Linux 中的虚拟网络

Linux中的虚拟网络NICs，交换机，网络和设备M.TimJones,独立作家简介：随着平台虚拟化的迅速发展，对公司生态系统的其他部分进行虚拟化也并不稀奇。最近的之一就是虚拟化网络。平台虚拟化的早期实现创建了虚拟NICs，但是今天，网络中更大的部分正在被虚拟化，例如支持在同一个服务器上或者分布在服务器间的VM间通信的交换机。专注于NIC和交换机虚拟化，探索虚拟网络背后的创意。标记本文！发布日期：2010年12月06日级别：中级原创语言：英文访问情况7246次浏览建议：0(添加评论)平均分（共9个评分）联系Tim是我们最受欢迎、最多产的作者之一。浏览developerWorks上Tim的所有文章。查看Tim的个人信息，并在MydeveloperWorks中与Tim、其他作者和各位读者联系。现在计算又重新兴盛起来。虽然虚拟化出现是在几十年前，但通过商品硬件的使用，它真正的潜力现在才被认识到。虚拟化加强了服务器负载的效率，但服务器生态系统的其他部分也成为了未来加强的选项。许多人视虚拟化为CPU，内存和存储的巩固，但是这样太过简单化解决方案了。网络是虚拟化的一个关键方面，代表虚拟化设置中第一等的元素。虚拟化网络我们从问题的高层次开始探索，然后深入到Linux®构建和支持的网络虚拟化各种方法。在传统环境中（见图1），一系列物理服务器支持所需的应用程序设置。为了实现服务器间的通信，每个服务器都包含一个或者多个网络接口卡（NICs），它们连接到一个外部网络设施上。带有网络软件栈的NIC通过网络设施支持端点间的通信。正如图1所示，这个在功能上表示为一个交换机，它支持参与其中的端点间的高效数据包通信。图1.传统网络基础架构服务器合并背后的关键改革是物理硬件的抽象，允许多操作系统和应用程序共享硬件（见图2）。这一改革名为hypervisor（或者virtualmachine[VM]monitor）。每个VM（一个操作系统和应用程序设置）视底层硬件为非共享的，一个完整机器，即使它们部分可能并不存在，或者被多个VM共享。虚拟的NIC（vNIC）就是一个例子。管理程序为每个VM创建一个或者多个vNICs。这些NICs对VM可以作为物理NICs，但是它们实际上只表示NIC的接口。管理程序也允许虚拟网络的动态构建，由虚拟交换机完成，支持可配置的VM端点间的通信。最后，管理程序还允许和物理网络基础架构的通信，通过将服务器的物理NICs连接到管理程序的逻辑设施，允许管理程序中VMs间高效的通信，以及和外部网络的高效通信。在参考资料部分，您将会找到更多关于Linux管理程序信息的链接（开源操作系统的丰富区域）。图2.虚拟的网络设施虚拟网络设施还支持其他有趣的革新，比如虚拟设备。除了虚拟网络的元素以外，我们还关注这些内容，作为该探索的一部分。回页首虚拟交换机虚拟网络设施的关键开发之一就是虚拟交换机的开发。虚拟交换机连接vNICs到服务器的物理NICs，并且—更重要的是—它将vNICs连接到服务器中的其他vNICs，进行本地通信。这之所以有趣是因为在一个虚拟交换机中，所受限制和网络速度无关，而是和内存带宽有关，它允许本地VMs间的高效通信，并且最小化网络设施的开销。这个节省是源自物理网络只用于服务器间的通信，服务期间的跨VM通信被隔离。但是，因为Linux已经在内核中包含一个2层交换机，所以有人可能会问，为什么会需要虚拟交换机？答案包括多个属性，但是最重要之一的是由这些交换机类型的新分类定义的。新的类名为分布式虚拟交换机，它采用使底层服务器架构更透明的方法，支持跨服务器桥接。一个服务器中的虚拟交换机能够透明地和其他服务器中的虚拟交换机连接（见图3），使服务器间（以及它们的虚拟接口）的VM迁移更简单，因为它们可以连接到另一个服务器的分布式虚拟交换机，并且透明地连接到它的虚拟交换网络。图3.分布式虚拟交换机在这期间最重要的项目之一名为OpenvSwitch，接下来本文会探讨这部分内容。