云計(jì)算已經(jīng)成為當(dāng)前企業(yè)IT建設(shè)的常規(guī)形態(tài)，而在云計(jì)算中大量采用和部署的虛擬化幾乎成為一個(gè)基本的技術(shù)模式。

服務(wù)器虛擬化技術(shù)的廣泛部署，極大增加了數(shù)據(jù)中心的計(jì)算密度，而且，因?yàn)樘摂M機(jī)本身不受物理計(jì)算環(huán)境的約束，基于業(yè)務(wù)的靈活性變更要求，需要在網(wǎng)絡(luò)中無(wú)限制地遷移到目的物理位置，(如圖1所示)虛機(jī)增長(zhǎng)的快速性以及虛機(jī)遷移成為一個(gè)常態(tài)性業(yè)務(wù)。

圖1 虛擬化的快速增長(zhǎng)及帶來(lái)的密集遷移效應(yīng)

1 云計(jì)算虛擬化網(wǎng)絡(luò)的挑戰(zhàn)與革新

在云中，虛擬計(jì)算負(fù)載的高密度增長(zhǎng)及靈活性遷移在一定程度上對(duì)網(wǎng)絡(luò)產(chǎn)生了壓力，然而當(dāng)前虛擬機(jī)的規(guī)模與可遷移性受物理網(wǎng)絡(luò)能力約束，云中的業(yè)務(wù)負(fù)載不能與物理網(wǎng)絡(luò)脫離。

虛擬機(jī)遷移范圍受到網(wǎng)絡(luò)架構(gòu)限制

由于虛擬機(jī)遷移的網(wǎng)絡(luò)屬性要求，其從一個(gè)物理機(jī)上遷移到另一個(gè)物理機(jī)上，要求虛擬機(jī)不間斷業(yè)務(wù)，則需要其IP地址、MAC地址等參數(shù)維保持不變，如此則要求業(yè)務(wù)網(wǎng)絡(luò)是一個(gè)二層網(wǎng)絡(luò)，且要求網(wǎng)絡(luò)本身具備多路徑多鏈路的冗余和可靠性。傳統(tǒng)的網(wǎng)絡(luò)生成樹(shù)(STPSpaning Tree Protocol)技術(shù)不僅部署繁瑣榮，且協(xié)議復(fù)雜，網(wǎng)絡(luò)規(guī)模不宜過(guò)大，限制了虛擬化的網(wǎng)絡(luò)擴(kuò)展性。基于各廠家私有的的IRF/vPC等設(shè)備級(jí)的(網(wǎng)絡(luò)N:1)虛擬化技術(shù)，雖然可以簡(jiǎn)化拓?fù)浜?jiǎn)化、具備高可靠性的能力，但是對(duì)于網(wǎng)絡(luò)有強(qiáng)制的拓?fù)湫螤钕拗?，在網(wǎng)絡(luò)的規(guī)模和靈活性上有所欠缺，只適合小規(guī)模網(wǎng)絡(luò)構(gòu)建，且一般適用于數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)。而為了大規(guī)模網(wǎng)絡(luò)擴(kuò)展的TRILL/SPB/FabricPath/VPLS等技術(shù)，雖然解決了上述技術(shù)的不足，但對(duì)網(wǎng)絡(luò)有特殊要求，即網(wǎng)絡(luò)中的設(shè)備均要軟硬件升級(jí)而支持此類新技術(shù)，帶來(lái)部署成本的上升。

虛擬機(jī)規(guī)模受網(wǎng)絡(luò)規(guī)格限制

在大二層網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)流均需要通過(guò)明確的網(wǎng)絡(luò)尋址以保證準(zhǔn)確到達(dá)目的地，因此網(wǎng)絡(luò)設(shè)備的二層地址表項(xiàng)大小(即MAC地址表)，成為決定了云計(jì)算環(huán)境下虛擬機(jī)的規(guī)模的上限，并且因?yàn)楸眄?xiàng)并非百分之百的有效性，使得可用的虛機(jī)數(shù)量進(jìn)一步降低，特別是對(duì)于低成本的接入設(shè)備而言，因其表項(xiàng)一般規(guī)格較小，限制了整個(gè)云計(jì)算數(shù)據(jù)中心的虛擬機(jī)數(shù)量，但如果其地址表項(xiàng)設(shè)計(jì)為與核心或網(wǎng)關(guān)設(shè)備在同一檔次，則會(huì)提升網(wǎng)絡(luò)建設(shè)成本。雖然核心或網(wǎng)關(guān)設(shè)備的MAC與ARP規(guī)格會(huì)隨著虛擬機(jī)增長(zhǎng)也面臨挑戰(zhàn)，但對(duì)于此層次設(shè)備能力而言，大規(guī)格是不可避免的業(yè)務(wù)支撐要求。減小接入設(shè)備規(guī)格壓力的做法可以是分離網(wǎng)關(guān)能力，如采用多個(gè)網(wǎng)關(guān)來(lái)分擔(dān)虛機(jī)的終結(jié)和承載，但如此也會(huì)帶來(lái)成本的上升。

