部接入交换机,此时因为所有的流量均经过物理交换机,因此与虚拟机相关的流量监控、访问控制策略和网络配置迁移问题均可以得到很好的解决,此方案最典型的代表是EVB标准。
802.1Qbg Edge Virtual Bridging(EVB)是由IEEE 802.1工作组制定一个新标准,主要用于解决vSwtich的上述局限性,其核心思想是:将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理,即使同一台物理服务器虚拟机间的流量,也将发往外部物理交换机进行查表处理,之后再180度调头返回到物理服务器,形成了所谓的“发卡弯”转发模式,如下图所示:
EVB标准具有如下的技术特点:
?
借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监
管特性引入到虚拟机网络接入层,不但简化了网卡的设计,而且充分利用了外部交换机专用ASIC芯片的处理能力、减少了虚拟网络转发对CPU的开销;
?
充分利用外部交换机既有的控制策略特性(ACL、QOS、端口安全等)
实现整网端到端的策略统一部署;
?
充分利用外部交换机的既有特性增强了虚拟机流量监管能力,如各种
端口流量统计,Netstream、端口镜像等。
EVB标准中定义了虚拟机与网络之间的关联标准协议,使得虚拟机在变更与迁移时通告网络及网管系统,从而可以借助此标准实现数据中心全网范围的网络配置变更自动化工作,使得大规模的虚拟机云计算服务运营部署自动化能够实现。
3.3.1.5 虚拟资源安全设计
云计算将IT资源进行虚拟化和池化,这些资源将以服务的形式动态分配给租户使用。对于云计算网络层的安全防护,需要解决下图所示的两个问题:
1、位于同一物理服务器内的多个不同虚拟机之间的流量安全防护,此类流量有部分是直接通过vSwitch进行交互的,部署在外部网络层的防火墙策略将无法实现安全防护;
2、随着云计算中心内新租户的上线和业务变更,传统静态的防火墙部署方式已经不能满足,需要将防火墙也进行虚拟化并交付给租户使用。
动态虚拟安全的构建主要分4个层面,一是基于VEPA或VLAN将VM流量引出并进行识别,为下一步给不同流量部署不同级别安全策略作准备;二是防火墙资源动态分配,这是动态安全最为核心的一个步骤。通过1虚多的虚拟化技术,将一台防火墙设备虚拟化为多个虚拟墙vFW,根据不同的需要动态分配;三是通过防火墙插卡平滑扩展规格,在核心设备上插上防火墙业务模块,满足虚拟防火墙数量和性能平滑扩展,实现大规模的运营;四是防火墙资源池统一管理,虚拟化的防火墙资源池能够在防火墙管理平台上进行可视化的统一管理和操作。如下图所示:
云计算数据中心新带来的最大挑战就是网络安全策略要跟随虚拟机自动迁移。在创建虚拟机或虚拟机迁移时,虚拟机主机需要能够正常运行,除了在服务器上的资源合理调度,其网络连接的合理调度也是必须的。
网络安全配置自动迁移
如上图所示,虚拟机1从pSrv1上迁移到pSrv2上,其网络连接从原来的由pSRV1上vSwitchA的某个端口组接入到Edge Switch1,变成由pSRV2上vSwitchB的某个端口组接入到Edge Switch2。若迁移后对应的Edge Switch的网络安全配置不合适,会造成虚拟机1迁移后不能正常使用。尤其是原先对虚拟
机1的访问设置了安全隔离ACL,以屏蔽非法访问保障虚拟机1上业务运行服务质量。因此在发生虚拟机创建或迁移时,需要同步调整相关的网络安全配置。并且,为了保证虚拟机的业务连续性,除了虚拟化软件能保证虚拟机在服务器上的快速迁移,相应的网络连接配置迁移也需要实时完成。即网络具有“随需而动”的自动化能力。
但在VEB vSwtich模式下,通常会出现多个虚拟机的配置都重复下发到一个物理接口上,很难做到针对每一个虚拟机的精细化网络安全配置管理。因此只有先精细化区分流量(比如源IP、源MAC、VLAN等),再进行针对性的网络安全配置迁移与本地配置自动化去部署。目前业界最优的解决方法就是在主机邻接物理交换机采用vPort的概念。一个虚拟机绑定一个或几个特定的vPort,虚拟机迁移时,只需在对应的邻接物理交换机上将虚拟机对应的网络配置Profile绑定到vPort上即可,而不会对其它虚拟机的vPort产生影响。
目前正在形成标准的VDP方案对网络安全配置自动迁移提供了良好的支撑能力。
邻接交换机使用VDP协议发现虚拟机实例,并向网管系统获取对应的网络安全配置Profile并部署到相应的vPort接口上。同时,虚拟机迁移前的接入位置物理交换机也会通过VDP解关联通告,去部署相应的profile对应的本地配置。加入VDP后,完全不依赖网管系统对虚拟机接入物理网络的定位能力,提高网络配置迁移的准确性和实时性。。
3.3.1.6 虚拟资源的物理分布
同一个资源池内的虚拟机在物理服务器上的分布,要尽可能考虑平衡负载的原则,即保证资源池内的物理服务器CPU、内存资源占用率均衡,避免某单台物理服务器上的负载特别高,而其它处于闲置状态。
个别业务应用可能会存在某个时段负载突发上升的情况,如公务员报考系统,对于这类应用,需要部署DRS(动态资源调度)和DRX(动态资源扩展):
? 通过动态资源调度(DRS)集群的部署,可以解决单个虚拟机负载过高时,位于同一台物理服务器上的其它业务应用虚拟机不会被“饿死”。
? 通过动态资源扩展(DRX,详细方案描述见动态资源调度介绍)集群的
