www.hj8828.com 12

如何为服务器虚拟化挑选合适的模式

高度的可用性是分布式虚拟化的另一大重要卖点。

注:SDN控制IP间的访问抑制了基础网络中的广播风暴。

将物理主机上2个及以上物理网卡合并为网卡组,可以在这些物理网卡之间形成冗余和实现负载均衡。如下图所示,在物理主机的操作系统层面,合并的网卡组表现为一张网卡,相互连接为一个网络。网卡组的功能其实由Windows
2012 R2提供的,SCVMM可以充分调用Windows 2012 R2、Hyper-V和Failover
Cluster的所有资源和功能。

数十年来,我们始终以单线程为核心开发并使用软件,对环保意识也不够重视,此外同一系统上的不同程序在运行时需要彼此隔离。改变这一切的方式就是发展x86虚拟化。

红色箭头代表网络流量走向,测试包尺寸涵盖了64字节~1518字节,测试成绩整理后汇总于下表:

www.hj8828.com 1

不过每种模式都有各种的局限性。

www.hj8828.com 2

2、需要实现物理网络的更高效的利用。在一个物理网络上(通物理机上同一个物理网卡)承载更多的相互隔离且负载均衡的网络(这点类似VLAN)。数据中心往往需要配置多种相互隔离的网络以承载各类应用,例如域网络、集群心跳网络、集群管理网络、虚拟机迁移网络和外部网络等等,如果在硬件上通过VLAN或者直接增加硬件的方式实现,那将是一件费时费力费钱的工作。

在大型机领域,它已经是一张盘桓了数年的老面孔。它的主要功绩在于将原本只为大型科技服务的概念移植到了x86机之中,并让人民大众从中得到帮助。

隐藏网关

www.hj8828.com 3

直接连接型虚拟化与分布式模式,二者的冲突给意识形态带来了新的战场。

品高云在VPC环境下,为用户提供了多样化的安全功能:

虚拟化对于计算的抽象,大家可能相对熟悉,也许都有在单机使用诸如Virtual
PC或者Virtual
Box的经验。使用的这些虚拟化软件的第一印象就是我们的CPU可以同时运行多套不同的操作系统,并且其上应用程序并行不悖。计算的抽象使得同一套硬件设备上的操作系统之间得以相互隔离,犹如一个身体拥有两个甚至更多灵魂,这是什么鬼?那么接下来很自然的一件事就是,这些灵魂之间该如何沟通呢?依然只有一个身体,如何相互握手和交流,如何对外联系和提供服务。因而对于虚拟化而言,最重要的基础设施除了存储外,再就是网络,即需要实现网络的虚拟化。这里我们粗略描述Windows
Server 2012 R2和System Center Virtual Machine Manager 2012
R2(以下简称SCVMM)实现网络的虚拟化的基本原理,有需要详细了解的可以看微软的电子书Microsoft
System Center: Network Virtualization and Cloud
Computing。

大型机的设计初衷是作为一套单独的运行实体。机架挨着机架、节点毗邻节点,从操作系统到个别节点连接绑定,一切都将大型机作为一台单独的巨型计算设备处理,最后对整体资源进行分割,进而分配给每个任务。

01

4、需要保障虚拟化平台上高可用的虚拟机的动态迁移。当物理网络或者物理主机损坏而掉线后,其上具有高可用性的虚拟机将执行迁移操作,在另一台物理主机上重新上线,甚至让外界无法感知其迁移的过程,这要求虚拟化网络能够保证虚拟机上的所有网络配置在另一台物理主机上是依然有效的。

信息直观性

每隔一段时间,云计算领域就会出现泄露或者安全相关的新闻,似乎只要是云服务商,都有安全相关的问题,于是乎,公有云的安全问题在这个时候总会被拿出来点评一番。

二、Windows 2012 R2中的网络虚拟化

而一旦采用虚拟交换机,这些好处就荡然无存了。虚拟交换机所使用的管理语言与物理网络设备完全不同。比起后者拥有的对网络中每个系统中任何数据包的控制能力,使用虚拟交换机使我们管理的目标被限定在了主机服务器上。

