三層網路不是問題,五層才是!

2011-02-05
現今的資料中心網路被設計與定義成許多「分層」。一般而言,網路中有一個「網路核心」,是所有資料中心設備的中央連結點,這是資料中心架構的第一層,通常稱為「核心層」。這個核心可以能是一部高階交換器,或者如同多數人採用的模式,亦即用一群有備援配置的交換器來連結所有網路設施,包括網路元件、安全防護以及伺服器等設備。

網路的第二層(匯聚層)是一系列的集結交換器,負責把存取交換器連結匯聚到核心。這個分層通常用在大型資料中心,中型資料中心往往還不一定具有這個分層。第三層的交換器通常稱為「存取層」(Access Layer),它們提供直連至伺服器的管道。這些存取交換器通常稱為「Top-of-Rack」(機櫃頂端)或「End-of-Row」(列尾)。

這樣的三層式網路架構被沿用了許多年,然而,如今卻有兩項重要趨勢正改變著資料中心網路的建置模式,一個是虛擬的面向,另一個則是實體的面向,但是這兩個不同面向的趨勢,卻同時為現有的網路帶來了更多額外的分層。  

虛擬化讓網路更複雜

過去數年間,資料中心最重要的發展趨勢就是採用虛擬化技術。虛擬化技術讓一部實體伺服器能承載多部虛擬伺服器∕虛擬機器(VM)。如此用戶就能提高伺服器的使用效率及伺服器的匯整度。虛擬化技術相當受到企業資料中心以及代管資料中心的歡迎。

虛擬化技術也帶來了虛擬交換器(Virtual Switch)的概念。在一個非虛擬化的資料中心,每部伺服器都會執行單一作業系統,這個作業系統負責管理實體網路連線,系統透過這些連線和使用者及其他伺服器聯繫。在虛擬化環境中,一部實體伺服器內裝有多部虛擬機器。這些虛擬機器必須透過有層次的方式來共用實體網路連線,並且要能相互通訊聯繫,這也就是虛擬交換器或稱「vSwitch」的概念。

▲刀鋒交換器和虛擬交換器造成了五層式的網路架構。

vSwitch是運作於伺服器上的純軟體型態的Layer 2網路元件,用以讓伺服器內的虛擬機器能相互通訊,並管理與外部實體網路之間的通訊。vSwitch是由虛擬機器管理器(Hypervisor)供應商所創造的概念,通常特別設計用來專門處理這項工作,並具備一些實體交換器原有的功能。直到最近,vSwitch仍是伺服器內各虛擬機器之間,以及虛擬機器與使用者間的唯一通訊方法。

重點是,每部實體伺服器都需要一部虛擬交換器。例如,一部裝有40部1U伺服器的機架,可能運行40個虛擬交換器;一部裝有16片刀鋒伺服器的系統,可能會運行16個虛擬交換器。網路中vSwitch的數量,和執行虛擬化系統的伺服器數量,兩者的比例為1:1,而每一部vSwitch都必須加以管理與設定。這也帶來了許多問題:

安全:vSwitch的主要功能是讓伺服器內的虛擬機器之間能進行通訊。由於vSwitch本身位於伺服器內,因此從網路外部無法得知各虛擬機器之間的傳輸流量。這讓管理者難以偵測到虛擬機器衍生的安全問題。

網路與系統管理的可見度:由於虛擬機器之間的流量不為外部所知,因此也很難對虛擬機器之間的傳輸流量進行監視與管理。

無法預測的效能:vSwitch的效能以及伺服器的網路效能,均取決於可用的CPU資源,因此也受到虛擬機器應用負載所影響。這會造成伺服器最佳化的矛盾:提高虛擬化效率將可以增加伺服器的負載,伺服器負載增加卻又可能導致網路效能降低,結果相互抵銷了虛擬化所帶來的效益提升。

網路中額外的分層:vSwitch會成為典型資料中心網路中的「第四層」。由於這個分層產生了額外的網路轉送(Network Hop),所以也會增加網路的端到端傳輸延遲(Latency)。

與伺服器之間1:1等比例擴充:每部伺服器都需要一個vSwitch,因此當資料中心擴充時,網路裝置的數量也會增加。一部裝有40台1U伺服器的機架就需要40個vSwitch,但卻只有一個實體網路交換器。這會讓需要管理與設定的網路元件數量大幅增加,導致資料中心的營運成本大幅提高。

控管複雜度:每家虛擬機器管理器(Hypervisor)的廠商都透過本身的軟體提供獨特的vSwitch。在異質化的資料中心--可能採用多家不同虛擬機器管理器廠商的產品--會採用不同的vSwitch產品,它們需要不同的管理與設定流程,以及不同專才的人員,如此便導致了營運成本的提高。

責任衝突:哪個部門負責管理vSwitch,往往也是個問題。是否因為vSwitch在伺服器內運行,所以就該交由伺服器管理團隊負責?或者由管理所有其他網路裝置的網路團隊來管理?這種情況可能導致潛在的衝突,而且可能讓計畫的解決方案更加複雜。(更多精彩文章詳見網管人第61期﹚


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!