摘要:圖示意圖摘自白皮書需求決定產(chǎn)品,正是由于在企業(yè)級云中���,需要各種豐富的網(wǎng)絡(luò)功能���,才于年前就推出了等虛擬交換機(jī)����。正是看到了云中的網(wǎng)絡(luò)是一塊大市場�����,才與緊密合作��,以的形式基于開發(fā)出了自己的分布式虛擬交換機(jī)功能對應(yīng)于的�。
計算�����,存儲�,網(wǎng)絡(luò),安全�,是構(gòu)建任何大型數(shù)據(jù)中心都繞不過去的四個問題。云也不例外���。在這個風(fēng)起云涌的云時代���,各廠商賽馬般發(fā)布層出不窮的新技術(shù)��,著實讓我們目不暇接���。很多人昨天剛玩過Xen,今天看到Redhat宣稱KVM是其新的戰(zhàn)略方向���,又忍不住把KVM拿來折騰一番����。大家習(xí)慣性地把注意力都放在了“計算”上�����,積累了不少“服務(wù)器虛擬化”的經(jīng)驗���,卻不知不覺冷落了其余三個方面�。國外同行們熱議Software Defined Network(SDN)和OpenFlow這些因為云而瞬間火爆的技術(shù)時�����,我們還卯足了勁兒一頭扎進(jìn)服務(wù)器虛擬化中不愿出來�����。
搜索了一下,網(wǎng)絡(luò)上關(guān)于“網(wǎng)絡(luò)虛擬化”的文章很少�����。工作關(guān)系長期接觸這方面技術(shù)���,不敢私藏,拿出來跟大家分享一下�。水平有限,純屬拋磚引玉�����,大家扔磚頭時輕一點���。歡迎討論����,歡迎站短���,歡迎郵件 [email protected]
什么是Open vSwitch�?它能給云帶來什么�?
官網(wǎng)首頁精煉地回答了這個問題:(翻譯自http://openvswitch.org/)
Open vSwitch的目標(biāo)�,是做一個具有產(chǎn)品級質(zhì)量的多層虛擬交換機(jī)�。通過可編程擴(kuò)展,可以實現(xiàn)大規(guī)模網(wǎng)絡(luò)的自動化(配置��、管理�����、維護(hù))��。它支持現(xiàn)有標(biāo)準(zhǔn)管理接口和協(xié)議(比如netFlow�����,sFlow��,SPAN���,RSPAN��,CLI�,LACP�,802.1ag等,熟悉物理網(wǎng)絡(luò)維護(hù)的管理員可以毫不費力地通過Open vSwitch轉(zhuǎn)向虛擬網(wǎng)絡(luò)管理)。
?
?
圖一:Open vSwitch示意圖
官網(wǎng)的描述精準(zhǔn)而抽象����,來點通俗的,Open vSwitch是一個由Nicira Networks主導(dǎo)的開源項目����,通過運(yùn)行在虛擬化平臺上的虛擬交換機(jī),為本臺物理機(jī)上的VM提供二層網(wǎng)絡(luò)接入�, 跟云中的其它物理交換機(jī)一樣工作在Layer 2層。Open vSwitch充分考慮了在不同虛擬化平臺間的移植性���,采用平臺無關(guān)的C語言開發(fā)。更為人民群眾喜聞樂見的是��,它遵循Apache2.0許可��,不論你是自用還是商用都OK�。而它的同類產(chǎn)品VMware的vDS(vSphere Distributed VirtualSwitch),Cisco的Nexus 1000V都是收費的���。更重要的是��,雖然免費���,其產(chǎn)品質(zhì)量卻深得信賴�����。在2010年Open vSwitch 1.0.0發(fā)布之前��,Citrix就宣布在XenServer中將其作為默認(rèn)組件����。關(guān)于這一點����,也許Nicira的身世可以給出一些解釋,它的投資人里有Diane Greene(VMware聯(lián)合創(chuàng)始人)和Andy Rachleff(Benchmark Capital聯(lián)合創(chuàng)始人)�,經(jīng)常聽朋友談起的幾個VMware網(wǎng)絡(luò)大牛也加盟其中,是目前硅谷最炙手可熱的SDN創(chuàng)業(yè)公司之一���。
既然Citrix的企業(yè)級虛擬化產(chǎn)品都裝備了Open vSwitch���,我們還有什么理由懷疑它的可靠性呢?更何況它還是開源的�����!
