Linux 中的虛擬網(wǎng)絡(luò).doc

Linux 中的虛擬網(wǎng)絡(luò)NICs，交換機，網(wǎng)絡(luò)和設(shè)備M. Tim Jones, 獨立作家簡介： 隨著平臺虛擬化的迅速發(fā)展，對公司生態(tài)系統(tǒng)的其他部分進行虛擬化也并不稀奇。最近的之一就是虛擬化網(wǎng)絡(luò)。平臺虛擬化的早期實現(xiàn)創(chuàng)建了虛擬 NICs，但是今天，網(wǎng)絡(luò)中更大的部分正在被虛擬化，例如支持在同一個服務(wù)器上或者分布在服務(wù)器間的 VM 間通信的交換機。專注于 NIC 和交換機虛擬化，探索虛擬網(wǎng)絡(luò)背后的創(chuàng)意。標記本文！發(fā)布日期： 2010 年 12 月 06 日級別： 中級原創(chuàng)語言： 英文訪問情況 7246 次瀏覽建議： 0 (添加評論)平均分 （共 9 個評分 ）聯(lián)系 Tim是我們最受歡迎、最多產(chǎn)的作者之一。 瀏覽 developerWorks 上 Tim 的所有文章。查看 Tim 的個人信息，并在 My developerWorks 中與 Tim、其他作者和各位讀者聯(lián)系?，F(xiàn)在計算又重新興盛起來。雖然虛擬化出現(xiàn)是在幾十年前，但通過商品硬件的使用，它真正的潛力現(xiàn)在才被認識到。虛擬化加強了服務(wù)器負載的效率，但服務(wù)器生態(tài)系統(tǒng)的其他部分也成為了未來加強的選項。許多人視虛擬化為 CPU，內(nèi)存和存儲的鞏固，但是這樣太過簡單化解決方案了。網(wǎng)絡(luò)是虛擬化的一個關(guān)鍵方面，代表虛擬化設(shè)置中第一等的元素。虛擬化網(wǎng)絡(luò)我們從問題的高層次開始探索，然后深入到 Linux 構(gòu)建和支持的網(wǎng)絡(luò)虛擬化各種方法。在傳統(tǒng)環(huán)境中（見圖 1 ），一系列物理服務(wù)器支持所需的應(yīng)用程序設(shè)置。為了實現(xiàn)服務(wù)器間的通信，每個服務(wù)器都包含一個或者多個網(wǎng)絡(luò)接口卡（NICs），它們連接到一個外部網(wǎng)絡(luò)設(shè)施上。帶有網(wǎng)絡(luò)軟件棧的 NIC 通過網(wǎng)絡(luò)設(shè)施支持端點間的通信。正如圖 1 所示，這個在功能上表示為一個交換機，它支持參與其中的端點間的高效數(shù)據(jù)包通信。圖 1. 傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)服務(wù)器合并背后的關(guān)鍵改革是物理硬件的抽象，允許多操作系統(tǒng)和應(yīng)用程序共享硬件（見圖 2）。這一改革名為 hypervisor （或者 virtual machine VM monitor）。每個 VM（一個操作系統(tǒng)和應(yīng)用程序設(shè)置）視底層硬件為非共享的，一個完整機器，即使它們部分可能并不存在，或者被多個 VM 共享。虛擬的 NIC（vNIC）就是一個例子。管理程序為每個 VM 創(chuàng)建一個或者多個 vNICs。這些 NICs 對 VM 可以作為物理 NICs，但是它們實際上只表示 NIC 的接口。管理程序也允許虛擬網(wǎng)絡(luò)的動態(tài)構(gòu)建，由虛擬交換機完成，支持可配置的 VM 端點間的通信。最后，管理程序還允許和物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的通信，通過將服務(wù)器的物理 NICs 連接到管理程序的邏輯設(shè)施，允許管理程序中 VMs 間高效的通信，以及和外部網(wǎng)絡(luò)的高效通信。在 參考資料 部分，您將會找到更多關(guān)于 Linux 管理程序信息的鏈接（開源操作系統(tǒng)的豐富區(qū)域）。圖 2. 虛擬的網(wǎng)絡(luò)設(shè)施虛擬網(wǎng)絡(luò)設(shè)施還支持其他有趣的革新，比如虛擬設(shè)備。除了虛擬網(wǎng)絡(luò)的元素以外，我們還關(guān)注這些內(nèi)容，作為該探索的一部分?