雲計算Overlay網路

2021-10-04 11:19:52 字數 3402 閱讀 3209

1 雲計算虛擬化網路的挑戰與革新

在雲中,虛擬計算負載的高密度增長及靈活性遷移在一定程度上對網路產生了壓力,然而當前虛擬機器的規模與可遷移性受物理網路能力約束,雲中的業務負載不能與物理網路脫離。

虛擬機器遷移範圍受到網路架構限制

由 於虛擬機器遷移的網路屬性要求,其從乙個物理機上遷移到另乙個物理機上,要求虛擬機器不間斷業務,則需要其ip位址、mac位址等引數維保持不變,如此則要求 業務網路是乙個二層網路,且要求網路本身具備多路徑多鏈路的冗餘和可靠性。傳統的網路生成樹(stpspaning tree protocol)技術不僅部署繁瑣,且協議複雜,網路規模不宜過大,限制了虛擬化的網路擴充套件性。基於各廠家私有的的irf/vpc等裝置級的(網路 n:1)虛擬化技術,雖然可以簡化拓撲簡化、具備高可靠性的能力,但是對於網路有強制的拓撲形狀限制,在網路的規模和靈活性上有所欠缺,只適合小規模網路 構建,且一般適用於資料中心內部網路。而為了大規模網路擴充套件的trill/spb/fabricpath/vpls等技術,雖然解決了上述技術的不足,但 對網路有特殊要求,即網路中的裝置均要軟硬體公升級而支援此類新技術,帶來部署成本的上公升。

虛擬機器規模受網路規格限制

在 大二層網路環境下,資料流均需要通過明確的網路定址以保證準確到達目的地,因此網路裝置的二層位址表項大小((即mac位址表)),成為決定了雲計算環境 下虛擬機器的規模的上限,並且因為表項並非百分之百的有效性,使得可用的虛機數量進一步降低,特別是對於低成本的接入裝置而言,因其表項一般規格較小,限制 了整個雲計算資料中心的虛擬機器數量,但如果其位址表項設計為與核心或閘道器裝置在同一檔次,則會提公升網路建設成本。雖然核心或閘道器裝置的mac與arp規格 會隨著虛擬機器增長也面臨挑戰,但對於此層次裝置能力而言,大規格是不可避免的業務支撐要求。減小接入裝置規格壓力的做法可以是分離閘道器能力,如採用多個網 關來分擔虛機的終結和承載,但如此也會帶來成本的上公升。

網路隔離/分離能力限制

當 前的主流網路隔離技術為vlan(或vpn),在大規模虛擬化環境部署會有兩大限制:一是vlan數量在標準定義中只有12個位元單位,即可用的數量為 4000個左右,這樣的數量級對於公有雲或大型虛擬化雲計算應用而言微不足道,其網路隔離與分離要求輕而易舉會突破4000;二是vlan技術當前為靜態 配置型技術(只有evb/vepa的802.1qbg技術可以在接入層動態部署vlan,但也主要是在交換機接主機的埠為常規部署,上行口依然為所有 vlan配置通過),這樣使得整個資料中心的網路幾乎為所有vlan被允許通過(核心裝置更是如此),導致任何乙個vlan的未知目的廣播資料會在整網泛 濫,無節制消耗網路交換能力與頻寬。

對於小規模的雲計算虛擬化環境,現有的網路技術如虛擬機器接入感知 (vepa/802.1qbg)、資料中心二層網路擴充套件(irf/vpc/trill/fabricpath)、資料中心間二層技術(otv/evi /trill)等可以很好的滿足業務需求,上述限制不成為瓶頸。然而,完全依賴於物理網路裝置本身的技術改良,目前看來並不能完全解決大規模雲計算環境下 的問題,一定程度上還需要更大範圍的技術革新來消除這些限制,以滿足雲計算虛擬化的網路能力需求。在此驅動力基礎上,逐步演化出overlay的虛擬化網 絡技術趨勢。

