思科DC虛擬化技術和部署指南-圖文解析思科數據中心虛擬化技術和部署數據中心的發展正在經歷從整合，虛擬化到自動化的演變，基于云計算的數據中心是未來的更遠的目標。整合是基礎，虛擬化技術為自動化、云計算數據中心的實現提供支持。數據中心的虛擬化有很多的技術優點：可以通過整合或者共享物理資產來提高資源利用率，調查公司的結果顯示，全球多數的數據中心的資源利用率在15%～20%之間，通過整合、虛擬化技術可以實現50%～60%的利用率;通過虛擬化技術可以實現節能高效的綠色數據中心，如可以減少物理設備、電纜，空間、電力、制冷等的需求;可以實現對資源的快速部署以及重部署以滿足業務發展需求。數據中心虛擬化的簡單示意圖。數據中心的資源，包括服務器資源、I/O資源、存儲資源組成一個資源池，通過上層的管理、調度系統在智能的虛擬化的網絡結構上實現將資源池中的資源根據應用的需求分配到不同的應用處理系統。虛擬化數據中心可以實現根據應用的需求讓數據中心的物理IT資源流動起來，更好的為應用提供資源調配與部署。數據中心虛擬化發展的第一個階段是通過整合實現服務器和應用的虛擬化服務，這階段的數據中心也是很多公司已經做的或正要做的。在這一階段，數據中心虛擬化實現的是區域內的虛擬化，表現為數據中心的服務如網絡服務、安全服務、邏輯服務還是與物理服務器的部署相關聯;虛擬機上的VLAN與網絡交換層上的VLAN對應;存儲LUN以類似映射到物理服務器的方式映射到虛擬機。如下圖。數據中心虛擬化發展的第二個階段是通過虛擬主機遷移技術(VM'Mobility)實現跨物理服務器的虛擬化服務。如下圖。在這個階段，實現了數據中心內的跨區域虛擬化，虛擬機可以在不同的物理服務器之間切換，但是，為滿足虛擬機的應用環境和應用需求，需要網絡為應用提供智能服務，同時還需要為虛擬化提供靈活的部署和服務。思科在下一代的數據中心設計中采用統一交換的以太網架構，思科數據中心統一交換架構的愿景圖如下。改進之前的數據中心物理上存在幾個不同的網絡系統，如局域網架構、SAN網絡架構、高層的計算網絡架構、管理控制網絡架構，各個網絡上采用的技術不同，如局域網主要采用以太網技術，SAN網絡主要采用FiberChannel技術。而在思科的下一代統一交換架構數據中心中，數據中心的服務器資源、存儲資源、網絡服務等都通過統一的交換架構連接在一起，數據中心只有一個物理網絡架構，可以實現動態的資源調配，提升效率和簡化操作。統一交換架構下數據中心的虛擬化如下圖。統一交換架構下數據中心虛擬化簡化了數據中心的管理和運維，實現了真正的任意IT資源之間的靈活連接，實現了統一的I/O，在統一的I/O上可以實現最新的萬兆網、無丟失(FCoE)、低延時的數據中心以太網技術。統一交換架構下數據中心虛擬化為未來的進一步的虛擬化和基于云計算的數據中心提供了平臺。數據中心虛擬化架構包括數據中心前端虛擬化、服務器虛擬化、數據中心后端虛擬化。如下圖。思科設計數據中心時采用分層、分區的設計方式，層次設計包括核心層、匯聚層、接入層，接入層的不同功能的服務器位于不同的區域，服務器經過每個區域的匯聚層連接到核心層。數據中心前端虛擬化是指對服務器網絡接口之前的數據中心基于以太網的網絡架構的虛擬化。服務器虛擬化指在一臺物理服務器上為多個應用需求實現多個虛擬機，并且實現區域內資源的動態調配、遷移，服務器虛擬化技術的實現需要網絡的支持配合。數據中心后端虛擬化指通過虛擬化技術將服務器和存儲資源更好的調配使用起來。下面按數據中心層次化設計中的核心層、匯聚層、接入層依次介紹思科在前端虛擬化上的最新的一些技術實現。思科數據中心核心層虛擬化技術。思科為數據中心級和園區骨干網級網絡提供了Ne某u交換機網絡技術和Ne某u系列產品。Ne某u系列產品中采用了VDC(VirtualDeviceContent)技術，可以將一臺物理交換機邏輯上模擬成多臺虛擬交換機，如下圖模擬出的兩個虛擬交換機VDC1和VDC2。