徹底解析虛擬平臺網路配置的關鍵技術：虛擬交換器

隨著伺服器的虛擬化，機房內部的網路設備也一併精簡，整合到虛擬平臺運作。對於企業來說，這樣的虛擬化提供了速度更快的連線介面，僅需花費較少的預算，即可完成線路的升級。

伺服器的虛擬化，接連帶動了機房網路的虛擬化，原本在機房內部隨處可見的交換器等網路設備，隨著實體伺服器的精簡，也一併被整合到虛擬平臺，透過軟體模擬的方式，形成虛擬交換器（Virtual Switch，vSwitch）等元件，繼續為虛擬機器提供網路服務。 其實，不單是我們這裡所介紹的幾款企業端虛擬化平臺，就連規模較小的桌上型產品，也同樣能看到虛擬交換器技術的運用。以VMware Workstation為例，在5.0的版本推出之後，利用新加入的「Team」功能，讓數臺虛擬機器可以套用相同的設定（Lan Segment）連接網路，就功能上來看，儼然已經具備了虛擬交換器的雛型。 能提供大量的虛擬網路埠，及提供速度更快的連線介面 虛擬交換器是構成虛擬平臺網路的關鍵角色，相較於實體的交換器設備（Physical Switch，pSwitch），虛擬交換器所具備的網路功能較為簡單，一般來說，以L2層級的應用為主。整體而言，內建大量的虛擬網路埠，以及提供速度 更快的連線介面，是交換器虛擬化之後所帶來的最大好處。 就網路埠的數量來說，一臺實體交換器內建的網路埠數量約在5~48埠之間，如果機房內部需要連接網路的設備超過這個數字，就有必要擴充設備，而在 虛擬平臺的環境下，光是一臺虛擬交換器便能提供為數可觀的虛擬網路埠，以VMware的ESX為例，一臺ESX伺服器最多可以透過軟體模擬的方式，建立出 248臺虛擬交換器，每臺交換器預設的虛擬網路埠數量是56個，可透過手動修改交換器設定的方式，擴充到1,016埠的最大上限。 不僅如此，伺服器虛擬化之後，網路的傳輸速度也能獲得增加。雖然10GbE網路推出已有數年之久的時間，速度更快的100GbE網路也呼之慾出， 不過由於10GbE網路設備的價格至今仍是居高不下，一張10GbE網卡即要價數萬元不等，更不用說是內建多個網路埠的交換器設備，因此使得行之有年的 GbE仍舊在大多數的企業機房，擔負著骨幹線路的重責大任。 在虛擬化技術的推波助瀾下，企業可以花費較少的預算，便能提升網路的效能。例如，微軟的Hyper-V平臺，虛擬機器與虛擬交換器之間的連線速 度，可達10Gbps，換句話說，虛擬化之後，企業僅需購買數張10GbE實體網卡（Physical NIC，pNIC），加上一臺內建10GbE介面的交換器，就能將機房網路升級到全10GbE的環境，而建置費用僅為過去實體環境的數分之一。 依照功能不同，可區分為兩種主要角色 伺服器虛擬化之後，企業仍然可以保留原始的網路架構，不會因為大多數實體伺服器、網路設備整合到虛擬平臺運作，而產生需要重新規畫的問題。 依照功能上的不同，我們可以將虛擬平臺上的交換器，區分為兩種不同的角色，一種是用來連接外部實體網路的「External」，另外一種則是完全封閉，無法連接外界網路的「Private」。 設定External交換器的時候，必須將伺服器的實體網卡介面指派給External交換器做為上鏈（Uplink）線路使用。反之，設定 Private交換器的時侯，由於不需要指派實體的網卡介面，因此自然形成一個封閉式的網路環境，適用於不需要連接外部網路的測試環境。 以企業的實際應用來說，兩種虛擬交換器大多是搭配使用，目的是為了在虛擬平臺的網路環境中，建立起階層式的網路架構。舉例來說，我們可以將上線運 作中的虛擬機器放置在一臺Private虛擬交換器之上，做為底層的存取交換器（Access Switch）使用，此時，再透過一臺同時連接前端External虛擬交換器的虛擬機器的串接之下，使得虛擬機器能與外部網路進行連線。 