網(wǎng)絡(luò)隔離/分離能力限制

當(dāng)前的主流網(wǎng)絡(luò)隔離技術(shù)為VLAN(或VPN)，在大規(guī)模虛擬化環(huán)境部署會(huì)有兩大限制：一是VLAN數(shù)量在標(biāo)準(zhǔn)定義中只有12個(gè)比特單位，即可用的數(shù)量為4000個(gè)左右，這樣的數(shù)量級(jí)對(duì)于公有云或大型虛擬化云計(jì)算應(yīng)用而言微不足道，其網(wǎng)絡(luò)隔離與分離要求輕而易舉會(huì)突破4000;二是VLAN技術(shù)當(dāng)前為靜態(tài)配置型技術(shù)(只有EVB/VEPA的802.1Qbg技術(shù)可以在接入層動(dòng)態(tài)部署VLAN，但也主要是在交換機(jī)接主機(jī)的端口為常規(guī)部署，上行口依然為所有VLAN配置通過(guò))，這樣使得整個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)幾乎為所有VLAN被允許通過(guò)(核心設(shè)備更是如此)，導(dǎo)致任何一個(gè)VLAN的未知目的廣播數(shù)據(jù)會(huì)在整網(wǎng)泛濫，無(wú)節(jié)制消耗網(wǎng)絡(luò)交換能力與帶寬。

對(duì)于小規(guī)模的云計(jì)算虛擬化環(huán)境，現(xiàn)有的網(wǎng)絡(luò)技術(shù)如虛擬機(jī)接入感知(VEPA/802.1Qbg)、數(shù)據(jù)中心二層網(wǎng)絡(luò)擴(kuò)展(IRF/vPC/TRILL/FabricPath)、數(shù)據(jù)中心間二層技術(shù)(OTV/EVI/TRILL)等可以很好的滿足業(yè)務(wù)需求，上述限制不成為瓶頸。然而，完全依賴于物理網(wǎng)絡(luò)設(shè)備本身的技術(shù)改良，目前看來(lái)并不能完全解決大規(guī)模云計(jì)算環(huán)境下的問(wèn)題，一定程度上還需要更大范圍的技術(shù)革新來(lái)消除這些限制，以滿足云計(jì)算虛擬化的網(wǎng)絡(luò)能力需求。在此驅(qū)動(dòng)力基礎(chǔ)上，逐步演化出Overlay的虛擬化網(wǎng)絡(luò)技術(shù)趨勢(shì)。

#p#

2 Overlay虛擬化網(wǎng)絡(luò)的技術(shù)標(biāo)準(zhǔn)及比較

2.1 Overlay技術(shù)形態(tài)

Overlay在網(wǎng)絡(luò)技術(shù)領(lǐng)域，指的是一種網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)模式，其大體框架是對(duì)基礎(chǔ)網(wǎng)絡(luò)不進(jìn)行大規(guī)模修改的條件下，實(shí)現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載，并能與其它網(wǎng)絡(luò)業(yè)務(wù)分離，并且以基于IP的基礎(chǔ)網(wǎng)絡(luò)技術(shù)為主(如圖2所示)。其實(shí)這種模式是以對(duì)傳統(tǒng)技術(shù)的優(yōu)化而形成的。早期的就有標(biāo)準(zhǔn)支持了二層Overlay技術(shù)，如RFC3378(Ethernet in IP)，就是早期的在IP上的二層Overlay技術(shù)。并且基于Ethernet over GRE的技術(shù)，H3C與Cisco都在物理網(wǎng)絡(luò)基礎(chǔ)上發(fā)展了各自的私有二層Overlay技術(shù)——EVI(Ethernet Virtual Interconnection)與OTV(Overlay Transport Virtualization)。EVI與OTV都主要用于解決數(shù)據(jù)中心之間的二層互聯(lián)與業(yè)務(wù)擴(kuò)展問(wèn)題，并且對(duì)于承載網(wǎng)絡(luò)的基本要求是IP可達(dá)，部署上簡(jiǎn)單且擴(kuò)展方便。