在服务器中隔离本地流量的一个问题就是流量不是外部可视的（例如，对网络分析员）。实现通过各种计划解决了这一问题，例如OpenFlow，NetFlow和sFlow，它们还用于输出远程访问来控制和监控流量。OpenvSwitch分布式虚拟交换机的早期实现已经结束，并且受限于管理程序专有设置的操作。但是在今天的云环境中，支持多管理程序共存的异构环境是很理想的。OpenvSwitch是一个多层的虚拟交换机，在Apache2.0许可下可用作为开放资源。截止2010年5月，OpenvSwitch已有版本1.0.1可用，并且支持一系列有用的功能。OpenvSwitch支持领先的开源管理程序解决方案，包括基于内核的VM（KVM），VirtualBox，Xen和XenServer。它还是当前Linux桥模块的下拉替换。OpenvSwitch由交换机守护，管理基于流的交换机的配套内核模块组成。还存在各种其他的守护程序和实体，用于管理交换机（特别是从OpenFlow方面）。您可以在用户空间完全运行OpenvSwitch，但是这么做会导致性能的下降。除了为VM环境提供一个生产品质的交换机，OpenvSwitch还有令人印象深刻的功能路线图，和其他相似的、专有的解决方案竞争。回页首网络设备虚拟化NIC硬件的虚拟化以各种形式已经存在了一段时间—在虚拟交换机出现之前。本节将说明实现和硬件加速的部分内容，它们可用于改善网络虚拟化的速度。QEMU虽然QEMU是一个平台模拟器，但它还提供各种硬件设备的软件模拟，包括NICs。此外，QEMU还提供了用于IP地址分配的内部DynamicHostConfigurationProtocol服务器。QEMU和KVM一起运作，提供平台模拟和独立的设备模拟，为基于KVM的虚拟化提供平台。您可以在参考资料部分了解更多关于QEMU的内容。virtiovirtio是一个Linux的输入/输出（I/O）准虚拟化框架，它简化并加快了VM到管理程序的I/O通信。virtio创建了VM和用于虚拟块设备，通用的外围组件互连（PCI）设备，网络设备等的管理程序间I/O的标准化传输机制。您可以在参考资料部分了解更多virtio的内容。TAP和TUN虚拟化在网络栈中实现已经有一段时间了，允许VM访客网络栈访问主机网络栈。计划之二就是TAP和TUN。TAP是一个虚拟网络内核驱动，该驱动实现Ethernet设备，并在Ethernet框架级别操作。TAP驱动提供了Ethernet“tap”，访客Ethernet框架能够通过它进行通信。TUN（或者网络“通道”）模拟网络层设备，并且在IP数据包的较高层进行通信，这些数据包提供一些优化，因为底层Ethernet设备能够管理TUN的IP数据包的2层框架。I/O虚拟化I/O虚拟化来自在硬件层上支持加速虚拟化的PCI-SpecialInterestGroup（SIG）的标准化计划。特别是，Single-rootIOV（SR-IOV）提供一个接口，通过它独立的PCIExpress（PCIe）卡能够作为多PCIe卡出现在众多用户面前，允许多个独立的驱动连接到PCIe卡，无需相互了解。SR-IOV通过将虚拟功能扩展到各种用户来实现，这是作为PCIe空间的物理功能，但是在卡中作为共享功能表示。SR-IOV带给网络虚拟化的好处就是性能。比起实现物理NIC共享的管理程序，卡自身实现复合，允许从访客VMI/O接口直接到卡的通路。Linux今天包含对SR-IOV的支持，这对KVM管理程序很有好处。Xen也包括对SR-IOV的支持，允许它高效地向访客VMs显示vNIC。对SR-IOV的支持在OpenvSwitch的路线图上。虚拟LANs虽然相关，但是虚拟LANs（VLANs）是网络虚拟化的物理方法。VLANs提供创建跨分布网络的虚拟网络的能力，这样就会出现不同的主机（在独立的网络上），如果它们是相同广播域的一部分。