Windows Server 2012R2超级虚拟化之十一软件定义网络之网络虚拟化 随着虚拟化数据中心的成功使用,IT组织和托管提供商(提供主机代管或物理服务器出租的提供商)已经开始提供灵活的虚拟基础结构,从而可以轻松地根据客户需要向其提供服务器实例。这种新的服务
Windows Server 2012&R2超级虚拟化之十一软件定义网络之网络虚拟化
随着虚拟化数据中心的成功使用,IT组织和托管提供商(提供主机代管或物理服务器出租的提供商)已经开始提供灵活的虚拟基础结构,从而可以轻松地根据客户需要向其提供服务器实例。这种新的服务类别称为“基础结构即服务 (IaaS)”。Windows Server 2012 提供让公司客户建立私有云所需的所有平台能力,并且能作为一种服务操作模式实现向 IT的转变。WindowsServer 2012也能让主机建立公共云,以及为客户提供 IaaS解决方案。当结合系统中心来管理 Hyper-V网络虚拟化策略时,微软可提供强大的云解决方案。Windows Server 2012 Hyper-V网络虚拟化可提供基于策略以及由软件控制的网络虚拟化,能减少企业在扩大专用 IaaS云时面临的管理开销,以及能为云主机管理虚拟机提供更多的灵活性和扩展性,以实现更高的资源利用率。包含来自不同组织部门(专用云)或不同客户(托管云)的多个虚拟机的 IaaS方案需要安全隔离。当前虚拟局域网 (VLAN)的解决方案在这种情况下呈现明显的劣势。
VLAN是大多数组织用于支持地址空间重复使用以及租户隔离的机制。VLAN在以太网框架报头中使用显式标记 (VLAN ID),它依靠以太网交换机来强制实施隔离并限制有同一 VLAN ID 的网络节点的流量。
VLAN的主要劣势如下:
无论何时将虚拟机或隔离边界移动到动态数据中心,由于生产交换机的重新配置比较复杂,因此会加大意外中断的风险。
由于标准交换机支持的 VLAN ID不会超过 1000个(最大数量为 4094),因此扩展性会受到限制。
受限于一个 IP子网内,从而会限制单个 VLAN内的节点数量并且会基于物理位置限制多个虚拟机的放置。即使 VLAN可以在多个网络间扩展,整个 VLAN也必须全部位于同一子网上。
IP地址分配问题:
在数据中心网络基础结构中的物理位置决定了虚拟机的 IP地址。因此,移至云中通常需要给服务工作负荷重新编号(改变 IP地址)。
策略是与 IP地址绑定的,如防火墙规则、资源发现以及目录服务等等。改变 IP地址则需要更新所有相关的策略。
虚拟机部署以及流量隔离都依赖于拓扑。
当数据中心网络管理员计划数据中心的物理布局时,他们必须决定子网的物理位置和路由。这些决定是基于 IP和以太网技术的,这一技术会影响这些 IP地址:允许用于在连接到数据中心特定机架上的特定服务器或服务器刀片上运行的虚拟机。在数据中心中配置并放置虚拟机时,该虚拟机必须遵守有关 IP地址的这些选择和限制。因此,结果通常是数据中心管理员会给虚拟机分配新的 IP地址。这种需求的问题在于,除了作为一个地址外,一个 IP地址还有相关联的语义信息。例如,一个子网可能包含给定服务或者位于不同的物理位置。防火墙规则、访问控制策略以及 IPsec安全关联性通常会与 IP地址相关联。改变 IP地址会迫使虚拟机拥有者去调整所有基于原有 IP地址的策略。由于此重新编号操作开销非常高,因此很多企业仅将新的服务部署到其云,保留旧的应用程序不动。Hyper-V网络虚拟化将客户虚拟机的虚拟网络与物理网络基础结构脱耦。因此,它能让客户虚拟机维持原有的 IP地址,同时能让数据中心管理员将客户虚拟机布置在数据中心的任何地方,而不用重新配置物理 IP地址或者 VLAN ID。
Hyper-V网络虚拟化概念
在 Hyper-V网络虚拟化中,客户被定义为一组部署在数据中心的虚拟机的“拥有者”。客户可以是多租户公共数据中心中的一家公司或私有数据中心中的一个部门或业务单位。每位客户可以在该数据中心有一个或者多个客户网络,每个客户网络由多个带有虚拟子网的网络组成。
客户网络:每个客户网络包包含一个或多个虚拟子网。一个客户网络组成一个独立边界,在一个客户网络中的虚拟机可相互交流。因此,在同一个客户网络中的虚拟子网必须不能使用重叠的 IP 地址前缀。每个客户网络有一个识别客户网络的路由域。识别客户网络的路由域 ID (RDID),由数据中心管理员或者数据中心管理软件(如 System Center Virtual Machine Manager (VMM))分配。RDID具有 GUID格式 — 如“{11111111-2222-3333-4444-000000000000}”。
