|
年后綜合癥剛剛消失殆盡��,轉(zhuǎn)眼就要迎接各種新的工作任務(wù)了����;之前寫過一篇有關(guān)hyper-v網(wǎng)絡(luò)虛擬化內(nèi)容的博文���,主要是從操作系統(tǒng)層面入手��,概要性的總結(jié)了一下��,基本也都是參考了大部分官方內(nèi)容再加以個人修飾;最近幾天利用system center 2012 R2做了個demo���,其中也涉及到了網(wǎng)絡(luò)虛擬化這塊���,于是乎打算把遇到的經(jīng)驗和問題和大家做個分享�����,因為“SDN(軟件定義網(wǎng)絡(luò))”包含的信息量挺大的����,所以我會按三個章節(jié)來寫���,循序漸進(jìn)���。
接下來的內(nèi)容與之前最大的區(qū)別在于把操作轉(zhuǎn)向system center并通過SCVMM來實現(xiàn)網(wǎng)絡(luò)虛擬化,凸顯出這套產(chǎn)品在私有云管理方面的強(qiáng)大之處����。
那么說道網(wǎng)絡(luò)虛擬化,就不得不提及SCVMM的幾個關(guān)鍵概念:
1.物理網(wǎng)絡(luò)
2.邏輯網(wǎng)絡(luò)
3.VM網(wǎng)絡(luò)
4.VM子網(wǎng)
下圖是我本人理解的一個面向租戶的場景���,用戶A通過自助服務(wù)的途徑來申請并獲取他想要的網(wǎng)絡(luò)資源���,對應(yīng)到SCVMM里面就是VM network,然后VM子網(wǎng)就不難理解了�,它實際上是用戶自行在獨(dú)享的VM network所做的分配,也就是說VM subnet中的IP資源才是最終呈現(xiàn)出來的可見網(wǎng)絡(luò),或者你也可以把它視為整個網(wǎng)絡(luò)延伸的終點(diǎn)��,但是從大的角度來說�,VM network就可以說是直接交付給用戶的最終產(chǎn)物了。
我們接著往后看����,VM network是構(gòu)建在邏輯網(wǎng)絡(luò)之上的,邏輯網(wǎng)絡(luò)對用戶來講是不可見的�,當(dāng)然它是面向后臺管理者的,邏輯網(wǎng)絡(luò)存在的最大意義在于�����,它是用來修飾最底層物理網(wǎng)絡(luò)的���;舉個簡單的例子��,比如你一臺服務(wù)器單網(wǎng)卡想做個虛擬化環(huán)境這沒問題��,但是由于資源有限����,帶寬有限�,你所有的流量負(fù)載都要經(jīng)由一個網(wǎng)卡和一條鏈路����,但是你可以通過多個邏輯網(wǎng)絡(luò)命名來區(qū)別不同的業(yè)務(wù)��,例如:研發(fā)組網(wǎng)絡(luò)���、測試組、運(yùn)維���。��。等等��,他們雖然在本質(zhì)上共享同樣的資源���,但是你可以通過邏輯網(wǎng)絡(luò)來進(jìn)行區(qū)分,并且針對邏輯網(wǎng)絡(luò)做限制和管理��,例如QOS等等�。
有的朋友一直存在一個誤區(qū),認(rèn)為說邏輯網(wǎng)絡(luò)就是物理網(wǎng)卡映射到了SCVMM里��,其實根本不是����,對于第一次添加主機(jī)時�����,邏輯網(wǎng)絡(luò)只是默認(rèn)把你本機(jī)的NIC名稱抓過來當(dāng)作邏輯網(wǎng)絡(luò)名稱罷了��。
接下來demo環(huán)境中將要實現(xiàn)的就是圖中門戶申請背后的所有內(nèi)容����,我們只有將底層搭建好了才可以把“軟件定義網(wǎng)絡(luò)”這樣的服務(wù)打包給用戶�����;至于門戶的選擇可以是微軟官方的AzurePack�,也可以是定制化開發(fā)的門戶產(chǎn)品。
再正式進(jìn)行之前再稍微看一下拓?fù)鋱D����,在我的上一篇博客里對CA、PA���、VSID��、RDID已經(jīng)做過比較詳細(xì)的介紹��,可以先回顧一下�����。
