新一代企業(yè)級數(shù)據(jù)中心的網(wǎng)絡虛擬化

申請免費試用、咨詢電話：400-8352-114

隨著數(shù)據(jù)集中在企業(yè)信息化領域的展開，企業(yè)級數(shù)據(jù)中心的建設當前成為行業(yè)信息化的新熱點。傳統(tǒng)的數(shù)據(jù)中心的關鍵需求是性能、安全、永續(xù)，隨著應用的展開，服務器、存儲、網(wǎng)絡在數(shù)據(jù)中心內(nèi)的不斷增長、集中，引起較多的問題，網(wǎng)絡規(guī)劃設計部門往往為單個或少數(shù)幾個應用建設獨立的基礎網(wǎng)絡，使得數(shù)據(jù)中心網(wǎng)絡系統(tǒng)十分復雜。 隨著應用的整合需求越來越強烈，對數(shù)據(jù)中心的資源進行虛擬化是當前的主要趨勢，也是當前IT業(yè)內(nèi)最為令人關注的技術領域。

數(shù)據(jù)中心虛擬化的基礎網(wǎng)絡技術趨勢，延續(xù)了傳統(tǒng)數(shù)據(jù)中心性能、安全、永續(xù)的基本需求，而且進一步簡化網(wǎng)絡架構，更有力支撐應用層面虛擬化，降低運維復雜度，提高了靈活性。

網(wǎng)絡虛擬化

網(wǎng)絡虛擬化技術也隨著數(shù)據(jù)中心業(yè)務要求有不同的形式。多種應用承載在一張物理網(wǎng)絡上，通過網(wǎng)絡虛擬化分割(稱為縱向分割)功能使得不同企業(yè)機構相互隔離，但可在同一網(wǎng)絡上訪問自身應用，從而實現(xiàn)了將物理網(wǎng)絡進行邏輯縱向分割虛擬化為多個網(wǎng)絡；多個網(wǎng)絡節(jié)點承載上層應用，基于冗余的網(wǎng)絡設計帶來復雜性，而將多個網(wǎng)絡節(jié)點進行整合(稱為橫向整合)，虛擬化成一臺邏輯設備，提升數(shù)據(jù)中心網(wǎng)絡可用性、節(jié)點性能的同時將極大簡化網(wǎng)絡架構。

網(wǎng)絡虛擬化——縱向分割

如果把一個企業(yè)網(wǎng)絡分隔成多個不同的子網(wǎng)絡――它們使用不同的規(guī)則和控制，用戶就可以充分利用基礎網(wǎng)絡的虛擬化路由功能，而不是部署多套網(wǎng)絡來實現(xiàn)這種隔離機制。

網(wǎng)絡虛擬化概念并不是什么新概念，因為多年來，虛擬局域網(wǎng)（VLAN）技術作為基本隔離技術已經(jīng)廣泛應用。當前在交換網(wǎng)絡上通過VLAN來區(qū)分不同業(yè)務網(wǎng)段、配合防火墻等安全產(chǎn)品劃分安全區(qū)域，是數(shù)據(jù)中心基本設計內(nèi)容之一。

出于將多個邏輯網(wǎng)絡隔離、整合的需要，VLAN、MPLS-VPN、Multi-VRF技術在路由環(huán)境下實現(xiàn)了網(wǎng)絡訪問的隔離，虛擬化分割的邏輯網(wǎng)絡內(nèi)部有獨立的數(shù)據(jù)通道，終端用戶和上層應用均不會感知其它邏輯網(wǎng)絡的存在。但在每個邏輯網(wǎng)絡內(nèi)部，仍然存在安全控制需求，對數(shù)據(jù)中心而言，訪問數(shù)據(jù)流從外部進入數(shù)據(jù)中心，則表明了數(shù)據(jù)在不同安全等級的區(qū)域之間流轉(zhuǎn)，因此，有必要在網(wǎng)絡上提供邏輯網(wǎng)絡內(nèi)的安全策略，而不同邏輯網(wǎng)絡的安全策略有各自獨立的要求，虛擬化安全技術，將一臺安全設備可分割成若干臺邏輯安全設備(成為多個實例)，從而很好滿足了虛擬化的深度強化安全要求。

