مقاله Vepa، پاسخي به سوييچينگ مجازي

[Fahim 9563]

راهكاري به‌منظور حذف پيچيدگي‌هاي مربوط به پياده‌سازي‌هاي به شدت مجازي‌شده

 

 

اشاره: VEPA (سرنام Virtual Ethernet Port Aggregator) كه بخشي از تلاش جديد استانداردسازي IEEE 802.1Qbg به‌شمار مي‌آيد، به‌اين منظور طراحي شده تا پيچيدگي‌هاي مربوط به پياده‌سازي‌هاي به شدت مجازي‌ شده را حذف كند. يك بررسي نزديك از راهكار سنتي كه از سوييچ‌هاي مجازي استفاده مي‌كند و مقايسه آن با راهكار VEPA، ديدگاه مناسبي را از چالش‌هاي استقرار و ملاحظات مربوط به مجازي‌سازي و شبكه‌سازي در اختيار ما قرار مي‌دهد.

VEPA (سرنام Virtual Ethernet Port Aggregator) كه بخشي از تلاش جديد استانداردسازي IEEE 802.1Qbg به‌شمار مي‌آيد، به‌اين منظور طراحي شده تا پيچيدگي‌هاي مربوط به پياده‌سازي‌هاي به شدت مجازي‌ شده را حذف كند. يك بررسي نزديك از راهكار سنتي كه از سوييچ‌هاي مجازي استفاده مي‌كند و مقايسه آن با راهكار VEPA، ديدگاه مناسبي را از چالش‌هاي استقرار و ملاحظات مربوط به مجازي‌سازي و شبكه‌سازي در اختيار ما قرار مي‌دهد.

 

وقتي شما ماشين‌هاي مجازي متعددي داريد (هركدام با يك سيستم عامل و برنامه‌هاي خاص خودشان) كه به كمك يك هايپروايزر روي يك ميزبان فيزيكي قرار گرفته اند، VMها با يكديگر و همچنين با دنياي خارج از طريق يك سوييچ مجازي يا VSwitch ارتباط برقرار مي‌كنند. VSwitch به نوبه خود يك سوييچ لايه دو است كه به‌طورمعمول به‌صورت نرم‌افزاري در داخل هايپروايزر اجرا مي‌شود. هر هايپروايزر به‌طورمعمول يك سوييچ مجازي توكار دارد. قابليت‌هاي سوييچ مجازي در بين هايپروايزرهاي مختلف، متفاوت است.

 

به اين ترتيب، سوييچ مجازي شبكه‌سازي را به قلمروي سرور كشانده و نياز به آزمايش دوباره، تأييد دوباره و استقرار دوباره محصولات و ابزارهاي مبتني بر شبكه را براي محيط مجازي‌سازي شده به همراه مي‌آورد. اين تغيير در عمل مي‌تواند به يك مانع براي مقياس‌دهي سريع و پذيرش مجازي‌سازي تبديل شود. به عنوان مثال، در ساختار سنتي، تيم‌هاي عملياتي سرور و شبكه سنتي از يكديگر متمايز بوده و هر كدام رويه‌ها، ابزارها و قلمروي كنترل خاص خود را در اختيار داشته‌اند. با حركت شبكه‌سازي به سمت سرور از طريق سوييچ مجازي، انجام يك كار ساده مانند تدارك ماشين‌هاي مجازي مي‌تواند به هماهنگي بيشتري مابين اين تيم‌ها نياز داشته باشد تا تضمين كند كه پيكربندي سوييچ مجازي با پيكربندي شبكه فيزيكي همخوان است.

 

عيب‌يابي و نظارت بر ارتباطات مابين VMها، به‌خاطر عدم امكان مشاهده ترافيك مابين آن‌ها در داخل شبكه به يك چالش تبديل مي‌شود. از سوي ديگر، وقتي تعداد ماشين‌هاي مجازي روي يك سرور واحد از هشت تا دوازده VM امروزي به به عنوان مثال، 32 تا 64 عدد در آينده نزديك افزايش پيدا ‌كند، نياز به امن‌سازي ماشين‌هاي مجازي داخل سرور در برابر يكديگر و در برابر تهديدهاي خارجي، به يك موضوع بسيار مهم تبديل مي‌شود.

