虛擬交換機伺服器的虛擬化,接連帶動了機房網路的虛擬化,原本在機房內部隨處可見的交換機等網路設備,隨著實體伺服器的精簡,也一併被整合到虛擬平台,透過軟體仿真的方式,形成虛擬交換機等組件,繼續為虛擬機器提供網路服務。其實,不單是我們這裡所介紹的幾款企業端虛擬化平台,就連規模較小的個人產品,也同樣能看到虛擬交換機技術的運用。以VMware Workstation為例,在5.0的版本推出之後,利用新加入的“Team”功能,讓數台虛擬機器可以套用相同的設定連線網路,就功能上來看,儼然已經具備了虛擬交換機的雛型。
虛擬網路連線埠,在線上接口
虛擬交換機虛擬交換機是構成虛擬平台網路的關鍵角色,相較於實體的交換機設備,虛擬交換機所具備的網路功能較為簡單,一般來說,以L2層面的套用為主。整體而言,內置大量的虛擬網路連線埠,以及提供速度更快的在線上接口,是交換機虛擬化之後所帶來的最大好處。
就網路連線埠的數量來說,一台實體交換機內置的網路連線埠數量約在5~48接口之間,如果機房內部需要連線網路的設備超過這個數字,就有必要擴充設備,而在虛擬平台的環境下,光是一台虛擬交換機便能提供為數可觀的虛擬網路連線埠,以VMware的ESX為例,一台ESX伺服器最多可以透過軟體仿真的方式,建立出248台虛擬交換機,每台交換機預設的虛擬網路連線埠數量是56個,可透過手動修改交換機設定的方式,擴充到1016接口的最大上限。
虛擬交換機不僅如此,伺服器虛擬化之後,網路的傳輸速度也能獲得增加。雖然10GbE網路推出已有數年之久的時間,速度更快的100GbE網路也呼之欲出,不過由於10GbE網路設備的價格至今仍是居高不下,一張10GbE網卡即要價數萬元不等,更不用說是內置多個網路連線埠的交換機設備,因此使得行之有年的GbE仍舊在大多數的企業機房,擔負著骨幹線路的重責大任。
在虛擬化技術的推波助瀾下,企業可以花費較少的預算,便能提升網路的效能。例如,微軟的Hyper-V平台,虛擬機器與虛擬交換機之間的在線上速度,可達10Gbps,換句話說,虛擬化之後,企業僅需購買數張10GbE實體網卡,加上一台內置10GbE接口的交換機,就能將機房網路升級到全10GbE的環境,而建置費用僅為過去實體環境的數分之一。
主要角色
虛擬交換機伺服器虛擬化之後,企業仍然可以保留原始的網路架構,不會因為大多數實體伺服器、網路設備整合到虛擬平台運作,而產生需要重新規畫的問題。
依照功能上的不同,我們可以將虛擬平台上的交換機,區分為兩種不同的角色,一種是用來連線外部實體網路的“External”,另外一種則是完全封閉,無法連線外界網路的“Private”。
設定External交換機的時候,必須將伺服器的實體網卡接口指派給External交換機做為級聯線路使用。反之,設定Private交換機的時侯,由於不需要指派實體的網卡接口,因此自然形成一個封閉式的網路環境,適用於不需要連線外部網路的測試環境。
以企業的實際套用來說,兩種虛擬交換機大多是搭配使用,目的是為了在虛擬平台的網路環境中,建立起階層式的網路架構。舉例來說,我們可以將上線運作中的虛擬機器放置在一台Private虛擬交換機之上,做為底層的接入交換機使用,此時,再透過一台同時連線前端External虛擬交換機的虛擬機器的串接之下,使得虛擬機器能與外部網路進行在線上。
該台同時連線External、Private虛擬交換機的虛擬機器,可以是一台防火牆(例如Check Point的VPN-1 VE、微軟的ISA),或者是Windows Server 2003集群伺服器、IPS(例如Reflex System的Virtual Security Appliance)採用透通模式從事安全過濾的安全產品,若為防火牆,則後端的Private交換機就會變成DMZ區,除了透過NAT區隔外部網路之外,同時也會套用防火牆的在線上規則從事管理,假使是集群伺服器、IPS的話,則External、Private交換機之間僅會進行單純的橋接。
除了具備前述兩種的虛擬交換機機制之外,微軟的Hyper-V還額外提供了一種“Internal”虛擬交換機。
嚴格來說,它是Private虛擬交換機的其中一種,但是在功能上,位於Internal虛擬交換機之上的虛擬機器,可以和Hyper-V平台的Host OS在線上,而Private虛擬交換機,則不具備這項功能。
通過一台虛擬機器的連線,使得原本各自獨立的2台虛擬交換機得以連線,讓後端的虛擬機器與外部網路進行在線上。
實體交換機設備
除了提供虛擬機器集線的用途之外,一般在實體交換機常用到的網路功能,例如VLAN、QoS,以及EtherChannel等項目,在虛擬交換機上也同樣可以做到。
和實體交換機不同的是,內置於虛擬交換機的部份網路功能,仍然需要搭配實體的網路設備才能運作,例如企業經常使用到的VLAN。無論是何種虛擬化平台,兩台虛擬交換機之間,均無法建立VLAN的Trunk。
