当前位置:数据中心虚拟化 → 正文

一种云数据中心虚拟交换的解决方案

责任编辑:vivian |来源:企业网D1Net  2012-07-09 08:52:07 本文摘自:比特网

随着虚拟化技术的成熟和x86 CPU性能的发展,越来越多的数据中心开始向虚拟化转型。数据中心虚拟化的基础网络技术趋势,延续了传统数据中心性能、安全、永续的基本需求,而且进一步简化网络架构,更有力支撑应用层面虚拟化,降低运维复杂度,提高了灵活性。

当前数据中心虚拟化发展面临许多关键性问题,而安全问题首当其冲,并且随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。

在虚拟化当中有一种重大威胁,即同一个物理服务器上的多个虚拟机彼此之间的通信都是在虚拟交换机上进行的,这一点是防火墙、入侵检测、预防系统和异常行为检测器,这些针对物理服务器网络流量的外部网络安全工具视若无睹的。

针对这些安全问题,本文旨在设计出一种合理的与数据中心虚拟机通信方式,以解决目前安全方面的盲点。虚拟以太网端口汇聚器((Virtual Ethernet Port Aggregator,VEPA)是最新IEEE 802.1Qbg草案标准化工作的一个组成部分,其设计目标是降低与高度虚拟化部署有关的复杂性和提高数据的安全性。运用VEPA技术,能有效解决虚拟机之间相互通讯无法监控的问题,为云架构数据中心的实现提供安全的屏障。

1 云计算数据中心架构概述

云计算系统分成两部分:前端和后端,二者一般通过网络互相连接。前端指的是用户的计算机或客户端,后端指的是系统中的计算机群,也就是前端包括用户计算机(或计算机网络)以及云计算系统登陆程序。不同的云计算系统具有不同的用户界面。后端是各种各样的计算机、服务器和数据存储系统,它们共同组成了云计算系统中的云。理论上,任何应用程序都可以在云计算系统中运行。

一般来说,每个应用程序都有其专用的服务器。管理整个系统的是中央服务器,它监管流量和用户需求并确保一切运行顺利。中央服务器遵循一套被称为协议的规则,并使用一种被称为中间件(middleware)的专门软件。中间件可以使联网的计算机互相通讯。

VMware和微软公司的Hyper-V是目前支持云计算完全虚拟化的主流产品。以WM ware为例,在完全虚拟化的环境下,VMware ESXi运行在裸硬件上,充当主机操作系统。在装有WM ware Esxj的物理主机上虚拟出虚拟服务器,运行客户端操作系统。整个WMvare ESXi的物理主机集群由一台VMware vCenter Server来管理。如图1所示。

图1 VMware私有云架构

2 基于VEPA技术改进的虚拟通信解决方案

2.1 虚拟以太网端口汇聚器(VEPA)

VEPA是IEEE 802.1Qbg标准草案的核心部分。VEPA的核心机制就是两条:修改生成树协议、重用Q-in-Q。

VEPA是虚拟机管理器内的一个分层,它采用一种新型转发模式融人物理交换机中,使流量能够从来时的端口“原路返回”。VEPA能接纳所有虚拟机之间的传输资料,然后直接传送到外部的交换机,在物理交换机上查表处理后,再回到目的虚拟机上,从而简化同一服务器上虚拟机之间的通信。

当两个处于同一服务器内的虚拟机要交换数据时,从虚拟机出来的数据帧首先会经过服务器网卡送往上联交换机,上联交换机通过查看帧头中带的MAC地址(虚拟机MAC地址)发现目的主机在同一台物理服务器中,因此又将这个帧送回原服务器,完成寻址转发。

整个数据流好像一个发卡一样在上联交换机上绕了一圈,因此这个行为又称作“发卡弯”。“发卡弯”实现了对虚拟机的数据转发,但这个行为违反了生成树协议的一项重要原则,即数据帧不能发往收到这个帧的端口,而目前虚拟接人环境基本是属于二层,因此,在接人层,不可能使用路由来实现这个功能,这就造成了VEPA的机制与生成树协议之间的矛盾。