VLANs通过使用VLAN信息标记框架完成这个，用来识别特定LAN（按照InstituteofElectricalandElectronicsEngineers[IEEE]802.1Q标准）的成员关系。主机和VLAN交换机一起运作，进行物理网络虚拟化。然而，虽然VLANs提供独立网络的假象，但它们共享同一个网络以及可用带宽，影响阻塞带来的结果。硬件加速许多针对I/O的虚拟化加速开始出现，寻址NICs和其他设备。Intel®VirtualizationTechnologyforDirectedI/O（VT-d）提供隔离I/O资源的功能来获得改进的可靠性和安全性，它包括重映射直接内存访问（使用多级页表）和设备相关的中断重映射，支持未修正的和虚拟化感知的访客。IntelVirtualMachineDeviceQueues（VMDq）还通过硬件中的嵌入排序和智能排序，加速了在虚拟化设置中的网络通信流，实现了管理程序较低的CPU利用率和总体系统性能的更大程度改善。Linux包含对两者的支持。回页首网络虚拟设备目前为止，本文探讨了NIC设备和交换机的虚拟化，当前实现的部分内容，通过硬件加速虚拟化的部分方法。现在，我们将这个讨论扩大到通常的网络服务。虚拟化范围内的有趣革新之一就是从服务器整合演化而来的生态系统。比起将应用程序投入到特定的硬件版本，服务器的一部分和服务器内扩展服务的强大VM相隔离。这些VMs被称为虚拟设备，因为它们关注一个特定的应用程序，被部署用于虚拟化设置。虚拟设备通常连接到管理程序—或者有管理程序的良好网络设置—来扩展特定的服务。这个之所以独特是因为，在合并服务器中，处理功能的部分（例如核）和I/O带宽能够为虚拟设备动态地配置。这个功能使它更成本有效（因为一个独立的服务器并不会为它而被隔离），并且您能够根据在服务器上运行的其他应用程序的需求，动态地改变它的功能。虚拟设备还能更易于管理，因为应用程序被绑定在操作系统中（在VM内）。无需特殊配置，因为VM是作为整体进行预配置的。这对于虚拟设备来说是个值得考虑的好处，这也是今天它一直发展的原因。虚拟设备已经为许多企业软件进行了开发，并且包括WAN优化，路由器，虚拟专用网，防火墙，防止/检测入侵的系统，邮件分类和管理等等。除了网络服务以外，虚拟设备还用于存储，安全，应用程序框架以及内容管理。回页首结束语曾几何时一切都可管理还是物理上可实现的。但是今天，在我们不断虚拟化的世界中，物理设备和服务已经消失不见。物理网络被虚拟化地分割，允许通信隔离和跨地理实体的虚拟网络的构建。应用程序消失在虚拟设备中，这些设备在强大服务器的核之间被分割，虽然为管理者添加了很多复杂性，但是也提供了更好的灵活性，改善了可管理能力。当然，Linux就走在前沿。参考资料学习Linux代表了良好的操作系统和虚拟化解决方案的平台。您可以在虚拟Linux（developerWorks，2006年12月）和剖析Linuxhypervisor（developerWorks，2009年5月）了解到更多关于Linux和虚拟化的内容。Linux实现了名为virtio的I/O虚拟化框架（由KVM使用）。virtio为高效的准虚拟化驱动开发提供了通用框架。您可以在Virtio：针对Linux的I/O虚拟化框架（developerWorks，2010年1月）了解更多关于virtio及其内在的内容。SR-IOV提供了对被多个访客VM使用的物理适配器进行虚拟化的方法。您可以在Linux虚拟化和PCI透传技术（developerWorks，2009年10月）读到更多关于设备模拟和I/O虚拟化的内容。SR-IOV允许多访客操作系统共享PCIe设备。您可以从Intel硬件设计网站了解更多关于SR-IOV的内容。PCI-SIG提供了各种IOV技术的规格。虚拟设备是软件设备传输的相对较新形式。虚拟设备中的重要目标就是共享的能力，而不是一个管理程序的最大便携性。在这个方向上的一个方法就是OpenVirtualizationFormat（OVF），它定义了虚拟设备元数据的格式。您可以