster)、HP MC/ServiceGuard、HP NonStop、IBM HACMP/HAGEO、EMS/Legato Automated Availability Mgr)以二層連接為主。但業(yè)務(wù)連續(xù)性要求跨數(shù)據(jù)中心的集群連接，傳統(tǒng)的網(wǎng)絡(luò)技術(shù)支撐要做到可用性與可靠性，必然帶來復(fù)雜性，從而難以運(yùn)營(yíng)。而基于虛擬化網(wǎng)絡(luò)的二層連接，簡(jiǎn)單地將集群擴(kuò)展到多個(gè)數(shù)據(jù)中心，從而帶來了應(yīng)用設(shè)計(jì)上更大的靈活性。

對(duì)企業(yè)而言，由于應(yīng)用訪問控制需求，在虛擬機(jī)之間實(shí)現(xiàn)隔離，在不同用戶群之間實(shí)現(xiàn)隔離，對(duì)不同資源獨(dú)立的安全策略，對(duì)存儲(chǔ)資源訪問的隔離(以及異構(gòu)存儲(chǔ)的虛擬化整合)，在客戶終端、數(shù)據(jù)中心形成了虛擬化的資源分離通道。這種虛擬化通道在用戶接入層進(jìn)行認(rèn)證控制、在網(wǎng)絡(luò)層進(jìn)行虛擬化分離、基礎(chǔ)安全基于OAA集成的面向不同通道的獨(dú)立策略控制、在虛擬機(jī)之間隔離、存儲(chǔ)通道分離，在不同資源類型之間存在公共標(biāo)準(zhǔn)化接口，通道化虛擬隔離強(qiáng)化了數(shù)據(jù)中心對(duì)外提供服務(wù)的安全策略。

圖3 端到端數(shù)據(jù)中心虛擬化

當(dāng)前數(shù)據(jù)中心建設(shè)不斷發(fā)展，虛擬化成為基礎(chǔ)技術(shù)。對(duì)虛擬化網(wǎng)絡(luò)，IRF技術(shù)是實(shí)現(xiàn)虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)的關(guān)鍵技術(shù)，OAA將成為IRF架構(gòu)上虛擬化安全的關(guān)鍵集成，存儲(chǔ)虛擬化成為虛擬化數(shù)據(jù)中心的基礎(chǔ)存儲(chǔ)關(guān)鍵技術(shù)。

底層網(wǎng)絡(luò)的虛擬化架構(gòu)支持上層應(yīng)用的不斷發(fā)展要求，在H3C的虛擬化數(shù)據(jù)中心目標(biāo)中，將不斷提供整體基礎(chǔ)網(wǎng)絡(luò)虛擬化架構(gòu)方案的最佳實(shí)踐，實(shí)現(xiàn)H3C將ITOIP在虛擬化數(shù)據(jù)中心理念的價(jià)值創(chuàng)新。