如圖1所示，虛擬化網(wǎng)絡與虛擬化安全的整體結合，通道化設計，構成了完整的數(shù)據(jù)中心基礎網(wǎng)絡架構。

網(wǎng)絡虛擬化——橫向整合

數(shù)據(jù)中心是企業(yè)IT架構的核心領域，不論是服務器部署、網(wǎng)絡架構設計，都做到精細入微。因此，傳統(tǒng)上的數(shù)據(jù)中心網(wǎng)絡架構由于多層結構、安全區(qū)域、安全等級、策略部署、路由控制、VLAN劃分、二層環(huán)路、冗余設計等諸多因素，導致網(wǎng)絡結構比較復雜，使得數(shù)據(jù)中心基礎網(wǎng)絡的運維管理難度較高。

使用智能彈性架構(intelligent resilient framework, IRF)虛擬化技術，用戶可以將多臺設備連接，“橫向整合”起來組成一個“聯(lián)合設備”，并將這些設備看作單一設備進行管理和使用。多個盒式設備整合類似于一臺機架式設備，多臺框式設備的整合相當于增加了槽位，虛擬化整合后的設備組成了一個邏輯單元，在網(wǎng)絡中表現(xiàn)為一個網(wǎng)元節(jié)點，管理簡單化、配置簡單化、可跨設備鏈路聚合，極大簡化網(wǎng)絡架構，同時進一步增強冗余可靠性。

網(wǎng)絡虛擬交換技術為數(shù)據(jù)中心建設提供了一個新標準，定義了新一代網(wǎng)絡架構，使得各種數(shù)據(jù)中心的基礎網(wǎng)絡都能夠使用這種靈活的架構，能夠幫助企業(yè)在構建永續(xù)和高度可用的狀態(tài)化網(wǎng)絡的同時，優(yōu)化網(wǎng)絡資源的使用。

在虛擬化架構上，通過OAA集成虛擬化安全，使得傳統(tǒng)網(wǎng)絡中離散的安全控制點被整合進來，進一步強化并簡化了基礎網(wǎng)絡安全，網(wǎng)絡虛擬化技術將在數(shù)據(jù)中心端到端總體設計中發(fā)揮重要作用。

圖2的虛擬化數(shù)據(jù)中心網(wǎng)絡架構與傳統(tǒng)的網(wǎng)絡設計相比，提供了多項顯著優(yōu)勢：

1）運營管理簡化。數(shù)據(jù)中心全局網(wǎng)絡虛擬化能夠提高運營效率，虛擬化的每一層交換機組被邏輯化為單管理點，包括配置文件和單一網(wǎng)關IP地址，無需VRRP。

2）整體無環(huán)設計?？缭O備的鏈路聚合創(chuàng)建了簡單的無環(huán)路拓撲結構，不再依靠生成樹協(xié)議（STP）。虛擬交換組內(nèi)部經(jīng)由多個萬兆互聯(lián)，在總體設計方面提供了靈活的部署能力。

3）進一步提高可靠性。虛擬化能夠優(yōu)化不間斷通信，在一個虛擬交換機成員發(fā)生故障時，不再需要進行L2/L3重收斂，能快速實現(xiàn)確定性虛擬交換機的恢復。

4) 安全整合。安全虛擬化在于將多個高性能安全節(jié)點虛擬化為一個邏輯安全通道，安全節(jié)點之間實時同步狀態(tài)化信息，從而在一個物理安全節(jié)點故障時另一個節(jié)點能夠無縫接管任務。

安全整合的進一步表現(xiàn)為OAA架構下，IRF集成的安全模塊之間仍然延續(xù)了此虛擬化能力，使得整個數(shù)據(jù)中心基礎網(wǎng)絡具有非常簡捷的架構。