你可能會問,我為什么有必要在自己的云架構(gòu)中使用它呢�?它能給我的云帶來什么?
OK�����。需求決定一切�,如果你只是自己搞一臺Host,在上面虛擬幾臺VM做實驗�。或者小型創(chuàng)業(yè)公司��,通過在五臺十臺機(jī)器上的虛擬化��,創(chuàng)建一些VM給公司內(nèi)部開發(fā)測試團(tuán)隊使用����。那么對你而言�,網(wǎng)絡(luò)虛擬化的迫切性并不強(qiáng)烈。也許你更多考慮的����,是VM的可靠接入:和物理機(jī)一樣有效獲取網(wǎng)絡(luò)連接,能夠RDP訪問����。Linux Kernel自帶的橋接模塊就可以很好的解決這一問題�。原理上講�����,正確配置橋接�,并把VM的virtual nic連接在橋接器上就OK啦。很多虛擬化平臺的早期解決方案也是如此�����,自動配置并以向用戶透明的方式提供虛擬機(jī)接入����。如果你是OpenStack的fans,那Nova就更好地幫你完成了一系列網(wǎng)絡(luò)接入設(shè)置�����。Open vSwitch在WHY-OVS這篇文章中�,第一句話就高度贊揚(yáng)了Linux bridge:
“We love the existing network stack in Linux.? It is robust, flexible, and feature rich.? Linux already contains an in-kernel L2 switch (the Linux bridge) which can be used by VMs for inter-VM communication.? So, it is reasonable to ask why there is a need for a new network switch.”
但是,如果你是大型數(shù)據(jù)中心的網(wǎng)絡(luò)管理員��,一朵沒有網(wǎng)絡(luò)虛擬化支持的云�,將是無盡的噩夢���。
在傳統(tǒng)數(shù)據(jù)中心中,網(wǎng)絡(luò)管理員習(xí)慣了每臺物理機(jī)的網(wǎng)絡(luò)接入均可見并且可配置�。通過在交換機(jī)某端口的策略配置,可以很好控制指定物理機(jī)的網(wǎng)絡(luò)接入���,訪問策略����,網(wǎng)絡(luò)隔離��,流量監(jiān)控�����,數(shù)據(jù)包分析���,Qos配置�,流量優(yōu)化等�����。
有了云����,網(wǎng)絡(luò)管理員仍然期望能以per OS/per port的方式管理。如果沒有網(wǎng)絡(luò)虛擬化技術(shù)的支持��,管理員只能看到被橋接的物理網(wǎng)卡��,其上川流不息地跑著n臺VM的數(shù)據(jù)包���。僅憑物理交換機(jī)支持��,管理員無法區(qū)分這些包屬于哪個OS哪個用戶�����,只能望云興嘆乎��?簡單列舉常見的幾種需求����,Open vSwitch現(xiàn)有版本很好地解決了這些需求�。
? ?需求一:網(wǎng)絡(luò)隔離。物理網(wǎng)絡(luò)管理員早已習(xí)慣了把不同的用戶組放在不同的VLAN中����,例如研發(fā)部門���、銷售部門、財務(wù)部門�,做到二層網(wǎng)絡(luò)隔離。Open vSwitch通過在host上虛擬出一個軟件交換機(jī)�����,等于在物理交換機(jī)上級聯(lián)了一臺新的交換機(jī)���,所有VM通過級聯(lián)交換機(jī)接入����,讓管理員能夠像配置物理交換機(jī)一樣把同一臺host上的眾多VM分配到不同VLAN中去����;
? ?需求二:QoS配置。在共享同一個物理網(wǎng)卡的眾多VM中����,我們期望給每臺VM配置不同的速度和帶寬,以保證核心業(yè)務(wù)VM的網(wǎng)絡(luò)性能�����。通過在Open vSwitch端口上����,給各個VM配置QoS,可以實現(xiàn)物理交換機(jī)的traffic queuing和traffic shaping功能����。
? ?需求三:流量監(jiān)控,Netflow�,sFlow。物理交換機(jī)通過xxFlow技術(shù)對數(shù)據(jù)包采樣���,記錄關(guān)鍵域�����,發(fā)往Analyzer處理����。進(jìn)而實現(xiàn)包括網(wǎng)絡(luò)監(jiān)控�、應(yīng)用軟件監(jiān)控、用戶監(jiān)控���、網(wǎng)絡(luò)規(guī)劃����、安全分析、會計和結(jié)算����、以及網(wǎng)絡(luò)流量數(shù)據(jù)庫分析和挖掘在內(nèi)的各項操作。例如���,NetFlow流量統(tǒng)計可以采集的數(shù)據(jù)非常豐富��,包括:數(shù)據(jù)流時戳���、源IP地址和目的IP地址、 源端口號和目的端口號��、輸入接口號和輸出接口號�����、下一跳IP地址���、信息流中的總字節(jié)數(shù)�、信息流中的數(shù)據(jù)包數(shù)量、信息流中的第一個和最后一個數(shù)據(jù)包時戳�����、源AS和目的AS�,及前置掩碼序號等��。
xxFlow因其方便�、快捷、動態(tài)���、高效的特點����,為越來越多的網(wǎng)管人員所接受�,成為互聯(lián)網(wǎng)安全管理的重要手段,特別是在較大網(wǎng)絡(luò)的管理中�����,更能體現(xiàn)出其獨特優(yōu)勢�����。
沒錯,有了Open vSwitch����,作為網(wǎng)管的你,可以把xxFlow的強(qiáng)大淋漓盡致地應(yīng)用在VM上����!