针对VEPA和生成树协议相矛盾的体制,在IEEE 802.1Qbg标准草案中,重写了生成树协议,即在下联端口上强制进行反射数据帧的行为(ReflectiveRelay),通过强制性的方法解决了二者机制上的冲突。

图2对比了使用虚拟交换机和VEPA两种不同的虚拟机通信方式。左图中,虚拟机之间通讯通过虚拟交换机完成;右图虚拟机之间通信由外部交换机完成。

图2 虚拟交换机和VEPA转发比较图

2.2 VI AN翻译技术简介

VLAN翻译(VLAN Translation)又叫VLAN映射,主要用于城域网中,它允许不同VLAN的主机通过交换机翻译实现通信。借助于VLAN翻译,VLAN1网络通过交换机发送数据包时,源地址将被转换成初始设置的合法VLAN2地址,不同虚拟局域网只需使用少量IP地址(甚至是1个)即可实现不同VLAN内所有计算机互相通信的需求。

VLAN翻译的实现方式有两种,即静态翻译和动态转换。

静态翻译是指将VLAN1的IP地址转换为VLAN2的IP地址,IP地址对是一对一的,是一成不变的。借助于静态翻译,可以VLAN1网络对VLAN2网络中某些特定设备(如服务器)的访问。

动态转换是指将VLAN1网络的IP地址转换为VLAN2的IP地址时,IP地址是不确定的,是随机的,所有被授权的VLAN1的私有IP地址可随机转换为任何指定可用的VLAN2IP地址。也就是说,只要指定哪些地址可以进行转换,以及用哪些地址作为转换地址时,就可以进行动态转换。

2.3 设计实现方案

图3 基于VEPA交换技术服务器逻辑结构的示意图

图3是采用VEPA交换技术后服务器逻辑结

构的示意图,其中P1 、P2 为转发端口,C、D、E、F分别为虚拟机接入端口,Z为外网机器端口。设计中各端口网段划分和端口说明如表1所示。

表1 VLAN端口和出口列表

在交换机Adjacent Bridge中,设置各VLAN是否采用反射数据帧的行为(Reflective Relay),设置结果如表2所示。

表2 反射数据帧支持表

假设虚拟机C要和同一VLAN的虚拟机F通信,C发出的数据经VEPA技术首先传送到下行交换机上。C所在的VLAN3设置了Reflective Relay,且和目的虚拟机F属同

一物理主机,所以下行交换机直接将数据传至目的主机F。通信流程如图4所示。

图4 C向F通信示意图

当虚拟机F要和外网主机Z通信,F发出的数据经VEPA技术首先传送到下行交换机上。因为F所在的VLAN4设置了Reflective Relay,且目的主机Z与F不在同一物理主机上,所以数据被反射回转发端口P2*。P2 和P1*通过虚拟桥相连,由于P1*所在VLAN1没有Reflective Relay,最终数据通过下行交换机发送至目的主机Z。通信流程如图5所示。

图5 F向Z通信示意图

当外部主机Z向该台物理机上所有虚拟机广播通信时,Z首先经过外联交换向外接端口P1*发送数据。P1*收到数据后通过虚拟网桥转发给端口P2*,P2*收到数据再转发给外联交换机。P2*端口所在VLAN2支持Reflective Relay,所以交换机把数据反射回C、D、E、F端口,如图6所示。

图6 Z广播通信示意图

在加人人侵检测模块之后,设计采用双层协议模式,P1*、P2*、P3*端口工作在虚拟桥连接模式(VEB)下,虚拟机工作在VEPA模式下。这样设计的好处是将虚拟机和入侵检测设备隔离,不影响通信效率。各端口划分如表3所示。

在下行交换机中,设置各VLAN反射数据帧的行为,还要在加入一个VLAN翻译功能,设置结果如表4所示。

表3 VLAN端口和出口列表

表4 反射数据帧和VLAN翻译支持表

当外部主机z向F通信时,数据包首先抵达端口P1*,经过VEB转发给P2*和P3*端口。通过入侵检测后,会在下行交换机上进行初始设置的VLAN翻译,将数据包发送给虚拟机F。整个流程如图7所示。

