虚拟化环境下的VM通信机制

虚拟化环境下的VM通信机制绿盟科技

2013年5月1VM通信机制概述

3802.1Qbh4802.1BR2802.1Qbg5VN-Tag6总结VM通信机制概述虚拟机通信技术的发展VM通信原理VM通信标准802.1QbgVEBVEPAMulti-Channel提出方HP(H3C)/IBM等服务器厂家模式本质vSwitch简化的vSwitch通道要求网络hairpin转发支持网络功能进入服务器服务器内支持部分网络功能网络功能只在服务器外部性质标准标准进展文稿完成，框架确定/标准流程审议VM通信标准802.1Qbh802.1BRVN-Tag提出方CiscoCiscoCisco模式本质通道通道通道部分网络功能回复到服务器内性质标准标准私有标准进展废除标准讨论私有应用802.1Qbg标准介绍802.1QbgIEEE802.1QBG技术实现原理VEB概述VEB指的是是VirtualEthernetBridges(虚拟以以太网网网桥桥)，该网网桥上上也有有虚拟拟端口口(VLANBridgePorts)，虚拟拟网卡卡对应应的接接口就就是和和网桥桥上的的虚拟拟端口口连接接，这这个连连接称称为VSI(VirtualStationInterface，虚拟拟终端端接口口)。VEB实际上上就是是一个个常规规的以以太网网网桥桥，可可以等等同于于视作作前面面提到到的vSwitch技术。。此外，，VEB也负责责虚拟拟网卡卡和外外部交交换机机之间间的报报文传传输，，但不不负责责外部部交换换机本本身的的报文文传输输，如如左图图所示示，1表示虚虚拟网网卡和和邻接接交换换机通通讯，，2表示虚虚拟网网卡之之间通通讯，，3表示VEB不支持持交换换机本本身的的互相相通讯讯。VEPA介绍VEPA指的是是将虚虚拟机机上若若干个个VSI口汇聚聚起来来，交交换机机发向向各个个VSI的报文文首先先到达达VEPA，再有有VEPA负责朝朝某个个VSI转发。。另外外一方方面，，VSI所生成成的报报文不不通过过VEB进行转转发，，而是是统统统汇聚聚在一一起通通过物物理链链路发发送到到交换换机，，由交交换机机来完完成转转发，，交换换机将将报文文送回回虚拟拟机或或将报报文转转发到到外网网。这这样既既可以以利用用交换换机实实现更更多的的功能能(如安全全策略略、流流量监监控统统计)，又可可以减减轻虚虚拟机机上的的转发发负担担VEPA报文传传输如下图图所示示，VEPA只支持持虚拟拟网卡卡和邻邻接交交换机机之间间的报报文传传输，，不支支持虚虚拟网网卡之之间报报文传传输，，也不不支持持邻接接交换换机本本身的的报文文传输输。对对于需需要获获取流流量监监控、、防火火墙或或其他他连接接桥上上的服服务的的虚拟拟机可可以考考虑连连接到到VEPA上。VEPA报文转转发过过程（（一））VEPA需要支支持虚虚拟机机之间间的报报文转转发，，否则则就无无法取取代VEB。如下下图所所示，，假设设服务务器上上有2个虚拟拟机VMA和VMB，服务务器通通过一一根物物理链链接连连接到到交换换机端端口1上，交交换机机端口口2和另外外一个个主机机host连接，，该主主机没没有运运行虚虚拟机机。当A和C通讯时时，交交换机机查地地址表表，发发现目目的C关联端端口2，则报报文从从端口口2转发。。VEPA报文转发发过程（（二）当A和B通讯时，，交换机机查地址址表，发发现目的的端口是是1，则报文文从端口口1转发。注注意，此此时使用用了reflectrelay机制。VEPA报文转发发过程（（三）当A发送广播播报文时时，报文文从端口口1和2发出，在在VEPA上过滤，，只向VMB发送。VEPA报文转发发过程（（四）当C发送广播播报文时时，报文文从端口口1发出，在在VEPA上分别向向VMA和VMB发送。