SDN+云不仅是1+1=2。

虚拟交换机功能由Hyper-V提供,我们安装Hyper-V角色,并打开Hyper-V
Mananger,右键通过Virtual Switch Mananger对虚拟交换机进行创建和管理。

硬件容错能力的提高使单台主机方案更具可靠性,而新的网络技术则将带宽扩大至40Gb、100Gb甚至更高。

www.hj8828.com 4

网上有这样一个类似的故事。某款管理程序的虚拟交换机为每台虚拟机提供了一块10Gb的虚拟网卡。这使得处于同一台主机内的每套本地虚拟机系统以10Gb的理论数值进行通信;如果如果大家愿意为某台指定的虚拟机搭配多套虚拟网卡,那么速度还将进一步提升。

两个物理服务器节点的品高云7.0示意图

3、需要实现网络的高可用性。物理设备,包括网线、网卡和交换机等都有损坏的可能,需要有一种方案降低他们损坏后对网络造成的影响。

与VEPA展开激烈竞争的机制是802.1Qbh,也被称为桥口扩展或者VN标签。它几乎完全是由思科公司一手打造,并需要对当前以太网规范加以延伸;换言之,我们需要为之采用很多新的硬件。

安全对于用户而言是头等大事,甚至在某种情况下是决定企业生死的命门。传统数据中心虽然也会出现宕机、崩溃、甚至丢失数据的问题,但是相比企业关键业务数据的泄露,运维能搞定的都不算大事。

实现网络虚拟化的本质是对物理网络的抽象,也就是在物理网络上构建虚拟网络以适应不同的应用场景。这里的核心技术是IP数据包的包装协议。各家的虚拟化平台采用的IP包装协议并不同,例如主要有:Virtual
eXtensible Local Area Network (VXLAN),Stateless Transport Tunneling
Protocol for Network Virtualization (STT)和Generic Routing Encapsulation
(GRE)。 SCVMM采用特殊的GRE协议,称为Network Virtualization using Generic
Routing Encapsulation
(NVGRE)。这些协议的主要目的就是对原始IP数据包进行封装,以实现网络数据传输的隔离。

讨论环节

相比于传统“孤岛”式数据中心/IT架构系统,网络子系统主要解决的是“南北向”流量问题,即从业务层到数据库/存储底层的数据流通。但在云数据中心/云架构系统,其不仅仅是南北向流量,还要解决由于分布式技术广泛应用带来的“东西向”流量,分布式计算、分布式存储、虚机主机的动态迁移……都会导致比南北向流量大得多的东西向流量。在一般情况下,虚拟主机的网络流量都是用CPU来处理,这会占用计算资源,尤其是流量巨大时,必然会造成计算资源争夺。也有使用VXLAN卸载等技术手段来将这一部分工作从CPU卸载到网卡,但这一封装会增加报文长度,导致额外的网络流量,数据传输效率受到影响。

下面我们来看看物理主机的网络在下面各个层面的配置:

虚拟化如今已经成为一个被过分夸大的流行语。

传统物理网络构架受限核心交换总带宽的瓶颈,在今天的用户选型中已经落伍了;而性能较好的CLOS网络构架,随着用户的重新部署或改造,都面临着高成本的威胁,在于云计算时代,任何过高的成本都会被大多数用户放弃。

www.hj8828.com 5

如果仅从目前提出的数字出发,那么分布式虚拟化看起来简直就是疯狂而不可理喻的。但它仍然具备独特的优势,而对于许多而言,一切缺点在这优势面前都可以算是必要的成本。

从上表可以看到,物理网络在256包下就能获得8.805
Gbits/sec的带宽,而虚拟网络则要在1024包下才能获得8.4Gbits/sec的带宽。随后两者性能曲线几乎重合。在企业级用户的实际使用环境中,最小的数据包也要4K尺寸,因此企事录认为:在实际使用中,品高云虚拟网络带宽与10Gb物理网卡带宽相同,无明显性能差异。

但这里请忽略Logical
Switch这样对网卡组的命名,为什么不是Team这样的命名,这里可以先告诉大家的是Logical
Switch是一个更高层次的抽象,下文将会涉及。