 

از فايروال‌ها گرفته تا IDS/IPS، ابزارها و تجهيزات مبتني بر شبكه سنتي بايد دوباره براي اين نوع محيط‌هاي به شدت مجازي‌ توسعه يافته، تأييد شده و استقرار پيدا كنند تا تضمين كنند كه ارتباطات بين VMها از طريق سوييچ مي‌تواند با ملاحظات امنيتي و ساختاري انطباق داشته باشد. فقدان استانداردها در حوزه سوييچ‌هاي مجازي، چالش مذكور را بيش از پيش تشديد كرده و سربار آموزشي، همكاري و مديريتي ميان فناوري‌هاي مختلف هايپروايزر را افزايش مي‌دهد. در نتيجه، سرور فيزيكي در حال تبديل شدن به يك محيط شبكه كاملاً متراكم با مجموعه گسترده‌اي از ملاحظات مرتبط با همكاري، استقرار، تصديق و آزمايش است. نكته جالب توجه اين‌كه اين گرايش وضعيت را به سمت يكي از فرضيه‌هاي مجازي‌سازي مي‌كشاند كه بهره‌گيري كارآمد از ظرفيت اضافي سرورها براي اجراي نرم‌افزارهاي كاربردي است. «شبكه داخلي سرور» اكنون در حال تبديل شدن به يكي از مصرف‌كنندگان عمده همان ظرفيت اضافي است كه فشار قابل توجه‌اي را بر منابع پردازنده و حافظه وارد مي‌كند.

 

روش VEPA

راه‌حل‌هاي متعددي براي چالش‌هايي كه در بالا به آن‌ها اشاره كرديم، پيشنهاد شده‌اند كه VEPA يكي از آن‌ها است. VEPA به‌عنوان يك جايگزين نويدبخش براي سوييچ مجازي پيشنهاد مي‌شود، چه در حوزه استانداردسازي و چه توسط مجموعه گسترده‌اي از فروشندگان.

 

يك VEPA تمام ترافيك توليد‌شده توسط ماشين‌هاي مجازي روي سرور را جمع كرده و آن‌ها را به سوييچ شبكه خارجي انتقال مي‌دهد. سوييچ شبكه خارجي نيز به نوبه خود اتصال ميان ماشين‌هاي مجازي را روي همان سرور فيزيكي و همچنين بقيه زيرساختار شبكه فراهم مي‌سازد.اين كار با تركيب چند حالت جديد ارسال (Forwarding) روي سوييچ فيزيكي انجام مي‌شود كه به ترافيك امكان مي‌دهد به همان درگاهي كه از آن آمده است برگردد و به اين ترتيب، ارتباطات مابين VMها را روي يك سرور واحد آسان كند.

 

حالت «Hairpin» (كه تحت عنوان Reflective Relay نيز شناخته مي‌شود) در صورت نياز يك كپي از بسته را به ماشين مجازي هدف يا مقصد روي سرور برمي‌گرداند. براي ترافيك Broadcast يا Multicast، VEPA تكرار بسته را براي هر يك از VMهايي كه به‌طور محلي روي سرور قرار گرفته‌اند، فراهم مي‌كند.به‌طور سنتي، رفتار حالت Hairpin توسط بيشتر سوييچ‌هاي شبكه پشتيباني نمي‌شود، زيرا در يك دنياي غيرمجازي مي‌تواند باعث ايجاد حلقه‌ها و طوفان‌هاي Broadcast شود. با اين‌حال، بسياري از فروشندگان با بهره‌گيري از يك نرم‌افزار ساده يا ارتقاي Firmware شبكه شروع به پشتيباني از اين رفتار كرده‌اند تا سوييچينگ ماشين‌مجازي را تأمين كنند.

 

اين رفتار در عين حال به‌عنوان بخشي از گروه كاري IEEE 802.1Qbg استانداردسازي شده است. يك VEPA مي‌تواند به‌صورت نرم‌افزاري به‌عنوان يك لايه باريك در هايپروايزر يا به‌صورت سخت‌افزاري در كارت‌هاي NIC پياده‌سازي شود. در هر يك از وضعيت‌هاي مذكور، VEPA مي‌تواند به همراه فناوري‌هاي مجازي‌سازي PCIe I/O مانند SR-IOV مورد استفاده قرار گيرد. شما مي‌توانيد يك مثال از پياده‌سازي نرم‌افزاري VEPA را در KVM Hypervisor لينوكس مشاهده كنيد.