VM彼此之間通信會以CA地址進(jìn)行�����,也就是用戶自己的VM subnet地址�����;如果VM是分布在不同主機(jī)上��,那么這種跨主機(jī)的通信會經(jīng)過NVGRE重封包來解決�,發(fā)起端經(jīng)由NVGRE打包并貼上PA地址標(biāo)記����,也就是一個專用的邏輯網(wǎng)絡(luò)地址池,然后提交給接受主機(jī)��,接收端同樣使用PA地址收取然后拆包拿出CA地址標(biāo)簽轉(zhuǎn)發(fā)給最終VM����,其實是很簡單的原理���,NVGRE與cisco等廠商提倡的VXLAN都是差不多的初衷。
DEMO中會需要一臺獨(dú)立的物理主機(jī)做網(wǎng)關(guān)主機(jī)���,并且要支持虛擬化并在其上創(chuàng)建一臺VM網(wǎng)關(guān)�����;VM網(wǎng)關(guān)內(nèi)口接SCVMM的邏輯交換機(jī)(下一篇重點(diǎn))�����,外口直接走外網(wǎng)段��;其實也是非?���;镜木W(wǎng)關(guān)拓?fù)洹?/p>
剛才上面說了一大嘟嚕話其實是怕有的筒子們越往后看越鬧心���,我也是想盡量把概念類的東西先鋪墊一下����,現(xiàn)在馬上開始正題:演示平臺WS2012R2+SC2012R2�����。
下圖中的gateway是專門用來做網(wǎng)關(guān)物理主機(jī)的,它上面還有一臺NVGRE網(wǎng)關(guān)虛機(jī):
在主機(jī)組Lenovo中����,host01主要用來放置管理服務(wù)器用,例如一些SC角色��;host02主要是專門申請?zhí)摍C(jī)用的����,winserver10就是一臺測試虛機(jī)�����。
點(diǎn)擊Virtual Switch這個邏輯網(wǎng)絡(luò)就可以看到啟用“網(wǎng)絡(luò)虛擬化”的選項�,不起用的話那么一個邏輯網(wǎng)絡(luò)就只能創(chuàng)建一個VM network,這個Virtual Switch是流向外網(wǎng)的邏輯網(wǎng)絡(luò)�����。
在Virtual Switch邏輯網(wǎng)絡(luò)上創(chuàng)建了一個站點(diǎn)����,叫shangdi�,不是上帝而是上地(歡迎志同道合者約飯)�����,站點(diǎn)的作用就是來分配邏輯網(wǎng)絡(luò)的使用權(quán)的�,這個邏輯網(wǎng)絡(luò)下的站點(diǎn)包含了哪些主機(jī)資源,那么這些主機(jī)的物理網(wǎng)絡(luò)就可以與這個邏輯網(wǎng)絡(luò)相綁定���,今后通過對邏輯網(wǎng)絡(luò)加以控制就起到了直接管理物理網(wǎng)絡(luò)的效果��。
在邏輯網(wǎng)絡(luò)下面創(chuàng)建一個地址池�����,如果平時我們不需要網(wǎng)絡(luò)虛擬化的功能����,那么這個地址池是可以直接分配給虛機(jī)來使用的����,此時地址池通常是與物理網(wǎng)絡(luò)相匹配的;這個test IP pool就是直接可以訪問外網(wǎng)的IP�����,在后面NVGRE網(wǎng)關(guān)會通過NAT從這個池里面拿IP來給CA做轉(zhuǎn)換。
IP地址范圍我給了40-50���,顯然這個IP范圍并不是我們實際的公網(wǎng)IP資源�����,但是沒關(guān)系�����,軟件定義網(wǎng)絡(luò)就是這么靈活自如。
之后的網(wǎng)關(guān)��、DNS等設(shè)置都以我辦公環(huán)境的接入設(shè)備為參考:
在看另外一個邏輯網(wǎng)絡(luò)Tenant�����,這個網(wǎng)絡(luò)是專門給用戶申請?zhí)摍C(jī)使用的����,并且勾選了啟用“網(wǎng)絡(luò)虛擬化”,特別注明一點(diǎn):我這個主機(jī)也只是接了一根網(wǎng)線�����,正如我上面提到的,邏輯網(wǎng)絡(luò)的作用不是1:1的來映射你的物理網(wǎng)卡���。