进步无止境

www.hj8828.com 6

www.hj8828.com 7

直接连接式虚拟化依靠强劲且具备高度容错性的虚拟主机来实现优秀的可用性。分布式虚拟化则会在一台主机出现故障并重启时,将所有虚拟机在集群中的其它主机上加以运行。大家使用的主机越多,分布式模式的优势就越明显。

随着Exchange
Server数量的增加,邮件服务器集群所能支持邮箱总数随之增长(蓝线),在7个Exchange
Server环境下,品高云可支持1.4万个邮箱,(受限于总的存储容量)每个邮箱大小为250MB。图中橙色虚线为参考线,数据源自企事录根据微软官网公布数据整理的物理服务器所支持的最大邮箱数量,并不代表实际的极限性能水平;散列点则表示使用SAN或者融合设施(闪存用作缓存)实现的最大邮箱数量,数据同样来自微软官网。

如下图都是在物理主机上创建出的用户连接不同虚拟网络的虚拟网卡,这些网卡的配置协议与普通的物理网卡几乎相同,可以在其中配置IPv4和IPv6。当然在虚拟机中更普遍存在了。

企业级网络通过工具运行网络设备,进而直接为每一个端口提供终端到终端的管理。它们可以为链接、流量隔离、监控、服务质量以及标记框等功能提供加密机制。

www.hj8828.com 8

一、什么是网络虚拟化

新技术组合的不断引入使得任何一套虚拟化模式都无法长久保持不变。目前最新的上佳方案是IOMMU,它承诺为单独的虚拟机系统提供直接访问系统设备例如显卡)的能力。

品高SDN的特点

www.hj8828.com 9

大型机成本高昂,我们为之定制的软件在设计上也要求高质量,以配合系统的高性能。X86虚拟集群则是多套低廉系统的集合,使用现有软件即可满足需求。

注:上述消息引自云头条公众号

1、建立网卡组(NIC Team)

虚拟化这种一方面简单明了、另一方面却实施模型有限的技术一旦爆发,可以想象其影响力之巨大。如今每一个我们能想象的地方都有它的身影,即使是在智能手机中也不例外。

03

3、虚拟网卡(Virtual Network Adapter)

新一代网卡已经开始模糊二者之间的界线,而其中至关重要的一环是类似802.1Qbg的尖端标准。这一标准也被称为边缘虚拟格拉或者虚拟以太网端口聚合简称VEPA)。

VPC隐藏隔离:实现VPC内不同安全组间的网络数据隔离,解决APR欺骗和攻击的行为;

在虚拟交换机的基础上,可以创建虚拟网卡,以连接不同的网络。虚拟网卡一般出现在虚拟机上,用于虚拟机连接该网络,也可以出现在物理主机上,用于物理主机连接该虚拟的网络。虚拟网卡的数量几乎不受限制,如有有必要,可以创建多个虚拟网卡连接同一个虚拟网络。这里“虚拟网络”是SCVMM中抽象出的概念,如下图连接虚拟网卡与虚拟网卡之间的虚线就好比虚拟网络,下图出现了像个虚拟网络,他们是相互隔离的。可以用VLAN来类比,但是却不是VLAN技术,而是NVGRE数据包封装技术。

抛开相似之处不谈,大型机与x86虚拟主机集群之间仍然存在着本质性差异。

我们可以看到,在每台物理节点上可以运行大量的虚拟主机,多台物理服务器构成一套SDN网络系统。这些物理服务器只是通过2层交换机互联,没有其他的3层网络控制节点(在传统私有云环境中,往往使用x86服务器平台来做3层以上的VR(虚拟路由器)/VG(虚拟网关)功能。

SCVMM可以通过几个层次对物理网络进行重新定义,这里我们考虑如下场景:两台物理主机通过两个独立的物理网络相连,这在数据中心中应该是最为常见的状况。

如今不少方案都能帮我们高效地完成大量计算任务。大家既可以采购一台大型机,也可以将带有必要应用程序的多套x86系统安装在裸机上。

无叠加转发

在Windows Server
2012中输入命令lbfoadmin可以查看和配置网卡组,如下图在物理主机cloud-pm-ds01上创建了两个网卡组,每个网卡组中包含2张物理网卡。