2 overlay虛擬化網路的技術標準及比較

2.1 overlay技術形態

overlay 在網路技術領域,指的是一種網路架構上疊加的虛擬化技術模式,其大體框架是對基礎網路不進行大規模修改的條件下,實現應用在網路上的承載,並能與其它網路 業務分離,並且以基於ip的基礎網路技術為主(如圖2所示)。其實這種模式是以對傳統技術的優化而形成的。早期的就有標準支援了二層overlay技術, 如rfc3378(ethernet in ip),就是早期的在ip上的二層overlay技術。並且基於ethernet over gre的技術,h3c與cisco都在物理網路基礎上發展了各自的私有二層overlay技術——evi(ethernet virtual interconnection)與otv(overlay transport virtualization)。evi與otv都主要用於解決資料中心之間的二層互聯與業務擴充套件問題,並且對於承載網路的基本要求是ip可達,部署上簡 單且擴充套件方便。

overlay網路模型

隨 著雲計算虛擬化的驅動,基於主機虛擬化的overlay技術出現,在伺服器的hypervisor內vswitch上支援了基於ip的二層overlay 技術,從更靠近應用的邊緣來提供網路虛擬化服務,其目的是使虛擬機器的部署與業務活動脫離物理網路及其限制,使得雲計算的網路形態不斷完善。(如圖3所示) 主機的vswitch支援基於ip的overlay之後,虛機的二層訪問直接構建在overlay之上,物理網不再感知虛機的諸多特性,由 此,overlay可以構建在資料中心內,也可以跨越資料中心之間。

2.2 overlay如何解決當前的主要問題

針對前文提出的三大技術挑戰,overlay在很大程度上提供了全新的解決方式。

針對虛機遷移範圍受到網路架構限制的解決方式

overlay 是一種封裝在ip報文之上的新的資料格式,因此,這種資料可以通過路由的方式在網路中分發,而路由網路本身並無特殊網路結構限制,具備良性大規模擴充套件能 力,並且對裝置本身無特殊要求,以高效能路由**為佳,且路由網路本身具備很強的的故障自癒能力、負載均衡能力。採用overlay技術後,企業部署的現 有網路便可用於支撐新的雲計算業務,改造難度極低(除效能可能是考量因素外,技術上對於承載網路並無新的要求)。

針對虛機規模受網路規格限制的解決方式

虛 擬機資料封裝在ip資料報中後,對網路只表現為封裝後的的網路引數,即隧道端點的位址,因此,對於承載網路(特別是接入交換機),mac位址規格需求極大 降低,最低規格也就是幾十個(每個埠一台物理伺服器的隧道端點mac)。當然,對於核心/閘道器處的裝置表項(mac/arp)要求依然極高,當前的解決 方案仍然是採用分散方式,通過多個核心/閘道器裝置來分散表項的處理壓力。(另一種更分散的方式便是虛擬網路路由服務方式,詳見後文描述)。

針對網路隔離/分離能力限制的解決方式

針 對vlan數量4000以內的限制,在overlay技術中引入了類似12位元vlan id的使用者標識,支援千萬級以上的使用者標識,並且在overlay中沿襲了雲計算「租戶」的概念,稱之為tenant id(租戶標識),用24或64位元表示。針對vlan技術下網路的truank all(vlan穿透所有裝置)的問題,overlay對網路的vlan配置無要求,可以避免網路本身的無效流量頻寬浪費,同時overlay的二層連通 基於虛機業務需求建立,在雲的環境中全域性可控。

docker 建立overlay網路實踐

參考文件 1 step 1 set up a key value store docker machine create driver generic generic ip address 192.168.153.222 generic ssh key ssh id rsa mh keystore ...

Docker網路詳解之Overlay

我們在上篇文章說了docker在單個docker daemon 即是單主機 模式下面的時候網路預設為bridge,既然提到了單個docker daemon,那麼多主機即是集群的模式的情況下呢?在這種模式下docker預設使用overlay網路來進行容器間的通訊。接下來我們看看我們在加入乙個集群或者初...

《雲計算網路珠璣》

雲計算網路珠璣 著眼於講解雲計算網路虛擬化中所用到的網路技術原理,重點展示乙太網及 tcp ip網路中各種技術內在的關聯脈絡,包括從傳統的mac ip 安全和qos等到新興的trill lisp dpi和cdn等技術,從乙太網交 換機的二層 三層路由和linux的tcp ip協議棧到mac in m...