DoSERV分析:服务器虚拟化的黑暗面(三)

思科的解决方案

思科公司推出了他们自己的软件交换机解决方案1000V来取代vSwitch。1000V由两部分组成。VSM是虚拟交换机模块,用来替代在管理程序内部运行的vSwitch软件。Virtual Element Manager (VEM)是为VSM配置和存储网络协议的程序。

以下的图表显示的流程是如何运转的。首先在虚拟机的UUID或者VEM的虚拟访问控制清单地址中配置虚拟机的虚拟局域网和协议。VCenter启动一个新的虚拟机或者将一个步骤二的虚拟机进行迁移。管理程序通知步骤3中的VSM。然后VSM从步骤4里的VEM中找回协议信息。如果网络交换机是来自Nexus产品线,也可以从VEM中找回必需的虚拟局域网和协议信息。在这点上管理程序中的交换机和Nexus交换机都掌握了如何处理虚拟机2的正确信息。当虚拟机2开始发送流量时,管理程序中的1000V交换机就应用了所有正确的协议(蓝点标识)。

 

 

思科方式的好处与第一个方法相同。如果第一次交换机通过的流量非法或者没有应用正确的协议,这种方法就可以阻止两个虚拟机之间的任何通信。如果1000V使用在部署了虚拟化的Nexus交换机上,就可以解决网络交换机中的虚拟局域网问题。其他的好处是可以消除由网络管理软件控制的管理程序中的交换机,将相关责任返回给网络部门。不足之处是目前思科只有一个用于VMware的解决方案,还无法在XEN和Hyper-V上运行。

第四种方法

第四种方法是以网络设备为中心;请看图表3。在步骤1中,网络管理软件中的虚拟机是由其虚拟网络接口卡来定义的。在步骤2中,vCenter指示管理程序启动虚拟机。管理程序发送告知信息包来通知其已经启动了步骤3中的虚拟机2。这个通知包含了虚拟机2的虚拟网络接口卡和其UUID。在步骤4中,交换机看到了这个通知并发送其虚拟局域网和其他协议信息的需求。然后交换机将协议应用到任何进入网络的流量上。

 

 

关键点是交换机只将协议应用在网络交换机上(由蓝点显示)而不是在虚拟交换机上。交换机还要监控来自管理程序的信息,管理程序要指明所迁移的虚拟机,然后删除虚拟局域网和与虚拟网络接口卡相关的协议信息。采用这种解决方案的厂商有Arista Networks, Blade和Enterasy,还有通过协调软件来部署的惠普公司和Juniper。诸如博科公司等其他厂商也计划推出这种解决方案。Extreme Networks将这种技术用于QoS和协议,但是没有用于虚拟局域网。

这种方式会尽可能消除虚拟部门执行网络协议的需求。不过仍然有两个问题需要解决。第一个问题是服务器虚拟化和网络部门仍然要协调虚拟局域网数量。目前Enterasys公司具备了为虚拟交换机自动化提供虚拟局域网数量的能力,Arista也在计划近期把这种能力增加到软件中去。

这种方式最大的问题是它无法将协议应用到vSwitch上,因此会导致服务器虚拟机之间的流量绕过访问控制清单和其他安全协议。Enterasys和Arista打算通过增加将协议下推至vSwitch的功能来解决这个问题,图表中由A来显示。

更多请关注《DoSERV分析:服务器虚拟化的黑暗面(一)
DoSERV分析:服务器虚拟化的黑暗面(二)
DoSERV分析:服务器虚拟化的黑暗面(四)