这与VEPA形成了鲜明的对比,因为VEPA并不需要我们为之更新网络设备,也同样提供了一套虚拟环境中的终端管理可行方案。

总结

www.hj8828.com 10

大型机适用于那些运营着金融系统的客户,对于他们而言数毫秒的延迟都可能带来数百万美元的损失。如果我们的应用程序能够将工作量拆分为一个个小的组成部分,那么大型机的并行处理能力将带来耀眼的强劲表现。

品高云SDN系统在单VPC下可以支持5000台物理主机,支持的VM数量无上限,如此大规模的网络环境下,虚拟机之间的访问,可能会造成广播风暴,增加承载网络的压力,造成访问响应慢等问题。

现在有一种流行的说法叫做软件定义网络,网络中有不同的解释,我自己简单理解为是更多通过软件编程来实现对网络的集中管理。比如之前在交换机上的VLAN功能,需要在每台交换机进行配置,不同厂商就有不同的配置方式,配置复杂且管理成本高昂,那么通过一个开放、统一和标准的软件平台对网络硬件进行控制,那将极大改善这一状况。当然由于商业竞争的因素,让各个厂商拥有开放包容的心,不是件容易的事,因而软件定义网络还有很长的路要走。那么回到网络虚拟化,即可以认为是一种在特殊情形下的软件定义网络,即在一个或者多个数据中心里实现软件定义网络的美好图景。除了通过统一软件平台来管理网络外,网络虚拟化也有自己特殊的应用目的和需求。

通常情况下,托管在直接连接方案中的虚拟机能够与处于主机系统之外的服务器及客户机进行沟通,但大部分交流仍然发生在同一套系统中的虚拟机之间。

有这样一个故事——在白垩纪时期,恐龙是地球上的霸主,但是恐龙的神经系统却不是那么发达,对外界的刺激反应缓慢,踩到一个什么东西,要几个小时后才有感觉。虽然这只是一个笑话,但是恐龙体型巨大,却只有那么小的脑容量,也确实是件奇怪的事情。

1、需要实现每个虚拟机都可以像单个物理机一样的网络功能。同一台物理机上的不同虚拟机之间,不同物理机上的虚拟机之间,虚拟机与物理机之间,虚拟机与外部网络能够屏蔽底层的硬件差异,在虚拟化网络上互联互通。

说到这里,这两款模式可谓不分伯仲。大家可以根据自己的需要选择合适的模式并加以部署,但这似乎还不能完全令人满意。而在伟大的IT传统观念中,也根本没有不可能一词,基于创新的思维方式,混合虚拟化模式开始出现。

企事录实验室通过构建一个分布式邮件服务的环境来验证品高云在企业关键应用中的综合性能表现,并评估随着需求的增长,品高云的水平扩展能力与性能表现。下图为企事录构建的邮件服务器集群架构示意图: 

www.hj8828.com 11

当将分布式的非主机设备引入余下的网络中时,这些虚拟机就要为争夺硬件所提供的有限带宽资源而奋战。如果我们有三十套虚拟机系统,那么为它们各自配备10Gb带宽,与只拿出一块10Gb带宽的网卡让它们共同使用、而由物理交换机负责网络处理是完全不同的感觉。

第二,对接容器网络缺乏标准。数据中心的网络边界下沉到虚拟化网络中,传统的安全产品无法探测云内部的网络流量。边界安全产品,旁路安全产品,甚至是插件式的软件安全产品都需要深度改造。

2、虚拟交换机(Virtual Switch)

我们完全可以大胆迈入x86虚拟化领域,并探索它所能带来的无数种可能性。我们甚至可以根据自己的意愿用数千台手机搭建一个难用无比的Beowulf集群。

NC规模:(CPU: 80,内存: 314 GB)