VDC技術可以實現每個模擬出的VDC都擁有它自身的軟件進程、專用硬件資源(接口)和獨立的管理環境，可以實現獨立的安全管理界限劃分和故障隔離域。VDC技術有助于將分立網絡整合為一個通用基礎設施，保留物理上獨立的網絡的管理界限劃分和故障隔離特性，并提供單一基礎設施所擁有的多種運營成本優勢。VDC可以實現故障域隔離，如下圖。一個VDC為所有的運行在它上面的進程建立故障隔離域，如圖中VDCB中的“DEF”進程發生故障后不會影響到VDCA中的“DEF”進程。VDC的端口分配如下圖。端口分配到各VDC后不能在VDC之間共享，一旦某一端口分配到一個VDC，就只能在那個VDC中對該端口進行配置。(某注上圖中右下角應為VDCD)。VDC資源使用示意圖一如下。在一個VDC中的MAC地址只會廣播到有接口分配到該VDC上的Linecard地址表中，如圖中的Linecard1和Linecard2，它們都有接口分配到VDC10。VDC資源使用示意圖如下。Linecard1和Linecard2都給VDC-2分配了100k的FIBTCAM和50k的ACLTCAM資源。VDC安全分區技術應用如下圖。最上面的兩個模型是現在應用的比較多的，但用戶可能希望能實現中間的內外分明的架構，這可以通過最下面的兩個VDC的應用來實現，其中一個VDC為Outide，另一個為Inide，之間通過防火墻連接。每個VDC可以運行獨立的轉發機制、路由機制、管理機制和登錄機制。VDC可以實現數據中心設計的水平整合，如下圖。當兩個匯聚區不是很大時可以通過將一個Ne某u設備劃分為VDC1和VDC2來分別代替實現兩個匯聚區。VDC實現數據中心設計的垂直整合，如下圖。一個Ne某u設備模擬成CoreVDC和AggVDC分別實現核心層和匯聚層功能。VDC實現數據中心設計水平和垂直的綜合的整合應用，如下圖。vPC(virtualPort-Channel)技術。下圖是傳統的和使用了vPC技術的交換機互聯邏輯拓撲圖。vPC技術可以在CicoNe某u7000系列產品上實現。傳統的技術實現交換機互聯時，如果互聯結構中存在環路，則會block環路中的部分支路。vPC技術可以實現在單個設備上使用port-channel連接兩個上行交換機，完全使用所有上行鏈路的帶寬，并消除STPblockedport，在link/device失效下提供快速收斂。VPC設計和傳統設計相比的優勢如下圖。虛擬交換系統VSS(VirtualSwitchSytem)。兩臺CicoCatalyt6500系列交換機通過VSS連接后可以實現如同操作單一邏輯交換機的效果。如下圖。虛擬交換系統VSS與vPC技術有一些不同的地方，如在控制層面上兩個交換機有主次之分，但在數據處理上是雙活的。6500-VSS應用于數據中心接入：不再需要復雜的、難于診斷的STP;可以簡化管理，實現一個管理點，一個路由和STP節點;系統總帶寬提升至1.4Tbp。6500-VSS應用于核心/匯聚層：實現網絡系統虛擬化;提供機箱間的狀態化切換(SSO)，改進無中斷通信，切換時間〈200m;跨機箱EtherChannel，優化路徑選擇。VSS和vPC技術比較如下圖。ACE模塊，實現服務器負載均衡和SSL，可以將一個物理設備虛擬成不同的功能區域，虛擬的功能區有獨立的配置文件、路由表、應用規則設置等。防火墻模塊FWSM，可實現最多250個虛擬防火墻。虛擬局域網VLAN需要時可以共享，如上圖左邊的VLAN10，各虛擬防火墻可以有各自的策略設置。虛擬技術聯合應用示例如下圖。VSS技術框架下ACE和FWSM模塊設計示例如下圖。匯聚層網絡服務的部署設計。數據中心接入層的可選設計有TopofRack(架頂)和MiddleofRow(列頭)，如下。架頂式，一個機柜中一臺或兩臺交換機連接1-RU(1機架單元，如20臺)服務器。