虛拟化服务器网络接入层技术EVB.docVIP

VEB（Virtual Ethernet Bridge） 虚拟化服务器与VEB 虚拟化服务器①是使用虚拟化软件（如VMWare ESX、Citrix XEN）在一台物理服务器上虚拟出一台或多台虚拟机（Virtual Machine，VM），安装在服务器上的虚拟化软件被称为VMM（Virtual Machine Monitor）。虚拟机运行在一个隔离环境中，是具有完整硬件功能的逻辑服务器，每个虚拟机具有自己的操作系统和应用程序。一台服务器上的多个虚拟机可以互不影响的同时运行，并复用物理机资源。虚拟化软件为虚拟机提供一套虚拟的硬件环境，包括虚拟的CPU、内存、存储设备、I/O设备（如网卡）以及虚拟交换机等，如图1。 图1虚拟化服务器模型 在虚拟化服务器中，虚拟以太网交换机是一个比较特殊的设备，具有重要的作用。虚拟机是通过虚拟交换机向外界提供服务器的。在虚拟化的服务器中，每个虚拟机都变成了一台独立的逻辑服务器，它们之间的通信通过网络进行。每个虚拟机被分配了一个虚拟网卡（不同的虚拟机网卡有不同MAC地址）。为实现虚拟机之间以及虚拟机与外部网络的通信，必须存在一个“虚拟以太网交换机”以实现报文转发功能。在IEEE的文档中，“虚拟以太网交换机”正式英文名称为“Virtual Ethernet Bridge②”，简称VEB。 VEB可以在VMM中采用纯软件方式实现，也可以借助支持SR-IOV特性的网卡通过全硬件方式实现。 软件VEB的技术特性 软件VEB（或称VSwitch③）是目前较为成熟且产品化较好的技术方案。在一个虚拟化的服务器中，VMM为每个虚拟机创建一个虚拟网卡，对于在VMM中运行的VSwitch，每个虚拟机的虚拟网卡对应到VSwitch的一个逻辑端口上，服务器的物理网卡对应到VSwitch与外部物理交换机相连的上行逻辑端口上。 虚拟机的报文接收流程如下：VSwitch首先从物理网卡接收以太网报文，之后根据VMM下发的虚拟机MAC与VSwitch逻辑端口对应关系表（静态MAC表，VSwitch通常不做MAC地址学习）来转发报文。 虚拟机报文发送流程为：当报文的MAC地址在外部网络时，VSwitch直接将报文从物理网卡发向外部网络；当报文目的MAC地址是连接在相同VSwitch上的虚拟机时，则VSwitch通过虚拟机与逻辑网卡的对应关系表来转发报文。如图2所示。 图2 VSwitch方案架构 VSwitch方案具有以下优点： 虚拟机间报文转发性能好。VSwitch实现虚拟机之间报文的二层软件转发， VSwitch对报文的转发能力只受限于CPU性能、内存总线带宽，因此虚拟机间报文的转发性能（带宽、延迟）非常好； 节省接入层物理交换机设备。例如，数据中心需要部署WEB服务器，且WEB服务器网关指向防火墙。这里可将一台服务器虚拟化成多个虚拟机，每个虚拟机作为一个WEB服务器，将VSwitch作为WEB服务器的网络接入层设备，将服务器物理网卡与防火墙端口互联即可完成组网，无需部署物理交换机设备； 与外部网络的兼容性好。VSwitch采用软件实现，对现有网络标准的兼容性好，所以VSwitch与外部网络设备不存在互联兼容性问题。 但VSwitch方案也存在一些缺点： 消耗CPU资源。虚拟机产生的网络流量越高，则基于软件实现的VSwitch就需要占用越多的CPU资源用于报文的转发处理，从而减弱了服务器支持更多虚拟机的能力。特别是在虚拟机到外部网络的流量很大时，CPU的开销会更大； 缺乏网络流量的可视性。VSwitch缺少内部流量监管能力，例如端口报文统计、端口流镜像、Netstream等特性。上述特性的缺失，一方面导致虚拟机之间的流量无法被网管系统所监管；另一方面也使得网络发生故障时，难于定位问题原因； 缺乏网络控制策略的实施能力。当前数据中心接入交换机都具有很多实现网络控制策略的特性，例如端口安全，QOS、ACL等。而VSwitch因顾及到CPU开销问题，通常不支持上诉特性。因此限制了数据中心的端到端网络控制策略（如端到端的QOS、整网安全部署策略等）的部署能力； 缺乏管理可扩展性。随着数据中心虚拟机数量的增加，VSwitch的数量随之增加，而传统的VSwitch必须被单独的配置管理，由此增加了网络的管理工作量。VMWare公司推出的“分布式交换机（DVW）”技术，可以将最多64个VSwitch作为一个统一的设备进行管理。但这种技术只有限的改善了管理扩展性问题，并未从根本上解决外部网络管理与VSwitch管理的统一性问题。 硬件VEB的技术特性 硬件VEB的设计思想是将VEB功能从VMM移植到服务器物理网卡，通过网卡硬件改善VSwitch占用CPU资源而影响虚拟机性能的问题。这种硬件VEB方案必须采用支持SR-IOV（Single-Ro