1 概述
早期,金融企业IT基础架构的运营和建设主要是以保障业务的持续运转为核心任务。IT主管更关心基础架构的建设成本控制、安全性、风险管理以及后台管理等相关问题。随着业务不断变化和转型,金融企业发展的动力逐渐转变为通过产品的创新和服务的转型增进业务成长。这就要求企业能够在产品和服务等方面进行持续创新,通过不断提升业务的灵活性,从而提高企业的核心竞争力。
这种发展要求,成为了IT基础架构改革和升级的动力。为了积极响应市场的需求以及适应业务发展的需要,虚拟化技术正在日益受到金融行业IT主管们的重视,数据中心虚拟化成为金融行业信息化需求的一个关注点,建设虚拟化数据中心成为当前重要的探索领域。
2 数据中心的虚拟化解析
虚拟化技术源于大型机虚拟分区技术,是IBM发明的一种操作系统虚拟机技术。其技术将计算资源以一定颗粒进行单元划分,允许在一台主机上运行多个操作系统,以便让用户尽可能地充分利用昂贵的大型机资源。后来这种技术在其它的高端服务器系统中被逐步实现,随着软硬件技术的发展,虚拟化技术已经在X86架构的低端服务器上得到广泛应用。
当前在X86架构服务器上应用的主流虚拟化技术来自VMWare、微软、XEN等,虚拟化的基本方式是在服务器上运行一个Hypervisor,在虚拟服务器和底层硬件之间建立一个抽象层,Hypervisor可以捕获CPU指令,为指令访问硬件控制器和外设充当中介。因此,这种完全虚拟化技术几乎能让任何一款操作系统不用改动就能安装到虚拟服务器上,且它们并不知道自己是运行在虚拟化的环境下,如图1所示。
由于Hypervisor的运行会带来开销,CPU厂家在硬件指令上也开始支持虚拟化计算,使得服务器虚拟化计算的效率大大提升。
虚拟机(VM: Virtual Machine)是通过软件实现的物理机,运行在虚拟化软件Hypervisor上。它拥有自己的一组虚拟硬件资源(如内存、CPU、网卡和硬盘等),操作系统和应用程序就加载在这些虚拟资源上。
无论实际采用了什么物理硬件部件,虚拟化软件系统都将其进行屏蔽,并形成虚拟后的资源提供给操作系统。因此操作系统都将它们视为一组相容、标准化的硬件,实际上是操作系统与物理硬件完全分开了,而由虚拟化层相关联,使得VM能够完全兼容标准操作系统,并且可以与具体硬件无关,上层应用与底层硬件相互独立,从而提供更高的IT资源利用的灵活性。
虚拟化可以实现将装有不同操作系统(如Windows Server和Linux)和应用程序的多台VM相互独立地并行运行在同一台物理机上,并具有较强的隔离性,同时提升了物理服务器的利用率。
VM将整个系统,包括硬件配置、操作系以及应用等封装在文件里,因此可以方便地对应用进行克隆复制,将应用上线部署时间缩短到数小时内。
虚拟化的结果是将数据中心的所有计算资源抽象并资源池化,可以根据一定的计算颗粒在整个IT范围内分配和调度计算能力,如图2所示。
图2 虚拟化的数据中心可调度计算资源池
虚拟化数据中心对业务持续性提供了更灵活有效的手段。VM的运行与物理服务器可以采用相同的HA技术,因此在IT运行上有较好的一致性;同时由于应用在运行过程中可能存在业务变更、地点迁移、系统升级等各种迫使应用有潜在中断服务可能性的维护管理工作,而虚拟化使得运行中的VM可以在不中断业务条件下实现热迁移(数据中心内部VM迁移、跨数据中心之间的迁移、物理服务器的虚拟化迁移)。如图3所示。
图3 虚拟化数据中心的VM调度与迁移
多年来,国内金融企业的信息化建设始终存在一个现象:由业务单元驱动IT架构的构建。在这种垂直体系架构中,每一个应用都有自己的系统,所有的业务资源都是独立的,后台IT资源也是专用的,不能实现共享,如图4左图。由此,硬件设备越来越多,系统越来越复杂,导致企业无法轻松、及时应对业务变化。
