微软披露Azure云网络进化过程 像部署其他服务那样部署网络

ZDNET网络频道 11月11日 编译：微软日前公开了其在Azure云中所采用的、旨在实现网络虚拟化功能的相关技术。同时承认，随着网络规模的显著扩张、这些技术会引发一些棘手的问题。

微软公司Windows　Azure网络合作开发经理Albert　Greenberg在本月于宾夕法尼亚州举行的LADIS大会上透露了更多细节。Greenberg表示，“可以告诉大家，在过去三年里，Azure网络中的一切都发生了改变，如今没有任何一根线缆或者任何一项传输协议与最初相同。如今我们享受身处网络中的时光，因为这里充满了机遇。”

微软的虚拟化网络由三大标准化组件构成：一套Azure前端、一套网络传输控制器以及一套Azure VMswitch（用于处理受隔离虚拟机的网络需求）。前端负责接收请求并将其分配给控制器，控制器再根据所请求内容调用VMswtich，最终请求将在这里被发送到网络的控制层。

为了实现这一切，微软开发并采用NVGRE（即通用路由封装网络虚拟化）技术，这项技术也受到了Arista、戴尔、英特尔以及博通等厂商的支持。该技术通过在IP传输体系内横向连通二级网络数据包将整个网络加以对接，同时又无需占用带宽资源，其功能特性与VMware/思科的“VXLAN”非常相似。

随着Azure规模的不断扩展，旧有网络体系已经无法满足需求，微软希望通过此举逐步实现网络虚拟化——如今这套方案已经能够支持跨越“数百台服务器”的“数百万套虚拟机”。

虚拟化？看起来更像是“柔性化”

目前很多企业都对网络虚拟化技术抱有浓厚兴趣，这是因为这项技术能帮助他们将控制功能移出基础交换机而纳入控制层，从而实现对业务快速灵活应对的目标，而企业用户能够借此节约相应的硬件成本。思科作为网络巨头对这一趋势深表忧虑，因此投资并收购了Insieme公司以实现软件定义网络功能。

以微软为例，该公司利用其VMswitch实现VPN、叠加服务、每租户访问控制列表以及网络地址翻译等功能。其中一些功能使微软能够在现有架构中囊括灵活计费、速率限制、额外安全功能、轻松部署大规模VLAN以及五元素ACL——即包含源IP、目标IP、协议、源端口以及目标端口的访问控制列表。

被Greenberg称为“网络中超酷新事物”的VMswitch包含着与活动相映射的列表，旨在为虚拟网卡与特定虚拟机之间建立通道，从而实现网络封装功能。

迈向虚拟化网络之后，微软能够采取与其它云服务相同的方式对网络加以管理。“所有政策都基于软件层面，一切都运行在虚拟机环境下，这意味着在云中建立服务的全部底层机制都能经过相应的调整在网络方面正常起效；此外，我们也可以像部署其它服务那样部署网络。”Greenberg解释道。

微软的网络控制器能够将虚拟机或者虚拟机群组封装在它们自己的虚拟交换机当中，而后将数据传输到其它虚拟交换机处以实现信息共享——整个过程完全不会影响到多租户环境的安全。

“对状态的追踪方式决定了网络方案的成熟程度，”他表示。“VMswtich不应该掌握太多信息，但必要的学习过程是不可避免的。”

“一种很好的试水方式”

Greenberg指出，微软的交换机会自动从控制器中获取信息，这样一旦出现新情况、交换机可以从目录服务中提取数据。并表示，客户已经能够利用微软的虚拟化网络创建多套私有虚拟网络体系，并在必要时实现各体系之间的相互嵌套，而后将它们与内部网络相对接(如图所示)。对于仍对云计算抱有怀疑态度的客户来说，这是“一种很好的试水方式”。

不过微软同样面临诸多挑战，这主要是由于其网络所需要支持的虚拟机数量正不断增加。要解决这项难题，一方面可以购买40GbE网卡。Greenberg指出，这类产品如今的市场价格已经逐渐走低，但除此之外微软还需要对数据包流量进行优化。

“我们可以弄清第一个数据包的最佳处理方式，而后将其写入缓存;接下来是第二个、第三上，以此类推。这样的流程能让数据包传输速度大幅提高，”Greenberg指出。“此类优化的重要性非常突出。”

根据Greenberg的说法，通过网络虚拟化，微软得以为每一款主要应用程序创建出独立控制器——不过这也迫使其额外创建分配器以同时协调众多控制器。

在将控制层软件化的进程中，Greenberg表示微软已经成功降低了系统的管理难度。他指出，“管理大规模网络环境的复杂度已经有所降低——而且令人颇为意外的是，这里所谓的‘低复杂度’是相对于小型企业网络管理而言。无需亲力亲为，全部流程自动化，绝无偏差，如果一台架顶式交换机出现问题，另一台将立刻就位，因为方案中内置有冗余机制。”

最终我们可以这样讲，虽然这些措施并不能100%彻底的防止微软云出现停机等故障，但根据我们目前的了解，大部分的故障其实是来自于网络之外的更高环节当中。