這個邏輯網(wǎng)絡(luò)也同樣創(chuàng)建一個站點(diǎn)���,并且允許所有主機(jī)關(guān)聯(lián),網(wǎng)絡(luò)地址為192.168.0.0/24���,區(qū)別于我的外網(wǎng)地址192.168.10.0/24����。
接下來創(chuàng)建一個IP地址池�����,這些IP就是PA�����,也就是專門給主機(jī)間通信用的���;因此無需DNS�、網(wǎng)關(guān)等配置。
接下來再瞅一眼VM network�����,virtual switch是構(gòu)建在“virtual switch”這個邏輯網(wǎng)絡(luò)上的���;它也是這個邏輯網(wǎng)絡(luò)上僅有且唯一的VM network����;上面那個tenant VM network將在第三篇提起�。
端口配置文件
端口配置文件有兩種,一個是給虛擬網(wǎng)卡用的���,一個是給上行鏈路用的���,分別是什么意思呢�����?看下面圖中默認(rèn)選擇“虛擬網(wǎng)卡端口配置文件”�����。
然后下一步可以看到針對虛擬網(wǎng)卡我們可以啟用的一些硬件支持功能,比如IPsec卸載和單根虛擬化�;記住前提是硬件環(huán)境支持,而且有的功能并不是僅僅要求網(wǎng)卡支持���,例如SR-IOV:
然后針對虛擬網(wǎng)卡可以啟用的一些功能����,mac欺騙���,自定義IP地址等等����;大家可能會發(fā)現(xiàn)其實這里的設(shè)置和hyper-v管理器中的設(shè)置是一一對應(yīng)的��。
最后還可以針對該端口配置文件進(jìn)行QOS設(shè)置���,帶寬大小及權(quán)重��。
剛才是“虛擬網(wǎng)卡端口配置文件”�����,再來看看“上行端口配置文件”當(dāng)選擇到上行端口配置文件之后�����,會發(fā)現(xiàn)左側(cè)列表少了很多內(nèi)容:
上行端口配置文件可以支持NIC Teaming��,可以選擇負(fù)載平衡算法����,比如地址哈希或者h(yuǎn)yper-v端口方式:
在teaming模式下可以選擇是否依賴交換機(jī)��,例如端口聚合LACP��;我直接創(chuàng)建一個“上行端口配置文件”�,保持默認(rèn)選擇(反正我的設(shè)備只有一個NIC啟用):
在下一步中可以選擇已有的站點(diǎn)及對應(yīng)的邏輯網(wǎng)絡(luò),這里是什么意思呢����?我們通過SCVMM創(chuàng)建出這兩種端口配置文件(虛擬網(wǎng)卡和上行),然后可以再創(chuàng)建“邏輯交換機(jī)(下一篇介紹)”把這些端口配置文件關(guān)聯(lián)在一起�;這樣只要把物理主機(jī)的某一個網(wǎng)卡指向“邏輯交換機(jī)”,那么這個網(wǎng)卡(物理網(wǎng)絡(luò))就會自動關(guān)聯(lián)到所包含的所有“邏輯網(wǎng)絡(luò)”��,如果你的主機(jī)運(yùn)行windows2012而且想使用網(wǎng)絡(luò)虛擬化���,那么就需要把下面的勾選上,R2可忽略。
下面是我依據(jù)DEMO環(huán)境所創(chuàng)鍵的幾個上行端口配置文件�,“uplinke port profile”這個是給host02主機(jī)用的,也就是跑用戶虛機(jī)的那臺宿主機(jī)用的�。
讓這臺虛機(jī)可以使用tenant與virtual switch兩個邏輯網(wǎng)絡(luò)(因為host02既要有PA地址又要上外網(wǎng))。
inbound這個配置文件是給gateway那臺物理網(wǎng)關(guān)主機(jī)的內(nèi)口網(wǎng)卡用的���,因為它只需要PA地址�����,所以不給它選virtual switch這個可以訪問外網(wǎng)的邏輯網(wǎng)絡(luò)了(我覺得看到這里大家應(yīng)該對邏輯網(wǎng)絡(luò)已經(jīng)有很深刻的理解了吧����?)
