雲計算中的網絡基礎

雲計算中的網絡基礎

1、虛擬化中的網絡構架

• 虛擬化中的網絡流量：
  在雲計算和虛擬化中，將數據中心的流量分爲南北向流量和東西向流量。判斷流量的走向，通常須要有必定的參照物。通常南北向流量和東西向流量是以路由器爲分界點，不管是虛擬路由器仍是物理路由器都適用，其中通過路由器的流量爲南北流量，不通過路由器的流量爲東西流量

例以下圖

該路由器被部署在數據中心機房的邊界處，向上鏈接外網，向下鏈接數據中心的機房業務辦公、郵件網絡，當外網訪問數據中心機房業務時，該流量爲南北向流量，若是數據中心內運行了我的虛擬機，該虛擬機訪問業務時，不須要通過路由器，該流量爲東西向流量

2、網絡基本概念

• 廣播和單播：廣播和單播都是網絡中的通信方式

  廣播：在網絡中，當兩臺設備第一次進行通訊的時候， 通訊的發起方會使用廣播的方式來找通訊的接收方，該廣播會在整個廣播域中擴散，同域內的全部的網絡設備都會收到該廣播，同時會檢查這個廣播數據包中的內容，若是發現找的接收方式本身，則會給發起方回一個單播的消息，若是發現找到不是本身，則會將這個廣播包丟棄。客戶機經過DHCP本身主動得到IP地址的過程就是經過廣播來實現的
  單播：網絡節點之間的通訊就好像是人們之間的對話同樣。一我的和另外一我的進行對話。那麼用網絡技術的術語來描寫敘述就是「單播」。此時信息的接收和傳遞僅僅在兩個節點之間進行
  

• 路由和默認網關：

  路由：廣播域和廣播域之間進行通訊時經過路由表找到其餘廣播域的方式就叫作路由。
  默認網關：若是廣播域較多，那麼路由表中的路由條目也有不少，這樣通訊是會有極大的設備負擔。這時就會用到默認網關，，默認網關收 到通訊請求時，若是本身的路由表中存在着目的地址的網段，則會替通信的發起者進行路由的轉 發，若是本身的路由表中沒有目的地址，它會給發起者返回一個目的地址不可達的信息
  默認網關是路由的一種特殊形式，它是路由轉發時的最後選擇，表明了若是沒有其它的路由 條目能夠進行轉發，則使用默認網關進行轉發
  

• VLAN
  VLAN是將一個物理的局域網在邏輯上劃分爲多個廣播域的技術 ，同一VLAN內 的主機能夠直接通訊，而不一樣VLAN間的主機不能直接通信
  

好處：
一、限制廣播域，廣播域被限制在一個VLAN內
二、加強局域網安全性，即不一樣VLAN的用戶是不能直接通訊的
三、提升了網絡的健壯性：若是一個VLAN的發生故障，其不影響其它VLAN的正常工做

• VLAN 的工做原理：
  VLAN 是傳統的以太網數據幀中加入了 4 字節的 802.1Q Tag協議，不一樣的 VLAN 之間就使用這個標籤進行區分
  

• 在一個 VLAN 交換網絡中，以太網幀有如下兩種形式： 
  有標記幀（tagged frame）：加入了 4 字節 802.1Q Tag 的幀 
  無標記幀（untagged frame）：原始的、未加入 4 字節 802.1Q Tag 的幀

• VLAN的鏈路類型

接入鏈路（Access Link）：用於鏈接用戶主機和交換機的鏈路。一般狀況下，主機 並不須要知道本身屬於哪一個 VLAN，主機硬件一般也不能識別帶有 VLAN 標記的 幀。所以，主機發送和接收的幀都是 untagged 幀
幹道鏈路（Trunk Link）：用於交換機間的互連或交換機與路由器之間的鏈接。幹道 鏈路能夠承載多個不一樣 VLAN 數據，數據幀在幹道鏈路傳輸時，幹道鏈路的兩端設 備須要可以識別數據幀屬於哪一個 VLAN，因此在幹道鏈路上傳輸的幀都是 Tagged 幀。

