1 概述
早期,金融企業IT基礎架構的運營和建設主要是以保障業務的持續運轉為核心任務。IT主管更關心基礎架構的建設成本控制、安全性、風險管理以及後臺管理等相關問題。隨著業務不斷變化和轉型,金融企業發展的動力逐漸轉變為通過產品的創新和服務的轉型增進業務成長。這就要求企業能夠在產品和服務等方面進行持續創新,通過不斷提升業務的靈活性,從而提高企業的核心競爭力。
這種發展要求,成為了IT基礎架構改革和升級的動力。為了積極響應市場的需求以及適應業務發展的需要,虛擬化技術正在日益受到金融行業IT主管們的重視,數據中心虛擬化成為金融行業信息化需求的一個關注點,建設虛擬化數據中心成為當前重要的探索領域。
2 數據中心的虛擬化解析
虛擬化技術源於大型機虛擬分區技術,是IBM發明的一種操作系統虛擬機技術。其技術將計算資源以一定顆粒進行單元劃分,允許在一臺主機上運行多個操作系統,以便讓用戶儘可能地充分利用昂貴的大型機資源。後來這種技術在其它的高端服務器系統中被逐步實現,隨著軟硬件技術的發展,虛擬化技術已經在X86架構的低端服務器上得到廣泛應用。
當前在X86架構服務器上應用的主流虛擬化技術來自VMWare、微軟、XEN等,虛擬化的基本方式是在服務器上運行一個Hypervisor,在虛擬服務器和底層硬件之間建立一個抽象層,Hypervisor可以捕獲CPU指令,為指令訪問硬件控制器和外設充當中介。因此,這種完全虛擬化技術幾乎能讓任何一款操作系統不用改動就能安裝到虛擬服務器上,且它們並不知道自己是運行在虛擬化的環境下,如圖1所示。
由於Hypervisor的運行會帶來開銷,CPU廠家在硬件指令上也開始支持虛擬化計算,使得服務器虛擬化計算的效率大大提升。
虛擬機(VM: Virtual Machine)是通過軟件實現的物理機,運行在虛擬化軟件Hypervisor上。它擁有自己的一組虛擬硬件資源(如內存、CPU、網卡和硬盤等),操作系統和應用程序就加載在這些虛擬資源上。
無論實際採用了什麼物理硬件部件,虛擬化軟件系統都將其進行屏蔽,並形成虛擬後的資源提供給操作系統。因此操作系統都將它們視為一組相容、標準化的硬件,實際上是操作系統與物理硬件完全分開了,而由虛擬化層相關聯,使得VM能夠完全兼容標準操作系統,並且可以與具體硬件無關,上層應用與底層硬件相互獨立,從而提供更高的IT資源利用的靈活性。
虛擬化可以實現將裝有不同操作系統(如Windows Server和Linux)和應用程序的多臺VM相互獨立地並行運行在同一臺物理機上,並具有較強的隔離性,同時提升了物理服務器的利用率。
VM將整個系統,包括硬件配置、操作系以及應用等封裝在文件裡,因此可以方便地對應用進行克隆複製,將應用上線部署時間縮短到數小時內。
虛擬化的結果是將數據中心的所有計算資源抽象並資源池化,可以根據一定的計算顆粒在整個IT範圍內分配和調度計算能力,如圖2所示。
圖2 虛擬化的數據中心可調度計算資源池
虛擬化數據中心對業務持續性提供了更靈活有效的手段。VM的運行與物理服務器可以採用相同的HA技術,因此在IT運行上有較好的一致性;同時由於應用在運行過程中可能存在業務變更、地點遷移、系統升級等各種迫使應用有潛在中斷服務可能性的維護管理工作,而虛擬化使得運行中的VM可以在不中斷業務條件下實現熱遷移(數據中心內部VM遷移、跨數據中心之間的遷移、物理服務器的虛擬化遷移)。如圖3所示。
圖3 虛擬化數據中心的VM調度與遷移
多年來,國內金融企業的信息化建設始終存在一個現象:由業務單元驅動IT架構的構建。在這種垂直體系架構中,每一個應用都有自己的系統,所有的業務資源都是獨立的,後臺IT資源也是專用的,不能實現共享,如圖4左圖。由此,硬件設備越來越多,系統越來越複雜,導致企業無法輕鬆、及時應對業務變化。
