超融合基础架构,是一种将计算、网络和存储等资源作为基本组成元素,根据系统需求进行选择和预定义的一种技术架构,具体实现方式上一般是指在同一套单元节点( x86服务器)中融入软件虚拟化技术(包括计算、网络、存储、安全等虚拟化),而每一套单元节点可以通过网络聚合起来,实现模块化的无缝横向扩展( scale-out ),构建统一的资源池。
计算资源虚拟化技术就是将通用的 x86 服务器经过虚拟化软件,对最终用户呈现标准的虚拟机。这些虚拟机就像同一个厂家生产的系列化的产品一样,具备系列化的硬件配置,使用相同的驱动程序。
虚拟机的定义: 虚拟机 (Virtual Machine) 是由虚拟化层提供的高效、独立的虚拟计算机系统,每台虚拟机都是一个完整的系统,它具有处理器、内存、网络设备、存储设备和 BIOS ,因此操作系统和应用程序在虚拟机中的运行方式与它们在物理服务器上的运行方式没有什么区别。
虚拟机与物理服务器相比:虚拟机不是由真实的电子元件组成,而是由一组虚拟组件(文件)组成,这些虚拟组件与物理服务器的硬件配置无关.
与物理服务器相比,虚拟机具有以下优势:
抽象解耦
分区隔离
封装移动
Sangfor企业云解决方案中的服务器虚拟化采用aSV服务器虚拟化管理系统, 通过将服务器硬件资源虚拟化,用于创建若干虚拟机。用户可以在这些虚拟机上安装操作系统和各种软件,挂载磁盘,调整系统设置等。aSV属于虚拟化架构中的VMM,即虚拟化资源监视器,或称为Hypervisor
Hypervisor 是所有虚拟化技术的核心。非中断地支持多工作负载迁移的能力是 Hypervisor 的基本功能。当服务器启动并执行 Hypervisor 时,它会给每一台虚拟机分配适量的内存、 CPU、网络和磁盘,并加载所有虚拟机的客户操作系统。
Hypervisor ,常见的Hypervisor 分两类
指 VMM 直接运作在裸机上 , 使用和管理底层的硬件资源, GuestOS 对真实硬件资源的访问都要通过 VMM 来完成,作为底层硬件的直接操作者,VMM 拥有硬件的驱动程序。裸金属虚拟化中 Hypervisor 直接管理调用硬件资源,不需要底层操作系统,也可以理解为 Hypervisor 被做成了一个很薄的操作系统。
这种方案的性能处于主机虚拟化与操作系统虚拟化之间。代表是VMware ESX Server 、 CitrixXenServer 和 Microsoft Hyper-V , LinuxKVM。
指 VMM 之下还有一层宿主操作系统,由于 Guest OS 对硬件的访问必须经过宿主操作系统,因而带来了额外的性能开销,但可充分利用宿主操作系统提供的设备驱动和底层服务来进行内存管理、进程调度和资源管理等。主机虚拟化中 VM 的应用程序调用硬件资源时需要经过 :VM 内核 ->Hypervisor-> 主机内核,导致性能是三种虚拟化技术中最差的。
主机虚拟化技术代表是VMware Server ( GSX ) 、 Workstation 和 Microsoft Virtual PC 、Virtual Server 等。
由于主机型 Hypervisor 的效率问题 ,深信服的 aSV 采用了裸机型Hypervisor 中的 Linux KVM 虚拟化,即为裸金属型。
相关博客链接
https://blog.csdn.net/csdn10086110/article/details/92716833
非统一内存访问( NUMA)是服务器CPU 和内存设计的新架构。传统的服务器架构下把内存放到单一的存储池中,这对于单处理器或单核心的系统工作良好。但是这种传统的统一访问方式,在多核心同时访问内存空间时会导致资源争用和性能问题。毕竟, CPU应该可以访问所有的服务器内存,但是不需要总是保持占用。实际上, CPU仅需要访问工作负载实际运行时所需的内存空