业内专家分析,这种垂直、静态体系的IT基础架构存在很多弊端:首先,每一个应用系统在建设之初,都是按照峰值进行建立的,计算性能都很强,但在日后的运行过程中,很多系统的资源,包括服务器、存储,利用率很低,一般在30%左右,造成资源的极大浪费;其次,另外一些应用系统,由于用户数量的迅速增多,会面临系统资源匮乏的危险,服务等级无法保证,而近在咫尺的其他资源却无法共享。
图4 独立业务资源转向虚拟化资源数据中心
当前,越来越多的金融企业希望能够有效应对IT基础架构成本控制日益精细化、服务器量越来越庞大、服务器利用率低下等问题。虚拟化技术就是解决这些问题的利器,它能够显著地节省成本,有效帮助服务器整合从而减少服务器数量、从而提升服务器的资源利用率。
如图4右图所示,虚拟化通过把多种资源集中到资源池中,根据业务计算需求分配资源。虚拟化解决了每个IT基础架构只能支持一个单独应用的难题,同时,解放了数据中心的资源,实现了数据中心对业务需求的强大灵活性,并解决了业务连续性和可用性问题。
3 数据中心虚拟化对基础网络的要求
实现虚拟化的数据中心,将使IT运行方式发生剧烈变化,但是应用与基础网络之间并没有被虚拟层隔离,反而由于应用层虚拟化的剧变使得网络面临前所未有的调整压力。
应用高密化
服务器虚拟化后,单台物理服务器上可以达到4-10台的虚拟服务器(VM),随着当前CPU在硬件上对虚拟化的进一步支持,这个数值会更大。相比传统数据中心,单位网络环境里的VM数量可以称得上“暴涨”,如图5所示,网络环境支持和承载的应用数量或密度将更多,并且随着数据中心的运行,会依据虚拟化调度需要而不断的动态增长。如果数据中心的物理服务器在2000台,则VM数量增长至2万-3万也不是难事。国外的研究显示,由于多核处理器技术、虚拟化技术的推动,一个数据中心可能达到上百万个VM,这种高密应用需要大大提升网络的可靠性。
图5 服务器虚拟化
网络高性能化
虚拟化技术极大提升了服务器利用率,总体上降低了成本、减少了能源消耗。但是,单位物理服务器的业务吞吐量极大增加,使得单位区域网络的带宽需求可能比非虚拟化条件下增长10多倍甚至数十倍。如图6所示,虚拟化之前的数据中心,服务器由于利用率低下,吞吐带宽很低,业务流量经过不断汇聚后只有在网络核心有一定的带宽需求;而虚拟化的数据中心高密的VM使得单台服务器吞吐量大幅上升,在网络接入层的带宽需求已经接近传统网络环境的骨干网络带宽消耗,同时由于密集流量对网络的冲击,使得网络在满足高速数据流转的同时还要能够应对不确定的流量突发。
图6 高速带宽的虚拟化网络环境
强化网络扩展性
虚拟化数据中心的VM具有调度与迁移的能力,这种迁移的物理范围可以是整个数据中心范围的,甚至是可以跨越数据中心来迁移VM和调度计算资源(如图3所示)。在当前虚拟化环境下,要求VM的迁移范围是二层可达(Layer 2网络)即VLAN连通的范围,图7左图显示了VMWare的虚拟化技术VM迁移模式,图7右图则是这种迁移模式的服务器与网络接入方式。
图7 基于VMWare虚拟化的VM迁移与网络接入
虚拟化数据中心要求网络具有良好的扩展性,简易的运行管理环境,有效地支持主机之间的交互通道,并可靠地支持VM灵活动态迁移。本质上虚拟化的底层网络是一个大型二层网络(Layer 2),并且必须要求在转发路径上消除环路,如果采用传统技术来构建虚拟化计算环境,必然设计复杂的生成树协议(STP)网络结构,以避免环路形成同时保证可靠性。但是传统技术构造网络的复杂性使得扩展性极差,一般只在单业务网络范围内实现二层连接,二层网络由于物理上存在环路,运行中存在广播风暴泛滥的风险,某些重要金融机构的网络被广播风暴久经困扰,运维压力极大。
因此,数据中心虚拟化应用的正常开展,需要基础网络先于实现虚拟化技术,网络的虚拟化不仅集成新的网络因素(性能、可靠性),并且可使上层应用的部署、扩展完全脱离于传统网络的限制,使计算资源真正实现无约束的动态调度。