图7 带有IDS功能的Z向F通信示意图

VEPA除了用Q-in-Q基本的802.1q标记外,又增加一层虚拟机MAC地址加子系统厂商识别码SVID的标识。这样在VLAN之外,VEPA还能够通过Qin-Q和唯一的标识来区分不同的虚拟机,只要服务器网卡能够给数据帧打上Q-in-Q标记,上联交换机能够处理Qin-Q帧,基本就可以将不同的虚拟机流量区分开来,并进行处理。

2.3 采用VEPA的优点

VEPA技术的实现,将为虚拟化的数据中心带来以下优点:

(1)提升性能、降低复杂性

VEPA将交换功能移出了服务器,并且将其放回物理网络中,而且让外部网络交换机能够看到所有的虚拟机流量。通过将虚拟机交换移回物理网络,基于VEPA的方法使现有的网络工具和流程可以在虚拟化和非虚拟化环境以及监视程序技术中以相同的方式自由使用。

(2)保持低成本电路

防火墙和IDS/IPS等基于网络的设备,以及访问控制列表(ACL)、服务质量(QoS)和端口监视等成熟的网络交换机功能都可以直接用于虚拟机流量和虚拟机之间的交换,因此减少和消除了对虚拟网络设备重新进行昂贵的质量判定、测试和部署的需求。

(3)清晰管理边界

VEPA降低服务器管理人员的网络配置要求和配置复杂性,将网络管理控制层重新交给了网络管理员,为所有与虚拟机相关联网功能的供应、监视和故障查找提供了一个单一控制点。

3 结束语

云数据中心是未来发展的方向,其安全问题的重要性更是呈现逐步上升趋势。本文的设计降低了高度虚拟化部署有关的复杂性和提高了数据的安全性。对于中小型云数据中心安全部署,此设计提供了一个性价比较高方法,不失为一种务实高效的解决方案。

关键字:虚拟机虚拟交换机数据中心数据帧

本文摘自:比特网

x 一种云数据中心虚拟交换的解决方案 扫一扫
分享本文到朋友圈
当前位置:数据中心虚拟化 → 正文

一种云数据中心虚拟交换的解决方案

责任编辑:vivian |来源:企业网D1Net  2012-07-09 08:52:07 本文摘自:比特网

随着虚拟化技术的成熟和x86 CPU性能的发展,越来越多的数据中心开始向虚拟化转型。数据中心虚拟化的基础网络技术趋势,延续了传统数据中心性能、安全、永续的基本需求,而且进一步简化网络架构,更有力支撑应用层面虚拟化,降低运维复杂度,提高了灵活性。

当前数据中心虚拟化发展面临许多关键性问题,而安全问题首当其冲,并且随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。

在虚拟化当中有一种重大威胁,即同一个物理服务器上的多个虚拟机彼此之间的通信都是在虚拟交换机上进行的,这一点是防火墙、入侵检测、预防系统和异常行为检测器,这些针对物理服务器网络流量的外部网络安全工具视若无睹的。

针对这些安全问题,本文旨在设计出一种合理的与数据中心虚拟机通信方式,以解决目前安全方面的盲点。虚拟以太网端口汇聚器((Virtual Ethernet Port Aggregator,VEPA)是最新IEEE 802.1Qbg草案标准化工作的一个组成部分,其设计目标是降低与高度虚拟化部署有关的复杂性和提高数据的安全性。运用VEPA技术,能有效解决虚拟机之间相互通讯无法监控的问题,为云架构数据中心的实现提供安全的屏障。

1 云计算数据中心架构概述

云计算系统分成两部分:前端和后端,二者一般通过网络互相连接。前端指的是用户的计算机或客户端,后端指的是系统中的计算机群,也就是前端包括用户计算机(或计算机网络)以及云计算系统登陆程序。不同的云计算系统具有不同的用户界面。后端是各种各样的计算机、服务器和数据存储系统,它们共同组成了云计算系统中的云。理论上,任何应用程序都可以在云计算系统中运行。

