云计算、物联网、虚拟化、云存储、3C融合等等接踵而来,面对着这些新技术,用户难免不知所措。如何理清这些新技术概念?首先要做的就是从身边的需求入手,找到需要的技术,并加以了解、整理、深化,同时结合自身的特点,深化技术与应用的结合,把其中的技术为己所用,打造出可行方案。
近些年来,虚拟化技术的浪潮开始兴起,虚拟化技术在最近三年里,一直未出CIO优先考虑的技术范围。如果说云计算是一种宏观的虚拟化技术,那虚拟化技术就应该是CIO目前关注的重点技术。
虚拟化技术方兴未艾
虚拟化技术不是目前才兴起的技术,早在上世纪 60 年代,虚拟化技术就通过对大型机硬件资源进行分区证明了它在大型机环境中的价值。因为大型机的计算能力特别强,因此采用可逻辑地划分成相互隔离的小型虚拟机的设计,然后凭借虚拟技术,即可在一个大型机上同时运行多个项目。随着时间的推移,大部分行业已经从大型机转向使用小型机及PC进行计算。目前,基于X86体系结构的计算机或服务器所面临的挑战与上个世纪60年代大型机面临的挑战相同。X86架构虚拟化技术已经将大型机的分区方法应用到目前基于X86体系结构的计算机上。
由于服务器虚拟化的概念和技术不断成熟,IT工作者把虚拟化的目光投向了网络和存储。在网络方面,基于提高链路高可用技术的发展从来没有停歇过,目前已经开始从VRRP向多主机融合的虚拟化过渡。负载均衡器更作为七层网路交换机也早已是服务器多合一虚拟化应用的先导者。存储融合也是目前企事业单位必须要面对的问题,异构、合理的使用存储空间,以及存储的高可用性促使存储的虚拟化网关技术走向成熟,存储虚拟化也成为了数据中心不可或缺的关键技术。
硬件分区虚拟化 硬件虚拟技术是随着Unix服务器的发展而出现的。实际上,在Unix服务器上,不少厂商和用户习惯于将电气级的虚拟技术称为硬分区(或物理分区),而把通过软件或固件实现的逻辑分区技术则称之为软分区。但无论如何称呼,实际上逻辑虚拟模式和硬件虚拟模式的共同点是与应用所在的操作系统无关,只与系统硬件相关。那么,它们之间的区别在哪里?先看硬件虚拟模式。HP和Sun等厂商在Unix服务器上采用的是MBB(Modular Building Block)架构。MBB由多个BB(Building Block)构成,Sun称之为Board,HP称之为Cell。每个BB可包含4路CPU、若干内存和I/O卡。不同BB内的CPU可以有不同的时钟频率。所有的BB通过一种称为Crossbar Switch的交换机制连接在一起。采用MBB技术可以比较容易地设计出拥有更多数量CPU的服务器。在这种服务器上既可以运行一个操作系统,也可以在一个或多个BB上运行多个操作系统。这就是服务器的硬分区。基于MBB技术的服务器是由多个BB构成的,所以具有物理分区的特性:即可以热插拔CPU板和内存板。这是因为每一个BB是物理分开的,每个4路CPU板可以单独从系统中隔离出来并将其下电。
在硬件分区虚拟化中,硬件资源被划分成数个分区,每个分区享有独立的CPU、内存,并安装独立的操作系统。在一台服务器上,存在有多个系统实例,同时启动了多个操作系统。这种分区方法的主要缺点是缺乏很好的灵活性,不能对资源做出有效调配。
随着技术的进步,现在对于资源划分的颗粒已经远远提升,例如在IBM AIX系统上,对CPU资源的划分颗粒可以达到0.1个CPU。这种分区方式,在目前的金融领域,比如在银行信息中心得到了广泛采用。
完全虚拟化 使用hypervisor在VM和底层硬件之间建立一个抽象层其代表是VMware的ESX server和Microsoft(Microsoft收购Connectix)的Virtual PC、Virtual Server。
