当企业将自己数据中心中的服务器、存储以及个人电脑进行了虚拟化以后,由此带来的网络环境的改变却并没能引起IT主管们的足够重视。然而,当虚拟资源在数据中心开始运转以后,网络问题就会逐渐凸显出来,甚至会成为决定企业应用虚拟化成败的关键。可以说,网络结构在未来的虚拟化环境中扮演着至关重要的角色。
当然,这并不是说网络虚拟化是一个全新的概念,只是VLAN(Virtual LAN)、MPLS ×××等使得多个虚拟化连接共享一条网络带宽成为了可能。并且,在企业逐步将更多硬件和应用软件虚拟化的过程中,网络部署的规则也在因虚拟化而发生改变,IT主管们正在积极地准备着网络虚拟化的新阶段。
Forrester Research的分析师Robert Whiteley认为: “十年以来,虚拟化技术与网络技术一直在相互影响中发展。虚拟化是一个高度依赖网络的计算结构,这就意味着网络架构必须与服务器、存储以及桌面系统一起进步。过去,网络只不过是连通众多硬件设备的管道; 而现在,网络已经变成了新的基础设施。”
匹兹堡的土木工程公司Michael Baker的CIO Jeremy Gill也同意上述观点。“当我们计划在大型企业数据中心或是复杂的IT环境中实施虚拟化时,在网络层面要做的工作会越来越多,当然,在管理层面的获益也会越来越多。VMware曾经让虚拟化技术应用到了x86服务器平台上,这让虚拟化的应用向前迈出了很大一步,而现在是在网络层面应用虚拟化技术的时候了。”
被压平了的网络
有业内专家认为,为了能够让网络更好地适应虚拟化环境,某些重要的网络部署准则正在发生改变。首先,虚拟服务器资源对灵活性和便捷性的要求使得传统的三层网络结构(边缘层、分布层和核心层)需要转化为一种平面的结构,这样就可以在网络上随意地分配和重新分配虚拟机。Nemertes Research的分析师Andreas Antonopoulos也认为: “服务器虚拟化的应用在很大程度上模糊了网络与服务器之间的界限。”
比如,在虚拟服务器环境中布置VLAN,IT管理员一般会使用Layer 2 VLAN,在不改变子网的情况下在数据中心随意创建虚拟机。因为Layer 2的路由是本地路由,而Layer 3一般是从一个子网到另一个子网。“以往在网络部署中的规则已经被改变了,并且用传统的准则还无法解释这种改变。”Antonopoulos说。
实施服务器和存储虚拟化迫使位于加州的The First American公司也不得不重新设计自己的网络结构,这家公司的IT架构师Jake Seitz表示: “举个例子,在物理世界中,我们需要依靠大量的VLAN来实现段间通信; 但在虚拟世界中,交换机只需要较少的VLAN,这无疑给网络设计带来了挑战。在同一硬件上虚拟化整合了很多服务,这在减少了VLAN数量的同时,却也增加了VLAN的重要性。”
“过去,网络设备几乎都是独立分开的,其中一个出现了故障并不会影响到其他网络。但在虚拟环境中,则是‘牵一发而动全身’。”Seitz解释说,“因为所有的应用程序都在一个公共的线路上运行; 并且,当在这条公共线路上运行太多应用程序时,显然其重要性就会更加凸显,特别是当出现故障或是遇到问题的时候。”
Seitz介绍说: “为了保证万无一失,First American重新设计了数据中心的网络结构,并改变了企业的整个IT基础架构。这一变化涉及服务器、存储、网络等硬件基础设施以及相应的管理团队,为的就是保证在应用虚拟化而‘网络被压平’以后实现零错误和零损失。”
“现在,网络结构的改变还没能成为企业虚拟化工作中的重要议题,是因为大部分企业还没有进入大规模部署虚拟化的阶段。”Forrester Research的分析师Whiteley说,“服务器、存储及个人电脑的小规模虚拟化还不会对网络造成很大的压力,但是当企业应用虚拟化的规模扩大以后,就会遇到一个改造网络环境的临界点,也就是说,到那个时候,虚拟化应用会高度依靠网络,系统瓶颈也会随之而来。”