較為特別的是,虛擬交換機也同樣能夠執行封包收集的動作,相當方便。在實體網路的環境下,這項功能必須藉助於具備Mirror封包鏡射功能的交換機,或者是L1層面的集線器,才能進行。
在ESX的虛擬交換機上頭,我們可以啟用Promiscuous Mode的功能,之後就可以使用Wireshark(Ethereal)一類的封包側錄工具,監聽位於同一台虛擬交換機、Port Group,或者是同一個VLAN上的所有網路流量,對於有需要在虛擬平台從事網路除錯,或者找尋中毒主機的企業來說,就十分有用。
虛擬機器的動態轉移,是企業導入虛擬化平台之後,經常使用到的一項功能,以ESX的VMotion為例,啟用這項功能之前,必須先在虛擬交換機上完成相關的一些設定,值得注意的是,連線兩台ESX伺服器間的網路,建議採用GbE以上的等級,若為速度較低的10/100Mbps網路,那么在遷移的過程中將有可能造成虛擬機器短暫斷線的情況發生。
預計在2009年推出的ESX 4.0,具備一項名為分散式虛擬交換機的新技術。通過DVS,我們可以將分散在同一個區域網路下的多台虛擬交換機集結起來,虛擬成一台大型的機箱式交換機集中管理,在不需要個別連線每一台虛擬交換機的情況下,簡化管理作業。
除此之外,DVS另一項值得一提的套用在於,它同時提供了交換機政策的動態轉移。就現有版本的ESX來說,虛擬機器完成VMotion動態遷移之後,就必須在該台虛擬機器所在的虛擬交換機上重新設定,但DVS的特色是隨著虛擬機器的遷移而同步遷移交換機設定,不需要額外的手動設定。
DVS的相關技術目前已經提供給網路設備廠商用來開發新產品,例如Cisco新推出的Nexus 1000V交換機,就是一款支持DVS且能部署在未來ESX平台上的虛擬交換機產品。
目前各家廠牌的企業虛擬化產品,除了一般常見的付費版本之外,也有提供功能簡化後的免費版本,供自由下載。相較於市售版本,免費版本的套件在網路功能方面皆有所精簡。舉例來說,像是虛擬機器的動態遷移能力(如VMware ESX的VMotion),以及實體伺服器之間的高可用性(High Availability,HA)備份機制,就只有付費版本才有提供;此外,像是Citrix XenServer的免費版本XenExpress還更進一步地,去除在虛擬交換機上設定VLAN的能力。
就功能來說,這些免費版本僅適合測試,而非套用於架構複雜的實際上線環境。
原廠管理工具
和實體的交換機設備相比,虛擬交換機的設定顯然要相對容易許多,利用原廠提供的管理工具,在企業於虛擬平台建立虛擬機器的同時,也能針對網路功能的部分一併完成設定。
VMware ESX
VMware的ESX是現有企業虛擬化產品中,歷史最悠久的一款產品,當我們安裝好一台ESX伺服器之後,即可從ESX的網頁接口下載VMware Infrastructure Client(VIC)軟體,利用軟體的圖形化接口,連線個別的ESX伺服器,再加以管理。
整體來說,ESX所有的網路功能,包括虛擬交換機的新增、移除,以及VLAN的切割等,均可透過圖形化的接口以勾選方式完成,設定上相當容易。
另外一種方式,則是同樣使用VIC軟體,連線Virtual Center伺服器,如此一來,便可以透過同一接口,管理內部網路的多台ESX伺服器,而在網路功能的設定方面,也比透過VMware Infrastructure Client軟體,個別連線單一伺服器時要來得強大,像是VMotion,就必須在Virtual Center的平台上才能進行設定。
除此之外,管理者可以透過SSH,遠程登入ESX伺服器的文字管理接口,並且利用輸入文字指令的方式,去設定虛擬平台,例如虛擬交換機在內的各項網路功能。
Citrix XenServer
XenCenter是Citrix XenServer的圖形化管理工具,利用這套軟體,企業可以使用單一介紹,同時連線多台的XenServer伺服器進行集中式的管理。
虛擬交換機在XenServer的平台上,虛擬交換機的組件被稱之為“Network”,基本功能的設定大致與ESX雷同,一樣可以在XenCenter完成前述各項的虛擬交換機功能設定。
微軟Hyper-V
“Hyper-V管理員”是Windows Server 2008的虛擬化管理工具,當我們通過伺服器管理員,安裝好Hyper-V的組件之後,該應用程式也會一併地安裝完成,利用這項工具,即可管理虛擬交換機的各項設定。
Hyper-V管理員的功能與ESX的VIC相類似,同樣都是提供給企業連線個別的虛擬平台伺服器從事管理,如果企業環境中同時存在有多台Hyper-V伺服器需要集中管理,或者需要建立高可用性的備份機制,則必須藉助於自家的System Center Virtual Machine Manager(SCVMM)軟體才能進行。
