第二节 云计算虚拟化交换网络——边缘篇

　　虚拟化交换网络层边缘层挑战

　　熟悉IT发展历史的人都知道，IT技术发展趋势总是这样，进入者在软件上突破和实现，不断应用于客户和取得市场反馈，然后随着性能提升要求和硬件技术发展，移植到高速、简洁的ASIC上，虚拟化交换网络领域也不外乎遵循这样变化轨迹。

　　前面所讲，计算资源内部虚拟交换网络实际上是通过数据中心边缘计算节点内部的虚拟交换机软件实现。虚拟交换机放在数据中心网络计算节点内部时就被称为虚拟边缘桥接VEB（Virtual Edge Bridge）。这种称谓是非常合适的，因为此时虚拟交换机完成的功能和二十多年前我们使用的物理桥接设备（Bridge）类似，只完成不同网络节点之间的数据转发，没有更细分的交换控制和管理比如网络监视、更多标准协议支持等等。虚拟边缘桥接优点是基于物理主机内部交换，基于计算节点内部资源，不会增加更多外部网络流量，实现物理计算节点内部更快交换速度，不需要额外硬件支持，只需在虚拟机支撑管理平台编写告诉数据转发引擎和开发控制平面，服务器管理人员更容易理解和实施，但是主机软件交换机缺点是一方面是性能提高受制于CPU和网卡IO架构，另一方面是它通常只能由服务器团队通过虚拟机支撑平台配置和管理，传统网络团队难以理解、学习和操作，缺乏链路底层的监控和安全控制，因此IT安全管理策略还需要在虚拟机和物理机不同层面分别实现。为了进一步提高性能和简化管理，把卸载到网卡功能再卸载到强大的物理交换机。

　　虚拟化交换网络边缘层层技术发展

　　针对以上数据中心边缘网络技术和管理挑战，目前业界发展“Edge Virtual Bridging”（EVB）边缘虚拟桥接，形成了两种的技术标准：虚拟以太端口汇聚器（Virtual Ethernet Port Aggregator，简称VEPA）

　　VEPA技术标准是由HP、IBM、Dell、Juniper和Brocade等公司发起的，统一管理和监控各种虚拟机的桥接标准，目前已被采纳为IEEE标准802.1Qbg，其主要功能由数据中心边缘虚拟交换机硬件实现。VEPA有两种实现模式，一种是标准模式，需要虚拟交换机和上联交换机做少量代码升级；另外一种是多通道模式，需要上联交换机更多智能处理功能。

　　标准模式VEPA技术特点是实现简单。传统虚拟环境下，同一物理节点的不同虚拟机之间流量发送由虚拟交换机直接处理了，并不会发出网口。在VEPA下，情况发生了一点点改变，虚拟机内部之间流量不再由本地虚拟交换机处理，而是被强制发往物理网卡外部，由网卡上联的VEPA交换机接收处理后才发送回来，这种技术叫Hairpin（发夹）。因为大家知道，传统交换机固件不允许从一个物理接口接收数据帧，又同时从同一口发送同样目的MAC地址的数据帧，所以需要我们需要对传统交换机固件做一些简单修改，允许其绕回。这种方式下，很简单，所有虚拟机流量被重新导向了上联物理交换机，用户可以轻松地以传统管理方式，在修改后的物理交换机上实现流量统计、安全控制管理，减少物理节点宝贵CPU资源，不必浪费在简单的网络I/O层面。不过VEPA实现方式也有明显缺点，所有虚拟机之间流量在物理节点和交换机来回了两次，浪费了网络带宽和增加数据延迟，但是与安全管理简单控制收益相比，这些代价是值得的。另外一方面，专用网络设备芯片对网络流量转发和控制效率通常比我们标准服务器来得更加经济有效，我们还可以结合第一节中提到的单根IO虚拟化（Single Root I/O Virtualization）或VMDq直接路径I/O减少虚拟机之间来回转发数据包负面影响。

图10标准VEPA EVB操作模式  

 
              
　　图11 VEPA多通道运行模式 

　　多通道模式VEPA（Mutli-Channel VEPA）则增强了标准模式功能，同时兼容传统虚拟交换机和标准模式VEPA，实现方式是将物理链路分成多个服务通道Channel，网络交换机和网卡独立识别每个通道，这些通道可以分配给传统直联虚拟机、传统VEB模式虚拟化交换机或VEPA虚拟以太端口聚合交换机。每个通道物理标识采用802.1ad（Q-in-Q）技术，简单来讲，就是在802.1Q VLAN标记基础上增加了“S-Tag”服务字段标记每个通道，很显然，服务器网卡和交换机都需要支持Q in Q特性，才能区分不同源虚拟机或桥接流量。

　　虚拟网络标识（VN-Tag）

　　VN-Tag标准由Cisco为主发起的虚拟化网络控制协议，实现了虚拟网络智能识别和控制，在不扩大生成树域和管理界面的前提下扩展了接入层，目前已被IEEE接纳成802.1Qbh“Bridge Port Extension”桥接口扩展标准，实现方式主要是在传统以太网帧基础上增加VN-Tag帧头以标识每个虚拟机所绑定的虚拟接口（Virtual Interface, 简称VIF）。VN-Tag帧头其中最重要两个字段分别是目的虚拟接口标识DVIF_ID和源虚拟接口标识SVIF_ID，它们清楚地区分了来自同一个物理网口上的每个虚拟机虚拟网络接口。每个接口功能实现机理有两种，物理网卡芯片固件或虚拟机平台软件交换。VN-Tag缺点是需要网卡和交换机硬件升级，但是与传统交换机兼容，因为虚拟接口VIF只是本地查找有效，VN-Tag在VN-Tag交换机入口处写入，在出口处去除VN-Tag，中间交换机只是需要根据传统以太网帧模式传输，VIF作用有点类似我们以前常用帧中继的本地逻辑链路接口DLCI。

  
　　图12 VN_Tag帧格式

　　图13 VN_Tag帧转发模式     

　　总的来说，目前两大标准802.1Qbg和802.1Qbh都在不断完善过程中。可以看出，VEPA主要改进在于减少软件交换机在数据转发层面性能影响，虚拟流量以802.1q和服务通道表示，整个控制平面交由VEPA物理交换机实现。而VN-Tag主要改进在于虚拟化得数据转发层面和控制平面端对端实现了革命性变化，虚拟流量以源和目的VIF虚拟端口表示，既可以通过软件交换机内核实现也可以物理交换机实现。实际上，两者具有互补作用，VEPA设备自动发现方式就可以用于VN-Tag，未来不排除出现融合两者技术的新标准，做为IT管理者，对当前采购的设备需要充分考虑与原有设备和协议的兼容性，运行效率提高，同时不会由于哪一个技术发展障碍而受到影响。