4 H3C IRF2构建虚拟化数据中心基础架构
4.1 IRF2技术简介
随着上层应用不断发展,虚拟化技术、大规模集群技术广泛应用到企业IT中,作为底层基础架构的网络,也进入新一轮技术革新时期。H3C提供的网络虚拟化技术IRF2,以极大简化网络逻辑架构、整合物理节点、支撑上层应用快速变化为目标,实现IT网络运行的简捷化,改变了传统网络规划与设计的繁冗规则。
IRF2源自早期的堆叠技术,H3C或称为IRF1。
IRF1堆叠就是将多台盒式设备通过堆叠口连接起来形成一台虚拟的逻辑设备,堆叠电缆则虚拟了一个类似框式设备的背板,图8所示。用户对这台虚拟设备进行管理,来实现对堆叠中的所有设备的管理。这种虚拟设备既具有盒式设备的低成本优点,又具有框式分布式设备的扩展性以及高可靠性优点,早期在H3C S3600/S5600上提供此类解决方案。
在持续的研发和优化基础上,H3C推出了具有更加完善功能的通用虚拟化技术IRF2。IRF2既支持对盒式设备的堆叠虚拟化(如图8所示),同时又实现了将框式设备的背板虚拟化级联,从而支持H3C同系列框式设备的虚拟化(如图9所示):包括S12500,S9500E,S7500E,S5800,S5500,S5120EI各自系列内的IRF虚拟化整合,。
图8 基于IRF2/IRF1 的盒式设备虚拟化(虚拟背板)
盒式设备经过IRF2虚拟化后,运行中类似于一台框式设备(如图8所示),而两台框式设备通过背板级联虚拟化后,虚拟成一台更大的框式设备,即槽位数等于两个框之和(如图9所示)。
图9 基于IRF2 的框式设备虚拟化交换(背板虚拟化级联)
IRF2的特点和对网络的优化:
横向整合的网络虚拟化:将多台网络设备(一般处于同一网络层次)虚拟化成单台设备(如图10所示),IRF2系统作为一台设备运行、维护、升级、配置、管理,简化了设备的管理运行工作。
分布式链路聚合:由于多台设备被虚拟化在一个交换架构下,不同设备的端口可以通过常规的链路聚合技术(LACP)被捆绑在一起(如图10所示),从而将不同网络层之间的多条物理线路可以进行捆绑,最终消除网络环路。
分布式转发:虚拟化的IRF2各成员虽然是统一管理控制的,但是硬件转发体系仍然是分布式的,即所有成员、所有线卡均能达到自身最大转发性能。
图10 IRF2对网络的虚拟化过程
4.2 H3C 端到端数据中心IRF2虚拟化解决方案
计算层面(服务器)的虚拟化,虽然与基础网络之间是一种标准化(TCP/IP)接口,但是基础网络的不同架构对于上层应用的部署运行方式有着不同的影响和支撑能力。
图11所示为几种传统数据中心网络服务器互联模型,这几种模型下的二层网络都引入了物理环路,并使用网络协议(STP/MSTP)来阻断环路避免广播风暴。传统结构下网络二层域一般比较小,同时有复杂的网络链路阻塞状态计算,使得网络运维复杂,对上层应用扩展性、灵活变更支撑有限,比如应用虚拟化后的VM范围小,网络带宽无法充分应用等诸多限制。
图11 传统数据中心网络
数据中心网络各层原本是冗余性设计(也是由此引入了环路),多是以双节点、四节点的交换单元组网,因此,在网络同一层次上将互为冗余的节点进行IRF2虚拟化整合(或称为横向整合),并进行分布式链路聚合,如图12所示,对基础网络实施虚拟化的结果和有利条件是虚拟化后的逻辑设备数量为物理设备数量的一半甚至更少,但是并不改变原有的物理网络拓扑(因此对数据中心布线没有影响),网络各层之间的多条互联链路被聚合成一条逻辑链路。
图12 IRF2虚拟化数据中心网络
图12所示的虚拟化网络从结构上消除了网络环路,而基于图7的服务器虚拟化要求,数据中心内部的计算资源调度与虚拟机VM的迁移要求在二层连通环境实施,那么IRF2环境下的数据中心就可以构造大范围的二层网络.
