知无涯者书:思科数据中心虚拟化技术和部署

　　数据中心的虚拟化有很多的技术优点：可以通过整合或者共享物理资产来提高资源利用率，调查公司的结果显示，全球多数的数据中心的资源利用率在15%～20%之间，通过整合、虚拟化技术可以实现50%～60%的利用率;通过虚拟化技术可以实现节能高效的绿色数据中心，如可以减少物理设备、电缆，空间、电力、制冷等的需求;可以实现对资源的快速部署以及重部署以满足业务发展需求。

　　数据中心虚拟化的简单示意图。

　　数据中心的资源，包括服务器资源、I/O资源、存储资源组成一个资源池，通过上层的管理、调度系统在智能的虚拟化的网络结构上实现将资源池中的资源根据应用的需求分配到不同的应用处理系统。虚拟化数据中心可以实现根据应用的需求让数据中心的物理IT资源流动起来，更好的为应用提供资源调配与部署。

　　数据中心虚拟化发展的第一个阶段是通过整合实现服务器和应用的虚拟化服务，这阶段的数据中心也是很多公司已经做的或正要做的。在这一阶段，数据中心虚拟化实现的是区域内的虚拟化，表现为数据中心的服务如网络服务、安全服务、逻辑服务还是与物理服务器的部署相关联;虚拟机上的VLAN与网络交换层上的VLAN对应;存储LUN以类似映射到物理服务器的方式映射到虚拟机。如下图。

　　数据中心虚拟化发展的第二个阶段是通过虚拟主机迁移技术(VM's Mobility)实现跨物理服务器的虚拟化服务。如下图。

　　在这个阶段，实现了数据中心内的跨区域虚拟化，虚拟机可以在不同的物理服务器之间切换，但是，为满足虚拟机的应用环境和应用需求，需要网络为应用提供智能服务，同时还需要为虚拟化提供灵活的部署和服务。

　　思科在下一代的数据中心设计中采用统一交换的以太网架构，思科数据中心统一交换架构的愿景图如下。

　　改进之前的数据中心物理上存在几个不同的网络系统，如局域网架构、SAN网络架构、高层的计算网络架构、管理控制网络架构，各个网络上采用的技术不同，如局域网主要采用以太网技术，SAN网络主要采用Fiber Channel技术。而在思科的下一代统一交换架构数据中心中，数据中心的服务器资源、存储资源、网络服务等都通过统一的交换架构连接在一起，数据中心只有一个物理网络架构，可以实现动态的资源调配，提升效率和简化操作。

　　统一交换架构下数据中心的虚拟化如下图。

　　统一交换架构下数据中心虚拟化简化了数据中心的管理和运维，实现了真正的任意IT资源之间的灵活连接，实现了统一的I/O，在统一的I/O上可以实现最新的万兆网、无丢失(FCoE)、低延时的数据中心以太网技术。统一交换架构下数据中心虚拟化为未来的进一步的虚拟化和基于云计算的数据中心提供了平台。

　　数据中心虚拟化架构包括数据中心前端虚拟化、服务器虚拟化、数据中心后端虚拟化。如下图。

　　下面按数据中心层次化设计中的核心层、汇聚层、接入层依次介绍思科在前端虚拟化上的最新的一些技术实现。

　　思科数据中心核心层虚拟化技术。

　　思科为数据中心级和园区骨干网级网络提供了Nexus交换机网络技术和Nexus系列产品。Nexus系列产品中采用了VDC(Virtual Device Content)技术，可以将一台物理交换机逻辑上模拟成多台虚拟交换机，如下图模拟出的两个虚拟交换机VDC1和VDC2。

　　VDC技术可以实现每个模拟出的VDC都拥有它自身的软件进程、专用硬件资源(接口)和独立的管理环境，可以实现独立的安全管理界限划分和故障隔离域。VDC技术有助于将分立网络整合为一个通用基础设施，保留物理上独立的网络的管理界限划分和故障隔离特性，并提供单一基础设施所拥有的多种运营成本优势。

　　VDC可以实现故障域隔离，如下图。

　　一个VDC为所有的运行在它上面的进程建立故障隔离域，如图中VDC B中的“DEF”进程发生故障后不会影响到VDC A中的“DEF”进程。

　　VDC的端口分配如下图。

　　端口分配到各VDC后不能在VDC之间共享，一旦某一端口分配到一个VDC，就只能在那个VDC中对该端口进行配置。(*注 上图中右下角应为VDC D)。

　　VDC 资源使用示意图一如下。

　　在一个VDC中的MAC地址只会广播到有接口分配到该VDC上的Linecard地址表中，如图中的Linecard 1和Linecard 2，它们都有接口分配到VDC 10。