業內專家分析,這種垂直、靜態體系的IT基礎架構存在很多弊端:首先,每一個應用系統在建設之初,都是按照峰值進行建立的,計算性能都很強,但在日後的運行過程中,很多系統的資源,包括服務器、存儲,利用率很低,一般在30%左右,造成資源的極大浪費;其次,另外一些應用系統,由於用戶數量的迅速增多,會面臨系統資源匱乏的危險,服務等級無法保證,而近在咫尺的其他資源卻無法共享。
圖4 獨立業務資源轉向虛擬化資源數據中心
當前,越來越多的金融企業希望能夠有效應對IT基礎架構成本控制日益精細化、服務器量越來越龐大、服務器利用率低下等問題。虛擬化技術就是解決這些問題的利器,它能夠顯著地節省成本,有效幫助服務器整合從而減少服務器數量、從而提升服務器的資源利用率。
如圖4右圖所示,虛擬化通過把多種資源集中到資源池中,根據業務計算需求分配資源。虛擬化解決了每個IT基礎架構只能支持一個單獨應用的難題,同時,解放了數據中心的資源,實現了數據中心對業務需求的強大靈活性,並解決了業務連續性和可用性問題。
3 數據中心虛擬化對基礎網絡的要求
實現虛擬化的數據中心,將使IT運行方式發生劇烈變化,但是應用與基礎網絡之間並沒有被虛擬層隔離,反而由於應用層虛擬化的劇變使得網絡面臨前所未有的調整壓力。
應用高密化
服務器虛擬化後,單臺物理服務器上可以達到4-10臺的虛擬服務器(VM),隨著當前CPU在硬件上對虛擬化的進一步支持,這個數值會更大。相比傳統數據中心,單位網絡環境裡的VM數量可以稱得上“暴漲”,如圖5所示,網絡環境支持和承載的應用數量或密度將更多,並且隨著數據中心的運行,會依據虛擬化調度需要而不斷的動態增長。如果數據中心的物理服務器在2000臺,則VM數量增長至2萬-3萬也不是難事。國外的研究顯示,由於多核處理器技術、虛擬化技術的推動,一個數據中心可能達到上百萬個VM,這種高密應用需要大大提升網絡的可靠性。
圖5 服務器虛擬化
網絡高性能化
虛擬化技術極大提升了服務器利用率,總體上降低了成本、減少了能源消耗。但是,單位物理服務器的業務吞吐量極大增加,使得單位區域網絡的帶寬需求可能比非虛擬化條件下增長10多倍甚至數十倍。如圖6所示,虛擬化之前的數據中心,服務器由於利用率低下,吞吐帶寬很低,業務流量經過不斷匯聚後只有在網絡核心有一定的帶寬需求;而虛擬化的數據中心高密的VM使得單臺服務器吞吐量大幅上升,在網絡接入層的帶寬需求已經接近傳統網絡環境的骨幹網絡帶寬消耗,同時由於密集流量對網絡的衝擊,使得網絡在滿足高速數據流轉的同時還要能夠應對不確定的流量突發。
圖6 高速帶寬的虛擬化網絡環境
強化網絡擴展性
虛擬化數據中心的VM具有調度與遷移的能力,這種遷移的物理範圍可以是整個數據中心範圍的,甚至是可以跨越數據中心來遷移VM和調度計算資源(如圖3所示)。在當前虛擬化環境下,要求VM的遷移範圍是二層可達(Layer 2網絡)即VLAN連通的範圍,圖7左圖顯示了VMWare的虛擬化技術VM遷移模式,圖7右圖則是這種遷移模式的服務器與網絡接入方式。
圖7 基於VMWare虛擬化的VM遷移與網絡接入
虛擬化數據中心要求網絡具有良好的擴展性,簡易的運行管理環境,有效地支持主機之間的交互通道,並可靠地支持VM靈活動態遷移。本質上虛擬化的底層網絡是一個大型二層網絡(Layer 2),並且必須要求在轉發路徑上消除環路,如果採用傳統技術來構建虛擬化計算環境,必然設計複雜的生成樹協議(STP)網絡結構,以避免環路形成同時保證可靠性。但是傳統技術構造網絡的複雜性使得擴展性極差,一般只在單業務網絡範圍內實現二層連接,二層網絡由於物理上存在環路,運行中存在廣播風暴氾濫的風險,某些重要金融機構的網絡被廣播風暴久經困擾,運維壓力極大。
因此,數據中心虛擬化應用的正常開展,需要基礎網絡先於實現虛擬化技術,網絡的虛擬化不僅集成新的網絡因素(性能、可靠性),並且可使上層應用的部署、擴展完全脫離於傳統網絡的限制,使計算資源真正實現無約束的動態調度。