图13提供了采用端到端全面构建VM迁移与调度网络的方案,由于IRF消除了环路和冗余网关协议带来的问题,整个网络可搭建一个大范围的二层互联平台,在此平台上合理部署相应的管理VLAN、迁移VLAN和VM业务VLAN即可满足虚拟化业务需求。
在虚拟化环境中遇到的另一个问题是安全策略问题,有外部流量访问VM的安全策略,也有VM之间的安全策略。对此存在着不同的部署意见,有的认为安全策略需要部署到服务器内部的vSwitch上,有的建议由安全设备如防火墙集中执行。
安全策略部署在服务器内的vSwitch上,便于做到控制精细,并且在VM的迁移过程中,相应的控制策略也能跟随虚拟化系统软件的迁移功能随着VM到达相应的vSwitch。但根据思博伦测试专家的观点,策略在vSwitch上部署过多对于vSwitch性能有一定影响。同时,对大二层网络,策略过于分散,不利于运行维护。并且在当前企业数据中心运维架构中,服务器虚拟化带来的vSwitch管理归属成为问题(是网络运营部门?还是应用运营部门?)
另一种集中式的控制策略部署在网络设备上。对IRF2构建的网络,如果对外部访问VM的流量进行策略控制,则可在所有VM的网关层设置入方向的ACL控制策略,如图13所示,控制集中、便于策略维护。
图13 IRF2数据中心网络支持虚拟化应用
基于IRF2架构的网络对于实现多个数据中心服务器计算资源的统一调度、VM迁移也可提供有效支撑,如图14所示,通过IRF2实现了一种简单的多中心基础网络层面的二层扩展和互联方式,使得不同数据中心的虚拟化计算环境构筑在同一个网络界面下,实现无边界的虚拟计算能力,上层应用的动态化扩展、迁移、蔓延均可在虚拟化网络连接的范围内完成。
图14 多中心的二层网络扩展与互联
虚拟化后的数据中心,网络流量、应用密度极大增加,因此对于网络性能与可靠性提出了挑战。当前在IRF2的网络上已经可以支持高密的万兆,后续将迁移到40G/100G的骨干,可解决虚拟化环境的带宽消耗。同时,为应对密集流量的突发性,在网络层面集成大缓存(200毫秒以上线速缓存能力),充分吸收突发流量,降低瞬时数据交换速率超带宽的丢包对应用的影响。
IRF2环境消除了整网的环路计算协议和网关冗余协议,代以常规的链路聚合协议(LACP),简化网络运行,加强了稳定性和可靠性。IRF系统中本身就是多个网络单元的组合,不仅延续了冗余特性,由于网络结构的简化,使得控制层面对故障响应能力大大加强。
5 结束语
随着数据中心虚拟化的不断推进,计算、网络的全面虚拟化是必然。通过IRF2实现数据中心的虚拟化目标,最佳实践是有效途径。IRF2并没有完全摒弃传统设计方法,而是对数据中心总体网络架构的优化,以满足对应用层面的虚拟化调度要求。
閱讀更多 智能化弱電圈 的文章