同樣outbound顧名思義��,是gateway物理主機(jī)的外口網(wǎng)卡專用配置文件��,無需PA地址所以就不選Tenant��。
接著我再創(chuàng)建一個名為“Tenant”的虛擬網(wǎng)卡配置文件���,這個文件專門用來給用戶VM的網(wǎng)卡做標(biāo)記��,offload設(shè)置保持默認(rèn)(當(dāng)然如果你的硬件足夠橫��,那么你可以啟用SR-IOV等功能)��,帶寬設(shè)置這里給個1���,應(yīng)該是最小值了�,這個權(quán)重值的意義是當(dāng)不同業(yè)務(wù)流量共享同一物理網(wǎng)絡(luò)時�����,會根據(jù)這個權(quán)重來平衡帶寬占用優(yōu)先級����;可能有的童鞋會說“我的VM專門綁定一個網(wǎng)卡或者一組teaming,管理網(wǎng)絡(luò)用另外一個網(wǎng)卡或者一組teaming”是吧����?那么通常我們這做的時候還要單獨(dú)的去規(guī)劃網(wǎng)段,配置每一個網(wǎng)卡等等�����,運(yùn)維工作會比較繁瑣���;下一篇中會結(jié)合邏輯交換機(jī)來介紹如何解放運(yùn)維工作����。
在安全設(shè)置里�����,注意要啟用“允許來賓定義IP地址”:
為了給下一篇提前做個預(yù)習(xí)�,咱們先來看看邏輯交換機(jī)的設(shè)置;下圖中我已經(jīng)提前創(chuàng)建好了幾個邏輯交換機(jī)�,打開“test logical switch”這個屬性可以看到下方有“啟用SR-IOV”功能。
下圖是關(guān)于SR-IOV功能在hyper-v管理器中配置的地方����,虛機(jī)網(wǎng)卡中可以設(shè)置(對應(yīng)虛擬網(wǎng)卡端口配置文件設(shè)置)。
hyper-v虛擬交換機(jī)設(shè)置中的SR-IOV(對應(yīng)剛才邏輯交換機(jī)中的設(shè)置)話說如果條件允許的話����,建議使用單根虛擬化功能,即SR-IOV���,可以讓虛機(jī)直接與物理資源交互而無需經(jīng)過中間的虛擬化層��;當(dāng)然正如下圖中標(biāo)記的“SR-IOV只有在創(chuàng)建之前配置才行�����,之后無法更改”�����。
邏輯交換機(jī)的擴(kuò)展選項2選1����,保持默認(rèn)就行。
上行端口模式是否要用teaming功能�����,并且選擇我們剛才創(chuàng)建的“上行端口配置文件”�����。
點(diǎn)擊“添加”可以選擇相應(yīng)的配置文件:
這樣一個邏輯交換機(jī)就創(chuàng)建完成了��,它包含兩種端口配置文件:
在接下來的一篇中�����,我會展示如何把物理服務(wù)器的網(wǎng)卡接入邏輯交換機(jī)�,以及接入后的效果并且如何簡化部署實施工作,為我們最終的網(wǎng)絡(luò)虛擬化演示做好鋪墊��。虛擬
|