4 H3C IRF2構建虛擬化數據中心基礎架構
4.1 IRF2技術簡介
隨著上層應用不斷髮展,虛擬化技術、大規模集群技術廣泛應用到企業IT中,作為底層基礎架構的網絡,也進入新一輪技術革新時期。H3C提供的網絡虛擬化技術IRF2,以極大簡化網絡邏輯架構、整合物理節點、支撐上層應用快速變化為目標,實現IT網絡運行的簡捷化,改變了傳統網絡規劃與設計的繁冗規則。
IRF2源自早期的堆疊技術,H3C或稱為IRF1。
IRF1堆疊就是將多臺盒式設備通過堆疊口連接起來形成一臺虛擬的邏輯設備,堆疊電纜則虛擬了一個類似框式設備的背板,圖8所示。用戶對這臺虛擬設備進行管理,來實現對堆疊中的所有設備的管理。這種虛擬設備既具有盒式設備的低成本優點,又具有框式分佈式設備的擴展性以及高可靠性優點,早期在H3C S3600/S5600上提供此類解決方案。
在持續的研發和優化基礎上,H3C推出了具有更加完善功能的通用虛擬化技術IRF2。IRF2既支持對盒式設備的堆疊虛擬化(如圖8所示),同時又實現了將框式設備的背板虛擬化級聯,從而支持H3C同系列框式設備的虛擬化(如圖9所示):包括S12500,S9500E,S7500E,S5800,S5500,S5120EI各自系列內的IRF虛擬化整合,。
圖8 基於IRF2/IRF1 的盒式設備虛擬化(虛擬背板)
盒式設備經過IRF2虛擬化後,運行中類似於一臺框式設備(如圖8所示),而兩臺框式設備通過背板級聯虛擬化後,虛擬成一臺更大的框式設備,即槽位數等於兩個框之和(如圖9所示)。
圖9 基於IRF2 的框式設備虛擬化交換(背板虛擬化級聯)
IRF2的特點和對網絡的優化:
橫向整合的網絡虛擬化:將多臺網絡設備(一般處於同一網絡層次)虛擬化成單臺設備(如圖10所示),IRF2系統作為一臺設備運行、維護、升級、配置、管理,簡化了設備的管理運行工作。
分佈式鏈路聚合:由於多臺設備被虛擬化在一個交換架構下,不同設備的端口可以通過常規的鏈路聚合技術(LACP)被捆綁在一起(如圖10所示),從而將不同網絡層之間的多條物理線路可以進行捆綁,最終消除網絡環路。
分佈式轉發:虛擬化的IRF2各成員雖然是統一管理控制的,但是硬件轉發體系仍然是分佈式的,即所有成員、所有線卡均能達到自身最大轉發性能。
圖10 IRF2對網絡的虛擬化過程
4.2 H3C 端到端數據中心IRF2虛擬化解決方案
計算層面(服務器)的虛擬化,雖然與基礎網絡之間是一種標準化(TCP/IP)接口,但是基礎網絡的不同架構對於上層應用的部署運行方式有著不同的影響和支撐能力。
圖11所示為幾種傳統數據中心網絡服務器互聯模型,這幾種模型下的二層網絡都引入了物理環路,並使用網絡協議(STP/MSTP)來阻斷環路避免廣播風暴。傳統結構下網絡二層域一般比較小,同時有複雜的網絡鏈路阻塞狀態計算,使得網絡運維複雜,對上層應用擴展性、靈活變更支撐有限,比如應用虛擬化後的VM範圍小,網絡帶寬無法充分應用等諸多限制。
圖11 傳統數據中心網絡
數據中心網絡各層原本是冗餘性設計(也是由此引入了環路),多是以雙節點、四節點的交換單元組網,因此,在網絡同一層次上將互為冗餘的節點進行IRF2虛擬化整合(或稱為橫向整合),並進行分佈式鏈路聚合,如圖12所示,對基礎網絡實施虛擬化的結果和有利條件是虛擬化後的邏輯設備數量為物理設備數量的一半甚至更少,但是並不改變原有的物理網絡拓撲(因此對數據中心佈線沒有影響),網絡各層之間的多條互聯鏈路被聚合成一條邏輯鏈路。
圖12 IRF2虛擬化數據中心網絡
圖12所示的虛擬化網絡從結構上消除了網絡環路,而基於圖7的服務器虛擬化要求,數據中心內部的計算資源調度與虛擬機VM的遷移要求在二層連通環境實施,那麼IRF2環境下的數據中心就可以構造大範圍的二層網絡.
