用于虚拟化数据中心的覆盖网络
虚拟可扩展局域网(VXLAN)
物理网络当前的局限性将越来越多的动态虚拟世界重新绑定到相当复杂的网络架构上,形成了人为障碍,进而也就无法实现企业组织对私有云的全面的灵活敏捷性。虽然虚拟机可以在几分钟内完成配置,但将“围绕”着虚拟机相关的所有必要的网络和安全服务安排妥当仍然需要数天的时间。高度可用的虚拟化技术(例如VMware容错)最适合于在第2层网络,但创建和管理此体系架构在操作层面上可能是非常困难的,特别是在规模上。对于真正的软件定义的网络(SDN)而言,数据中心或云运营商根本不用操心硬件和设备操作系统方面的问题,真正从诸如OpenFlow和VXLAN这样的“管道”项目开始。
VXLAN有助于解决数据中心的网络挑战难题。其提供了跨数据中心架构创建隔离的多租户广播域(broadcast domain)的能力,并使企业客户能够创建跨越物理网络边界的弹性逻辑网络。从而虚拟化网络,并创建能够满足虚拟化应用程序和数据的灵活敏捷性,性能和规模要求的网络。
VXLAN的工作原理是创建封装在标准第3层IP数据包中的第2层逻辑网络,从而允许跨物理边界扩展第2层虚拟网络(请参见下图4)。每个帧中的“分段ID”区分VXLAN逻辑网络,而不需要VLAN标签。
图4:VXLAN允许第2层虚拟网络跨越物理边界
该方法不仅允许大量隔离的第2层VXLAN网络在共同的第3层基础设施上共存,还允许虚拟机托管在同一个第2层虚拟网络中,而且是位于两个不同的第3层网络上。VXLAN运行在标准交换硬件上,不需要软件升级,实现多租户,同时跨越云/数据中心网络的不同物理位置扩展虚拟数据中心。
但是,这种方法可能存在巨大的缺点:流量隐藏在隧道中,使得网络监控变得非常困难。因此不能对隧道内的个别应用程序实施很好的监控。即使通过硬件或软件修改使监控工具与VN-Tag标签和VXLAN封装隧道兼容,这些工具仍然会花费宝贵的资源周期来剥离封装,同时可以更有效地使用它们最初设计的功能,即分析和监控流量。
对虚拟化数据中心和云的普遍可视化
今天,随着企业客户逐渐采用进一步的虚拟化和云服务解决方案,性能或安全问题已然无法再阻碍这方面的进步了。
图5:VXLAN意识
覆盖网络中的可视化
实现VXLAN封装流量的可视化
凭借24位segment ID来唯一标识广播域,VXLAN可在云规模上启用多租户环境,并通过将原始帧封装在MAC-in-UDP封装中来跨越物理边界扩展第2层网络。监控VXLAN SDN和虚拟隧道端点的性能是使网络运营团队能够控制和理解浮动在通用网络和虚拟化基础设施之上的“虚拟”域的关键。VXLAN封装的流量可以发送到可视化光纤架构,该架构可以利用相关供应商所提供的处理能力过滤segment ID以转发或解封装特定流量流,然后转发到需要访问的监控工具这个信息(见上图5)。因此,需要对UDP封装流量进行关键可视性的网络和安全分析仪现在可以监控VXLAN虚拟覆盖网络的安全性和性能,而无需对硬件或软件进行任何修改。
体系架构统一的可视化
统一可视化结构体系架构是一种创新的解决方案,可提供穿越通信网络的网络流量的普遍且动态的可视化。需要有集中访问的统一监控架构,以确保向多个部门和工具传送监控数据的独立性和隔离性。这可以在不同网络体系架构(包括物理和虚拟网络)之间统一数据的可视化,从而实现多租户设置内的安全部署。
服务层
聚合、过滤、复制和智能数据包修改
