Rychlokurz: Serverová virtualizace a sítě

5. 1. 2010

Sdílet

V posledních několika letech se virtualizace různých částí IT prostředí stala víceméně běžnou záležitostí. Co však nebylo příliš často otevíráno, je problematika sítí ve virtualizovaných prostředích. Přitom ale jde o poměrně závažné téma.

Je ovšem potřeba počítat s tím, že nNěkolik serverů sdílejících jednu nebo i dvě síťové karty se bude chovat poněkud jinak, než když bude mít každý server své vlastní připojení.

Virtualizace síťových rozhraní, respektive realizace spojení virtuálních serverů s okolím se děje prostřednictvím takzvaných virtuálních switchů, tedy specifických aktivních prvků, které však mají velké množství funkcí společných s fyzickými aktivními prvky. I na těchto zařízeních totiž lze definovat použití sítí VLAN za pomoci 802.1q VLAN tagingu, privátních sítí nebo určit pravidla pro základní zabezpečení komunikace.

Z pohledu virtualizovaných serverů (VS) je ale důležitá jedna věc. VS o této struktuře „neví“ – každý z nich je vybaven jednou nebo více síťovými kartami, které se z pohledu použitého operačního systému jeví jako  „fyzické“ s vlastním ovladačem, MAC adresou a s přidělenou příslušnou IP adresou. Takové virtuální síťové rozhraní je proto plně funkční a prakticky nikdy neztratí konektivitu, protože virtuální switch je neustále spuštěný.

Poněkud komplikovanější je však připojení takového virtuálního přepínače do fyzického prostředí. Zde existuje několik možností.


·    Zapojení s jednou fyzickou síťovou kartou
V této konfiguraci dva servery využívají virtuální switch prostřednictvím jediné fyzické síťové karty. Protože každý VS má vlastní kartu s unikátní MAC adresou, jedinečnou IP adresou a zároveň se virtuální switch chová jako běžný aktivní síťový prvek, je komunikace mezi zmíněnými servery a vnějším světem plně transparentní. Jestliže bude docházet k ovlivňování síťového provozu jednotlivých virtuálních serverů, závisí pouze na rychlosti fyzické karty sloužící jako uplink pro onen přepínač a také samozřejmě na intenzitě provozu jednotlivých VS.

V současné době, kdy již v podstatě není nabízen žádný server bez gigabitového rozhraní, ale už nejsou obavy o nedostatečnou propustnost síťového interfejsu pro virtualizovaná prostředí na místě.

I ve výše uvedené konfiguraci, tedy u serveru s jednou fyzickou ethernetovou kartou, je však možné zajistit provoz VS v oddělených sítích, a to v případě, pokud jsou tyto segmenty rozlišeny pomocí VLAN. V takovém případě jsou pak na virtuálním přepínači vytvářeny takzvané skupiny portů. Každá z nich pak umožňuje připojit virtuální server k patřičné VLAN. Režim portu fyzického aktivního síťového prvku, do kterého je připojena fyzická síťová karta serveru, by pak měl být nastaven do tzv. módu Trunk.

·    Zapojení s více fyzickými síťovými kartami
Další možností zapojení virtuálního switche je nasazení s více fyzickými síťovými kartami v serveru. Funkce takového přepínače jsou přitom naprosto stejné jako v předchozím případě. Jediným, zato však významným rozdílem, je to, že je použito více fyzických síťových karet pro připojení do infrastruktury. Tento způsob dovoluje využít přenosové kapacity více fyzických karet najednou a sloučit je do jednoho „tunelu“ z důvodu zvýšení propustnosti datových toků z, respektive  do virtuálních serverů. V případě vysoké koncentrace VS na jednom fyzickém stroji je taková konfigurace odborníky velmi doporučována, protože s rostoucím množstvím serverů na jeden virtuální switch rostou významně i požadavky na jeho propustnost.

Samozřejmostí při použití alespoň dvou fyzických síťových karet je i možnost konfigurace typu fault-tolerant, tedy zajištění bezvýpadkového provozu i v případě havárie jedné z fyzických síťových karet.

Ve všech uvedených případech je spojování fyzických síťových karet zajišťováno použitou virtualizační platformou. Každý virtuální server má jen jedno síťové rozhraní, takže není potřeba řešit specializované ovladače nebo software pro zajištění zmíněných funkcionalit na úrovni operačních systémů zmíněných serverů.

·    Zapojení bez fyzické síťové karty
Třetí možností využití virtuálního switche je zapojení bez fyzické síťové karty. I když to tak nemusí na první pohled vypadat, jedná se o jedno z velmi používaných zapojení, a to především pro testovací účely anebo pro budování zabezpečených demilitarizovaných zón (DMZ). Virtuální switch bez fyzického propojení s vnějším světem umožňuje komunikaci bez omezení mezi virtuálními servery, jež jsou k němu připojeny.

Takto je tedy možné bez potíží vybudovat testovací prostředí například pro vývoj specifické aplikace s vazbou na doménové nebo jiné systémy, které je velmi obtížné nebo dokonce nemožné mít vedle sebe v jedné fyzické síti. Stejně tak je poměrně jednoduché tímto způsobem vybudovat bezpečné DMZ. Možnost zapojení virtuálních serverů v případě potřeby vytvoření firewallu a zabezpečeného serveru v DMZ v rámci jediného fyzického serveru je znázorněn na příslušném obrázku.

Závěrem
Detailní informace o tom, jak každý výrobce virtualizační platformy využívá výše popsané obecné principy nasazení virtuálních přepínačů, respektive jakým způsobem si je upravil ke svým potřebám a co vše nabízí jako přidanou hodnotu, lze nalézt na příslušných internetových stránkách. Mezi nejčastěji zmiňované dodavatele patří například společnost Citrix (a její produkt XenServer), Microsoft (produkt Hyper-V) či VMware (vSphere a ESX 4).

Autor pracuje jako  Solution Architect ve společnosti soft-tronik.