一般来说,每个应用程序都有其专用的服务器。管理整个系统的是中央服务器,它监管流量和用户需求并确保一切运行顺利。中央服务器遵循一套被称为协议的规则,并使用一种被称为中间件(middleware)的专门软件。中间件可以使联网的计算机互相通讯。

VMware和微软公司的Hyper-V是目前支持云计算完全虚拟化的主流产品。以WM ware为例,在完全虚拟化的环境下,VMware ESXi运行在裸硬件上,充当主机操作系统。在装有WM ware Esxj的物理主机上虚拟出虚拟服务器,运行客户端操作系统。整个WMvare ESXi的物理主机集群由一台VMware vCenter Server来管理。如图1所示。

图1 VMware私有云架构

2 基于VEPA技术改进的虚拟通信解决方案

2.1 虚拟以太网端口汇聚器(VEPA)

VEPA是IEEE 802.1Qbg标准草案的核心部分。VEPA的核心机制就是两条:修改生成树协议、重用Q-in-Q。

VEPA是虚拟机管理器内的一个分层,它采用一种新型转发模式融人物理交换机中,使流量能够从来时的端口“原路返回”。VEPA能接纳所有虚拟机之间的传输资料,然后直接传送到外部的交换机,在物理交换机上查表处理后,再回到目的虚拟机上,从而简化同一服务器上虚拟机之间的通信。

当两个处于同一服务器内的虚拟机要交换数据时,从虚拟机出来的数据帧首先会经过服务器网卡送往上联交换机,上联交换机通过查看帧头中带的MAC地址(虚拟机MAC地址)发现目的主机在同一台物理服务器中,因此又将这个帧送回原服务器,完成寻址转发。

整个数据流好像一个发卡一样在上联交换机上绕了一圈,因此这个行为又称作“发卡弯”。“发卡弯”实现了对虚拟机的数据转发,但这个行为违反了生成树协议的一项重要原则,即数据帧不能发往收到这个帧的端口,而目前虚拟接人环境基本是属于二层,因此,在接人层,不可能使用路由来实现这个功能,这就造成了VEPA的机制与生成树协议之间的矛盾。

针对VEPA和生成树协议相矛盾的体制,在IEEE 802.1Qbg标准草案中,重写了生成树协议,即在下联端口上强制进行反射数据帧的行为(ReflectiveRelay),通过强制性的方法解决了二者机制上的冲突。

图2对比了使用虚拟交换机和VEPA两种不同的虚拟机通信方式。左图中,虚拟机之间通讯通过虚拟交换机完成;右图虚拟机之间通信由外部交换机完成。

图2 虚拟交换机和VEPA转发比较图

2.2 VI AN翻译技术简介

VLAN翻译(VLAN Translation)又叫VLAN映射,主要用于城域网中,它允许不同VLAN的主机通过交换机翻译实现通信。借助于VLAN翻译,VLAN1网络通过交换机发送数据包时,源地址将被转换成初始设置的合法VLAN2地址,不同虚拟局域网只需使用少量IP地址(甚至是1个)即可实现不同VLAN内所有计算机互相通信的需求。

VLAN翻译的实现方式有两种,即静态翻译和动态转换。

静态翻译是指将VLAN1的IP地址转换为VLAN2的IP地址,IP地址对是一对一的,是一成不变的。借助于静态翻译,可以VLAN1网络对VLAN2网络中某些特定设备(如服务器)的访问。

动态转换是指将VLAN1网络的IP地址转换为VLAN2的IP地址时,IP地址是不确定的,是随机的,所有被授权的VLAN1的私有IP地址可随机转换为任何指定可用的VLAN2IP地址。也就是说,只要指定哪些地址可以进行转换,以及用哪些地址作为转换地址时,就可以进行动态转换。

2.3 设计实现方案

图3 基于VEPA交换技术服务器逻辑结构的示意图

图3是采用VEPA交换技术后服务器逻辑结

构的示意图,其中P1 、P2 为转发端口,C、D、E、F分别为虚拟机接入端口,Z为外网机器端口。设计中各端口网段划分和端口说明如表1所示。

表1 VLAN端口和出口列表

在交换机Adjacent Bridge中,设置各VLAN是否采用反射数据帧的行为(Reflective Relay),设置结果如表2所示。

表2 反射数据帧支持表

假设虚拟机C要和同一VLAN的虚拟机F通信,C发出的数据经VEPA技术首先传送到下行交换机上。C所在的VLAN3设置了Reflective Relay,且和目的虚拟机F属同

