文/王宏伟

根据Gartner调查显示，2009年有18%的28%，到2012年将接近50%。由于服务器虚拟化的广泛应用和优势明显，虚拟化技术因而也迅速得到了扩散，存储虚拟化、网络虚拟化……，虚拟化技术在数据中心的应用不断深入，涉及到数据中心的每一个领域，这些都在潜移默化的影响着数据中心的未来建设。

一、什么是服务器虚拟化？

虚拟化实际上是一个广义的术语，在计算机方面通常是指计算元件在虚拟的架构上而不是真实的架构上运行。虚拟化技术的一个典型应用就是服务器虚拟化技术，在服务器虚拟化技术中，同一台物理服务器上可以同时运行多个操作系统，可以通过虚拟化技术的应用，模拟出多台逻辑上的服务器设备，而且每一个操作系统中可以运行独立的应用系统。服务器虚拟化技术可以实现服务器物理资源到逻辑资源的转变，让一台服务器变成几台甚至上百台相互隔离的CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”，来灵活的进行资源的分配和调整。

二、服务器虚拟化给数据中心网络带来的挑战

服务器虚拟化的应用虽然给企业带来新的活力，但就像一部电脑，虽然更换了一个强劲的CPU，但是如果其他关键配置没有做出相应的改变，那么其瓶颈依然存在，最终无法发挥出最优的效率，数据中心也是如此，服务器虚拟化技术的应用给网路带来的影响，使得与其紧密相关的网络资源同样需要进行针对性的调整：

l服务器的利用率从20%提高到80%，服务器端口流量大幅提升，对数据中心网络承载性能提出了巨大的挑战，对网络可靠性要求也更高；

l多种应用部署在同一台物理服务器上运行，使网络流量在同一台物理服务器上产生叠加，流量模型更加不可控；

l服务器虚拟化技术的应用必然伴随着虚拟机的迁移，这种迁移需要一个苛刻的网络环境来保障；

l虚拟机的部署和迁移，使得安全策略的部署变得复杂和无助，需要一个动态的机制来对数据中心进行防护。

三、数据中心网络解决之道

l端到端万兆网络解决服务器虚拟化带来的性能挑战

虚拟化给网络带来了性能挑战，但提升网络的整体性能需要有的放矢。首先需要明确网络的瓶颈究竟在哪里。根据目前大量的案例和实践总结分析，数据中心网络主要面临两个瓶颈：一是数据中心的核心交换设备，它做为数据中心所有业务系统之间，以及业务系统和用户之间的交换枢纽，将会是所有流量汇集的地方，所以网络核心的性能压力最大，是可能的瓶颈所在。另一个就是安全设备，安全设备的性能往往落后于网络设备一个级数，而其在企业数据中心的部署又是必不可少的防护措施，所以如何突破安全的性能瓶颈至关重要。

网络技术和数据中心的发展，同样推动了数据中心级交换机的出现，目前数据中心级的核心交换机(例如：H3C的S12500和Cisco的Nexus 7000)已经成为了数据中心网络核心的宠儿。基于CLOS的多级交换架构，使其具备了10T以上的交换容量，能够支持高密度的万兆端口和未来的100GE标准，具有更好的扩展性，能够很好的缓解数据中心网络核心的交换压力，解决核心网络性能瓶颈。另一方面，虽然部门高端安全设备已经搭建在10G平台之上，但依然不能满足对其在性能上的高要求，所以目前最好的解决方法就是将万兆的安全设备与网络设备结合部署，通过在网络设备中部署支持安全模块实现性能累加，该方式在当前的数据中心建设中已经逐渐成为了主流方案，不但可以解决安全设备带来的性能瓶颈，而且可以解决安全系统部署在可靠性上和空间上遇到的种种难题。

因此，在数据中心网络部署时，核心交换设备建议部署基于100G平台数据中心设备，以保障网络的性能和可靠性；在汇聚层通过部署万兆交换机及嵌入式安全业务模块，来消除安全系统的性能瓶颈，并提供更好的扩展性(如图1所示)。

图1.高性能数据中心网络部署

l分布式缓存应对虚拟环境下的突发流量冲击

绝大多数应用系统的流量模型都有一定周期性(即流量波峰的出现时间)，就像乘坐电梯一样，通常都是上下班时间客流最多，其他时间电梯基本处于空闲状态。但突发流量已经成为了数据中心网络系统面对的最棘手的问题之一，其难点在于业务的变化使得无法准确评估出其出现的峰值、精确的时间。服务器实现虚拟化后，多个应用的叠加产生的突发流量就更加难以衡量和控制。所带来的直接影响就是造成网络拥塞，严重的甚至会导致业务中断。

