虚拟化计算的网络架构发展进程

　　数据中心网络以支撑应用计算、对用户提供服务为业务目标，从传统IT运行到云计算，特别是大规模虚拟化服务的IT转变过程中，网络技术与架构也随之转变，网络功能从基本的互联互通，逐步演进到灵活伸缩扩展、计算感知、自动化关联的云服务网络，支持针对虚拟计算资源识别与精确监管的高级属性。

　　1 网络与应用之间连接方式的阶段演进

　　计算服务模式逐步发展的过程，经历了单纯的主机计算，到虚拟化初级计算、大规模虚拟化云计算三个阶段(如图1所示)。

　　图1 计算服务模式的三阶段

　　第一阶段以主机为单位提供计算服务，即是非虚拟化的IT业务供应模式，运行单个操作系统，支持一个或少数几个应用。这种方式下，系统应用以物理端口方式联入网络，主机只具有作为计算终端的网络功能，全面的网络功能只在外部网络设备上。

　　第二阶段出现虚拟化计算，单个物理主机上运行多操作系统、多个应用(形成多个虚拟机)，各个操作系统的应用之间逻辑上完全分离。这种方式下，主机内应用需要被外部网络所访问，不同操作系统的应用之间也存在业务通信需求，如此，需要在主机内引入完备的网络功能，以支持不同虚拟机之间的网络交互。主机内的网络与外部网络之间相互独立，而以标准方式互联互通。

　　第三阶段为解决云计算的虚拟机感知、控制、网络边界等问题产生了IEEE标准EVB技术支撑的虚拟机边缘接入网络体系(以及类似架构的私有技术体系如VN-Tag)。这种方式简化、消除了主机内的网络，将虚拟机直接逻辑上联入外部网络上，所有网络功能又被推回至外部网络设备，同时外部网络可实现以虚拟机为目标的感知、控制、数据交换，从而可支持大规模虚拟计算服务的自动化运营。

　　2 各阶段的网络功能与架构方式

　　· 非虚拟化计算阶段

　　计算的部署、设计都是以主机为单位执行，所有的业务系统都固定在已规划的网络端口。如图2所示，在网络层面，形成了模块化、标准化的设计和部署思路：若干主机形成的应用群成为网络模块划分的依据，一般来说，模块的归属在网关层设备上。针对每个主机的设计，如IP/网段、VLAN、流量监察、访问控制都在网关设备上集中体现。而对于主机的安全等级控制、深度防御、应用加速、负载均衡、加解密卸载等4-7层业务，也是以模块为单位，在网关层进行部署。

　　图2 以主机为单位的网络模块化设计

　　这是一种静态IT服务模式，在正常情况下，主机物理位置相对固定，网络结构和连接也是固定的，网络与计算之间是静态的、相对固定的物理性连接，在满足扩展性需求的前提下，数据中心的服务提供相对比较稳定。

　　· 虚拟化初级计算阶段

　　计算技术发展超前于网络技术。计算服务提供不再以主机为基础，而是以虚拟机为单位来提供，每个虚拟机有自己的操作系统、应用软件;网络对虚拟机的识别，除了不能通过物理网线来判定虚拟机连接，虚拟机的IP/网段、VLAN、ACL/QoS、流量、协议栈等属性与非虚拟化的应用主机是完全一致的。为了满足虚拟机的数据交换要求，服务器内部引入了网络功能，并且为了支持虚拟化环境的扩散性计算，如虚拟机的HA、大范围的虚拟机迁移、虚拟机的二层集群计算等特性，要求数据中心提供大规模的二层可靠性高性能网络环境，如图3所示。由于虚拟机的动态性，网络自身无法感知虚拟机的物理位置，物理网络已不能实施针对每个虚拟机的流量监察、VLAN固连、访问控制的功能，这些网络功能由物理主机内部的网络组件vSwitch来实现，而外部网络退化成一个透明性的交换架构(图3 VLL2: Very Large Layer 2)。

　　图3 应对虚拟化初级计算的大二层网络

　　vSwitch的引入，给数据中心运行带来了以下两大问题。

　　网络界面的模糊。主机内分布着大量的网络单元vSwitch，这些vSwitch的运行部署有着巨大的工作量，在数据中心通常由主机操作人员执行，这形成了专业技能支撑的不足，而网络操作人员一般只能管理物理网络设备，无法操作主机内vSwitch，这使得大量vSwicth具备的网络功能并不能发挥作用，从而并存在运行管理的薄弱空间。对于服务器内部虚拟机之间的数据交换，在vSwitch内有限执行，外部网络不可见，不论在流量监察、策略控制还是安全等级都无法依赖完备的外部硬件功能实现，这就使得数据交换界面进入主机后因为vSwitch的功能、性能、管理弱化而造成了高级网络特性与服务的缺失。

　　虚拟机的不可感知性。物理服务器与网络的连接是通过链路状态来体现的，但是当服务器被虚拟化后，一个主机内同时运行大量的虚拟机，而此前的网络面对这些虚拟机的创建与迁移、故障与恢复等运行状态完全不感知，对虚拟机也无从进行实时网络定位，针对虚拟服务的网络配置变更无法实现，网络无法匹配虚拟化服务的提供要求。虽然有些数据镜像、分析侦测技术可以局部感知虚拟机的变化，但是并不能完成大范围、实时的虚拟业务的网络服务支持。

　　· 云计算虚拟化阶段

　　云计算要求解决大规模IT资源环境下的运营和部署问题，这就要求虚拟化环境下的网络具备良好的运行管理、虚拟计算关联感知、网络变更自动化等高级能力。这一阶段不论是以EVB为代表的标准化技术，还是Cisco VN-Tag为代表的私有性技术，都极大地趋向增强外部物理网络能力、弱化主机内部网络，同时将外部网络也进一步虚拟化(产生了虚拟通道、虚拟连接、虚拟端口等)，并以关联性协议将虚拟机和外部网络的虚拟端口进行了安全可靠连接，如图4所示。

　　图4 云计算的大规模虚拟化网络

　　这种模式下，主机内网络形态被简化至通道方式，消除了大规模主机内部的分散性vSwicth。计算资源的分布，表现为虚拟机与网络虚拟连接的分布，虚拟机的创建、迁移等状态变化体现在虚连接的创建、迁移变化，并通过网络与虚拟机之间的虚拟发现协议(VDP)来关联和感知。大规模、大范围的虚拟机变化，相应的表现为网络虚拟端口的大规模、大范围的变更，以及与虚端口绑定的所有网络属性、网络配置的自动化变更，因此图4的模式，简单地将虚拟机的网络功能转变为网络中的虚拟端口的操作控制。如图5模型转换所表示的，物理主机通过硬件的链路接入到数据中心网络，云计算下的虚拟机则通过虚连接的方式连入到网络的虚拟端口。这样，在非虚拟化下的所有基于物理端口的网络功能，全部被移植到当前的虚拟端口下，同时满足虚拟化要求的扩散性计算要求，具备了灵活伸缩扩展、计算感知、自动化关联的网络服务，支持针对虚拟计算资源识别与精确监管的高级属性。

　　图5 物理主机网络连接与虚拟机的网络连接

　　3 结束语

　　虚拟化计算发展过程中，网络的界面被重新定义，数据交换实体也逐步发生变迁。而云计算网络阶段的管理与数据交换均在外部网络实体，虚拟机关联提供了自动化的网络服务能力，以EVB为代表的边缘虚拟化网络技术成为新一代主流技术，使得云计算的基础架构变成了一个计算资源、网络资源交互感知的架构，边缘虚拟网络在云的体系中成为业务控制的关键点。