；仨撌滋摂M交換機虛擬網(wǎng)絡(luò)設(shè)施的關(guān)鍵開發(fā)之一就是虛擬交換機的開發(fā)。虛擬交換機連接 vNICs 到服務(wù)器的物理 NICs，并且 更重要的是它將 vNICs 連接到服務(wù)器中的其他 vNICs，進行本地通信。這之所以有趣是因為在一個虛擬交換機中，所受限制和網(wǎng)絡(luò)速度無關(guān)，而是和內(nèi)存帶寬有關(guān)，它允許本地 VMs 間的高效通信，并且最小化網(wǎng)絡(luò)設(shè)施的開銷。這個節(jié)省是源自物理網(wǎng)絡(luò)只用于服務(wù)器間的通信，服務(wù)期間的跨 VM 通信被隔離。但是，因為 Linux 已經(jīng)在內(nèi)核中包含一個 2 層交換機，所以有人可能會問，為什么會需要虛擬交換機？答案包括多個屬性，但是最重要之一的是由這些交換機類型的新分類定義的。新的類名為 分布式虛擬交換機，它采用使底層服務(wù)器架構(gòu)更透明的方法，支持跨服務(wù)器橋接。一個服務(wù)器中的虛擬交換機能夠透明地和其他服務(wù)器中的虛擬交換機連接（見 圖 3），使服務(wù)器間（以及它們的虛擬接口）的 VM 遷移更簡單，因為它們可以連接到另一個服務(wù)器的分布式虛擬交換機，并且透明地連接到它的虛擬交換網(wǎng)絡(luò)。圖 3. 分布式虛擬交換機在這期間最重要的項目之一名為 Open vSwitch， 接下來本文會探討這部分內(nèi)容。在服務(wù)器中隔離本地流量的一個問題就是流量不是外部可視的（例如，對網(wǎng)絡(luò)分析員）。實現(xiàn)通過各種計劃解決了這一問題，例如 OpenFlow，NetFlow 和 sFlow，它們還用于輸出遠程訪問來控制和監(jiān)控流量。Open vSwitch分布式虛擬交換機的早期實現(xiàn)已經(jīng)結(jié)束，并且受限于管理程序?qū)Ｓ性O(shè)置的操作。但是在今天的云環(huán)境中，支持多管理程序共存的異構(gòu)環(huán)境是很理想的。Open vSwitch 是一個多層的虛擬交換機，在 Apache 2.0 許可下可用作為開放資源。截止 2010 年 5 月，Open vSwitch 已有版本 1.0.1 可用，并且支持一系列有用的功能。Open vSwitch 支持領(lǐng)先的開源管理程序解決方案，包括基于內(nèi)核的 VM（KVM），VirtualBox，Xen 和 XenServer。它還是當前 Linux 橋模塊的下拉替換。Open vSwitch 由交換機守護，管理基于流的交換機的配套內(nèi)核模塊組成。還存在各種其他的守護程序和實體，用于管理交換機（特別是從 OpenFlow 方面）。您可以在用戶空間完全運行 Open vSwitch，但是這么做會導(dǎo)致性能的下降。除了為 VM 環(huán)境提供一個生產(chǎn)品質(zhì)的交換機，Open vSwitch 還有令人印象深刻的功能路線圖，和其他相似的、專有的解決方案競爭?；仨撌拙W(wǎng)絡(luò)設(shè)備虛擬化NIC 硬件的虛擬化以各種形式已經(jīng)存在了一段時間 在虛擬交換機出現(xiàn)之前。本節(jié)將說明實現(xiàn)和硬件加速的部分內(nèi)容，它們可用于改善網(wǎng)絡(luò)虛擬化的速度。QEMU雖然 QEMU 是一個平臺模擬器，但它還提供各種硬件設(shè)備的軟件模擬，包括 NICs。此外，QEMU 還提供了用于 IP 地址分配的內(nèi)部 Dynamic Host Configuration Protocol 服務(wù)器。QEMU 和 KVM 一起運作，提供平臺模擬和獨立的設(shè)備模擬，為基于 KVM 的虛擬化提供平臺。您可以在 參考資料 部分了解更多關(guān)于 QEMU 的內(nèi)容。virtiovirtio 是一個 Linux 的輸入/輸出（I/O）準虛擬化框架，它簡化并加快了 VM 到管理程序的 I/O 通信。virtio 創(chuàng)建了 VM 和用于虛擬塊設(shè)備，通用的外圍組件互連（PCI）設(shè)備，網(wǎng)絡(luò)設(shè)備等的管理程序間 I/O 的標準化傳輸機制。您可以在 參考資料 部分了解更多 virtio 的內(nèi)容。