hypervisor捕获CPU指令,为指令访问硬件控制器和外设充当中介。因此,这种虚拟化技术几乎能让任何一款操作系统不加改动就可以安装在VM上,而它们不知道自己运行在虚拟化环境下。主要缺点是,hypervisor带来处理开销。#p#
准虚拟化 完全虚拟化是处理器密集型技术,因为它要求hypervisor管理各个虚拟服务器,并让它们彼此独立。减轻这种负担的一种方法就是,改动客户操作系统,让它以为自己运行在虚拟环境下,能够与hypervisor协同工作。这种方法就叫准虚拟化(Para-virtualization)。
Xen是开源准虚拟化技术的一个例子。操作系统作为虚拟服务器在Xen hypervisor上运行之前,它必须在核心层面进行某些改变。因此,Xen适用于BSD、Linux、Solaris及其他开源操作系统,但不适合对像Windows这些专有的操作系统进行虚拟化处理,因为它们无法改动。(在支持虚拟化技术的处理器上,由于不需要改变内核,因此,也可以支持Windows。)
典型虚拟化数据中心的整体架构部署图
准虚拟化技术的优点是性能高。经过准虚拟化处理的服务器可与hypervisor协同工作,其响应能力几乎不亚于未经过虚拟化处理的服务器。
准虚拟化与完全虚拟化相比优点明显,以至于微软和VMware都在开发这项技术,以完善各自的产品。
操作系统层虚拟化 实现虚拟化还有一个方法,那就是在操作系统层面增添虚拟服务器功能。Solaris Container就是这方面的一个例子,Parallels(SWsoft收购了Parallels,然后把自己的名字改成Paralles)的Virtuozzo/OpenVZ是面向Linux的软件方案。
就操作系统层的虚拟化而言,没有独立的hypervisor层。相反,主机操作系统本身就负责在多个虚拟服务器之间分配硬件资源,并且让这些服务器彼此独立。一个明显的区别是,如果使用操作系统层虚拟化,所有虚拟服务器必须运行同一操作系统(不过每个实例有各自的应用程序和用户账户)。虽然操作系统层虚拟化的灵活性比较差,但本机速度性能比较高。此外,由于架构在所有虚拟服务器上使用单一、标准的操作系统,管理起来比异构环境要容易。
网络虚拟化与存储虚拟化
首先,网络虚拟化概念并不是什么新概念,因为多年来,虚拟局域网(VLAN)技术作为基本隔离技术已经广泛应用。当前在交换网络上通过VLAN来区分不同业务网段、配合防火墙等安全产品划分安全区域,是数据中心基本设计内容之一。
出于将多个逻辑网络隔离、整合的需要,VLAN、MPLS-VPN、Multi-VRF技术在路由环境下实现了网络访问的隔离,虚拟化分割的逻辑网络内部有独立的数据通道,终端用户和上层应用均不会感知其它逻辑网络的存在。
但在每个逻辑网络内部,仍然存在安全控制需求,对数据中心而言,访问数据流从外部进入数据中心,则表明了数据在不同安全等级的区域之间流转。#p#
其次,由于硬件性能的迅猛发展,单个设备(如单个交换机)自身能力有了很大的提升,多核处理器、多引擎板卡、多业务板卡汇聚为一身,单台设备变得异常强大,因此,可以将一台物理交换机逻辑上模拟成多台虚拟交换机。另外,还可以在网络上提供逻辑网络内的安全策略,而不同逻辑网络的安全策略有各自独立的要求,虚拟化安全技术,将一台安全设备可分割成若干台逻辑安全设备(成为多个实例),从而很好满足了虚拟化的深度强化安全要求。
第三,传统上的数据中心网络架构由于多层结构、安全区域、安全等级、策略部署、路由控制、VLAN划分、二层环路、冗余设计等诸多因素,导致网络结构比较复杂,使得数据中心基础网络的运维管理难度较高。使用智能弹性架构虚拟化技术,用户可以将多台设备连接,“横向整合”起来组成一个“联合设备”,并将这些设备看作单一设备进行管理和使用。多个盒式设备整合类似于一台机架式设备,多台框式设备的整合相当于增加了槽位,虚拟化整合后的设备组成了一个逻辑单元,在网络中表现为一个网元节点,管理简单化、配置简单化、可跨设备链路聚合,极大简化网络架构,同时进一步增强冗余可靠性。