圖2 Overlay網(wǎng)絡(luò)模型

隨著云計(jì)算虛擬化的驅(qū)動(dòng)，基于主機(jī)虛擬化的Overlay技術(shù)出現(xiàn)，在服務(wù)器的Hypervisor內(nèi)vSwitch上支持了基于IP的二層Overlay技術(shù)，從更靠近應(yīng)用的邊緣來(lái)提供網(wǎng)絡(luò)虛擬化服務(wù)，其目的是使虛擬機(jī)的部署與業(yè)務(wù)活動(dòng)脫離物理網(wǎng)絡(luò)及其限制，使得云計(jì)算的網(wǎng)絡(luò)形態(tài)不斷完善。(如圖3所示)主機(jī)的vSwitch支持基于IP的Overlay之后，虛機(jī)的二層訪問(wèn)直接構(gòu)建在Overlay之上，物理網(wǎng)不再感知虛機(jī)的諸多特性，由此，Overlay可以構(gòu)建在數(shù)據(jù)中心內(nèi)，也可以跨越數(shù)據(jù)中心之間。

圖3 hypervisor支持的二層Overlay

2.2 Overlay如何解決當(dāng)前的主要問(wèn)題

針對(duì)前文提出的三大技術(shù)挑戰(zhàn)，Overlay在很大程度上提供了全新的解決方式。

針對(duì)虛機(jī)遷移范圍受到網(wǎng)絡(luò)架構(gòu)限制的解決方式

Overlay是一種封裝在IP報(bào)文之上的新的數(shù)據(jù)格式，因此，這種數(shù)據(jù)可以通過(guò)路由的方式在網(wǎng)絡(luò)中分發(fā)，而路由網(wǎng)絡(luò)本身并無(wú)特殊網(wǎng)絡(luò)結(jié)構(gòu)限制，具備良性大規(guī)模擴(kuò)展能力，并且對(duì)設(shè)備本身無(wú)特殊要求，以高性能路由轉(zhuǎn)發(fā)為佳，且路由網(wǎng)絡(luò)本身具備很強(qiáng)的的故障自愈能力、負(fù)載均衡能力。采用Overlay技術(shù)后，企業(yè)部署的現(xiàn)有網(wǎng)絡(luò)便可用于支撐新的云計(jì)算業(yè)務(wù)，改造難度極低(除性能可能是考量因素外，技術(shù)上對(duì)于承載網(wǎng)絡(luò)并無(wú)新的要求)。

針對(duì)虛機(jī)規(guī)模受網(wǎng)絡(luò)規(guī)格限制的解決方式

虛擬機(jī)數(shù)據(jù)封裝在IP數(shù)據(jù)包中后，對(duì)網(wǎng)絡(luò)只表現(xiàn)為封裝后的的網(wǎng)絡(luò)參數(shù)，即隧道端點(diǎn)的地址，因此，對(duì)于承載網(wǎng)絡(luò)(特別是接入交換機(jī))，MAC地址規(guī)格需求極大降低，最低規(guī)格也就是幾十個(gè)(每個(gè)端口一臺(tái)物理服務(wù)器的隧道端點(diǎn)MAC)。當(dāng)然，對(duì)于核心/網(wǎng)關(guān)處的設(shè)備表項(xiàng)(MAC/ARP)要求依然極高，當(dāng)前的解決方案仍然是采用分散方式，通過(guò)多個(gè)核心/網(wǎng)關(guān)設(shè)備來(lái)分散表項(xiàng)的處理壓力。(另一種更分散的方式便是虛擬網(wǎng)絡(luò)路由服務(wù)方式，詳見(jiàn)后文描述)。

針對(duì)網(wǎng)絡(luò)隔離/分離能力限制的解決方式

針對(duì)VLAN數(shù)量4000以內(nèi)的限制，在Overlay技術(shù)中引入了類似12比特VLAN ID的用戶標(biāo)識(shí)，支持千萬(wàn)級(jí)以上的用戶標(biāo)識(shí)，并且在Overlay中沿襲了云計(jì)算“租戶”的概念，稱之為Tenant ID(租戶標(biāo)識(shí))，用24或64比特表示。針對(duì)VLAN技術(shù)下網(wǎng)絡(luò)的TRUANK ALL(VLAN穿透所有設(shè)備)的問(wèn)題，Overlay對(duì)網(wǎng)絡(luò)的VLAN配置無(wú)要求，可以避免網(wǎng)絡(luò)本身的無(wú)效流量帶寬浪費(fèi)，同時(shí)Overlay的二層連通基于虛機(jī)業(yè)務(wù)需求創(chuàng)建，在云的環(huán)境中全局可控。