要解决这个问题，首先需要分析哪里会产生拥塞？网络的拥塞只有两种情况，一种是多个端口向一个端口发送数据的情况，另一种就是高速端口向低速端口发送数据的情况。找出拥塞节点并增加其带宽，可以解决一部分问题，但是对于数据中心中复杂的业务模型和应用的变更而言并不适用，更加实际和行之有效的方法就是利用分布式缓存技术。所谓分布式缓存技术，主要是相对于传统设备的出端口缓存技术而言的。传统的网络设备，缓存都是部署在设备的出端口，该技术可以缓解网络中高速端口向低速端口发送数据时产生的拥塞，但是对于网络中存在的多个端口向一个端口发送数据的情况却是无能为力。分布式缓存通过对传统的出端口缓存机制进行改良，将端口缓存置于入端口，这样的实现方式可以灵活的根据入端口数量来动态的调整可用缓存的容量，可以很好的解决数据中心网络环境中突发流量在上述两种情况下带来的网络拥塞，提高业务连续性。

所以，在数据中心的网络部署时，为了应对网络核心处交互式流量的过载而产生的拥塞，需要在网络的核心位置部署分布式缓存机制的数据中心设备；在接入层可以通过缩小收敛比来减少服务器上行流量带来的冲击，并要求网络设备具备一定的缓存能力，来缓解下行流量对接入交换机的影响(如图2所示)。

图2.数据中心网络过载点及应对措施

l网络虚拟化为虚拟机迁移铺平道路

当虚拟机在物理服务器之间进行迁移，为了避免虚拟机迁移后路由的震荡和修改网络规划，迁移只能在二层域进行，因此数据中心需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。在传统的数据中心网络中，都是通过STP+VRRP的方式进行网络拓扑设计，但由于STP+VRRP的设计和维护都比较复杂，这种设计在很大程度上阻碍了其二层域的扩大，随着服务器的数量和网络设备的增多，这种网络设计方式将会变得无法实施。同时，虚拟机的迁移对网络的可用性要求也非常高，在STP+VRRP的组网中，如果链路出现故障，其收敛时间都在秒级，增加了应用系统迁移的限制。

以上问题可以通过网络虚拟化技术来解决，在数据中心的应用中，网络虚拟化主要是通过将多台物理设备虚拟成一台逻辑设备的方式，来减少设备节点，并通过跨设备链路聚合技术取代传统部署方式中的STP+VRRP协议，使网络拓扑变得简洁，具备更强的扩展性，以满足虚拟机迁移所需要构建的二层网络环境，同时，其毫秒级的故障收敛时间，为虚拟机迁移提供了更加宽松的实现环境(如图3所示)。

网络虚拟化技术主要在数据中心交换机上实现，在服务器接入层、网络汇聚层、核心层可以分别进行部署。当前业内最成熟、在数据中心中应用最广泛的虚拟化技术包括H3C的IRF2(Intelligent Resilient Framework 2，第二代智能弹性架构)和Cisco的VSS(Virtual Switching System，虚拟交换系统)，这两种技术都可以帮助企业来构建一个虚拟网络架构，其中IRF2技术目前已经被H3C全系列数据中心交换机所支持(包括S12500、S9500E、S7500E、S5800、S5500、S5120等)，VSS技术被C6500交换机支持。

图3.传统网络架构向虚拟化网络架构的转变

l安全虚拟化实现动态安全策略的部署

在数据中心中，安全策略的部署一直是一个有挑战的任务，需要根据具体服务器的应用特点对不同类型的应用系统制定不同级别的防护策略。在传统的数据中心中，由于应用系统和服务器区域基本都是固定不变的，所以安全策略仅在规划初期工作量较大，后期更多的是进行策略的更新和细微的调整。然而在虚拟化环境下则完全不同，应用系统和服务器是自由匹配和随需迁移的关系，每一次虚拟机的迁移对应安全策略的改变和调整，如果不能实现动态的配置调整，对于虚拟环境下安全策略的部署将不具备可实施性。

在数据中心网络进行虚拟化整合的基础上进行安全虚拟化，将部署的安全业务系统进行逻辑的分割，即将一台安全设备/模块分割成若干台逻辑安全设备，分割后的逻辑网络内部有独立的数据通道，对数据中心网络安全资源进行更加细致的划分，可以根据业务特征在逻辑网络内进行灵活的安全策略的部署和匹配，实现虚拟机迁移后对应的安全策略也随之动态迁移，扫清数据中心服务器虚拟化实施所带来的安全策略部署的困难。在部署时，网络设备和安全设备都需要支持虚拟化技术，网络设备通过多虚一的方式整合网络，然后在其基础上部署支持虚拟化技术(一虚多的方式,例如：虚拟防火墙技术)的安全设备/模块，最终实现虚拟环境下动态的安全策略部署。

图4.从静态安全策略向虚拟环境下动态安全策略转变

四、总结

技术在