网络虚拟交换技术为数据中心建设提供了一个新标准,定义了新一代网络架构,使得各种数据中心的基础网络都能够使用这种灵活的架构,能够帮助企业在构建永续和高度可用的状态化网络的同时,优化网络资源的使用。
在虚拟化架构上,通过OAA集成虚拟化安全,使得传统网络中离散的安全控制点被整合进来,进一步强化并简化了基础网络安全,网络虚拟化技术将在数据中心端到端总体设计中发挥重要作用。
虚拟化存储局域网结构中,有四种提供存储虚拟化服务的方法:带内设备、带外设备、称作分离路径虚拟化架构的混合方法和基于控制器的虚拟化。
不管什么架构,所有的存储虚拟化必须做三个重要的事情:保持一个虚拟磁盘和物理存储以及其它配置元数据的镜像;执行配置改变和存储管理任务的指令;当然还有在主机和存储之间传送数据。
这四种架构在输入/输出结构中处理这三种不同的路径或者数据流(元数据、控制和数据路径)的方法是不同的。这种差别对于性能和伸缩性的意义是不同的。
带内设备处理元数据、控制和数据路径信息都是在一台设备中进行的。换句话说,元数据管理和控制功能共享这个数据路径。这在一个繁忙的存储局域网中会产生潜在的瓶颈,因为所有的主机请求必须经过一个单一的控制点。带内设备可通过增加高级的集群和缓存功能解决这个潜在的伸缩性问题。
带外设备把元数据管理和控制操作从数据路径分离开来,把这些任务交给另一个独立的计算引擎。这个问题是软件代理必须安装在每一台主机上。这个软件代理的工作就是把元数据和控制请求从数据流中摘出来并且发送到带外设备进行处理,让主机把重点专门放在向存储设备传送和接收数据方面。
分离路径系统利用一台智能交换机的端口级处理能力从数据路径中卸载元数据和控制信息。同带外设备不同,在带外设备中,路径是在主机分开的,分离路径系统在智能设备分离在网络上的数据和控制路径。分离路径系统把元数据和控制信息发送到带外计算引擎进行处理并且把数据路径信息传送到存储设备。因此,分离路径系统不需要主机级代理。
阵列控制器一直是最常用的层。虚拟化服务一直部署在这里。然而,控制器一般都仅仅虚拟化存储系统内部的物理硬盘。这种情况正在变化。这种老方法的一个变化是在一个能够虚拟化内部和外部存储的控制器上使用这种虚拟化智能技术。同带内设备方法一样,这个控制器处理所有三个路径:数据、控制和元数据。
解决方案系统初探
虚拟化和云技术是不可分割的,是IT行业的一场技术革命,是IT行业未来发展的方向,这种趋势使得IT基础架构的运营专业化程度不断集中和提高,从而对基础架构层面,特别是网络层面提出了更高的要求。虚拟化的计算资源和存储资源最终都需要通过网络为用户所用。如何让云平台中各种业务系统尽可能安全的使用云平台网络,如何让业务便利的接入和使用云计算服务,以及通过网络满足数据中心间的数据传输和配置迁移,如何通过虚拟化技术提高网络的利用率,并且让网络具有灵活的可扩展性和可管理性,这些都是云计算网络研究的重点。
随着增值业务系统的发展,原有传统数据中心存在资源利用率低、维护成本高、电力消耗严重等诸多弊端。因此,以构建云计算平台实现动态基础架构的数据中心,通过虚拟化手段进行灵活的物理资源共享,提高数据中心的安全性、可用性、模块化管理,并在一定程度上节约整体基础架构的使用成本。#p#
典型虚拟化数据中心的整体架构围绕数据中心虚拟化做出整体方案设计,赛迪时代提供的解决方案核心是通过X86架构服务器虚拟化,实现业务快速部署。通过整体架构图可以看出,前端的无盘终端通过数据中心机房的外网路由交换机接入到应用系统运行环境的局域网内,在网络及边界安全平台区域部署防火墙、防毒墙以及网络审计和IDS设备,所有安全及审计设备均为双机模式,保障其可用性,整体局域网的核心为两台汇聚交换机,这两台汇聚交换机虚拟化成一台逻辑交换机,而其它区域的网络及其它设备均物理连接于此。