2.3 Overlay主要技術(shù)標(biāo)準(zhǔn)及比較

目前，IETF在Overlay技術(shù)領(lǐng)域有如下三大技術(shù)路線正在討論，為簡(jiǎn)單起見(jiàn)，本文只討論基于IPv4的Overlay相關(guān)內(nèi)容(如圖4所示)。

VXLAN。VXLAN是將以太網(wǎng)報(bào)文封裝在UDP傳輸層上的一種隧道轉(zhuǎn)發(fā)模式，目的UDP端口號(hào)為4798;為了使VXLAN充分利用承載網(wǎng)絡(luò)路由的均衡性，VXLAN通過(guò)將原始以太網(wǎng)數(shù)據(jù)頭(MAC、IP、四層端口號(hào)等)的HASH值作為UDP的號(hào);采用24比特標(biāo)識(shí)二層網(wǎng)絡(luò)分段，稱為VNI(VXLAN Network Identifier)，類似于VLAN ID作用;未知目的、廣播、組播等網(wǎng)絡(luò)流量均被封裝為組播轉(zhuǎn)發(fā)，物理網(wǎng)絡(luò)要求支持任意源組播(ASM)。

NVGRE。NVGRE是將以太網(wǎng)報(bào)文封裝在GRE內(nèi)的一種隧道轉(zhuǎn)發(fā)模式;采用24比特標(biāo)識(shí)二層網(wǎng)絡(luò)分段，稱為VSI(Virtual Subnet Identifier)，類似于VLAN ID作用;為了使NVGRE利用承載網(wǎng)絡(luò)路由的均衡性，NVGRE在GRE擴(kuò)展字段flow ID，這就要求物理網(wǎng)絡(luò)能夠識(shí)別到GRE隧道的擴(kuò)展信息，并以flow ID進(jìn)行流量分擔(dān);未知目的、廣播、組播等網(wǎng)絡(luò)流量均被封裝為組播轉(zhuǎn)發(fā)。

STT。STT利用了TCP的數(shù)據(jù)封裝形式，但改造了TCP的傳輸機(jī)制，數(shù)據(jù)傳輸不遵循TCP狀態(tài)機(jī)，而是全新定義的無(wú)狀態(tài)機(jī)制，將TCP各字段意義重新定義，無(wú)需三次握手建立TCP連接，因此稱為無(wú)狀態(tài)TCP;以太網(wǎng)數(shù)據(jù)封裝在無(wú)狀態(tài)TCP;采用64比特Context ID標(biāo)識(shí)二層網(wǎng)絡(luò)分段;為了使STT充分利用承載網(wǎng)絡(luò)路由的均衡性，通過(guò)將原始以太網(wǎng)數(shù)據(jù)頭(MAC、IP、四層端口號(hào)等)的HASH值作為無(wú)狀態(tài)TCP的源端口號(hào);未知目的、廣播、組播等網(wǎng)絡(luò)流量均被封裝為組播轉(zhuǎn)發(fā)。

VXLAN NVGRE SST

圖4 三種數(shù)據(jù)詳細(xì)封裝

這三種二層Overlay技術(shù)，大體思路均是將以太網(wǎng)報(bào)文承載到某種隧道層面，差異性在于選擇和構(gòu)造隧道的不同，而底層均是IP轉(zhuǎn)發(fā)。如表1所示為這三種技術(shù)關(guān)鍵特性的比較：VXLAN和STT對(duì)于現(xiàn)網(wǎng)設(shè)備對(duì)流量均衡要求較低，即負(fù)載鏈路負(fù)載分擔(dān)適應(yīng)性好，一般的網(wǎng)絡(luò)設(shè)備都能對(duì)L2-L4的數(shù)據(jù)內(nèi)容參數(shù)進(jìn)行鏈路聚合或等價(jià)路由的流量均衡，而NVGRE則需要網(wǎng)絡(luò)設(shè)備對(duì)GRE擴(kuò)展頭感知并對(duì)flow ID進(jìn)行HASH，需要硬件升級(jí);STT對(duì)于TCP有較大修改，隧道模式接近UDP性質(zhì)，隧道構(gòu)造技術(shù)屬于革新性，且復(fù)雜度較高，而VXLAN利用了現(xiàn)有通用的UDP傳輸，成熟性極高?？傮w比較，VLXAN技術(shù)相對(duì)具有優(yōu)勢(shì)。

