Síťové přepínání pro virtuální svět (1.)

Zatímco virtualizace datového centra na úrovni serverů je už poměrně uspokojivě vyřešena, změna týkající se podpory síťové infrastruktury pro takové prostředí je teprve na začátku své cesty.


V současných datových centrech (DC) se objevují nové technologie a řešení, které reflektují vliv masivní virtualizace serverů na síťovou infrastrukturu datových center. Zajímavé jsou především dvě oblasti – virtualizace přístupové vrstvy ethernetové síťové infrastruktury a efektivnější využití její kapacity v souvislosti s přechodem na nový výpočetní model.

Virtualizaci serverů řeší takzvaný hypervizor, softwarová vrstva zajišťující nezávislou funkčnost jednotlivých virtuálních strojů (VM) nad fyzickým hostitelským zařízením – serverem. Hypervizor poskytuje jednotlivým VM virtualizované ovladače komponent serveru – například síťových adaptérů (vNIC, vmnic).  Pro operační systém příslušného VM pak tyto drivery reprezentují fyzická rozhraní.

Na úrovni serverů je tedy problém virtualizace v zásadě vyřešen. Jiná situace je ovšem v oblasti přístupové vrstvy sítě. Síťový prvek není schopen dostatečně rozlišit jednotlivé VM, jelikož nemá informaci o jejich identitě. VM se navíc může dynamicky přesouvat mezi jednotlivými fyzickými zařízeními jak v rámci jednoho datového centra (DC), tak i mezi primárním a záložním DC. To má zásadní vliv na (ne)možnost rozumné kontroly nad daty a jejich bezpečností. Jako příklad je možné uvést velice obtížné, ne-li nemožné nasazení přístupových pravidel (ACL) nebo úrovně kvality služeb (QoS) na přístupových síťových prvcích pro určitý VM.

Další výzvou je obecně správa síťového prostředí. V rámci hypervizoru běží virtuální přepínač (vSwitch, VEB, Virtual Ethernet Bridge) zajišťující bridging (přemostění) mezi jednotlivými VM (respektive vNIC) a připojeným externím přepínačem. Každý z těchto virtuálních přepínačů potřebuje příslušnou správu, takže celkový počet spravovaných switchů v DC výrazně narůstá. A především, VEB spadá svou podstatou do jiné administrativní domény než přepínače v přilehlé síti – servery přece administrují jiní správci, než je tomu v případě komunikační sítě.

Edge Virtual Bridging
Svět sítí tento stav samozřejmě nenechává chladným. Organizace IEEE pracuje na standardech, které problematiku virtualizace přístupové vrstvy intenzivně řeší. Jedním z výstupů je specifikace 802.1Qbg Edge Virtual Bridging (EVB).

První, s čím tento vznikající standard počítá, je VEPA (Virtual Port Ethernet Aggregator). To představuje možnou alternativu k VEB. Jde vlastně o úpravu chování přeposílání rámců standardního VEB tak, že je veškerý provoz transportován fyzickým rozhraním směrem k externímu přepínači. Nelze tedy rámce přeposlat interně přímo mezi jednotlivými VM, jak je to charakteristické pro řešení VEB.

Externí switche ovšem musí toto chování podporovat. 802.1 bridge totiž nedovoluje poslat rámec zpět na stejné fyzické rozhraní ve stejné VLAN. Implementace přes takzvaný hairpinning mód je v řadě současných přepínačů proveditelná pouhým upgradem firmwaru. Jednoduchost implementace se bohužel odráží v řadě nevýhod. Zásadní je mimo jiné to, že přestože externí switch nyní vidí veškerý provoz mezi jednotlivými VM, stále nemá informaci o jejich samotné identitě.

Jádro standardu 802.1Qbg tedy spočívá jinde, a to ve specifikaci protokolů, procedur a objektů, které zajistí přenos informace o identitě VM nebo skupiny VM na externí přepínač.

V praxi vytvoří administrátor jednotlivé typy VSI (Virtual Switch Interface) pro VM. Standard 802.1Qbg definuje mimo jiné protokol, který umožní externímu přepínači zjistit typy VSI z připojených koncových stanic.  Jiný protokol mezi S_VLAN komponentami sestaví takzvaný S-channel. S-VLAN komponenta koncové stanice pak označí rámce tagem nesoucím informaci i o příslušném typu VSI. Zmíněná komponenta v přepínači na opačném konci S-channelu tag zase odstraní a přepínač podle informací v tagu aplikuje na provoz z daného VSI profil s příslušnou politikou.

V současné době existují implementace, které jsou ideově standardu 802.1Qbd blízké. K dispozici je například softwarová implementace distribuovaného virtuálního přepínače pro vSphere. vNIC virtuálního stroje je v této implementaci propojen s virtuálním ethernetovým rozhraním (vEth) distribuovaného switche přes takzvaný VN-Link. Data z vNIC jsou označena VNTagem přidaným do ethernetové hlavičky (jde tedy o obdobu S-tagu). Podle VNTagu pak vEth následuje vNIC při přesunu VM z jednoho fyzického serveru na druhý. Pravidla, jako je nastavení ACL nebo QoS, jsou zde svázána s vEth a při přesunu VM tak zůstávají plně zachována.

Bridge Port Extension
Druhou specifikací reflektující virtualizaci přístupové vrstvy je draft 802.1Qbh Bridge Port Extension. Konečný standard bude specifikovat protokoly, procedury a objekty pro podporu takzvaných port extenderů (PE). Ty zde představují samostatné zařízení, jehož fyzická ethernetová rozhraní se po připojení na interface nadřízeného přepínače (CB, Controlling Bridge) stanou jeho logickou součástí. Port extender pouze přidává MAC porty – nezajišťuje nic jiného než jednoduché přeposílání datových rámců na svůj CB, a nejde tedy o bridge ve smyslu standardu 802.1Q.

Z hlediska managementu se pak přepínač se svými extendery, rozmístěnými po datovém centru, jeví jako jediné logické zařízení s velkým množstvím fyzických portů. Kompletní přístupovou vrstvu v rámci datového centra lze pak realizovat jedním nebo jen několika takovými logickými přepínači.

Standard 802.1Qbh definuje protokoly pro detekci PE a počtu jejich rozhraní. Na základě této informace je CB schopen vytvořit logické rozhraní pro každé fyzické rozhraní připojených PE.

Pokud na fyzické rozhraní CB přijde od PE datový rámec, musí CB umět rozeznat, které jeho logické rozhraní má rámec zpracovat (to znamená, na které rozhraní PortExtenderu tento rámec původně přišel). Pro tento účel standard 802.1Qbh v současném draftu sestavuje mezi CB a PE nám již známý S-channel a pro identifikaci rozhraní využívá S-tagů.

Standard předpokládá, že k rozhraní PE bude možné připojit libovolné ethernetové zařízení, což znamená, že bude možné řetězit jednotlivá PE připojením jednoho PE k jinému PE. Bude také možné k interface PE připojit přepínač a dokonce také koncovou stanici s podporou S-tagů.

V současné době existují implementace, z nichž tento standard ideově vychází. Jde o takzvané fabric extendery, jež jsou oproti cílům standardu 802.1Qbh značně limitovány. Neumožňují například automatickou detekci či řetězení, naopak dovolují připojení jen koncových stanic bez podpory S-tagů. Přesto z pohledu flexibility při rozšiřování přístupové vrstvy DC a souvisejícího zjednodušení správy sítě se zdá jejich využitelnost již dnes poměrně smysluplná.

Dokončení článku vám přineseme zítra…Komentáře