间就可以了。
因此 NUMA 改变了内存对 CPU 的呈现方式。这是通过对服务器每个 CPU的内存进行分区来实现的。每个分区(或内存块)称为 NUMA 节点,而和该分区相关的处理器可以更快地访问 NUMA 内存,而且不需要和其它的 NUMA节点争用服务器上的资源(其它的内存分区分配给其它处理器)。NUMA 的概念跟缓存相关。处理器的速度要比内存快得多,因此数据总是被移动到更快的本地缓存,这里处理器访问的速度要比通用内存快得多。
NUMA 本质上为每个处理器配置了独有的整体系统缓存,减少了多处理器试图访问统一内存空间时的争用和延迟。
NUMA 与服务器虚拟化完全兼容,而且 NUMA 也可以支持任意一个处理器访问服务器上的任何一块内存区域。某个处理器当然可以访问位于不同区域上的内存数据,但是需要更多本地 NUMA 节点之外的传输,并且需要目标NUMA 节点的确认。这增加了整体开销,影响了 CPU 和内存子系统的性能。NUMA 对虚拟机负载不存在任何兼容性问题,但是理论上虚拟机最完美的方式应该是在某个 NUMA 节点内。这可以防止处理器需要跟其它的 NUMA 节点交互,从而导致工作负载性能下降。
深信服的 aSV 支持 NUMA 技术,使得 hypervisor 和上层 OS 内存互连,这样 OS 不会在 CPU 和 NUMA 节点之间迁移工作负载。
通常针对虚拟化服务器的技术是通过软件模拟共享和虚拟化网络适配器的一个物理端口,以满足虚拟机的 I/O 需求,模拟软件的多个层为虚拟机作了I/O 决策,因此导致环境中出现瓶颈并影响 I/O 性能。
aSV虚拟化平台提供的SR-IOV 是一种不需要软件模拟就可以共享 I/O 设备 I/O 端口的物理功能的方法,主要利用 iNIC 实现网桥卸载虚拟网卡,允许将物理网络适配器的 SR-IOV虚拟功能直接分配给虚拟机,可以提高网络吞吐量,并缩短网络延迟,同时减少处理网络流量所需的主机 CPU 开销。
技术原理: SR-IOV ( SingleRoot I/O Virtualization )是 PCI-SIG 推出的一项标准,是虚拟通道(在物理网卡上对上层软件系统虚拟出多个物理通道,每个通道具备独立的 I/O 功能)的一个技术实现,用于将一个 PCIe 设备虚拟成多个 PCIe 设备,每个虚拟 PCIe 设备如同物理 PCIe 设备一样向上层软件提供服务。通过 SR-IOV 一个 PCIe 设备不仅可以导出多个 PCI 物理功能,还可以导出共享该 I/O 设备上的资源的一组虚拟功能,每个虚拟功能都可以被直接分配到一个虚拟机,能够让网络传输绕过软件模拟层,直接分配到虚拟机,实现了将 PCI 功能分配到多个虚拟接口以在虚拟化环境中共享一个 PCI 设备的目的,并且降低了软加模拟层中的 I/O 开销,因此实现了接近本机的性能。如图所示,在这个模型中,不需要任何透传,因为虚拟化在终端设备上发生,允许管理程序简单地将虚拟功能映射到 VM 上以实现本机设备性能和隔离安全。
SR-IOV 虚拟出的通道分为两个类型
1、 PF(Physical Function) 是完整的 PCIe 设备,包含了全面的管理、配置功能, Hypervisor 通过 PF 来管理和配置网卡的所有 I/O 资源。
2、 VF(Virtual Funciton) 是一个简化的PCIe 设备,仅仅包含了 I/O 功能,通过 PF 衍生而来好象物理网卡硬件资源的一个切片,对于 Hypervisor 来说,这个 VF 同一块普通的 PCIe 网卡一模一样。
通过 SR-IOV 可满足高网络 IO 应用要求,无需特别安装驱动,且无损热迁移、内存复用、虚拟机网络管控等虚拟化特性。