基于VM的流量控控制通过VEPA和VSI发现功能能，将VM的流量统统统转移移到交换换机上来来进行传传输，可可以实现现基于VM的流量控控制。例例如，网网络管理理员可以以应用安安全策略略阻断某某个VM和其他VM的通讯，，或者控控制该VM只能和某某些指定定的VM通讯。VM自动迁移移通过VDP实现VSI和VSI类型的关关联、解解关联，，使得当当VM迁移时，，VSI类型也能能随之关关联到新新的端口口上。具体迁移移流程为为：1.VMA起初在station1上，通过过VDP关联某个个VSI类型，并并在bridge的port1上注册2.station1上的原VMA申请和原原VSI类型解关关联3.VMA迁移到station2上，通过过VDP关联相同同的VSI类型，并并在bridge的port2上注册802.1Qbh标准介绍绍802.1Qbh标准概述述除了802.1Qbg外，另外外一项扩扩展802.1Qbh，来允许许用户部部署远程程交换机机－－而而不是和和服务器器机柜相相邻的那那些交换换机——作为虚拟拟环境的的策略控控制交换换机。这这就是802.1Qbh起作用的的地方：：它允许许边缘虚虚拟桥复复制帧到到多个虚虚拟通道道上以便便发送给给一组远远程端口口。这样一来来，用户户便能够够利用瀑瀑布式的的串联端端口灵活活地设计计网络，，更有效效地为多多播、广广播和单单播帧分分配带宽宽。802.1Qbh的端口扩扩展能力力允许管管理员在在将策略略、ACL、过滤器器、QOS和其他参参数委托托给虚拟拟机时可可以选择择交换机机。端口口扩展槽槽安放在在刀片机机柜的背背板或者者个别刀刀片上，，其行为为和控制制交换机机的线速速卡类似似。802.1Qbh报文802.1Qbh的报文在在以太网网帧格式式中插入入了一个个E-TAG标记下图所示，用用于标记记VM连接的通通道和映映射到交交换机的的虚端口口。如下图展示了标标准中初初步定义义的E-TAG扩展字段段基本内内容。802.1Qbh报文802.1Qbh报文标签签802.1Qbh以明确标标出通道道(ChannelID)的方式，，在数据据内容中中显式标标识数据据的源端端，并支支持数据据复制能能力，这这也是对对性能的的局部优优化。此此处需要要补充一一下，802.1Qbh的数据格格式是经经过了两两个阶阶段的，，以前叫叫M-Tag，后来才才演进到到E-TAG方式，两两者之间间定义有有所差异异。802.1Qbh中的报文文标签802.1BR标准介绍绍802.1BR标准概述述802.1BR标准用于于网络对对虚拟机机迁移做做出动态态调整，，可以将将远程交交换机部部署为虚虚拟环境境中的策策略控制制交换机机，而不不是部署署成邻近近服务器器机架的的交换机机，通过过多个个虚拟通通道，让让边缘虚虚拟桥复复制帧到到一组远远程端口口，利用用瀑布式式的串联联端口灵灵活地设设计网络络，更有有效地为为多播帧帧、广播播帧和单单播帧分分配带宽宽。IEEE802.1Qbg与IEEE802.1BR的区别在在于，前前者主要要是解决决允许边边界桥对对虚拟机机迁移进进行恰当当反应。。它主要要关注服服务器设设备(EVB终端站)和边界桥桥(EVB桥)之间的操操作，以以及两两个设备备之间的的物理链链路信道道，在组组播或大大量信息息通过物物理链路路时，会会导致物物理链路路中相同同帧出现现多个副副本的问问题。而而IEEE802.1BR可通过添添加额外外标签信信息解决决这个问问题，也也就是只只允许一一个帧副副本被发发送和复复制在服服务器中中，从而而减少了了组播状状况下的的带宽占占用，当当然这需需要更多多的硬硬件资源源来支持持，可以以看出IEEE802.1Qbg与IEEE802.1BR各有千秋秋。