虚拟网络交换所面临的挑战

日期: 2010-05-09 作者:Eric Siebert翻译:曾少宁 来源:TechTarget中国 英文

传统上,网络小组负责管理所有从交换机到 NIC 的服务器物理网络连接。虚拟化通过将网络扩展到服务器改变了这种管理模式,从而实现了将网络控制从网络管理员手中剥离。期间也带来了一些新的问题,包括服务器内缺少可见性以及虚拟网络交换机的可管理性。   虚拟网络交换机有效地扩展了从一个VMware ESX宿主到由这个ESX服务器管理的虚拟交换机的物理网络,以及连接一个虚拟机(VM)与虚拟交换机的虚拟 NIC。

这个虚拟交换机通常是由虚拟化管理员管理的,而不是网络管理员,这可能会在这两个小组之间导致一些问题和摩擦,因为网络管理人员可能不再控制和管理一个虚拟宿主内的网络。   虚拟网络交换机的角色   虚拟交……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

传统上,网络小组负责管理所有从交换机到 NIC 的服务器物理网络连接。虚拟化通过将网络扩展到服务器改变了这种管理模式,从而实现了将网络控制从网络管理员手中剥离。期间也带来了一些新的问题,包括服务器内缺少可见性以及虚拟网络交换机的可管理性。

  虚拟网络交换机有效地扩展了从一个VMware ESX宿主到由这个ESX服务器管理的虚拟交换机的物理网络,以及连接一个虚拟机(VM)与虚拟交换机的虚拟 NIC。这个虚拟交换机通常是由虚拟化管理员管理的,而不是网络管理员,这可能会在这两个小组之间导致一些问题和摩擦,因为网络管理人员可能不再控制和管理一个虚拟宿主内的网络。

  虚拟网络交换机的角色

  虚拟交换机是一个ESX和ESXi宿主的核心网络组件。一个虚拟交换机是创建和包含在一个宿主的RAM中的,并将宿主服务器上的物理NIC(作为上行链路)连接到虚拟机上的虚拟NIC。虚拟交换机(vSwitch)模拟了传统Ethernet交换机的特性,并且能够执行许多相同的方法,如在数据链路层转发帧和VLAN 分片,同时它们也支持复制数据包到一个嗅探或IDS系统所使用的镜像端口。在VMware VI3中,只有一种类型的vSwitch;而在vSphere,您现在可以使用不同类型的vSwitch:标准vSwitch、新的分布式vSwitch、第三方vSwitch(Cisco Nexus 1000v)。除了Nexus 1000v之外,您还可以在一个宿主上配置多个vSwitch,但是一个物理NIC只能被分配给一个vSwitch。

  虚拟化网络的问题:盲点和缺少控制

  vSwitch存在的其中一个问题是相同宿主上的VM之间的许多流量都发生在宿主上,所以它与物理网络无关。这样,它是不可能通过物理网络上的网络设备进行监控或管理的,如 IDS/IPS 系统。概括而言,这种情况是VM连接到相同的vSwitch和该vSwitch上的相同端口。这样,这些VM之间的所有网络流量都停留于宿主的内存子系统中,因为vNIC和vSwitch都在宿主的内存中。这样做从性能角度看是非常不错的,因为在一个宿主的内存中传输数据远比通过网络传输数据快速。但是从网络角度上看是不合适的,因为数据对于物理网络是不可见的,以致用于保护网络层服务器的网络防火墙、QoS、ACL 和 IDS/IPS 系统也见不到这些流量。

  虚拟交换机另一个问题是标准和分布式vSwitch都缺乏足够多的特性,而且基本上是无交互无管理的交换机。结果,我们几乎无法控制vSwitch上的流量,也无法整合vSwitch和物理交换机。

  虚拟交换机的最后一个问题是关于添加网络设备。大多数网络管理员喜欢控制连接到他们网络的设备。他们一般会禁用那些没有使用的端口,并在所有端口上设置端口安全性,这样如果一个不同的NIC接入,他们会收到一个端口被禁用的警告。而对于vSwitch,因为他们只能控制这个宿主的物理NIC的上行链路端口,而不能控制一个vSwitch上许多虚拟机端口,所以他们就失去了对端口的控制。

  新的工具解决虚拟化网络管理的问题

  这些问题都导致减少对网络流量的可见性和控制,结果就造成环境不安全、网络流量分析不完整和网络管理员不满意。解决这个问题的一个方法是使用设计在虚拟环境工作的网络管理产品。

  这些工具一般都允许您安全化、监控和控制一个宿主上的所有虚拟网络流量。这些产品一般是作为一个宿主上的虚拟组件部署的,它或者嵌入在一个受保护的vSwitch上的VM之间,或者在vSphere中使用新的VMsafe技术,这样不需要嵌入就能够保护VM。这些类型的产品的例子包括Reflex System的Virtual Management Center、Altor Networks Virtual Firewall 和 Catbird 的 vSecurity。

  在以后的文章中,我们将为大家介绍 Cisco Nexus 1000V 虚拟网络交换机如何使网络管理员监视和控制虚拟化网络,请大家继续关注。

更多相关内容阅读:VLAN入门指南

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