　　VDC 资源使用示意图如下。

　　Linecard 1和Linecard 2都给VDC-2分配了100k的FIB TCAM和50k的ACL TCAM资源。

　　VDC安全分区技术应用如下图。

　　最上面的两个模型是现在应用的比较多的，但用户可能希望能实现中间的内外分明的架构，这可以通过最下面的两个VDC的应用来实现，其中一个VDC为Outside，另一个为Inside，之间通过防火墙连接。每个VDC可以运行独立的转发机制、路由机制、管理机制和登录机制。

　　VDC可以实现数据中心设计的水平整合，如下图。

　　当两个汇聚区不是很大时可以通过将一个Nexus设备划分为VDC 1和VDC 2来分别代替实现两个汇聚区。

　　VDC实现数据中心设计的垂直整合，如下图。一个Nexus设备模拟成Core VDC 和Agg VDC分别实现核心层和汇聚层功能。

　　vPC(virtual Port-Channel)技术。下图是传统的和使用了vPC技术的交换机互联逻辑拓扑图。vPC技术可以在Cisco Nexus 7000系列产品上实现。

　　传统的技术实现交换机互联时，如果互联结构中存在环路，则会block环路中的部分支路。vPC技术可以实现在单个设备上使用port-channel连接两个上行交换机，完全使用所有上行链路的带宽，并消除STP blocked ports，在link/device失效下提供快速收敛。

　　VPC设计和传统设计相比的优势如下图。

　　虚拟交换系统VSS(Virtual Switch System)。两台Cisco Catalyst 6500系列交换机通过VSS连接后可以实现如同操作单一逻辑交换机的效果。如下图。

　　虚拟交换系统VSS与vPC技术有一些不同的地方，如在控制层面上两个交换机有主次之分，但在数据处理上是双活的。

　　6500-VSS应用于数据中心接入：不再需要复杂的、难于诊断的STP;可以简化管理，实现一个管理点，一个路由和STP节点;系统总带宽提升至1.4Tbps。

　　6500-VSS应用于核心/汇聚层：实现网络系统虚拟化;提供机箱间的状态化切换(SSO)，改进无中断通信，切换时间〈200ms;跨机箱EtherChannel，优化路径选择。

　　VSS和vPC技术比较如下图。

　　ACE模块，实现服务器负载均衡和SSL，可以将一个物理设备虚拟成不同的功能区域，虚拟的功能区有独立的配置文件、路由表、应用规则设置等。

　　防火墙模块FWSM，可实现最多250个虚拟防火墙。

　　虚拟局域网VLANs需要时可以共享，如上图左边的VLAN 10，各虚拟防火墙可以有各自的策略设置。

　　虚拟技术联合应用示例如下图。

　　VSS技术框架下ACE和FWSM模块设计示例如下图。

　　汇聚层网络服务的部署设计。

　　思科数据中心接入层虚拟化技术

　　数据中心接入层的可选设计有Top of Rack(架顶)和Middle of Row(列头)，如下。

　　架顶式，一个机柜中一台或两台交换机连接1-RU(1机架单元，如20台)服务器。

　　列头式，可用于服务器占用空间较大时，交换机集中放置。

　　采用Nexus 5000做控制中心可控制多台远端Nexus 2000，联合使用效果图如下。

　　部署Nexus 2000的物理拓扑结构。

　　逻辑拓扑结构。

　　前端网络虚拟化技术各层面的简单汇总如下。

　　服务器虚拟化

　　服务器虚拟化有全部虚拟化、部分虚拟化、应用虚拟化三个发展需求，如下图。

　　在服务器VMotion(虚拟机迁移)过程中存在以下的问题：VMotion可以跨网络动态迁移虚拟机，管理策略上如何适应;无法察看本地交换流量和为其设定策略;无法识别一条物理链路上多个虚拟机的流量。

　　Cisco VN-Link技术针对这些问题实现：将网络延伸到服务器虚拟机;提供一致的连接服务;协调、统一的管理。VN-Link将网络交换延伸到服务器虚拟机，在服务器虚拟机的迁移过程中网络信息将伴随迁移。

　　VN-Link技术实现基于策略的虚拟机连接、网络与安全技术的移动、不间断的运行模式，示意图如下。

　　在虚拟机资源的迁移中，需要一起移动DRS，SW升级文件/补丁，硬件错误记录等。VN-Link能实现网络的虚拟迁移，虚拟机的安全防护，保留之前的连接状态等。

　　Cisco Nexus 1000V是思科最新的基于VN-Link技术的软件，也是业界首个第三方软件交换机，提供VN-Link特性，确保在VMotion过程中虚拟机的可视性和连通性。