虚拟子网(Virtua本文来源gao@daima#com搞(%代@#码@网2lSubnets):虚拟子网是有点像的VLAN,但VirtualSubnet的ID比VLAN更多(相比VLAN的4095上限,VSID自编号4096至16,777,215,)。一个虚拟机的网卡在任何时候只能有一个Virtual Subnet ID(VSID),VSID可以跨数据中心使用,因此每个客户/租户必须用自己独特的VSID。VSID只能通过PowerShell的或WMI设置。虚拟子网为同一个虚拟子网中的虚拟机实行第三层 IP 子网语义。虚拟子网是一个广播域(与 VLAN相类似)。尽管一个虚拟子网能同时兼容一个 IPv4和一个 IPv6前缀,在同一个虚拟子网中的虚拟机必须使用相同的 IP前缀。每个虚拟子网都属于一个客户网络 (RDID),并分配有唯一的虚拟子网 ID (VSID)。
客户网络和路由域的主要优点是能让客户将网络拓扑带到云中。在下图的示例中,蓝方公司有两个不同的网络:研发网络和销售网络。由于这些网络有不同的路由域ID,因此彼此之间不能进行交互。即是,蓝色研发网络与蓝色销售网络相互独立,尽管它们都属于蓝方公司。蓝色研发网络包含三个虚拟子网。注意:一个数据中心内的 RDID 和 VSID都是唯一的。
在图中,VSID为 5001的虚拟机能通过 Hyper-V网络虚拟化将其数据包路由或转发到 VSID为5002或 5003的虚拟机中。在将数据包送往 Hyper-V交换机之前,Hyper-V网络虚拟化将把进入的数据包的 VSID更新为目标虚拟机的 VSID。这只有在两个 VSID 都属于一个 RDID的情况下才能实现。如果数据包上的 VSID与目标虚拟机的 VSID不匹配,数据包会被丢弃。因此,带有 RDID1的虚拟网络适配器不能将数据包发送到带有 RDID2的虚拟网络适配器。通常一台虚拟机只有一个虚拟网络适配器。在这种情况下,虚拟机和虚拟网络适配器具有相同的含义。由于一台虚拟机可以有多台虚拟网络适配器,这些虚拟网络适配器可以有不同的虚拟子网 ID (VSID) 和唯一的路由域 ID (RDID),Hyper-V网络虚拟特别侧重虚拟网络适配器之间发送和接收的数据包。
每个虚拟子网定义一个第三层 IP子网以及一个类似于 VLAN的第二层 (L2)广播域边界。当虚拟机广播数据包时,广播只限于与 VSID相同的交换机端口相连接的虚拟机。每个 VSID可与 PA的多播地址相关联。VSID的所有广播流量均通过此多播地址进行发送。Hyper-V网络虚拟化不依赖广播或多播。这些是选择性功能,需要 Hyper-V 网络虚拟策略中的数据中心管理员进行明确配置。默认情况下,不允许虚拟机多播和广播。本地主机自动支持 ARP这个广播协议,并且 ARP不会广播到其他物理主机上。
除作为一个广播域外,VSID也能提供隔离。Hyper-V网络虚拟化的一个虚拟网络适配器与具有一个 VSID ACL的 Hyper-V交换机端口相连接。如果数据包到达这个具有不同 VSID的 Hyper-V交换机端口,该数据包会被丢弃。只有数据包的 VSID与交换机端口的 VSID相匹配,数据包才能被送到 Hyper-V交换机端口。如果 Hyper-V交换机端口没有 VSID ACL,那么附加在该交换机的虚拟网络适配器就不在 Hyper-V 网络虚拟化虚拟子网之内。从虚拟网络适配器发出的数据包如果没有VSID ACL,就会通过 Hyper-V网络虚拟化而不会发生更改。虚拟机发送数据包时,Hyper-V交换机端口的 VSID与这个在带外 (OOB)数据中的数据包相关联。封装数据包的 GRE密钥字段中包含 VSID。在接收端,Hyper-V网络虚拟化将 OOB中的 VSID以及解封的数据包发送到 Hyper-V交换机。在接收端,Hyper-V网络虚拟化执行策略寻找,并在数据包送达 Hyper-V交换机之前,将 VSID添加到 OOB数据中。Hyper-V交换机扩展在客户地址(CA)空间中运作。但是,VSID适用于交换机扩展。这可使交换机扩展能感知多租户。例如,防火墙交换机扩展可将带有 VSID为 5001的 OOB的 CA IP地址 10.1.1.5和 VSID为 6001的相同 CA IP地址区分开来
转载请注明原文链接:WindowsServer2012&R2超级虚拟化之十一软件定义网络之网