TAP 和 TUN虛擬化在網(wǎng)絡(luò)棧中實現(xiàn)已經(jīng)有一段時間了，允許 VM 訪客網(wǎng)絡(luò)棧訪問主機網(wǎng)絡(luò)棧。計劃之二就是 TAP 和 TUN。TAP 是一個虛擬網(wǎng)絡(luò)內(nèi)核驅(qū)動，該驅(qū)動實現(xiàn) Ethernet 設(shè)備，并在 Ethernet 框架級別操作。TAP 驅(qū)動提供了 Ethernet “tap”，訪客 Ethernet 框架能夠通過它進行通信。TUN（或者網(wǎng)絡(luò)“通道”）模擬網(wǎng)絡(luò)層設(shè)備，并且在 IP 數(shù)據(jù)包的較高層進行通信，這些數(shù)據(jù)包提供一些優(yōu)化，因為底層 Ethernet 設(shè)備能夠管理 TUN 的 IP 數(shù)據(jù)包的 2 層框架。I/O 虛擬化I/O 虛擬化來自在硬件層上支持加速虛擬化的 PCI-Special Interest Group（SIG）的標準化計劃。特別是，Single-root IOV（SR-IOV）提供一個接口，通過它獨立的 PCI Express（PCIe）卡能夠作為多 PCIe 卡出現(xiàn)在眾多用戶面前，允許多個獨立的驅(qū)動連接到 PCIe 卡，無需相互了解。SR-IOV 通過將虛擬功能擴展到各種用戶來實現(xiàn)，這是作為 PCIe 空間的物理功能，但是在卡中作為共享功能表示。SR-IOV 帶給網(wǎng)絡(luò)虛擬化的好處就是性能。比起實現(xiàn)物理 NIC 共享的管理程序，卡自身實現(xiàn)復(fù)合，允許從訪客 VM I/O 接口直接到卡的通路。Linux 今天包含對 SR-IOV 的支持，這對 KVM 管理程序很有好處。Xen 也包括對 SR-IOV 的支持，允許它高效地向訪客 VMs 顯示 vNIC。對 SR-IOV 的支持在 Open vSwitch 的路線圖上。虛擬 LANs雖然相關(guān)，但是虛擬 LANs（VLANs）是網(wǎng)絡(luò)虛擬化的物理方法。VLANs 提供創(chuàng)建跨分布網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)的能力，這樣就會出現(xiàn)不同的主機（在獨立的網(wǎng)絡(luò)上），如果它們是相同廣播域的一部分。VLANs 通過使用 VLAN 信息標記框架完成這個，用來識別特定 LAN（按照 Institute of Electrical and Electronics Engineers IEEE 802.1Q 標準）的成員關(guān)系。主機和 VLAN 交換機一起運作，進行物理網(wǎng)絡(luò)虛擬化。然而，雖然 VLANs 提供獨立網(wǎng)絡(luò)的假象，但它們共享同一個網(wǎng)絡(luò)以及可用帶寬，影響阻塞帶來的結(jié)果。硬件加速許多針對 I/O 的虛擬化加速開始出現(xiàn)，尋址 NICs 和其他設(shè)備。Intel Virtualization Technology for Directed I/O（VT-d）提供隔離 I/O 資源的功能來獲得改進的可靠性和安全性，它包括重映射直接內(nèi)存訪問（使用多級頁表）和設(shè)備相關(guān)的中斷重映射，支持未修正的和虛擬化感知的訪客。Intel Virtual Machine Device Queues（VMDq）還通過硬件中的嵌入排序和智能排序，加速了在虛擬化設(shè)置中的網(wǎng)絡(luò)通信流，實現(xiàn)了管理程序較低的 CPU 利用率和總體系統(tǒng)性能的更大程度改善。Linux 包含對兩者的支持?；仨撌拙W(wǎng)絡(luò)虛擬設(shè)備目前為止，本文探討了 NIC 設(shè)備和交換機的虛擬化，當前實現(xiàn)的部分內(nèi)容，通過硬件加速虛擬化的部分方法?，F(xiàn)在，我們將這個討論擴大到通常的網(wǎng)絡(luò)服務(wù)。虛擬化范圍內(nèi)的有趣革新之一就是從服務(wù)器整合演化而來的生態(tài)系統(tǒng)。比起將應(yīng)用程序投入到特定的硬件版本，服務(wù)器的一部分和服務(wù)器內(nèi)擴展服務(wù)的強大 VM 相隔離。