负载均衡器的其中的旁挂在汇聚交换机上,并通过建立虚拟服务器组的方式,为后端服务器虚拟化系统区域的虚拟机提供负载均衡服务。
服务器的网关指向负载均衡器的内网IP,保证进出的流量经过负载均衡器。负载均衡器逻辑串接在网络中。
关键的数据和结构化数据(在虚拟机中)存储于后端的存储资源池。非结构化数据和备份数据存储于由虚拟机作为机头的,和后端部分存储空间组成的NAS中。数据库、业务应用部分的服务器由2台交换机虚拟化后构成的一台逻辑交换机的接入到网络,远程桌面虚拟化的服务器同样由2台虚拟化后交换机来接入,并通过负载均衡器做业务负载及防火墙的安全过滤后,直接连接到外网路由上面。
汇聚交换机上面的剩余接口分配给安全认证与综合管理平台系统区域,本区域里部署CA系统以及网络和整体资源平台的管理和监控系统。在整体架构的最后端,部署存储资源池,由2台虚拟化网关、4台24口光纤交换机和2台磁盘阵列组成,负责关键的数据库和虚拟机的存储,并提供备份空间。
为了便于清晰地了解虚拟化数据中心的结构,赛迪时代对数据中心的虚拟化的关键模块进行分步解读。按照数据中心整体基础架构从后端到前端依次为“存储——计算——网络”,通过虚拟化技术,所对应的就是“存储资源池——计算资源池——网络资源池”。
从整体来看,该技术方案可以提高虚拟桌面的可用性和各项性能,能够为多台虚拟机提供均衡负载,卸载CPU密集型功能,同时采用虚拟机应用模板实现快速部署。
它对于物理服务器资源的合理分配利用,负载均衡设备提供了良好的支持。当客户端的访问增大时,应用前端的负载均衡设备与虚拟机管理中心沟通,增加虚拟机的数量,满足客户端的访问需求,此时,用于服务的计算资源增大;当前端的客户端访问减小时,负载均衡设备与虚拟机管理中心沟通,减少虚拟机的数量。此过程为自动化处理,不需要进行人为干预。
通过企事业数据中心业务的理解,赛迪时代在整体设计方案上充分考虑了新老业务系统上线、测试、部署的灵活性;并对后期虚拟机的使用和管理提供了解决方案。
根据对企事业用户业务的普遍要求,赛迪时代在整体设计上本着管理域和功能域清晰划分的设计思路,使得整个网络管理上更加简便,使故障排查更清晰,结合各管理区域和安全区域划分的一目了然,实现故障的准确定位,以便快速解决故障,保证了网络高可靠性和安全的保障。
基于项目网络拓扑结构和具体应用需求,由于整体拓扑分区明确,边界接入区域也明确,内部各个区域之间连通通过策略路由来实现。
在方案中为实现快速部署新业务系统,采用了虚拟化设计并明确划分各区的业务功能,使得物理设备的计算资源得到充分发挥,并由负载均衡设备实现计算资源的合理分配。负载均衡设备通过设置多虚拟服务器,达到负载均衡设备的资源共享。存储设备通过虚拟化后的SAN和NAS功能,实现存储资源的共享,避免重复的投资。
方案充分发挥负载均衡与虚拟化软件的配合能力,实现计算资源的动态扩展和虚拟机灵活动态扩展。同时安全设备的部署紧随着网络资源,可随时在网络中增加和扩展。
名词介绍:
BFD协议
为确保IRF正常运行,以及当IRF主机出现问题时对网络影响降到最低,现采用BFD MAD检测机制来对设备进行实现的监控检测,这样可以保证设备跌机后网络抖动时长在毫秒级别。当IRF正常运行时,只有Master上配置的MAD IP地址生效,Slave设备上配置的MAD IP地址不生效,BFD会话处于down状态;当IRF分裂后会形成多个IRF,BFD会话被激活,会检测到多Active冲突。
链路聚合技术
通过将多条以太网物理链路捆绑在一起成为一条逻辑链路,从而实现出负荷在聚合组中各个成员端口之间分担,以增加带宽。
同时,这些捆绑在一起的链路通过相互间的动态备份,可以有效地提高链路的可靠性。