• VLAN相關接口類型：
  Access接口：Access 接口是交換機上用來鏈接用戶主機的接口，它只能鏈接接入 鏈路。僅僅容許惟一的 VLAN ID 經過本接口，這個 VLAN ID 與接口的缺省 VLAN ID 相同，Access 接口發往對端設備的以太網幀永遠是不帶標籤的幀。Trunk接口：：Trunk 接口是交換機上用來和其它交換機鏈接的接口，它只能鏈接幹 道鏈路，容許多個 VLAN 的幀（帶 Tag 標記）經過。
  Hybrid接口：這個接口也可以容許多個VLAN幀經過而且還能夠指定哪些VLAN數據幀被剝離標籤
  每種類型的接口均可以配置一個缺省 VLAN，對應的 VLAN ID 爲 PVID（Port Default VLAN ID）。接口類型不一樣，缺省 VLAN 的含義也有所不一樣。幾乎全部交換機出廠時的默認 VLAN 都爲 1
  缺省VLAN爲該接口上的默認VLAN值
  
  3、虛擬化中的物理網絡

如今的網絡中，TCP/IP 是最通用的協議棧，它把整個 網絡的通訊過程分爲四層，分別是應用層內、傳輸層、網絡層和鏈路層

路由工做在傳輸層（三層），VLAN 工做在網絡層（二層）工做在傳輸層的設備有路由器和三層交換機，工做在二層的設備通常是二層交換機，物理服務器的網卡、 連接網卡的網線或者光纖/ Hub屬於一層的設備。

虛擬化中路由器的做用：路由器通常部署在一個企業或單位出口的地方，鏈接着互聯網和內網。若是內部的虛擬機須要訪問互聯網，通常都會須要路由器完成路由轉發和 NAT（網絡地址轉換），同時，若是經過互聯網訪問內部網絡，也須要通過路由器
虛擬化中三層交換機的做用：

管理流量：VRM和CNA通訊的平面
業務流量：虛擬機和虛擬機之間通訊的平面
存儲流量：虛擬機的配置和數據的存儲平面
這三個平面必是分開的這種管理叫作帶外管理
若是把管理流量和業務流量合併在一個平面就叫帶內管理

虛擬化中二層交換機的做用

按照接入流量的類型，接入交換機也能夠分爲管理交換機、存儲交換機和 業務交換機，若是是超大流量的數據中心，在設計網絡結構時，會建議使用不一樣的物理交換機來 承載不一樣的流量，也就是說，每種流量的交換機都是單獨一個機體。若是是通常流量的數據中 心，不一樣類型的交換機能夠是一個物理交換機，而後使用 VLAN 將流量進行邏輯隔離。下圖所 示爲全部流量使用物理和邏輯所有隔離的狀況

虛擬化中物理網卡的做用

不綁定：物理服務器上網卡直接鏈接交換機
綁定：物理服務器上配置兩張網卡 兩張網卡個配置一個端口去鏈接兩個交換機（交換機堆疊） 同時提升傳輸速率

4、虛擬化中的虛擬網絡介紹

虛擬網絡的構架
隨着雲計算和虛擬化的普及，真正的網絡接入層已經再也不是之前二層接入交換機了，它須要 下沉到服務器內部，和虛擬機進行對接，虛擬交換機就出現，成爲真正的網絡接入層

虛擬網絡構架圖

在我的或者小型的虛擬化中，虛擬機會 以橋接或者 NAT 的方式與物理網卡綁定，而在企業級大規模的場景下，虛擬機都是經過虛擬機 交換機鏈接到物理網絡

Vm net0 橋接模式：虛擬機直接鏈接物理機網卡上擁有和host machine 同樣的IP地址配置
Vm net 8 NAT模式:讓虛擬系統藉助NAT(網絡地址轉換)功能，經過宿主機器所在的網絡來訪問公網。也就是說，使用NAT模式能夠實如今虛擬系統裏訪問互聯網。而且生成一個虛擬網段Lunix 中，默認生成網段是 192.168.122.0/24
地址轉換是使用的是 NAT 技術。使用了 NAT 之後，當虛擬機和外部網絡進行通訊時，通過 NAT 網關，也就是 virbr0 它會將 IP 包中的源 IP 地址轉換成物理網橋的地址，而且 會造成一個記錄，當外部網絡訪問虛擬機時，NAT 網關會根據這個記錄將數據包轉發給對應的 虛擬機。
Vm net 1僅主機模式：虛擬機內之間能夠互相訪問可是沒法訪問外網，外網頁沒法訪問虛擬機