這些 VMs 被稱為 虛擬設(shè)備， 因為它們關(guān)注一個特定的應(yīng)用程序，被部署用于虛擬化設(shè)置。虛擬設(shè)備通常連接到管理程序 或者有管理程序的良好網(wǎng)絡(luò)設(shè)置 來擴展特定的服務(wù)。這個之所以獨特是因為，在合并服務(wù)器中，處理功能的部分（例如核）和 I/O 帶寬能夠為虛擬設(shè)備動態(tài)地配置。這個功能使它更成本有效（因為一個獨立的服務(wù)器并不會為它而被隔離），并且您能夠根據(jù)在服務(wù)器上運行的其他應(yīng)用程序的需求，動態(tài)地改變它的功能。虛擬設(shè)備還能更易于管理，因為應(yīng)用程序被綁定在操作系統(tǒng)中（在 VM 內(nèi)）。無需特殊配置，因為 VM 是作為整體進行預(yù)配置的。這對于虛擬設(shè)備來說是個值得考慮的好處，這也是今天它一直發(fā)展的原因。虛擬設(shè)備已經(jīng)為許多企業(yè)軟件進行了開發(fā)，并且包括 WAN 優(yōu)化，路由器，虛擬專用網(wǎng)，防火墻，防止/檢測入侵的系統(tǒng)，郵件分類和管理等等。除了網(wǎng)絡(luò)服務(wù)以外，虛擬設(shè)備還用于存儲，安全，應(yīng)用程序框架以及內(nèi)容管理?；仨撌捉Y(jié)束語曾幾何時一切都可管理還是物理上可實現(xiàn)的。但是今天，在我們不斷虛擬化的世界中，物理設(shè)備和服務(wù)已經(jīng)消失不見。物理網(wǎng)絡(luò)被虛擬化地分割，允許通信隔離和跨地理實體的虛擬網(wǎng)絡(luò)的構(gòu)建。應(yīng)用程序消失在虛擬設(shè)備中，這些設(shè)備在強大服務(wù)器的核之間被分割，雖然為管理者添加了很多復(fù)雜性，但是也提供了更好的靈活性，改善了可管理能力。當然，Linux 就走在前沿。參考資料學習 Linux 代表了良好的操作系統(tǒng)和虛擬化解決方案的平臺。您可以在 虛擬 Linux（developerWorks，2006 年 12 月）和 剖析 Linux hypervisor（developerWorks，2009 年 5 月）了解到更多關(guān)于 Linux 和虛擬化的內(nèi)容。 Linux 實現(xiàn)了名為 virtio 的 I/O 虛擬化框架（由 KVM 使用）。virtio 為高效的準虛擬化驅(qū)動開發(fā)提供了通用框架。您可以在 Virtio：針對 Linux 的 I/O 虛擬化框架（developerWorks，2010 年 1 月）了解更多關(guān)于 virtio 及其內(nèi)在的內(nèi)容。 SR-IOV 提供了對被多個訪客 VM 使用的物理適配器進行虛擬化的方法。您可以在 Linux 虛擬化和 PCI 透傳技術(shù)（developerWorks，2009 年 10 月）讀到更多關(guān)于設(shè)備模擬和 I/O 虛擬化的內(nèi)容。 SR-IOV 允許多訪客操作系統(tǒng)共享 PCIe 設(shè)備。您可以從 Intel 硬件設(shè)計網(wǎng)站 了解更多關(guān)于 SR-IOV 的內(nèi)容。PCI-SIG 提供了各種 IOV 技術(shù)的規(guī)格。 虛擬設(shè)備是軟件設(shè)備傳輸?shù)南鄬^新形式。虛擬設(shè)備中的重要目標就是共享的能力，而不是一個管理程序的最大便攜性。在這個方向上的一個方法就是 Open Virtualization Format（OVF），它定義了虛擬設(shè)備元數(shù)據(jù)的格式。您可以在 虛擬設(shè)備和 Open Virtualization Format（developerWorks，2009 年 10 月）了解更多關(guān)于虛擬設(shè)備和 OVF 的內(nèi)容。 QEMU 是全計算機系統(tǒng)的開源模擬器，還提供完全的虛擬化解決方案（通過模擬）。您可以在 使用 QEMU 進行系統(tǒng)仿真（developerWorks，2007 年 9 月）了解更多關(guān)于 QEMU 的內(nèi)容。 IEEE 802.1Q標準提供了 VLAN 標記的網(wǎng)絡(luò)標準，定義了設(shè)備虛擬隔離中位于 MA