在网络连接界面中,物理网卡已经无法设置网络相关参数,而转移到网卡组进行设置。仔细查看网卡和网卡组属性中的Networking选项,可以发现Microsoft提供了丰富的网络协议,实现各种功能即是配置的网络协议不同。网卡组使用的关键协议应该是Microsfot
Load Balancing/Failover Provider、IPv6和
IPv4这些。在后文中更多关于网络虚拟化提供的功能也只是在增加和配置更多的协议,这在一定程度上即是所谓的软件定义网络吧。

虚拟机将有能力充分发挥GPGPU计算带来的强大性能,而处理速度的提升也会要求数据输入量达到光线通道传输能力的级别,这是分布式技术所无法满足的。

VXLAN是在云计算环境中经常用到的网络技术,但是叠加的数据包头多了50个字节,在超大规模部署下会影响带宽,品高云SDN采用了无叠加转发设计,对比物理网络只有1.2%损耗。

www.hj8828.com 12

设计概念

可扩展的软件定义网络安全体系

在Windows网络连接界面,我们看到虚拟交换机可以与网卡组配置在一起。只是多了一个新协议Hyper-V
Extensible Virtual
Switch。但是同时会取消对IPv4和IPv6的配置,因为这两项协议将被转移到虚拟网卡上进行配置。这时如下图中的设备Management
Logical
Switch现在起的作用是对一个或多个物理网卡的抽象,它可以承担起网卡组的负载均衡的作用,也承担虚拟交换机的作用,虚拟交换机与虚拟网卡互联互通。这与物理上的交换机的状态是不太一样的,物理交换机处在网络的中间位置,而虚拟交换机同时在两端,为主机配置相同的虚拟交换机意味着两者通过该虚拟交换机的底层物理链路连接。

到这里我们又说回起点。虚拟化始于大型机,而虚拟化又推动了x86在采纳新技术的道路上渐行渐远,这使得台式机与大型机的运作方式越来越接近。

04

以上每一项都不是件容易的事,那么我们接下来看看SCVMM如何在统一软件管理平台上实现这所有目的和需求。

新功能完全没有为极力避免使用虚拟化的不同意见者提供任何帮助。有些人认为这一选择值得大力推广,另一些则宣称使用所涉及的技术是“唯一正确的发展方向”。

www.hj8828.com 13

在网卡或网卡组的基础上,我们可以建立虚拟机交换机,一个物理网卡或者一个网卡组我们可以建立一个虚拟交换机,以便对该网络进行进一步虚拟化。如下图所示:

到底哪种模式最好?

02

分布式虚拟化则完全不同。主机服务器被尽可能当作一套彻头彻尾的一次性处理单元。存储资源采用集中式管理方案,并通过存储区域网络简称SAN)中虚拟机与物理交换机之间的通信被提供给多台主机。

总结

x86虚拟化从另一个角度来看类似于组装机。

第四章 云计算的安全,是个大事

x86虚拟集群则迥异于大型机。无论是直接连接式、分布式还是混合式,每个处理节点都是特色鲜明的独立单位。每节点都必须进行配置、授权、加以独立设计并考虑个体与整体间的协调。

会对管理提出严苛的要求

VEPA网卡自身所具备的能力足以被称为交换机。在使用中,主机上的虚拟机绕过虚拟交换机,直接与网卡中集成的交换机对话。而网卡则能够与管理软件直接对话,这样一来我们就既拥有了分布式网络带来的种种优势,又不必担心由于所有虚拟机流量都被发往物理交换机而引起传输速度瓶颈。

www.hj8828.com 14

但这对分布式虚拟化所采用的集中式存储模式来说就不叫个事儿。不仅如此,分布式虚拟化还允许我们对不同主机上处于运行状态的虚拟机系统进行实时迁移。

通过企事录在品高云生产环境中的测试,结合品高云特有的技术,我们认为品高SDN在性能上已经接近物理网络的指标,特别是在高负载的分布式应用场景下,品高云具有极强的可用性,能够为用户在复杂的企业级应用环境下提供良好的使用感受。

直接连接型虚拟化比较简单,说起来也就是一台服务器,配备着托管数套虚拟机的本地存储。它们利用由管理程序提供的虚拟交换机即vSwitch)进行互相通信,而无需将数据包经过网络接口卡简称网卡)发送至网络的每个角度。