一般情况下,当主机系统有多块硬盘时,通过组建 Raid 以提升磁盘性能或提供磁盘冗余,往往成为人们的首选考量。
当今主流 raid 实现方案大致可分为三种
硬件 raid(hardware raid) :通过购买昂贵的raid 卡实现。
软件 raid(software raid) :通过操作系统内软件创建阵列, raid 处理开销由 CPU 负责。
主板 raid(fake raid) :通过主板内建raid 控制器创建阵列,由操作系统驱动识别。
相对于昂贵的硬件,主板 raid(fake raid) 就成了我们不错的选择。 Fakeraid 仅提供廉价的控制器, raid处理开销仍由 CPU 负责,因此性能与 CPU 占用基本与software raid 持平。aSV 3.7 融入了对 Fake-RAID 的支持,现可支持 Fake-RAID 安装与使用Fake-RAID 存储,目前可以使用 intel 模式的 raid0 , raid1 , raid5 , raid10 ,LSI 模式的 raid0
aSV 提供了虚拟机从创建至删除整个过程中的全面管理,就像人类的生命周期一样,虚拟机最基本的生命周期就是创建、使用和删除这三个状态。
当然还包含如下几个状态:
创建虚拟机
虚拟机开关机、重启、挂起
虚拟机上的操作系统安装
创建模板
更新虚拟机硬件配置
迁移虚拟机及 / 或虚拟机的存储资源
分析虚拟机的资源利用情况
虚拟机备份
虚拟机恢复
删除虚拟机
在虚拟机生命周期内,虚拟机可能会在某一个时间点经历上述这些状态。aSV 提供了完善的虚拟机生命周期管理工具,我们可以通过对虚拟机生命周期的规划,可以想要最大化的发挥虚拟机的作用。
虚拟化环境中,物理服务器和存储上承载更多的业务和数据,设备故障时造成的影响更大。 aSV 虚拟化平台提供虚拟机热迁移技术,降低宕机带来的风险、减少业务中断的时间。
aSV 虚拟机热迁移技术是指把一个虚拟机从一台物理服务器迁移到另一台物理服务器上,即虚拟机保存 / 恢复 (Save/Restore) 。首先将整个虚拟机的运行状态完整保存下来,同时可以快速的恢复到目标硬件平台上,恢复以后虚拟机仍旧平滑运行,用户不会察觉到任何差异。虚拟机的热迁移技术主要被用于双机容错、负载均衡和节能降耗等应用场景。 aSV 虚拟化平台热迁移提供内存压缩技术,使热迁移效率提升一倍,可支持并发多达 4 台虚拟机同时迁移。
功能价值:
- 在设备维护过程中,通过热迁移手动将应用迁移至另一台服务器,维护结束后再迁回来,中间应用不停机,减少计划内宕机时间。
- 可结合资源动态调度策略,例如在夜晚虚拟机负荷减少时,通过预先配置自动将虚拟机迁移集中至部分服务器,减少服务器的运行数量,从而降低设备运营能耗上的支出。
在实际的 IT 应用系统在部署虚拟化的时候,会存在虚拟化迁移的需求,为了实现将 windows 主机系统下的应用系统平滑的迁移至 VM 环境中,除了传统的 P2V、 V2V 工具,深信服采用技术创新,基于 Windows 环境中,推出了独有的快虚技术。
快虚技术实现原理为:在 Windows 环境下,先创建一个虚拟磁盘文件, 并使用 Windows 驱动程序对虚拟磁盘进行保护,保证虚拟磁盘文件占用的物理扇区不会被移动.获取虚拟磁盘文件所占的物理簇信息,并保存到当前系统盘下的配置文件中, 安装 aSV 的引导程序以及内核到当前 Windows 系统盘下,安装系统引导程序,并向系统引导中添加 aSV 的引导项,默认引导到 aSV 系统.当在 aSV 中向虚拟磁盘读写数据时,虚拟磁盘驱动根据读写的扇区位置重新定位到虚拟磁盘文件所对应的物理扇区,实现数据的存取,下次进入 aSV 系统后仍然可以读写已有数据。
