数据中心操作系统解构之虚拟网络及网络管理子系统绿色数据中心

2013-01-30    来源:机房360    编辑:佚名
虚拟网络及网络管理子系统的主要功能是通过配置操作系统中的虚拟网络,实现网络通信的方便、可靠和安全。虚拟运存环境的互联是构建该操作系统最重要的工作之一。不同于物理机

  数据中心的操作系统由系统接入子系统、数据管理子系统、虚拟网络及网络管理子系统、虚拟运行环境子系统、用户管理和安全管理子系统五个子系统构成。

  虚拟网络及网络管理子系统

  虚拟网络及网络管理子系统的主要功能是通过配置操作系统中的虚拟网络,实现网络通信的方便、可靠和安全。虚拟运存环境的互联是构建该操作系统最重要的工作之一。不同于物理机器组成的具有严格和复杂拓扑逻辑的物理网络,虚拟运行环境组成的网络是一个虚拟网络,它具有简单和易配置等特点。在该子系统中,虚拟网络要达到以下几方面的要求。

  1·虚拟运行环境之间可正常通信

  当虚拟运行环境之间需要协作时,它们就必然要通过网络来进行交互,因此必须保证在虚拟网络中,符合条件的虚拟运行环境能够自由地进行通信。此时,将这些需要通信的虚拟运行环境放入同一个虚拟局域网中,它们之间就能够自由通信。当用户拥有多个虚拟运行环境时,这些虚拟运行环境之间不仅要能够进行正常的网络通信,而且至少需要有一个虚拟运行环境和外部公共网络相连,为其所属用户提供访问入口,便于与其他虚拟局域网中的虚拟运行环境进行通信。

  2.定义安全组

  为了保证每个虚拟运行环境的网络安全,不能让所有虚拟运行环境拥有自由通信的能力,由于用户对于自己所监管的虚拟运行环境拥有超级用户权限,可以访问基本的网络接口,因此其具有获取系统IP和MAC地址的能力,并可能对系统网络造成干扰。此外,如果两个实例运行于同一台物理机器上,虚拟运行环境用户可以影响和窥探另外一个虚拟运行环境的网络包,这将导致安全问题。这时就需要对虚拟运行环境实行网络流量隔绝,即要求任意两个虚拟运行环境之间不能够相互检查和修改彼此的网络数据包。为了实现该功能,可以定义安全组概念,即让每个用户自定义安全组,那么,运行在同一个安全组中的虚拟运行环境之间就能够实现互相通信。因此在有不同用户共享的物理机器上,协作完成单一任务的虚拟运行环境之间应该可以通信,而属于不同用户安全组的虚拟运行环境之间应该是通信隔离的。

  在具体应用中,可以参考使用虚拟尼域网(VLAN),给属于特定用户的实例集打上网络标签,以此来隔绝网络流量。VLAN的实现技术有四种:用交换机端口(Port)号定义虚拟网络、用MAC地址定义虚拟网络、IP广播组虚拟网络、用网络层地址定义虚拟网络。"逻辑工作组"的划分与管理通过软件来实现。通过划分虚拟网,可以把广播限制在各个虚拟网的范围内,从而减少整个网络范围内广播包的传输,提高了网络的传输效率;同时各虚拟网之间不能直接进行通信,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。VPN是指在公用网络上建立专用网络的技术。之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间,并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上的安全传输,从而真正实现网络数据的专有性。

  3·弹性

  弹性IP,即IP地址的动态分配,所有相关IP均为lPv4。每个启动的虚拟运行环境都会被分配一个公网IP和私有IP。由于IP资源是有限的,因此,这里就需要对IP资源池进行动态管理,弹性分配和释放IP,保证lP资源合理分配。在底层,虚拟运行环境的私有接口通过网桥连接到一个被称为虚拟分布式以太网(VirtualDistrubutedEthernerVDE)的全虚拟以太网系统,VDE是一个以太网协议的线程级实现。VDE网络通过通用的TUN/TAP接口连接到真正的以太网,TUN/TAP提供了从Linux内核到用户空间的以太网包通信服务。

  在具体应用时,每个虚拟网络模块有一个集群控制器,负贡创建和销毁虚拟运行环境的虚拟网络接口,节点控制器通过以下三种方式建立公共接口网络。

  (1) 虚拟运行环境的公共接口直接连接到与物理机器网络接口相连的以太网虚拟网桥上,管理员可以像处理常规的DHCP请求那样处理虚拟网络DHCP请求。

  (2) 允许管理员定义一个动态的IP地址池和多个虚拟网络广播域 (分发私有IP),集群控制器通过网络接口连接到所有的虚拟网络域中,运行在集群控制器上的DHCP服务器负责在虚拟运行环境启动时将地址动态地分配给它们。

  (3) 管理员自定义静态的MAC/IP地址对,每个虚拟运行环境启动时系统为其分配一个空闲的MAC/lP对,实例终结后释放该MAC/IP对。

1
3