而像防火墙和网络隔离等网络安全问题同样也会因虚拟化而改变。很多时候,存取数据是在同一虚拟资源上实现的,这时,在一个区域内就分配了好几个隔离区,这使得传统意义上的“边界”概念发生了改变。
“可以说,因虚拟化而产生的网络安全问题还没有得到CIO们的足够重视,即便现在有很多企业采用了负载平衡、虚拟化安全服务等。”Lockheed Martin公司的Ian Rousom认为: “不过,不可否认,网络安全方面的诸多改变已经让负责数据中心网络的IT主管们感到非常棘手。”
“虽然现在很多网络厂商开始提供虚拟化防火墙,这一功能通常是直接整合在其交换平台上的。不过,与网络虚拟化正好相反,安全虚拟化呈现出了这样一种趋势,那就是虚拟化会把企业的网络安全级别降低。因此,企业必须认真地评估一下应用虚拟化后的安全级别,然后再比较一下这一程度的威胁给企业带来的劣势与减少物理设备带来的收益究竟孰轻孰重,再做决定。”Rousom补充说。
网络厂商的虚拟化运动
如果企业在成功实施虚拟化的过程中对网络进行了很大的改进,那么虚拟设备将会拥有更多的智能,因为这些虚拟资源都连接在了一个强大的网络上。这就意味着,未来网络厂商所提供的设备至少要满足虚拟化环境的要求,也就是说,交换机必须能够识别虚拟资源以及这些资源的各种行为。
事实上,网络设备需要拥有对虚拟资源的识别能力,并能够在物理上和虚拟上定位这些资源。对于任何一个服务,网络工具基于原有的服务器、存储和网络资源的情况,应该能够在虚拟和物理环境发生改变时准确地重新定位这些资源。此外,网络工具还必须能够与众多计算资源互相通信。
“但是,由于网络厂商对于企业计算领域的了解并不多,所以需要与服务器和存储虚拟化的公司合作来保证虚拟环境发生改变时网络架构能够做出应对措施以确保信息的传输。”The Yankee Group的分析师Zeus Kerravala说: “应用虚拟化技术后,由于网络变成了控制设备,因此也需要对应用程序的运行有所了解。”
为了开发VMware APIs,并让Cisco的网络设备能够应对虚拟化的环境,Cisco与VMware进行了紧密的合作。在VFrame Data Center中,Cisco提供了满足虚拟化环境的一整套控制与管理工具,并且,Nexus 5000数据中心交换机全部支持虚拟机功能。
其他网络厂商也在网络虚拟化方面做了很多工作。比如,Nortel公司正在开发其Virtual Services Switch 5000(VSS 5000),预计在今年年底发布。VSS 5000是一个集虚拟防火墙、应用程序交换和SSL加速服务的设备。Nortel公司宣称,VSS 5000交换机在单一设备上整合了上述几大功能。
3Com则与LineSider Technologies合作在MSR Series多服务路由器上添加了虚拟化支持功能。而3Com的目的在于让用户在虚拟化环境下,改进网络环境和基础服务。
在F5 Networks通过收购Acopia Networks获得了文件虚拟化技术后,很多软件加速厂商纷纷开始通过开发或并购将提供网络服务的大量设备整合为单一设备。比如,Riverbed Technology与Infoblox合作将Infoblox的核心网络服务软件的虚拟化实例整合到了Riverbed的操作系统中,而目的在于将DNS和RADIUS等核心网络服务与本地分支服务连接起来。
同时,VMware等虚拟化厂商也同样希望与网络厂商进行深入合作,这样可以使系统管理工具具有网络识别功能。设想一个集成了虚拟化技术和网络设备功能的本地工具将会给CIO带来多大的方便。这会让IT人员能够监控到虚拟层的信息传输,以便更好地管理虚拟资源并防止性能下降。