? ?需求四:數(shù)據(jù)包分析,Packet Mirror���。物理交換機(jī)的一大賣點���,當(dāng)對某一端口的數(shù)據(jù)包感興趣時(for trouble shooting , etc),可以配置各種span(SPAN, RSPAN, ERSPAN)���,把該端口的數(shù)據(jù)包復(fù)制轉(zhuǎn)發(fā)到指定端口�,通過抓包工具進(jìn)行分析����。Open vSwitch官網(wǎng)列出了對SPAN, RSPAN, and GRE-tunneled mirrors的支持。
關(guān)于具體功能�����,就不一一贅述了,感興趣的童鞋可以參考官網(wǎng)功能列表:http://openvswitch.org/features/
只是在Open vSwitch上實現(xiàn)物理交換機(jī)的現(xiàn)有功能���?那不是Nicira的風(fēng)格�。
云中的網(wǎng)絡(luò)����,絕不僅僅需要傳統(tǒng)物理交換機(jī)已有的功能。云對網(wǎng)絡(luò)的需求�����,推動了Software Defined Network越來越火����。而在各種SDN解決方案中�����,OpenFlow無疑是最引人矚目的��。Flow Table + Controller的架構(gòu)���,為新服務(wù)新協(xié)議提供了絕佳的開放性平臺���。Nicira把對Openflow的支持引入了Open vSwitch����。引入以下模塊:
·???????? ovs-openflowd? ---? OpenFlow交換機(jī)���;
·???????? ovs-controller? --- OpenFlow控制器�;
·???????? ovs-ofctl? --- Open Flow 的命令行配置接口�;
·???????? ovs-pki? --- 創(chuàng)建和管理公鑰框架;
·???????? tcpdump的補(bǔ)丁 --- 解析OpenFlow的消息�����;
不再展開����,大家感興趣的話可以Google之。
圖2 :Open Flow示意圖 -- 摘自O(shè)pen Flow白皮書
需求決定產(chǎn)品���,正是由于在企業(yè)級云中�����,需要各種豐富的網(wǎng)絡(luò)功能��,VMware才于n年前就推出了vSwitch�、vDS等虛擬交換機(jī)。正是看到了云中的網(wǎng)絡(luò)是一塊大市場��,Cisco才與VMware緊密合作�,以partner的形式基于VMware kernel API開發(fā)出了自己的分布式虛擬交換機(jī)Nexus 1000V(功能對應(yīng)于VMware的vDS)?����?上У氖?���,這兩款產(chǎn)品都是收費的��。Citrix倒是基于Open vSwitch快速追趕�����,推出了自己的Distributed Virtual Switch解決方案����。但是不好意思,也是收費的���。開源云的標(biāo)桿OpenStack去年下半年推出了一項宏大的計劃��,啟動了Quantum項目��,志在通過引入Open vSwitch���,為Open Stack Network模塊勾勒出“Connectivity as a service”的動人前景����。有時間的話��,會再多帶帶開一篇文章討論�����。
感謝開源��,Open vSwitch是坐公交車的成本��,進(jìn)口跑車的體驗���!還等什么���,在你的大型開源云架構(gòu)中����,使用Open vSwitch吧