圖13提供了採用端到端全面構建VM遷移與調度網絡的方案,由於IRF消除了環路和冗餘網關協議帶來的問題,整個網絡可搭建一個大範圍的二層互聯平臺,在此平臺上合理部署相應的管理VLAN、遷移VLAN和VM業務VLAN即可滿足虛擬化業務需求。
在虛擬化環境中遇到的另一個問題是安全策略問題,有外部流量訪問VM的安全策略,也有VM之間的安全策略。對此存在著不同的部署意見,有的認為安全策略需要部署到服務器內部的vSwitch上,有的建議由安全設備如防火牆集中執行。
安全策略部署在服務器內的vSwitch上,便於做到控制精細,並且在VM的遷移過程中,相應的控制策略也能跟隨虛擬化系統軟件的遷移功能隨著VM到達相應的vSwitch。但根據思博倫測試專家的觀點,策略在vSwitch上部署過多對於vSwitch性能有一定影響。同時,對大二層網絡,策略過於分散,不利於運行維護。並且在當前企業數據中心運維架構中,服務器虛擬化帶來的vSwitch管理歸屬成為問題(是網絡運營部門?還是應用運營部門?)
另一種集中式的控制策略部署在網絡設備上。對IRF2構建的網絡,如果對外部訪問VM的流量進行策略控制,則可在所有VM的網關層設置入方向的ACL控制策略,如圖13所示,控制集中、便於策略維護。
圖13 IRF2數據中心網絡支持虛擬化應用
基於IRF2架構的網絡對於實現多個數據中心服務器計算資源的統一調度、VM遷移也可提供有效支撐,如圖14所示,通過IRF2實現了一種簡單的多中心基礎網絡層面的二層擴展和互聯方式,使得不同數據中心的虛擬化計算環境構築在同一個網絡界面下,實現無邊界的虛擬計算能力,上層應用的動態化擴展、遷移、蔓延均可在虛擬化網絡連接的範圍內完成。
圖14 多中心的二層網絡擴展與互聯
虛擬化後的數據中心,網絡流量、應用密度極大增加,因此對於網絡性能與可靠性提出了挑戰。當前在IRF2的網絡上已經可以支持高密的萬兆,後續將遷移到40G/100G的骨幹,可解決虛擬化環境的帶寬消耗。同時,為應對密集流量的突發性,在網絡層面集成大緩存(200毫秒以上線速緩存能力),充分吸收突發流量,降低瞬時數據交換速率超帶寬的丟包對應用的影響。
IRF2環境消除了整網的環路計算協議和網關冗餘協議,代以常規的鏈路聚合協議(LACP),簡化網絡運行,加強了穩定性和可靠性。IRF系統中本身就是多個網絡單元的組合,不僅延續了冗餘特性,由於網絡結構的簡化,使得控制層面對故障響應能力大大加強。
5 結束語
隨著數據中心虛擬化的不斷推進,計算、網絡的全面虛擬化是必然。通過IRF2實現數據中心的虛擬化目標,最佳實踐是有效途徑。IRF2並沒有完全摒棄傳統設計方法,而是對數據中心總體網絡架構的優化,以滿足對應用層面的虛擬化調度要求。
閱讀更多 智能化弱電圈 的文章
