1�、網(wǎng)絡虛擬化
網(wǎng)絡虛擬化技術(shù)也隨著數(shù)據(jù)中心業(yè)務要求有不同的形式��。多種應用承載在一張物理網(wǎng)絡上����,通過網(wǎng)絡虛擬化分割(稱為縱向分割)功能使得不同企業(yè)機構(gòu)相互隔離�����,但可在同一網(wǎng)絡上訪問自身應用���,從而實現(xiàn)了將物理網(wǎng)絡進行邏輯縱向分割虛擬化為多個網(wǎng)絡;多個網(wǎng)絡節(jié)點承載上層應用��,基于冗余的網(wǎng)絡設計帶來復雜性���,而將多個網(wǎng)絡節(jié)點進行整合(稱為橫向整合)����,虛擬化成一臺邏輯設備����,提升數(shù)據(jù)中心網(wǎng)絡可用性、節(jié)點性能的同時將極大簡化網(wǎng)絡架構(gòu)�����。
2、網(wǎng)絡虛擬化——縱向分割
如果把一個企業(yè)網(wǎng)分成多個不同的子網(wǎng)絡使用不同的規(guī)則和控制�����,用戶就可以充分利用基礎(chǔ)網(wǎng)絡的虛擬化路由功能����,而不是部署多套網(wǎng)絡來實現(xiàn)這種隔離機制。網(wǎng)絡虛擬化概念并不是什么新概念�,因為多年來,虛擬局域網(wǎng)(VLAN)技術(shù)作為基礎(chǔ)隔離技術(shù)已經(jīng)廣泛應用����。當前在交換機網(wǎng)絡上通過VLAN來區(qū)分不同業(yè)務網(wǎng)段,配合防火墻等安全產(chǎn)品劃分安全區(qū)域����,是數(shù)據(jù)中心基本設計內(nèi)容之一。
出于將多個邏輯網(wǎng)絡隔離��、整合的需要����,VLAN���、MPLS,VPN�、MuITi.VRF技術(shù)在路由環(huán)境下實現(xiàn)了網(wǎng)絡訪問的隔離,虛擬化分割的邏輯網(wǎng)絡內(nèi)部有獨立的數(shù)據(jù)通道��。終端用戶和上層應用均不會感知其他它邏輯網(wǎng)絡的存在�����。但在每個邏輯網(wǎng)絡內(nèi)部����,仍然存在安全控制需求�,對數(shù)據(jù)中心而言,訪問數(shù)據(jù)流從外部進入數(shù)據(jù)中心��,則表明了數(shù)據(jù)在不同安全等級的區(qū)域之間流轉(zhuǎn)�,因此,有必要在網(wǎng)絡上提供邏輯網(wǎng)絡內(nèi)的安全策略��,而不同邏輯網(wǎng)絡的安全策略有各自獨立的要求�����。虛擬化安全技術(shù),將一臺安全設備可分割成若干臺邏輯安全設備(成為多個實例)�����,從而很好地滿足了虛擬化的深度強化安全要求�。
虛擬化網(wǎng)絡與虛擬化安全的整體結(jié)合,通道化設計�,構(gòu)成了完整的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡架構(gòu)。
3�、網(wǎng)絡虛擬化——橫行整合
數(shù)據(jù)中心是企業(yè)IT架構(gòu)的核心領(lǐng)域,不論是服務器部署����、網(wǎng)絡架構(gòu)設計都做到精細入微。因此���,傳統(tǒng)上的數(shù)據(jù)中心網(wǎng)絡架構(gòu)由于多層結(jié)構(gòu)��、安全區(qū)域����、安全等級����、策略部署�、路由控制�、VLAN劃分、二層環(huán)路����、冗余設計等諸多因素,導致網(wǎng)絡結(jié)構(gòu)比較復雜����,使得數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡的運維管理難度較高。