 

در نتيجه، VEPA سوييچ را از سرور خارج كرده و به شبكه برمي‌گرداند كه باعث مي‌شود تمام ترافيك ماشين‌هاي مجازي براي سوييچ شبكه خارجي قابل مشاهده باشد. با برگرداندن سوييچينگ ماشين مجازي به شبكه خارجي، يك راهكار مبتني بر VEPA باعث مي‌شود كه ابزارها و رويه‌هاي موجود شبكه به‌طور همخوان و سازگاري روي هر دو محيط مجازي و غيرمجازي و همچنين در بين فناوري‌هاي‌ مختلف هايپروايزر كار كنند.

 

تجهيزات مبتني بر شبكه مانند فايروال‌ها، IDS/IPS و همچنين عملكردهاي ويژه سوييچ شبكه مانند ACLها (سرنام Access Control List)، QoS (سرنام Quality of Service) و Port Mirroring همگي بلافاصله براي ترافيك VM و سوييچينگ مابين VMها قابل دسترسي خواهند بود كه به نوبه خود نياز به تعيين صلاحيت،‌ آزمايش و استقرار تجهيزات جديد و پرهزينه شبكه مجازي را برطرف مي‌سازد. همچنين، يك VEPA كنترل سرپرستي شبكه را به سرپرست شبكه برمي‌گرداند و يك نقطه كنترل واحد را براي تدارك، نظارت و عيب‌يابي تمام توابع شبكه‌سازي مرتبط با ماشين مجازي فراهم مي‌كند. انتقال فشار توابع شبكه از سرور به سوييچ شبكه، در عين حال از مزيت آزادسازي منابع سرور و قرار دادن آن‌ها در دسترس برنامه‌ها برخوردار است، در حالي‌كه مزيت سوييچينگ با سرعت سيم را مابين هر دو گروه سرورهاي مجازي‌سازي شده و غيرمجازي به همراه دارد. در واقع اين سرعت از يك تا ده گيگابايت بر ثانيه آغاز شده و به سمت چهل تا صدگيگابيت بر ثانيه حركت مي‌كند.

 

در نتيجه، روش مبتني بر VEPA مي‌تواند نويدبخش امكان افزايش مقياس پياده‌سازي‌هاي مجازي‌، كاهش پيچيدگي و هزينه و نيز افزايش سرعت پذيرش مجازي‌سازي در شبكه‌ها باشد. به‌رغم مزاياي مختلف يك روش مبتني بر VEPA ممكن است بعضي از محيط‌هاي خاص وجود داشته باشند كه در آن‌ها انجام سوييچينگ ترافيك مابين VMها در داخل سرور مطلوب‌تر باشد.

 

به عنوان مثال، ممكن است محيط‌هايي وجود داشته باشند كه در آن‌ها يك سرور فيزيكي تحت فشار كاري سنگين ماشين‌هاي مجازي قرار دارد كه ارتباطات قابل ملاحظه‌اي مابين VMها ايجاد مي‌كنند و نگه‌داشتن ترافيك بين VMها در داخل سرور مي‌تواند به كاهش تأخير تا كمترين سطح ممكن كمك كند. در اين‌گونه سناريوها، يك شيوه احتمالي اين است كه سوييچ مجازي نرم‌افزاري مبتني بر هايپروايزر را ناديده گرفته و از قابليت‌هاي سوييچينگي استفاده كنيم كه NICهاي جديدتر به‌صورت سخت‌افزاري بر‌اساس قابليت‌هاي جديد مجازي‌سازي I/O مانند SR-IOV تأمين مي‌كنند. با اين‌حال، پيش از عملياتي‌ كردن مدل «شبكه داخل سرور» به‌طور كامل، پيچيدگي عملياتي چنين روشي در كنار ملاحظات امنيتي و هزينه‌اي بايد به‌دقت مورد بررسي و توجه قرار گيرد. با گسترش پذيرش مجازي‌سازي سرور، پيچيدگي‌هاي سوييچينگ ترافيك مابين ماشين‌هاي مجازي چه در داخل يك سرور و چه مابين سرورهاي متعدد به‌طور چشم‌گيري افزايش مي‌يابد. يك راهكار مبتني بر VEPA براي سوييچينگ بين VMها، جايگزين جذاب و جالب توجه‌اي را براي راهكار مبتني بر سوييچ مجازي سنتي فراهم مي‌كند. تلاش‌هاي استانداردسازي براي تأمين قابليت‌هاي مورد نياز در شبكه و زيرساختار سرور به‌منظور پشتيباني از VEPA آغاز شده‌اند.