表1 IETF三種Overlay技術(shù)的總體比較

IETF討論的Overlay技術(shù)，主要聚焦在數(shù)據(jù)轉(zhuǎn)發(fā)層面的實(shí)現(xiàn)上，控制層面并無(wú)涉及，因此在基本實(shí)現(xiàn)上依賴于不同廠家的控制層面設(shè)計(jì)，IETF討論稿《draft-pfaff-ovsdb-proto-02.pdf》則針對(duì)Open vSwitch提供了一種控制管理模型的建議(如圖5所示)，但在細(xì)節(jié)實(shí)現(xiàn)上仍不是很明確。

圖5 IETF draft討論的OVS管理方式

#p#

3 多租戶的Overlay網(wǎng)絡(luò)架構(gòu)

3.1 數(shù)據(jù)中心虛擬化網(wǎng)絡(luò)的發(fā)展階段

隨著虛擬化技術(shù)在數(shù)據(jù)中心、云計(jì)算中的不斷深入應(yīng)用，伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，數(shù)據(jù)中心的二層組網(wǎng)結(jié)構(gòu)出現(xiàn)了階段性的架構(gòu)變化(如圖6所示)。

圖6 階段性網(wǎng)絡(luò)與虛擬化的匹配

分層結(jié)構(gòu)化網(wǎng)絡(luò)

早期的數(shù)據(jù)中心網(wǎng)絡(luò)，虛擬化需求非常少，并沒(méi)有強(qiáng)烈的大二層技術(shù)要求，多是面向一定的業(yè)務(wù)應(yīng)用系統(tǒng)構(gòu)建網(wǎng)絡(luò)模塊，并且規(guī)模一般不大，性能要求也不高。數(shù)據(jù)中心使用多層架構(gòu)，網(wǎng)關(guān)層面比較低，業(yè)務(wù)的二層訪問(wèn)基本可以在網(wǎng)絡(luò)模塊內(nèi)解決，只需要通過(guò)基礎(chǔ)的生成樹(shù)技術(shù)來(lái)支撐模塊內(nèi)的二層網(wǎng)路可靠性運(yùn)行即可。

扁平化網(wǎng)絡(luò)

隨著虛擬化在X86架構(gòu)服務(wù)器上的流行及廣泛部署，模塊化的數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)不能滿足虛擬機(jī)大范圍遷移要求，而生成樹(shù)協(xié)議的復(fù)雜性也嚴(yán)重影響大規(guī)模網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。由此網(wǎng)絡(luò)本身技術(shù)出現(xiàn)適應(yīng)虛擬化的變革，包含TRILL/FabricPath/VSS/vPC/IRF等新的技術(shù)出現(xiàn)并大量部署，同時(shí)為了使得網(wǎng)絡(luò)進(jìn)一步感知虛讓你因?yàn)闄C(jī)的業(yè)務(wù)生命周期，IEEE還制訂了802.1Qbg(即VEPA技術(shù))與802.1BR來(lái)配合二層網(wǎng)絡(luò)技術(shù)增強(qiáng)對(duì)虛擬機(jī)的感知能力。為了保證網(wǎng)絡(luò)的高性能業(yè)務(wù)要求，出現(xiàn)了應(yīng)對(duì)高密虛擬化云計(jì)算環(huán)境的CLOS網(wǎng)絡(luò)架構(gòu)。

Overlay網(wǎng)絡(luò)虛擬化

當(dāng)進(jìn)入云計(jì)算時(shí)代，云的業(yè)務(wù)需求與網(wǎng)絡(luò)之間出現(xiàn)了前文提到的挑戰(zhàn)，網(wǎng)絡(luò)技術(shù)再次發(fā)生變革，以O(shè)verlay的虛擬化方式來(lái)支撐云與虛擬化的建設(shè)要求，并實(shí)現(xiàn)大規(guī)模的多租戶能力，網(wǎng)絡(luò)進(jìn)入Overlay虛擬化架構(gòu)階段。

3.2 Overlay網(wǎng)絡(luò)的組成模式

Overlay的本質(zhì)是L2 Over IP的隧道技術(shù)，在服務(wù)器的vSwitch、物理網(wǎng)絡(luò)上技術(shù)框架已經(jīng)就緒，并且從當(dāng)前的技術(shù)選擇來(lái)看，雖然有多種隧道同時(shí)實(shí)現(xiàn)，但是以L2 over UDP模式實(shí)現(xiàn)的VXLAN技術(shù)具備較大優(yōu)勢(shì)，并且在ESXi和Open vSwitch、當(dāng)前網(wǎng)絡(luò)的主流芯片已經(jīng)實(shí)現(xiàn)，預(yù)計(jì)會(huì)成為主流的Overlay技術(shù)選擇，因此后文的Overlay網(wǎng)絡(luò)均參考VXLAN相關(guān)的技術(shù)組成描述，其它NVGRE、STT等均類似。