802.1BR报文格式式802.1BR是802.1Qbh的替代协协议，但但基本内内容有所所修改，，报文在在以太网网帧格式式中插入入了一个个E-TAG标记如下图所示，，用于标标记VM连接接的的通通道道和和映映射射到到交交换换机机的的虚虚端端口口,差异处处是将将802.1Qbh中原来来保留留的字字段进进行了了明确确定义义。下图展示了了标准准中初初步定定义的的E-TAG扩展字字段基基本内内容。。802.1BR的报文文格式式802.1BR报文标标签802.1BR中的报报文标标签802.1BR与802.1Qbh本身是是同一一技术术，只只是将将通道道属性性信息息填充充到了了保留留位，，前者者在通通道控控制上上更灵灵活。。VN-Tag标准介介绍VN-Tag标准概概述（（一））虚拟化化平台台软件件如VMWareESX部署之之后，，会模模拟出出一整整套硬硬件资资源，，包括括CPU、硬盘盘、显显卡，，以及及网卡卡，虚虚拟机机运行行在物物理服服务器器的内内存中中，通通过这这个模模拟网网卡对对外交交换数数据，，实际际上这这个个网卡卡并不不存在在，将将其定定义为为一个个虚拟拟网络络接口口VIF（VirtualInterface）。VN-tag是由Cisco和VMWare共同提提出的的一项项标准准，其其核心心思想想是在在标准准以太太网帧帧中增增加一一段专专用的的标记记—VN-Tag，用用以区区分不不同的的VIF，从而而识别别特定定虚拟拟机的的流量量。思科针对对VN-Tag推出了了名为为Palo的虚拟拟服务务器网网卡，，Palo卡为不不同的的虚拟拟机分分配并并打上上VN-Tag标签，，上联联交换换机与与服务务器之之间虽虽然只只有一一条网线，但通通过VN-Tag上联交交换机机能区区分不不同虚虚拟机机产生生的流流量，，并在在物理理交换换机上上生成成对应应的虚虚拟接接口VEth，和虚虚拟机机的VIF一一对对应，，好像像把虚虚拟机机的VIF和物理理交换换机的的VEth直接对对接起起来，，全部部交换换工作作都在在上联联交换换机上上进行行，即即使是是同一一个物物理服服务器器内部部的不不同虚虚拟机机之间间的流流量交交换，，也通通过上上联交交换机机转转发。。这样样的做做法虽虽然增增加了了网卡卡I/O，但通通过VN-Tag，将网网络的的工作作重新新交回回到网网络设设备。VN-Tag报文格格式VN-Tag是Cisco私有技技术，，曾经经宣称称其FE/PE设备能能够同同时兼兼容802.1Qbh和802.1BR。如下图所示示，报报文在在以太太网帧帧格式式中插插入了了一个个VN-TAG标记，，用于于标记记VM连接的的通道道和映映射到到交换换机的的虚端端口。。下图展示示了标标准中中初步步定义义的E-TAG扩展字字段基基本内内容。。VN-Tag的报文文格式式VN-Tag报文标标签从VN-Tag与802.1BR/802.1Qbh报文显显著的的差异异来看看，两两者之之间是是无法法互相相解释释的，，Cisco在产品品中说说VN-tag的设备备会同同时时兼容容802.1Qbh，应该该难度度较大大，一一则VN-Tag出来的的早，，802.1Qbh讨论比比较晚晚(802.1Qbh的报文文格式式两个个阶段段也是是不同同的);，二二则802.1Qbh废除后后到了了802.1BR，格式式更加加不一一样了了。VN-Tag中的报报文标标签各种标标准比较（一））控制协协议比比较各种标标准比较（二））转发差差异比比较总结总结从技术术模型型的比比较可可看出出，802.1BR的功能能完全全是网网络向向服务务器内内的扩扩展，，针对对VM的连接接、感感知并并没有有定义义内容容，因因此如如果在在此基基础上上叠加加802.1QbgVDP协议，，并进进行一一些802.1BR的修