列頭式，可用于服務器占用空間較大時，交換機集中放置。采用Ne某u5000做控制中心可控制多臺遠端Ne某u2000，聯合使用效果圖如下。部署Ne某u2000的物理拓撲結構。邏輯拓撲結構。前端網絡虛擬化技術各層面的簡單匯總如下。服務器虛擬化服務器虛擬化有全部虛擬化、部分虛擬化、應用虛擬化三個發展需求，如下圖。在服務器VMotion(虛擬機遷移)過程中存在以下的問題：VMotion可以跨網絡動態遷移虛擬機，管理策略上如何適應;無法察看本地交換流量和為其設定策略;無法識別一條物理鏈路上多個虛擬機的流量。CicoVN-Link技術針對這些問題實現：將網絡延伸到服務器虛擬機;提供一致的連接服務;協調、統一的管理。VN-Link將網絡交換延伸到服務器虛擬機，在服務器虛擬機的遷移過程中網絡信息將伴隨遷移。VN-Link技術實現基于策略的虛擬機連接、網絡與安全技術的移動、不間斷的運行模式，示意圖如下。在虛擬機資源的遷移中，需要一起移動DRS，SW升級文件/補丁，硬件錯誤記錄等。VN-Link能實現網絡的虛擬遷移，虛擬機的安全防護，保留之前的連接狀態等。CicoNe某u1000V是思科最新的基于VN-Link技術的軟件，也是業界首個第三方軟件交換機，提供VN-Link特性，確保在VMotion過程中虛擬機的可視性和連通性。后端虛擬化的主要內容如下圖。包括虛擬化服務器、HBA，統一輸入輸出/Fabric、存儲等。后端虛擬化可以優化資源的使用、增加靈活性和敏捷能力、簡化管理、減少TCO。傳統的基于應用/部門的SAN存儲網絡的架構如下圖?？傮w上看各個SAN網絡如一座座的孤島，每個島上的端口都過量，需要管理大量的交換機，并且他們的資源無法共享。整合的VSAN存儲網絡架構如下圖。它是一個供所有應用系統使用的公用存儲網絡，能夠做到：最大化端口利用率，無需多余擴展端口;減少整體交換設備數量，降低管理復雜度;更靈活的配置存儲資源，提高資源利用率;為未來的存儲虛擬化打下基礎。VSAN技術的工作原理和流程如下。虛擬的N-Port能為同一個VSAN的不同數據(如E-Mail，Web)提供獨立接口，并且可以在應用層面上實現對各虛擬接口的存取控制、域控制、端口安全控制等。目前，N-PortID虛擬化技術是為同一個VSAN的需求虛擬出多個N-Port接口。一個未使用NPIV技術的由虛擬服務器到存儲的網絡連接圖如下。HBA卡到交換機只有一個點到點連接，MDSS9000交換機中只有一個WWPN(WorldWidePortName)，所有的存儲卷需要基于同一個物理HBA的存取控制。管理程序(hypervior)負責映射和錯誤處理。使用NPIV技術后。不同虛擬服務器通過不同虛擬N-Port連接到交換機，交換機為所有虛擬N-Port設置WWPN，存儲數據卷只能通過對應N-Port和虛擬服務器來處理。沒有使用NPIV技術的VMotionLUN遷移圖如下。所有配置參數都是基于一個物理HBA的WWPN，所有虛擬服務器的LUN必須對所有服務器可見以確保遷移過程中磁盤數據存取的順利完成，這種“暴露”會帶來安全隱患。使用NPIV技術的VMotionLUN遷移。虛擬服務器遷移后，對應的N-Port參數配置和與存儲的映射關系都會跟隨遷移，確保特定存儲只能通過相應虛擬服務器訪問。使用NPIV技術可以簡化管理和配置，增加安全性。數據中心FCoE(FCoverEthernet)技術實現在以太網架構上映射FC(FibreChannel)幀，使得FC運行在一個無損的數據中心以太網絡上。FCoE技術有以下的一些優點：光纖存儲和以太網共享同一個端口;更少的線纜和適配器;軟件配置I/O;與現有的SAN環境可以互操作?；贔CoE技術的數據中心統一I/O能夠實現用少數的CNA(ConvergedNetworkadapter)代替數量較多的NIC