使用虛擬化技術(shù)(例如Cisco的VSS�、華為的CSS��、H3C的IRF2等虛擬化技術(shù))���,用戶可以將多臺設備連接���,“橫向整合”起來組成一個“聯(lián)合設備”。并將這些設備看作單一設備進行管理和使用�����。多個盒式設備整合類似于一臺機架式設備�,多臺框式設備的整合相當于增加了槽位�����,虛擬化整合后的設備組成了一個邏輯單元����,在網(wǎng)絡中表現(xiàn)為一個網(wǎng)元節(jié)點�����,管理簡單化�����、配置簡單化���,可跨設備鏈路聚合����,極大地簡化網(wǎng)絡架構(gòu)��,同時進一步增強冗余可靠性�。
網(wǎng)絡虛擬交換技術(shù)為數(shù)據(jù)中心建設提供了一個新標準,定義了新一代網(wǎng)絡架構(gòu),使得各種數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡都能夠使用這種靈活的架構(gòu)���,能夠幫助企業(yè)在構(gòu)建永續(xù)和高度可用的狀態(tài)化網(wǎng)絡的同時��,優(yōu)化網(wǎng)絡資源的使用�。
在虛擬化架構(gòu)上�����,通過OAA集成虛擬化安全�����,使得傳統(tǒng)網(wǎng)絡中離散的安全控制點被整合進來�,進一步強化并簡化了基礎(chǔ)網(wǎng)絡安全,網(wǎng)絡虛擬化技術(shù)將在數(shù)據(jù)中心端到端總體設計中發(fā)揮重要作用�。
虛擬化數(shù)據(jù)中心網(wǎng)絡架構(gòu)與傳統(tǒng)的網(wǎng)絡設計相比����,提供了多項顯著優(yōu)勢。
運營管理簡化:數(shù)據(jù)中心全局網(wǎng)絡虛擬化能夠提高運營效率����。虛擬化的每一層交換機組被邏輯化為單管理點,包括配置文件和單一網(wǎng)關(guān)IP地址��,無需VRRP。整體無環(huán)設計:跨設備的鏈路聚合創(chuàng)建了簡單的無環(huán)路拓撲結(jié)構(gòu)���,不再依靠生成樹協(xié)議(STP)�。虛擬交換組內(nèi)部經(jīng)由多個萬兆互聯(lián)�����,在總體設計方面提供了靈活的部署能力���。
進一步提高可靠性:虛擬化能夠優(yōu)化不問斷通信���,在一個虛擬交換機成員發(fā)生故障時,不再需要進行L2/L3重收斂���,能快速實現(xiàn)確定性虛擬交換機的恢復�����。安全整合:安全虛擬化在于將多個高性能安全節(jié)點虛擬化為一個邏輯安全通道�����,安全節(jié)點之間實現(xiàn)同步狀態(tài)化信息���,從而在一個物理安全節(jié)點故障時另一個節(jié)點能夠無縫接管任務����。
安全整合的進一步表現(xiàn)為OAA架構(gòu)下����,虛擬化設備與安全模塊之間仍然延續(xù)了此虛擬化能力,使得整個數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡具有非常簡捷的架構(gòu)��。
4����、端到端虛擬化
數(shù)據(jù)中心虛擬化技術(shù)給上層應用帶來了極大的靈活性支持,也在很大程度上對數(shù)據(jù)中心運營提供了簡化�����。數(shù)據(jù)中心容納了企業(yè)的多種應用��,計算層虛擬化技術(shù)使得應用與具體物理服務器之間沒有完全固定的映射關(guān)系�����。
計算資源池化的結(jié)果是數(shù)據(jù)中心高密虛擬機�,而由于對計算機資源的動態(tài)調(diào)整,要求虛擬機可以在物理服務器之間遷移��,并且要求遷移網(wǎng)絡是二層連接性的�����;跇O大簡化數(shù)據(jù)中心的二層互聯(lián)設計��,與傳統(tǒng)MSTP+VRRP設計不同����,使用網(wǎng)絡虛擬化技術(shù)能在更短時問內(nèi)完成確定性L2鏈路恢復���,同時不影響L3鏈路����。虛擬化能夠在網(wǎng)絡各層橫向擴展��,有利于數(shù)據(jù)中心的規(guī)模增大��,設計更簡單�,完全不影響網(wǎng)絡管理拓撲��,基于虛擬化技術(shù)的二層網(wǎng)絡在保證HA的同時�,消除了網(wǎng)絡環(huán)路�。便于更大范圍的虛擬機遷移。 ..
|