通过快虚技术,既实现了将应用环境迁移到了虚拟机环境中,同时在现有的物理主机服务器之上,快速的构建了虚拟化底层的 hypervisor 。
HA 全称是 High Availability( 高可用性 ) 。在 aSV 环境中,如果出现部署了 HA 的虚拟机所在主机的物理口网线被拔出、或存储不能访问等出现的物理故障时,会将此虚拟机切换到其他的主机上运行,保障虚拟机上的业务正常使用。
aSV 存在后台进程,通过轮询的机制,每隔 5s 检测一次虚拟机状态是否异常,发现异常时,切换 HA 虚拟机到其他主机运行。
下面任意一种情况发生,都会触发 HA 虚拟机切换主机
1、连续三次检测到,虚拟机所连接的物理网卡被拔出(不包括网卡被禁用
情况)
2、连续两次检测到,虚拟机当前主机无法访问虚拟机的存储通过 aSV 的 HA 技术,对业务系统提供了高可用性,极大缩短了由于各种主机物理或者链路故障引起的业务中断时间。
在虚拟化环境中,如果生产环境的应用整合到硬件资源相对匮乏的物理主机上,虚拟机的资源需求往往会成为瓶颈,全部资源需求很有可能超过主机的可用资源,这样业务系统的性能也无法保障。
aSV 虚拟化管理平台提供的动态资源调度技术,通过引入一个自动化机制,持续地动态平衡资源能力,将虚拟机迁移到有更多可用资源的主机上,确保每个虚拟机在任何节点都能及时地调用相应的资源。即便大量运行对 CPU 和内存占用较高的虚拟机(比如数据库虚拟机),只要开启了动态资源调度功能,就可实现全自动化的资源分配和负载平衡功能,也可以显著地降低数据中心的成本与运营费用。
aSV 的动态资源调度功能其实现原理:通过跨越集群之间的心跳机制,定时监测集群内主机的 CPU 和内存等计算资源的利用率,并根据用户自定义的规则来判断是否需要为该主机在集群内寻找有更多可用资源的主机,以将该主机上的虚拟机通过虚拟机迁移技术迁移到另外一台具有更多合适资源的服务器上,或者将该服务器上其它的虚拟机迁移出去,从而保证某个关键虚拟机的资源需求。
当物理服务器部署虚拟化之后。其中类似金蝶等需要通过 usb key 进行应用加密的服务器,转化到虚拟化后,需要将插在虚拟化平台上的硬件 key ,映射给虚拟机,而且需要满足虚拟机热迁移、跨主机映射的需求。
业界给出的方案有三种:
一、采用主机映射:直接采用主机映射的方式来完成,缺点是不支持网络
映射 , 无法支持热迁移、网络映射的需求。二、采用 Usb Anywhere :通过使用中间设备,将中间设备 IP 化,然后在虚拟机上安装驱动并配置对端设备的方式进行的。缺点是需要 guest 虚拟机内部进行修改安装特定软件,与第三方应用进行配合才能完成。
三、采用底层硬件虚拟化加网络代理:支持热迁移、网络映射、无需修改guest 机内部。最终实现,物理设备迁移到虚拟化平台后,可以直接无缝的操作读取原 usb 硬件设备。同时解决上述两种方案中的缺陷,破除了在虚拟化推广中外设映射造成的阻碍。
热迁移功能的实现机制:由于整体方案是基于网络代理处理,所以在迁移到对端设备,进行虚拟机切换时,发送消息,触发 usb 服务程序修改连接的目的端 ip ,然后发起网络重连。隧道一旦重连成功, usb 设备通信随即恢复,对于 guest 上层来说,是无感知的。
aSV 采用上述的第三种方案,融入了对多 USB 的支持,带来的优势有:
1、 usb 设备动态插入提示
2、 guest 虚拟机无需安装插件;
3、能支持热迁移,跨主机映射,适应 VMP 集群环境;
4、虚拟机迁移完成可以自动挂载上原 usb 设备;
5、可以简化集成为类似 usb hub 的小设备,与 VMP 配套,搭建 usb 映射环境;
6、虚拟机故障重启、目标端 usb 设备网络中断等异常情况恢复后自动重映射。