一物理主机,所以下行交换机直接将数据传至目的主机F。通信流程如图4所示。

图4 C向F通信示意图

当虚拟机F要和外网主机Z通信,F发出的数据经VEPA技术首先传送到下行交换机上。因为F所在的VLAN4设置了Reflective Relay,且目的主机Z与F不在同一物理主机上,所以数据被反射回转发端口P2*。P2 和P1*通过虚拟桥相连,由于P1*所在VLAN1没有Reflective Relay,最终数据通过下行交换机发送至目的主机Z。通信流程如图5所示。

图5 F向Z通信示意图

当外部主机Z向该台物理机上所有虚拟机广播通信时,Z首先经过外联交换向外接端口P1*发送数据。P1*收到数据后通过虚拟网桥转发给端口P2*,P2*收到数据再转发给外联交换机。P2*端口所在VLAN2支持Reflective Relay,所以交换机把数据反射回C、D、E、F端口,如图6所示。

图6 Z广播通信示意图

在加人人侵检测模块之后,设计采用双层协议模式,P1*、P2*、P3*端口工作在虚拟桥连接模式(VEB)下,虚拟机工作在VEPA模式下。这样设计的好处是将虚拟机和入侵检测设备隔离,不影响通信效率。各端口划分如表3所示。

在下行交换机中,设置各VLAN反射数据帧的行为,还要在加入一个VLAN翻译功能,设置结果如表4所示。

表3 VLAN端口和出口列表

表4 反射数据帧和VLAN翻译支持表

当外部主机z向F通信时,数据包首先抵达端口P1*,经过VEB转发给P2*和P3*端口。通过入侵检测后,会在下行交换机上进行初始设置的VLAN翻译,将数据包发送给虚拟机F。整个流程如图7所示。

图7 带有IDS功能的Z向F通信示意图

VEPA除了用Q-in-Q基本的802.1q标记外,又增加一层虚拟机MAC地址加子系统厂商识别码SVID的标识。这样在VLAN之外,VEPA还能够通过Qin-Q和唯一的标识来区分不同的虚拟机,只要服务器网卡能够给数据帧打上Q-in-Q标记,上联交换机能够处理Qin-Q帧,基本就可以将不同的虚拟机流量区分开来,并进行处理。

2.3 采用VEPA的优点

VEPA技术的实现,将为虚拟化的数据中心带来以下优点:

(1)提升性能、降低复杂性

VEPA将交换功能移出了服务器,并且将其放回物理网络中,而且让外部网络交换机能够看到所有的虚拟机流量。通过将虚拟机交换移回物理网络,基于VEPA的方法使现有的网络工具和流程可以在虚拟化和非虚拟化环境以及监视程序技术中以相同的方式自由使用。

(2)保持低成本电路

防火墙和IDS/IPS等基于网络的设备,以及访问控制列表(ACL)、服务质量(QoS)和端口监视等成熟的网络交换机功能都可以直接用于虚拟机流量和虚拟机之间的交换,因此减少和消除了对虚拟网络设备重新进行昂贵的质量判定、测试和部署的需求。

(3)清晰管理边界

VEPA降低服务器管理人员的网络配置要求和配置复杂性,将网络管理控制层重新交给了网络管理员,为所有与虚拟机相关联网功能的供应、监视和故障查找提供了一个单一控制点。

3 结束语

云数据中心是未来发展的方向,其安全问题的重要性更是呈现逐步上升趋势。本文的设计降低了高度虚拟化部署有关的复杂性和提高了数据的安全性。对于中小型云数据中心安全部署,此设计提供了一个性价比较高方法,不失为一种务实高效的解决方案。

关键字:虚拟机虚拟交换机数据中心数据帧

本文摘自:比特网

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^