虛擬交換機 - Open vSwitch （OVS）二層交換機

Open vSwitch是一款開源的、高質量的、支持多層協議的虛擬交換機，支持多種 Linux 虛擬機化技術，好比 Xen 和 KVM

OVS特徵：
一、安全性經過VLAN對數據流量進行隔離
二、監控性把經過虛擬機發出去的流量能夠製做一份鏡像 把其傳遞到任何地方
三、流量的優先級性對數據流量進行定義當帶寬不足時優先轉發優先級高的數據流量
四、自動控制 SDN技術 （軟件定義網絡）把交換機中的操做系統抽象化而且對接入的流量控制

虛擬交換機分兩種類型，一種是普通虛擬交換機，一種是分佈式虛擬交換機。普通虛擬交換 機只運行在單獨的一臺物理主機上，全部的網絡相關的配置只適用於此物理服務器上的虛擬機； 分佈式虛擬交換機分佈在不一樣的物理主機上，經過對虛擬化管理工具，能夠對分佈式虛擬交換機 進行統一的配置。

分佈式虛擬交換機DVS

 vNIC：虛擬機網絡接口卡
VSP：虛擬交換端口

分佈式交換機模型基本特徵：
1) 虛擬化管理員能夠配置多個分佈式交換機，每一個分佈式交換機能夠覆蓋集羣中的多個 CNA 節點（管理計算節點上的虛擬機）；
2）每一個分佈式交換機具備多個分佈式的虛擬端口VSP（Virtual Switch Port），每一個VSP具備各自的屬性（速率、統計和ACL等），爲了管理方便採用端口組管理相同屬性的一組端口，相同端口組的VLAN（Virtual Local Area Network）相同。
3）每一個 VM 能夠具備多個 vNIC 接口，vNIC 能夠和交換機的 VSP 一一對接；

華爲分佈式虛擬交換機解決方案

華爲的分佈式虛擬交換支持基於開源 Open vSwitch 的純軟件的虛擬交換的功能
1)集中的管理：統一 Portal 和集中的管理，簡化用戶的管理和配置；
2)2) 開源 Open vSwitch：集成開源 Open vSwitch，充分利用和繼承了開源社區虛擬交換的 能力；
3)提供豐富的虛擬交換的二層特性，包括交換、QoS、安全隔離等。

分佈式交換機流量

• 虛擬機運行在相同主機，可是端口組不一樣

在華爲虛擬化 產品 FusionCompute 架構中，三層功能只能有物理的三層設備提供，所以，這個這兩臺虛擬機 的訪問流量須要從主機內部出到物理的接入交換機，轉發到三層設備通過路由後再進入到主機內 部，才能完成通訊。

• 虛擬機運行在相同主機且端口組相同
  
  屬於同一端口組，因爲虛擬機屬於同一廣播域，而虛擬交換機支持廣播，因此，若是是同主 機相同端口組的虛擬機互相通訊，能夠直接使用虛擬交換機就可完成，通訊的流量不須要出到物 理網絡中。

• 虛擬機運行在不一樣主機，但端口相同
  
  虛擬機使用相同端口組，可是運行在不一樣物理服務器時，流量須要經過物理服務器的網 口出到物理交換機上，而後才能完成通訊。和不一樣端口組不一樣物理服務器不同，此時兩臺虛擬 機之間能夠不通過三層設備便可正常通訊。

• 安全組：用戶根據虛擬機安全需求建立安全組，每一個安全組能夠設定一組訪問規則。當虛擬機加入安 全組後，即受到該訪問規則組的保護。用戶經過在建立虛擬機時選定要加入的安全組來對自身的 虛擬機進行安全隔離和訪問控制。安全組是一個邏輯上的分組，這個分組是由同一個地域內具備 相同安全保護需求並相互信任的虛擬機實例組成。位於同一個安全組的全部虛擬機網卡都將使用 該安全組規則進行網絡通訊。虛擬機一塊網卡只能加入一個安全組中。