aSAN 是深信服在充分掌握了用户对虚拟化环境存储方面的需求基础上,推出以 aSAN 分布式存储软件为核心的解决方案, aSAN 是基于分布式文件系统 Glusterfs 开发的面对存储虚拟化的一款产品, 并作为超融合架构中的重要组成部分,为云计算环境而设计,融合了分布式缓存、 SSD 读写缓存加速、多副本机制保障、故障自动重构机制等诸多存储技术,能够满足关键业务的存储需求,保证客户业务高效稳定可靠的运行。
分布式存储软件系统的特点
高性能:数据分散存放,实现全局负载均衡,分布式缓存;
高可靠:采用集群管理方式,不存在单点故障,灵活配置多数据副本,不同数据副本存放在不同的机架、服务器和硬盘上,单个物理设备故障不影响业务的使用,系统检测到设备故障后可以自动重建数据副本;
高扩展:没有集中式存储控制器,支持平滑扩容,容量几乎不受限制;易管理: 存储软件直接部署在服务器上,没有单独的存储专用硬件设备,通过 Web 页面的方式进行存储的管理,配置和维护简单。
aSAN 基于底层 Hypervisor 之上,通过主机管理、磁盘管理、缓存技术、存储网络、冗余副本等技术,管理集群内所有硬盘,“池化”集群所有硬盘存储的空间,通过向 VMP 提供访问接口,使得虚拟机可以进行业务数据的保存、管理和读写等整个存储过程中的操作。
aSAN 需要基于 VMP 集群获取集群内主机信息,因此在构建 aSAN 时,首先会要求建立 VMP 集群,所以在 aSAN 的环境中,至少需要 2 台主机节点来构建 aSAN。
https://blog.csdn.net/csdn10086110/article/details/91897492
https://blog.csdn.net/csdn10086110/article/details/91897492
如果在磁盘故障后,超过了设置的超时时间依然没有人工介入处理,aSAN 将会自动进行数据重建,以保证数据副本数完备,确保数据可靠性。同时采用了热备盘的保障机制。
aSAN 在初始化阶段会自动配置至少把集群里副本数个磁盘作为热备盘。注意不是每个主机一个热备盘,而是一个集群里面全局使用。热备盘在初始化时不会纳入 aSAN 复制卷内,只是作为一个不使用的磁盘带电存在,因此热备盘的空间不会反映到 aSAN 的空间里面。
例如两个副本时会至少保留两个热备盘,三个副本时会至少保留三个热备盘。这些热备盘不会集中在一个主机上面,而是分布在不同主机上(符合副本跨主机原则)。
下面以 3 主机 2 副本,每主机 4 个硬盘为例子。
上图是 3 主机 2 副本,每主机 4 磁盘的分组例子。其中磁盘 A4、磁盘 C3是作为热备盘保留的,并没有组成复制卷加入到 aSAN 存储池内。当任何一个主机的任意一个硬盘发生故障时,都可以按照跨主机副本原则
自动使用 A4 或者 C3 来替换。
例 1: C2损坏( C3或者 A4 均可以用作替换)
例 2: A3 损坏( C3或者 A4 均可以用作替换)
例 3: B4损坏(注意:这时只能用 A4 替换,原因是 C3 和 C4 同主机)
在 aSAN 自动使用热备盘替换故障磁盘后, UI上依然会显示原来的故障磁盘损坏,可以进行更换磁盘。这时新替换的硬盘会作为新热备盘使用,不需要执行数据回迁。这一点与前文没有热备盘会做数据回迁是不一样的。
以上面例子 3 为例, B4损坏后,热备盘 A4 自动替换 B4 和 C4 建成新复制卷 5。然后人工介入,把损坏的 B4 用新磁盘替换,这时新 B4 会直接做热备盘使用,不再由数据回迁。故障磁盘替换所有过程都可以带业务进行,不需要停机停止业务,就可以完成故障磁盘的替换,数据重建,相比 RAID 系统停业务重建有更大的可用性。