微軟日前推出的新版SCVMM 2008,除了具備完整管理Windows Server 2008以及Hyper-V Server 2008的Hyper-V平台網路設定之外,也支持其它廠商的第3方平台,如VMware ESX的管理,通過與VMware Virtual Center之間的介接,企業可以在SCVMM 2008的管理畫面中,瀏覽ESX平台的網路設定。
Cisco推出專屬虛擬交換機產品,部份規格將成為802.3標準
虛擬交換機除了VMware等推出虛擬化產品的系統廠商之外,網路設備業者近期在虛擬交換機的技術議題上也有所著墨,例如支持VMware不遺餘力的Cisco,即是最早有所動作的一家廠商,他們在9月份VMworld大會當中,展示了一款能部署在VMware ESX平台上的虛擬交換機產品──Nexus 1000V。
Cisco將自家的虛擬交換機技術統稱為“VN-Link”,在這架構之下,除了軟體型式的Nexus 1000V,未來也會有硬體的相關方案,像是能與ESX平台整合運作的實體交換機Nexus 5000。
Nexus 1000V預計在2009年的上半年推出,是一款搭配ESX銷售的產品,屆時VMware會推出兩種不同版本的ESX套件,一種是內置Nexus 1000V的特別版本,另一種則是使用VMware原有虛擬交換機技術的一般版本。
相較於ESX、Hyper-V等其它虛擬平台的原生虛擬交換機技術,Nexus 1000V具備更多的網路功能,例如Netflow流量控制、QoS、ERSPAN、VLAN,以及Access Control List(ACL)的在線上控制等。
該款虛擬交換機亦支持VMware的VMotion,十分特別的是,在虛擬機器遷移的過程之中,原本對應到該台虛擬機器從事管理的交換機設定,也會跟著一起遷移到其它的ESX伺服器上的Nexus 1000V交換機繼續使用。
值得一提的是,搭配未來內置於ESX平台上的DVS API技術,企業可以將原本分散於各台ESX伺服器上的Nexus 1000V交換機連線起來,虛擬成一台機箱式交換機,此時Nexus 1000V的角色就如同安裝在交換機機箱內的線路卡,此外,在虛擬機器動態遷移的同時,對應到該台虛擬機器的交換機設定,運用這項機制後,企業也能通過DVS的設定同時遷移,使得企業對於虛擬機器的管理更完善,不致因為實體伺服器環境的變更而出現落錯。
Nexus 5000交換機推出的時間,預計是2009年的下半,可以整合未來新版的ESX平台協同運作。執行的流程如下,在虛擬機器送出封包時,會同時在VLAN標籤的欄位中加入一些額外信息,當Nexus 5000交換機透過ESX原生的虛擬交換機,以及ESX伺服器上的實體網卡接收到封包之後,便會根據標籤當中的內容,套用適合的政策規則。
Cisco技術事業群資深技術顧問表示,由虛擬機器送出的這種VLAN標籤,是一種新型的VLAN標籤,不同於一般傳統的802.1Q標籤,只有支持這項規格的實體網卡、交換機設備才能傳送帶有這類VLAN標籤的封包,而Nexus 5000是業界首款支持這項規格的交換機產品。
目前這種新的VLAN標籤格式,已經被Cisco與VMware送交至IEEE審查,預計將會成為802.3規範當中的一員,一旦通過之後,未來市售的網路卡,以及交換機等基礎網路設備將會跟進,支持這項技術規範。
和軟體版本的Nexus 1000V相比,由於交換機政策的指派、執行,改由硬體的Nexus 5000交換機負責,因此可降低上層ESX伺服器的運作負荷,不過另一方面,企業則需要更換包含網路卡、交換機在內的網路基礎設備,在花費較軟體方案為高。
產品支持
虛擬交換機相對於Cisco,另外一家網路設備廠商Juniper的做法就有所不同,他們整合虛擬化的方式是利用現有的交換機設備,來延伸虛擬化技術的套用,而不是直接和VMware等平台廠商合作,去推出新的技術標準或產品。
Juniper表示,利用EX 4200系列交換機的虛擬機箱功能,企業可以將分散在內部機房,甚至於兩個異地機房之間的同系列交換機集結起來(上限是10台),當做是一台本地的大型機箱式交換機運用。
因此原本只能在同一網段下執行的虛擬機器動態遷移作業,在這項功能的輔助之下,使得企業得以跨越機房之間的地域限制,將虛擬機器遷移到相隔數十公里遠的另外一台虛擬平台伺服器繼續提供服務。
不僅如此,在Juniper的架構之下,異地之間的交換機設備仍舊可以從事VLAN Trunk的工作,為了避免網關的路由器清除夾帶在封包內容中的VLAN標籤,造成交換機無法辨識,在這種情況下,透過與核心端的EX 8200交換機(或者是路由器)間的整合,不同VLAN的封包可以各自透過不同的MPLS VPN通道傳送,確保兩地機房間的VLAN功能可以正常運作。