服务层由分布式网络设备组成,提供了高级过滤智能,包括流量转发、操作和修改。作为服务层的一部分,相关供应商的产品通过利用基于标准的API进行流量过滤,并转发到功能更强大的服务节点,进一步扩展了虚拟化服务器基础架构的可见性。虚拟和物理网络中的普遍的可见性为整个基础架构提供了独特的视角,从而有助于确保生产力,性能和满足服务级别协议。除了提供关键信息的访问权外,服务层还可以用于修改正在运行的数据包,以便隐藏机密信息,添加时间信息,删除重复数据以及去除无关标头,从而提高监控和安全工具的效率。今天越来越多的企业组织正在积极的采用虚拟化,云服务和可编程网络。诸如VXLAN,VN-Tag等新技术是用于监控、分析和保护IT基础设施的渲染工具,这些工具对进出数据中心的流量基本上是盲目的。由服务层提供的增强的标头剥离功能使企业能够克服对性能和安全性的担忧,因为他们希望采用虚拟化和云解决方案,并利用其提供的巨大价值主张。
管理层
统一的终端到终端的配置
由相关供应商所提供的统一配置界面将为物理、虚拟和SDN网络的监控流量提供端到端的管理策略,同时为这些工具提供整个使用寿命周期的生态系统接口。可视化光纤架构的核心技术可根据从集中式管理控制台实施的用户规则,将传入流量进行识别,并指向单个或多个工具。
通过提供基于角色的高级管理和简化的GUI工作流程,该技术的新的增强功能可帮助解决多租户访问和监控流量和策略的隔离问题。这使得监控流量的动态管理更加动态,从而消除了运营孤岛——同时降低了CAPEX和OPEX。
业务流程安排管理层
通过开放式框架实现可编程性、自动化和工具集成
业务流程安排管理层对网络中所发生的实时事件提供了“即时”响应的能力。无需人工干预即可动态调整监视服务,这有助于将基础架构的反应管理调整至最主动的方式。并使得独立软件开发人员社区能够提供可视化即服务的应用程序。基于标准的API集将被设计为与广泛的工具具有完全的互操作性,从而使IT企业组织在设计和增强其基础架构方面具有大的架构灵活性。
应用程序层
动态电源到自定义流量选择,并实现工具优化。统一的可视化结构体系架构使创建增值可视性应用程序、及开发新的应用程序特定功能变得更为简单,以便使得企业客户可以高效安全地满足其业务需求。现在,监控工具可以通过消除重复数据删除等当前可用应用程序中的重复内容,从而更高效地运行,并且将来可以使用基于智能化的流程的采样将大数据转换为可管理的数据。正好赶上云计算、移动化技术和社交网络带来的动态数据的冲击,这为企业和服务提供商开发专门的补充解决方案奠定了基础。
统一可视化结构体系架构的主要优点总结:
l 利用跨园区、云服务和运营商的端到端可见性所需的工具桥接物理、虚拟和SDN基础架构孤岛
l 规范并优化用户、虚拟机、设备和应用程序之间工具的流量,以实现工具优化
l 启用并行监控策略,以灵活的策略引擎同时为多个部门提供服务
l 通过自动化和业务流程安排管理,对网络中发生的实时事件提供“即时”响应
结论
未来的数据中心现在已然就在眼前了。毫无疑问,虚拟化技术正主宰着当前的数据中心的转型阶段。以按需方式集中,优化和简化IT服务交付受到了企业客户的广泛关注,这有助于使他们降低IT成本。但是,虚拟化服务器和虚拟网络功能正在创造越来越大的IT部门,这些IT部门隐藏在依靠测量正常运行时间,安全数据和资产以及分析网络和应用程序性能的工具中。这些工具的版本可以虚拟化,但由于其对服务器资源的依赖性很强,IT解决方案架构师们不会将他们的工具与他们的应用程序混合在同一个虚拟机管理程序中。因此,从物理机迁移到虚拟机时,工具仪表板保持空白。使用虚拟端口镜像带来了过度消耗网络带宽的巨大风险。端到端隧道协议还会从工具中隐藏相关的数据包信息,或者通过标头剥离和解封装任务将工具纳入超出限制的范围。相关供应商所提供的解决方案为虚拟化和云环境提供了必要的信息,并将监控,分析和安全工具的覆盖范围扩展到数据中心的每个角落,和被云计算的许多方面隐藏起来的每一个IT孤岛以及今天正在生产的虚拟化技术。