aSAN 在多主机集群下,复制卷有个最高原则:跨主机建立复制卷。该原则的目的是为了达到在主机出现故障时,数据依然可用。在 2 主机 2 副本模式下,当主机 B 整个离线或,可以看到任何一个复制卷都依然有一个副本存在主机 A 上,数据依然可用,影响只是少了个副本。
在 2 主机 2 副本模式下,当主机 B 整个离线或,可以看到任何一个复制卷都依然有一个副本存在主机 A 上,数据依然可用,影响只是少了个副本。
略为复杂的例子(先不考虑有热备盘):
主机 C 离线后,剩余在线的复制卷任何一个都依然保持至少一个副本在线,因此这时全局数据依然可用。
在主机故障后,在 aSAN 高级设备里面有这样一个故障时间策略执行相应的处理:
假如入主机故障后直到超过设定的故障时间依然没有人工介入处理,那么aSAN 会采取自动替换动作在其他主机上重建副本。
例子:3主机 2 副本,主机 C 出现故障。
对比上面 2 张图,可以看出在主机 C 故障并超时后, aSAN会在集群范围内寻找最佳借用磁盘组建复制卷,从而重建副本。这里的主机副本自动重建机制和单个故障硬盘的自动重建机制并没有本质差别,只是同时做了多个故障盘的重建。如果其中有热备盘,这是会自动使用热备盘。
注意,主机自动重建是有代价的,会复用其他磁盘的空间和性能。因此在条件允许情况下,应尽快替换主机。如果不想 aSAN 才超时自动重建,可以到高级设置关闭主机自动重建功能。
副本修复是指当某个磁盘出现离线再上线后,保存在上面的文件副本可能是旧数据,需要按照其他在线的文件副本进行修复的一个行为。典型的情况是主机短暂断网,导致副本不一致。通过采用副本快速修复技术,即对于短暂离线的副本,只修复少量差异数据,从而避免了整个文件进行对比修复,达到快速修改的目的,同时, aSAN对业务 IO 和修复 IO 做了优先级控制,从而避免了副本修复 IO 对业务 IO 的影响。
自动精简配置( ThinProvisioning )是一种先进的、智能的、高效的容量分配和管理技术,它扩展了存储管理功能,可以用小的物理容量为操作系统提供超大容量的虚拟存储空间。并且随着应用的数据量增长,实际存储空间也可以及时扩展,而无须手动扩展。一句话而言,自动精简配置提供的是“运行时空间”,可以显著减少已分配但是未使用的存储空间。
如果采用传统的磁盘分配方法,需要用户对当前和未来业务发展规模进行正确的预判,提前做好空间资源的规划。在实际中,由于对应用系统规模的估计不准确,往往会造成容量分配的浪费,比如为一个应用系统预分配了 5TB 的空间,但该应用却只需要 1TB 的容量,这就造成了 4TB 的容量浪费,而且这4TB 容量被分配了之后,很难再被别的应用系统使用。即使是最优秀的系统管理员,也不可能恰如其分的为应用分配好存储资源,而没有任何的浪费。根据业界的权威统计,由于预分配了太大的存储空间而导致的资源浪费,大约占总存储空间的 30 %左右。
aSAN 采用了自动精简配置技术有效的解决了存储资源的空间分配难题,提高了资源利用率。采用自动精简配置技术的数据卷分配给用户的是一个逻辑的虚拟容量,而不是一个固定的物理空间,只有当用户向该逻辑资源真正写数据时,才按照预先设定好的策略从物理空间分配实际容量。
aSAN 的私网链路聚合是为了提高网络可靠性和性能设置而提出的。使用aSAN 私网链路聚合不需要交换机上配置链路聚合,由存储私网负责链路聚合的功能,使用普通的二层交换机,保证正确的连接即可。
传统的链路聚合是按主机 IP 进行均分,即每两台主机间只能用一条物理链路。而 aSAN 私网链路聚合采用按照 TCP连接进行均分,两台主机间的不同TCP 连接可使用不同物理链路。在保障可靠性的同时,还达到了更加充分的利用所有链路资源的能力。