Overlay網(wǎng)絡(luò)架構(gòu)有多種實(shí)現(xiàn)，就純大二層的實(shí)現(xiàn)，可分為主機(jī)實(shí)現(xiàn)方式和網(wǎng)絡(luò)實(shí)現(xiàn)方式;而在最終實(shí)現(xiàn)Overlay與網(wǎng)絡(luò)外部數(shù)據(jù)連通的連接方式上，則更有多種實(shí)現(xiàn)模式，并且對(duì)于關(guān)鍵網(wǎng)絡(luò)部件將有不同的技術(shù)要求。

3.2.1 基于主機(jī)的Overlay虛擬化網(wǎng)絡(luò)

(如圖7所示)目前的虛擬化主機(jī)軟件在vSwitch內(nèi)支持VXLAN，使用VTEP(VXLAN Tunnel End Point)封裝和終結(jié)VXLAN的隧道。

圖7 基于主機(jī)的Overlay虛擬化網(wǎng)絡(luò)

VXLAN運(yùn)行在UDP上，物理網(wǎng)絡(luò)只要支持IP轉(zhuǎn)發(fā)，則所有IP可達(dá)的主機(jī)即可構(gòu)建一個(gè)大范圍二層網(wǎng)絡(luò)。這種vSwitch的實(shí)現(xiàn)，屏蔽了物理網(wǎng)絡(luò)的模型與拓?fù)洳町悾瑢⑽锢砭W(wǎng)絡(luò)的技術(shù)實(shí)現(xiàn)與計(jì)算虛擬化的關(guān)鍵要求分離開(kāi)來(lái)，幾乎可以支持以太網(wǎng)在任意網(wǎng)絡(luò)上的透?jìng)?，使得云的?jì)算資源調(diào)度范圍空前擴(kuò)大。

特別的，為了使得VXLAN Overlay網(wǎng)絡(luò)更加簡(jiǎn)化運(yùn)行管理，便于云的服務(wù)提供，各廠家使用集中控制的模型，將分散在多個(gè)物理服務(wù)器上的vSwitch構(gòu)成一個(gè)大型的、虛擬化的分布式Overlay vSwitch(如圖8所示)，只要在分布式vSwitch范圍內(nèi)，虛擬機(jī)在不同物理服務(wù)器上的遷移，便被視為在一個(gè)虛擬的設(shè)備上遷移，如此大大降低了云中資源的調(diào)度難度和復(fù)雜度。

圖8 分布式Overlay vSwitch

基于主機(jī)的Overlay網(wǎng)絡(luò)數(shù)據(jù)流量出入物理網(wǎng)絡(luò)，需要實(shí)現(xiàn)VXLAN的Overlay流量與傳統(tǒng)的以太網(wǎng)數(shù)據(jù)流量之間的封裝與解封裝過(guò)程，而執(zhí)行這個(gè)過(guò)程操作的功能點(diǎn)，被稱為Overlay/VXLAN Gateway(如圖9所示)。因?yàn)閂XLAN網(wǎng)絡(luò)的VTEP功能點(diǎn)本身就是VXLAN的封裝與解封裝隧道點(diǎn)，因此VXLAN Gateway首先需要具備VTEP功能，形態(tài)可以是vSwitch、物理交換機(jī)等，只是對(duì)于網(wǎng)絡(luò)中的虛機(jī)或其它設(shè)備地址表項(xiàng)的處理有所差異。

圖9 Overlay Gateway(VXLAN)

VXLAN Ovelay網(wǎng)絡(luò)與物理網(wǎng)絡(luò)連通有以下三種組網(wǎng)方案(如圖10所示)。

方案一：Overlay虛擬化網(wǎng)絡(luò)+vSwitch GW+vRouter

Overlay的vSwitch本身具備隧道的封裝與解封裝能力，因此，H3C提供一種虛擬路由器來(lái)配合這種基本方式。將在硬件路由器中運(yùn)行的軟件vSR(基于H3C Comware平臺(tái)的路由軟件包)作為虛擬機(jī)運(yùn)行在主機(jī)中，提供Overlay網(wǎng)絡(luò)的虛擬路由功能(即vRouter能力)，vRouter的接口同時(shí)連接到VXLAN的網(wǎng)絡(luò)和VLAN基本功能的物理網(wǎng)絡(luò)。從vSwitch接收到的VXLAN數(shù)據(jù)包被解除封裝后，進(jìn)入vRouter路由接口，可以被路由到外部網(wǎng)絡(luò);反之，vRouter接收到外部網(wǎng)絡(luò)的數(shù)據(jù)可以進(jìn)入VXLAN網(wǎng)絡(luò)。