随着私有云的进一步发展,那些着力于推动私有云应用的企业就开始考虑搭建更适合大规模部署企业级的架构了,品高云作为在国内较早进入私有云领域的厂商,已经进化到品高云7.0时代,从品高云6.0版本就就具备了Bingo
SDN环境,这是面对大规模私有云环境的一个出色的私有云网络解决方案。

困境

03

分布式虚拟化的另一大优势是,尽管在传输速度上有所限制,但强制将所有流量通过物理交换机处理使得网络管理员具备更强的直观性及可管理性。

在规模较小的时候,传统架构的网络子系统利用性能更好的硬件、技术改良也许能够应对,一旦规模扩大,网络子系统就必须拥有更好的性能、更灵活的变更(管理)以及更高的效率等特点,如何构建新型网络子系统则成为横亘在云计算规模应用前的一大难题。

在同一台主机上通过差异化配置来实现同时使用直接连接式存储与分布式存储的作法也开始出现。我最近就完成了一套部署,其中每台主机都拥有大量本地存储以辅助备份工作。

高带宽能满足多核服务器的

直接连接式虚拟化所无法实现的就是从一台主机上的虚拟机中迅速迁移至另一台。虚拟机本身可能就体积庞大,因此通过网络实施迁移无疑会耗费大量时间。

03

中央VBA会从每台主机上读取备份内容,并不断将其转写至磁带上。磁带驱动器是被直接从主机映射到VBA上的,而不是作为从网络接入的设备。

安全是没有上限的,除了品高云自带的安全架构外,品高云采用了目前云计算领域中处理安全问题公认的有效手段—–NFV。支持耦合第三方安全厂商,通过将不同安全的网络能力采取编排的手段,变为云中的一个网元,实现安全功能,如此可以充分发挥不同安全厂商在边界安全、杀毒、网络分析、加密等领域的优势,提供给云主机用户更好的安全使用体验。

直接连接式虚拟化速度更快。每块10Gb
网卡目前SAN的标准接口)在理论上可以提供最大1280兆字节每秒MBps)的传输速度。而目前相当普遍的PCIe
8x 2.0 RAID卡理论上的传输速度更高达4000MBps。

万兆虚拟网络环境

每台主机都拥有一套虚拟备份设备简称VBA),其作用是为分配给该主机的虚拟机进行基于镜像的备份,并将镜像存储于本地缓冲驱动器中。这使得备份速度变得飞快。

www.hj8828.com 15

不过一用在实际工作中数字就没那么乐观了。我在10Gb网络附加存储系统上所能得到的上限速度仅为900MBps,而我自己的RAID卡SSD
RAID
10)也只能带来2200MBps的实际表现。不过2200MBps已经足以将900MBps碾压到不成人形,并且这样的存储速度优势已经极具价值,而且请记住,这种优势是直接连接模式所提供的。

对存储性能有明显的提升

这种混合式处理方案尚未见诸白皮书,但其产生无疑与对当前设备高效利用的诉求息息相关。它的工作状态相当令人赞赏,只要再稍加改进,我一定会在未来的部署工作中再次加以使用。

www.hj8828.com 16

当下,在完成工作的道路上再也没有所谓“惟一正确的途径”。我们软件的需求以及硬件所能提供的性能将最终决定实现目标的路线。

第二个是传统的木马、黑客程序。虽然云主机提供了系统安装镜像,但是用户在安装和部署应用环境时,有可能安装带有后门的程序,前一阵爆出的基于某平台开发环境的漏洞就是一个典型的案例。

x86虚拟化模式无疑将继续前进,而这种趋势也必将适应x86应用程序自身的多样性。

品高云支持的Greenplum
处理特点是,在处理大数据时,会启动多个实例和进程去执行相同的操作。且处理的都是不同的数据分片,因此实际上就是实现了GP的并行处理。这对于视频、图像等对象存储领域和在线查询、公告等应用环境下,品高云的GP(容器+虚拟机)性能非常接近物理环境的带宽,据品高云内部测试数据显示:

虚拟化如今已经成为一个被过分夸大的流行语。
在大型机领域,它已经是一张盘桓了数年的老面孔。它的主要功绩在…

www.hj8828.com 17

基于容器的Greenplum计算集群环境在大流量的应用场景中常有不确定的因素,特别是在高并发时服务可能出现的响应慢/不可用的情况,用户对GP的性能与稳定性有疑问。

测试结果表明,随着标准Exchange
Server的增加,邮件服务器集群规模增加,其所能支持的邮箱用户总量亦线性增长。需要注意的是,ESRP测试重点考虑存储子系统的综合表现,包括性能和容量。如果尽可能提高存储的性能(比如使用SSD),出于高可用目的,Exchange服务器会将数据散布到集群内的其他节点之上(比如多副本机制),存储性能的提升,必然导致网络子系统的更大压力。本次测试的意义就在于,人为提高存储性能,从而考量品高云SDN网络在邮件服务器集群应用中的稳定性、可靠性与可扩展性。

虚拟网络的高带宽

www.hj8828.com 18

在品高SDN的体系中,引入了VPC安全域的概念,虚拟网络可以使用VPC实现多租户间的网络隔离,并且多VPC(私有网络)环境下都能提供独立的网络功能,支持各种网络场景的落地需求。

拥有超过1000个虚拟主机的企业私有云已经占据了近1/3的份额,面对如此众多的“虚拟主机”,不仅仅是管理复杂的问题,更重要的是“性能”问题。就如恐龙一样,庞大的身躯如果没有高效的神经系统,那结局……而云架构数据中心的“神经”就是网络,或者说网络子系统——其要解决的难题比想象中要大得多。

光从以上的文字描述可能不太容易理解云计算的虚拟网络环境,那么我们就用图来描述:

一类是在同一台物理机内的虚拟服务器间的网络流量,这些数据包不通过服务器的物理网卡,直接在虚拟网络环境内完成,这样的网络带宽测试完全依赖于虚拟网络环境;

www.hj8828.com 19

得益于品高云SDN的控制,在同一个VPC下,基础网络内没有其他异常的网络流量,在VPC内各个虚拟主机没有网络负载时,分布在两台物理主机的VM主机,使用Netperf进行点对点的流量打压测试。

因此用户要想让自身的企业级应用在云计算环境下具有较为出色的性能表现,除了较高配置的计算性能(计算核心和内存容量)外,云主机提供万兆虚拟网络是一个必要的条件。

子网分化:通过子网微分段的手段实现子网内IP之间的APR隔离,避免ARP嗅探引起的ARP攻击、ARP欺骗的行为;

云服务,尤其是公有云服务之所以受到越来越多企业用户的青睐,除了云计算本身具有的池化间隔的物理资源、统一按需分配,以及理论上无限可扩展的特点之外,其很大部分原因还在于,云计算给用户提供了一套自动化的整体解决方案,用户可以聚焦在与企业业务息息相关的应用层的研发之上,而无需额外关注底层基础设施的建设与运维。

云计算的神经系统

www.hj8828.com,单纯的从技术分析——云主机本身是安全的,云存储本身也是安全的,因为它们设计之初就是给用户提供高性能、高可用的计算/存储环境,只要在这两个框架下满足了用户的需求,那么就可以认为它是称职的角色。但是网络做为连接资源池的重要通道,面对的环境却大不一样了。物理网络时代用户可以通过防火墙等设备来防护网络安全问题,可是在大规模的虚拟网络时代,用户数据像洪水般奔腾在虚拟的环境中,传统的网络保护手段难以保护大规模虚拟网络下的安全。

亲们,您有任何需求,请吩咐小表妹吧!扫码联系 24
小时在线客服品高云家的小表妹,我们将为您提供贴心到位的顾问式服务。

自定义路由:SDN支持自定义路由,可将流量路由至防火墙接受检测,实现流量过滤;

通过SDN网络感知回溯技术,可以记录从入侵开始,到入侵被发现的全过程网络行为,跟踪与定位入侵的蔓延范围。通过网络策略阻断蔓延的受控制的容器节点,防止入侵潜伏与二次攻击。