aSAN 采用一致性复制协议来保证多个副本数据的一致性,即只有当所有副本都写成功,才返回写入磁盘成功。 正常情况下 aSAN 保证每个副本上的数据都是完全一致,从任一副本读到的数据都是相同的。如果某个副本中的某个磁盘短暂故障, aSAN 会暂时不写这个副本,等恢复后再恢复该副本上的数据;如果磁盘长时间或者永久故障, aSAN 会把这个磁盘从群集中移除掉,并为副本寻找新的副本磁盘,再通过重建机制使得数据在各个磁盘上的分布均匀。
网络虚拟化也是构建超融合架构中非常重要的一部分,如果在云计算、虚拟化的环境中,我们的网络如果继续采用传统 It 架构中硬件方式定义网络的话,就会存在诸多问题:
一、如何保障虚拟机在保持相应的网络策略不变的情况下进行虚机迁移,
二、虚拟化后的数据中心涉及业务众多,对外部提供云接入服务时,传统的 Vlan 技术已经无法满足业务隔离的需求,解决大规模租户和租户之间、业务和业务之间的安全隔离也是面临的首要问题。
三、虚拟化后的数据中心的业务系统的构建和上线对网络功能的快速部署、灵活弹性甚至成本,提出了更高的要求。
四、在传统网络中,不论底层的 IT 基础设施还是上层的应用,都由专属设备来完成。这些设备成本高昂,能力和位置僵化,难以快速响应新业务对网络快速、灵活自动化部署的需求。
基于上述问题,深信服采用了业界成熟的 Overlay+NFV 的解决方案,我们称之为 aNet ,通过 Overlay 的方式来构建大二层和实现业务系统之间的租户隔离,通过 NFV 实现网络中的所需各类网络功能资源(包括基础的路由交换、安全以及应用交付等)按需分配和灵活调度,从而实现超融合架构中的网络虚拟化。
SDN( Software Defined Network ,软件定义网络)是一种创新性的网络架构,它通过标准化技术(比如 openflow )实现网络设备的控制层面和数据层面的分离,进而实现对网络流量的灵活化、集中化、细粒度的控制,从而为网络的集中管理和应用的加速创新提供了良好的平台,由此可获得对网络的前所未有的可编程性、自动化和控制能力,使网络很容易适应变化的业务需求,从而建立高度可扩展的弹性网络。
从 SDN 的实现方式来看,广义和狭义两种。
广义的 SDN:主要包括网络虚拟化 NV(主要指的是 Overlay ),网络功能虚拟化 NFV。
狭义的 SDN:主要指的是通过 OpenFlow 来实现 。
深信服 aNet 中的 SDN 实现没有采用上述的广义的 SDN 的方案,但由于实现架构上大同小异,用一副标准的 SDN 规范图来说明下:
可以这幅图看出实现 SDN 的重点在 Data plane 和 Controller plane ,SDN 的核心思想就是数据面与控制面分离。
NFV,即网络功能虚拟化,Network Function Virtualization。通过使用x86等通用性硬件以及虚拟化技术,来承载很多功能的软件处理。从而降低网络昂贵的设备成本。可以通过软硬件解耦及功能抽象,使网络设备功能不再依赖于专用硬件,资源可以充分灵活共享,实现新业务的快速开发和部署,并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。
NFV的最终目标是,通过基于行业标准的x86服务器、存储和交换设备,来取代通信网的那些私有专用的网元设备。
由此带来的好处是,一方面基于x86标准的IT设备成本低廉,能够为运营商节省巨大的投资成本,另一方面开放的API接口,也能帮助运营商获得更多、更灵活的网络能力。可以通过软硬件解耦及功能抽象,使网络设备功能不再依赖于专用硬件,资源可以充分灵活共享,实现新业务的快速开发和部署,并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。大多数运营商都有网络功能虚拟化(NFV)项目,他们的项目是基于通过开放计算项目(OCP)开发的技术。