該方案的好處是：涉及Overlay的功能均在主機(jī)虛擬化環(huán)境vSwitch實(shí)現(xiàn)，并且虛擬路由功能使得Overlay網(wǎng)絡(luò)部署更加靈活，極大降低外部物理網(wǎng)絡(luò)要求。

方案二：Overlay虛擬化網(wǎng)絡(luò)+vSwitch GW+pRouter

本方案使用服務(wù)器中的vSwitch專門用作VXLAN的Gateway功能，而數(shù)據(jù)的路由功能，則由外部網(wǎng)絡(luò)物理路由器承擔(dān)。該方案除了不具備虛擬路由能力，Overlay的功能也都在主機(jī)虛擬化環(huán)境vSwitch實(shí)現(xiàn)，同時(shí)可以支持虛機(jī)與非虛擬化的物理服務(wù)器之間的二層數(shù)據(jù)通信要求。

方案三：Overlay虛擬化網(wǎng)絡(luò)+pSwitch GW+pRouter

當(dāng)物理交換機(jī)支持VXLAN功能，則pSwitch與vSwicth可以實(shí)現(xiàn)Overlay的統(tǒng)一虛擬化組網(wǎng)，物理交換機(jī)執(zhí)行VXLAN Gateway功能，不僅可以實(shí)現(xiàn)Overlay網(wǎng)絡(luò)在物理網(wǎng)絡(luò)上的終結(jié)，也可以支持虛機(jī)與非虛擬化服務(wù)器的混合組網(wǎng)業(yè)務(wù)，因?yàn)榛谖锢韺?shí)現(xiàn)(物理交換機(jī)+物理路由器)，整體網(wǎng)絡(luò)可以達(dá)到極高性能。

圖10 VXLAN Overlay網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的連通方案

3.2.2 基于物理網(wǎng)絡(luò)的Overlay虛擬化

(如圖11所示)該方案在網(wǎng)絡(luò)架構(gòu)上與TRILL/FabricPath等技術(shù)類似，但是因?yàn)閷?duì)于非VTEP要求的網(wǎng)絡(luò)只需要IP轉(zhuǎn)發(fā)，它比TRILL/FabricPath構(gòu)建的成本更低，技術(shù)要求也更加簡(jiǎn)單，同時(shí)也容易構(gòu)建多個(gè)數(shù)據(jù)中心之間的網(wǎng)絡(luò)連接。

為了解決網(wǎng)絡(luò)對(duì)虛擬機(jī)的感知與自動(dòng)化控制，結(jié)合IEEE的802.1Qbg/VEPA技術(shù)，可以使得網(wǎng)絡(luò)的Overlay與計(jì)算虛擬化之間產(chǎn)生關(guān)聯(lián)，這樣既可以保持服務(wù)器內(nèi)部網(wǎng)絡(luò)的簡(jiǎn)化，使用基本的VEPA，利用外部網(wǎng)絡(luò)強(qiáng)化來(lái)保證高能力的控制要求，又在物理網(wǎng)絡(luò)Overlay的虛擬化基礎(chǔ)上增強(qiáng)了虛機(jī)在云中大范圍調(diào)度的靈活性。

圖11 物理網(wǎng)絡(luò)的Overlay+VEPA

3.3 基于Overlay網(wǎng)絡(luò)的多租戶與網(wǎng)絡(luò)服務(wù)——H3Cloud云網(wǎng)融合路線

對(duì)于計(jì)算資源豐富的數(shù)據(jù)中心，Overlay網(wǎng)絡(luò)使得虛擬機(jī)不再為物理網(wǎng)絡(luò)所限制，但是對(duì)于網(wǎng)絡(luò)的L4-L7深度服務(wù)，在云計(jì)算環(huán)境下需求更為強(qiáng)烈，資源動(dòng)態(tài)調(diào)度的計(jì)算環(huán)境，需要?jiǎng)討B(tài)可調(diào)度的網(wǎng)絡(luò)服務(wù)支撐。因此將傳統(tǒng)的L4-L7服務(wù)轉(zhuǎn)換為可云化的、可動(dòng)態(tài)調(diào)度的服務(wù)資源，成為Overlay網(wǎng)絡(luò)環(huán)境下的必須集成框架(如圖12所示)。H3C基于Comware V7軟件平臺(tái)的L4-L7產(chǎn)品系列，可在虛擬化網(wǎng)絡(luò)環(huán)境下資源化，以虛擬服務(wù)單元運(yùn)行，分別提供對(duì)應(yīng)路由器、防火墻、負(fù)載均衡、深度防御的vSR/vRouter、vFW、vLB、vIPS，利用數(shù)據(jù)中心計(jì)算資源與Overlay網(wǎng)絡(luò)集成，提供等同于傳統(tǒng)的L4-L7網(wǎng)絡(luò)服務(wù)能力。