端到端虛擬化

數(shù)據(jù)中心虛擬化技術帶來了對上層應用極大的靈活支持，也在很大程度上對數(shù)據(jù)中心運營提供了簡化。數(shù)據(jù)中心容納了企業(yè)的多種應用，計算層虛擬化技術使得應用與具體物理服務器之間沒有完全固定的映射關系。

計算資源池化的結果是數(shù)據(jù)中心高密虛擬機，而由于對計算資源的動態(tài)調(diào)整，要求虛擬機可以在物理服務器之間遷移，并且要求遷移網(wǎng)絡是二層連接性的?；跇O大簡化數(shù)據(jù)中心的二層互聯(lián)設計，與傳統(tǒng)MSTP+VRRP設計不同，使用網(wǎng)絡IRF虛擬化能在更短時間內(nèi)完成確定性L2鏈路恢復，同時不影響L3鏈路。虛擬化能夠在網(wǎng)絡各層橫向擴展，有利于數(shù)據(jù)中心的規(guī)模增大，設計更簡單，完全不影響網(wǎng)絡管理拓撲，基于虛擬化技術的二層網(wǎng)絡在保證HA的同時，消除了網(wǎng)絡環(huán)路，便于更大范圍的虛擬機遷移。

業(yè)務連續(xù)性，是企業(yè)IT運營的關鍵。目前基于容災、負載分擔的多數(shù)據(jù)中心是企業(yè)建設數(shù)據(jù)中心，保證業(yè)務連續(xù)性的重要話題。集群互聯(lián)是關鍵應用連續(xù)性設計的主要技術(服務器集群也是計算虛擬化的技術)，目前在同一數(shù)據(jù)中心內(nèi)實現(xiàn)集群不是難事，一般的集群(Microsoft MSCS、Veritas Cluster Server (Local)、Solaris Sun Cluster Enterprise、Oracle RAC (Real Appl.Cluster)、HP MC/ServiceGuard、HP NonStop、IBM HACMP/HAGEO、EMS/Legato Automated Availability Mgr)以二層連接為主。但業(yè)務連續(xù)性要求跨數(shù)據(jù)中心的集群連接，傳統(tǒng)的網(wǎng)絡技術支撐要做到可用性與可靠性，必然帶來復雜性，從而難以運營。而基于虛擬化網(wǎng)絡的二層連接，簡單地將集群擴展到多個數(shù)據(jù)中心，從而帶來了應用設計上更大的靈活性。

對企業(yè)而言，由于應用訪問控制需求，在虛擬機之間實現(xiàn)隔離，在不同用戶群之間實現(xiàn)隔離，對不同資源獨立的安全策略，對存儲資源訪問的隔離(以及異構存儲的虛擬化整合)，在客戶終端、數(shù)據(jù)中心形成了虛擬化的資源分離通道。這種虛擬化通道在用戶接入層進行認證控制、在網(wǎng)絡層進行虛擬化分離、基礎安全基于OAA集成的面向不同通道的獨立策略控制、在虛擬機之間隔離、存儲通道分離，在不同資源類型之間存在公共標準化接口，通道化虛擬隔離強化了數(shù)據(jù)中心對外提供服務的安全策略。

圖3 端到端數(shù)據(jù)中心虛擬化

當前數(shù)據(jù)中心建設不斷發(fā)展，虛擬化成為基礎技術。對虛擬化網(wǎng)絡，IRF技術是實現(xiàn)虛擬化數(shù)據(jù)中心網(wǎng)絡的關鍵技術，OAA將成為IRF架構上虛擬化安全的關鍵集成，存儲虛擬化成為虛擬化數(shù)據(jù)中心的基礎存儲關鍵技術。

底層網(wǎng)絡的虛擬化架構支持上層應用的不斷發(fā)展要求，在H3C的虛擬化數(shù)據(jù)中心目標中，將不斷提供整體基礎網(wǎng)絡虛擬化架構方案的最佳實踐，實現(xiàn)H3C將ITOIP在虛擬化數(shù)據(jù)中心理念的價值創(chuàng)新。