NFV的初衷是通过使用x86等通用性硬件以及虚拟化技术,来承载很多功能的软件处理。典型应用是一些CPU密集型功能,并且对网络吞吐量要求不高的情形。主要评估的功能虚拟化有:WAN加速器,信令会话控制器,消息路由器,IDS,DPI,防火墙,CG-NAT, SGSN/GGSN, PE, BNG, RAN等。
SDN的核心理念是,将网络功能和业务处理抽象化,并且通过外置控制器来控制这些抽象化的对象。SDN将网络业务的控制和转发进行分离,分为控制平面和转发平面,并且控制平面和转发平面之间提供一个标准接口。需要指出的是,控制平面和转发平面的分离,类似于现代路由器的架构设计方法,但是SDN的设计理念和路由器的控制转发分离完全不同。
从上面可以看出,NFV可以采用SDN进行实现(如采用控制转发分离的方法来搭建服务器网络),但是NFV也可以采用普通数据中心技术来实现。
虚拟分布式交换机是管理多台主机上的虚拟交换机的虚拟网络管理方式,包括对主机的物理端口和虚拟机虚拟端口的管理。
aSV 虚拟化平台提供的虚拟分布式交换机就是把分布在集群中多台主机的单一交换机逻辑上组成一个大的集中式交换机,减少每台虚拟交换机需要单独分别配置过程,同时为集群级别的网络连接提供一个集中控制点,使虚拟环境中的网络配置不再以主机为单位,简化虚拟机网络连接的部署、管理和监控,适合于大规模的网络部署。
虚拟分布式交换机可以保证虚拟机在主机之间迁移时网络配置的一致性,同时提供丰富的网络配置管理功能,端口动态绑定,静态绑定, IP 接入控制、虚拟机网络 Qos ,实现网络资源统一管理,实时化网络监控。
在 SDN 网络里,路由器是必不可少的网络组件, aNET 提供了虚拟化路由器的功能,可解决虚拟化后出口路由的问题,同时提供其它包括 VLAN 子网口,NAT 规则, ACL策略, DHCP地址池, DNS代理等功能。
并且 aNet 提供的路由器自带 HA 功能,和虚拟机的 HA 功能一致,当路由器运行的主机出现故障时,可以自动迁移到运行正常的主机上面,实现快速的故障恢复。从而保障了超融合架构中业务网络的可靠性,减少了因网络故障引起的业务中断时间。
在构建网络虚拟化中,安全是其中必不可少一环, vAF 是深信服自己的下一代防火墙 NFV 功能,深信服下一代防火墙 NGAF 提供 L2-L7 层安全可视的全面防护,通过双向检测网络流量,有效识别来自网络层和应用层的内容风险,提供比同时部署传统防火墙、 IPS 和 WAF 等多种安全设备更强的安全防护能力,可以抵御来源更广泛、操作更简便、危害更明显的应用层攻击。
此外,深信服下一代防火墙还提供基于业务的风险报表,内容丰富直观,用户可实时了解网络和业务系统的安全状况,有效提升管理效率、降低运维成本。
vAD 是深信服自己的应用交付 NFV 功能,深信服虚拟应用交付,是传统负载均衡产品的升级,集服务器、链路、数据中心负载均衡和应用性能优化功能于一体,是构建高可靠、高效率业务架构的绝佳选择。通过在超融合的虚拟化网络环境中部署 vAD 可以实现:应用系统性能和可靠性提升,链路可靠性和带宽利用率提高,服务器性能和用户访问体验优化,多数据中心的可靠性和全局调度。
Sangfor安全虚拟化(简称aSEC)是通过NFV(Network Function Virtualization)网络功能虚拟化将网络功能与专有硬件设备分离,并将这些 功能使用软件的方式实现,以支持虚拟化组件完全融合的基础架构。通过这种方式,可以充分利用超融合平台的硬件资源,降低网络昂贵的设备、人力维护成本,其自有的功能抽象、快速部署、弹性伸缩、分布式的高可靠、故障自愈等特性也为企业的网络需求带来极大的满足度。
参考文献
深信服aSV服务器虚拟化_产品技术白皮书