圖12 Overlay網(wǎng)絡(luò)集成服務(wù)虛擬化

在Overlay環(huán)境下的虛擬化網(wǎng)絡(luò)服務(wù)，必須具備靈活的可分配性、可擴(kuò)展性及可調(diào)度性，因此，自動(dòng)化的編排組織能力顯得非常重要(如圖13所示)。除了將虛擬服務(wù)資源化，還要具備業(yè)務(wù)邏輯的組合關(guān)聯(lián)，這些與物理網(wǎng)絡(luò)L4-L7服務(wù)的固定配置管理不同，所有的網(wǎng)絡(luò)服務(wù)資源也是在計(jì)算池中，要實(shí)現(xiàn)相應(yīng)的業(yè)務(wù)關(guān)聯(lián)和邏輯，難以通過(guò)物理網(wǎng)絡(luò)實(shí)現(xiàn)，在Overlay網(wǎng)絡(luò)的連通與編排下則相對(duì)易于實(shí)現(xiàn)。這種集成思路也將是H3C服務(wù)虛擬化的主要模式。

圖13 基于Overlay虛擬化網(wǎng)絡(luò)的服務(wù)編排

H3C云計(jì)算解決方案核心的架構(gòu)是云網(wǎng)融合。在當(dāng)前的特色方案系列均充分利用了云計(jì)算與物理網(wǎng)絡(luò)融合、結(jié)合的特點(diǎn)，如：

VEPA——提供網(wǎng)絡(luò)計(jì)算自動(dòng)化的感知關(guān)聯(lián)與自動(dòng)化部署;

FCoE——統(tǒng)一交換的計(jì)算、存儲(chǔ)網(wǎng)絡(luò);

DRX——基于H3C LB與虛擬機(jī)管理平臺(tái)關(guān)聯(lián)的虛機(jī)資源動(dòng)態(tài)擴(kuò)展;

PoC(Point of Cloud)——借助云端網(wǎng)絡(luò)連通云計(jì)算中心與路由器集成X86虛擬化計(jì)算部件的統(tǒng)一云分支擴(kuò)展;

分級(jí)云——通過(guò)層級(jí)化網(wǎng)絡(luò)構(gòu)建縱向?qū)哟位萍軜?gòu)。

針對(duì)云計(jì)算即將進(jìn)入Overlay階段，H3C的技術(shù)路線目標(biāo)是在H3Cloud架構(gòu)中進(jìn)一步實(shí)現(xiàn)Overlay虛擬化網(wǎng)絡(luò)的融合(如圖14所示)。新一階段的云網(wǎng)融合，不僅包含分布式的Overlay、多租戶的虛擬化網(wǎng)絡(luò)，還將不斷集成逐步產(chǎn)品化的虛擬網(wǎng)絡(luò)服務(wù)部件(目前已經(jīng)可提供vSR/vFW的服務(wù)部件)，而對(duì)于原有的VEPA/FCoE/DRX/PoC/分級(jí)云等方案，將在基于Overlay的虛擬化網(wǎng)絡(luò)架構(gòu)下重新構(gòu)建和集成，實(shí)現(xiàn)技術(shù)演進(jìn)和延續(xù)的完整性。

圖14 云網(wǎng)融合：H3Cloud從物理網(wǎng)絡(luò)到Overlay虛擬網(wǎng)絡(luò)的集成

4 結(jié)束語(yǔ)

Overlay的網(wǎng)絡(luò)架構(gòu)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸，云的資源化能力可以脫離物理網(wǎng)絡(luò)的多種限制，但兩個(gè)網(wǎng)絡(luò)本身卻是需要連通交互才能實(shí)現(xiàn)云的服務(wù)能力，隨著技術(shù)的發(fā)展，主機(jī)的Overlay技術(shù)也將向硬件化發(fā)展，并逐步會(huì)成為物理網(wǎng)絡(luò)的一部分。但Overlay尚沒(méi)有深度成熟，還需要較長(zhǎng)時(shí)間發(fā)展和應(yīng)用，其中的問(wèn)題會(huì)逐步暴露和解決。