該臺同時連接External、Private虛擬交換器的虛擬機器，可以是一臺防火牆（例如Check Point的VPN-1 VE、微軟的ISA），或者是Windows Server 2003叢集伺服器、IPS（例如Reflex System的Virtual Security Appliance）採用透通模式從事安全過濾的資安產品，若為防火牆，則後端的Private交換器就會變成DMZ區，除了透過NAT區隔外部網路之 外，同時也會套用防火牆的連線規則從事管理，假使是叢集伺服器、IPS的話，則External、Private交換器之間僅會進行單純的橋接。 除了具備前述兩種的虛擬交換器機制之外，微軟的Hyper-V還額外提供了一種「Internal」虛擬交換器。 嚴格來說，它是Private虛擬交換器的其中一種，但是在功能上，位於Internal虛擬交換器之上的虛擬機器，可以和Hyper-V平臺的Host OS連線，而Private虛擬交換器，則不具備這項功能。 透過一臺虛擬機器的連接，使得原本各自獨立的2臺虛擬交換器得以連接，讓後端的虛擬機器與外部網路進行連線。 與實體交換器設備之間的功能異同 除了提供虛擬機器集線的用途之外，一般在實體交換器常用到的網路功能，例如VLAN、QoS，以及頻寬聚集（EtherChannel）等項目，在虛擬交換器上也同樣可以做到。 和實體交換器不同的是，內建於虛擬交換器的部份網路功能，仍然需要搭配實體的網路設備才能運作，例如企業經常使用到的VLAN。無論是何種虛擬化平臺，兩臺虛擬交換器之間，均無法建立VLAN的Trunk。 較為特別的是，虛擬交換器也同樣能夠執行封包收集的動作，相當方便。在實體網路的環境下，這項功能必須借助於具備Mirror封包鏡射功能的交換器，或者是L1層級的集線器（Hub），才能進行。 在ESX的虛擬交換器上頭，我們可以啟用Promiscuous Mode（雜亂模式）的功能，之後就可以使用Wireshark（Ethereal）一類的封包側錄工具，監聽位於同一臺虛擬交換器、Port Group，或者是同一個VLAN上的所有網路流量，對於有需要在虛擬平臺從事網路除錯，或者找尋中毒主機的企業來說，就十分有用。 虛擬機器的動態轉移，是企業導入虛擬化平臺之後，經常使用到的一項功能，以ESX的VMotion為例，啟用這項功能之前，必須先在虛擬交換器上 完成相關的一些設定，值得注意的是，連接兩臺ESX伺服器間的網路，建議採用GbE以上的等級，若為速度較低的10/100Mbps網路，那麼在移轉的過 程中將有可能造成虛擬機器短暫斷線的情況發生。 虛 擬機器的動態移轉（Live Migration），可讓虛擬機器在不關機，且能持續提供服務的前提下，從一臺虛擬平臺伺服器搬移到其他的虛擬平臺伺服器運作，目前Citrix、 VMware，以及微軟等幾家主要的虛擬平臺廠商皆提出自家的動態移轉技術，其中最具代表性的，莫過於VMware的VMotion，而這項技術和虛擬交 換器也有很大的關係。 以VMware ESX為例，VMotion需要下列3項條件的配合才能構成，一是ESX伺服器之間必須建立高可用性的關係，其次是將虛擬機器檔案存放於區域網路的共享磁碟機，最後一點，則是在虛擬交換器上頭完成相關的設定。 實際移轉時，被搬移的僅是虛擬機器的設定檔，而非動輒數十，甚至上百GB大小的虛擬磁碟檔案，一般建議，各臺ESX伺服器之間，最好能以GbE以上等級的線路連接，如此可保證移轉過程中不會出現任何短暫斷線的情況。 如果再搭配Distributed Resource Scheduler（DRS）這項功能操作VMotion，則可以在其中一臺ESX伺服器負載過重時，自動地將一部份的虛擬機器移轉到其他的伺服器，達成負載平衡的目的。 至於其他廠商的動態移轉技術，在架構上也與VMotion相去不遠，至少需要高可用性，以及共享磁碟機的輔助才能構成這項功能。 Xen-Motion是Citrix XenServer的動態移轉技術，該系列4款虛擬化產品中，目前只有最高等級的白金版及企業版才具備這項功能，至於標準版及完全免費的Express精簡版則無此項能力。 不單是Citrix旗下的虛擬化產品，其他基於Xen技術開發出來的虛擬化產品，例如Virtual Iron，也具備相似的動態移轉功能LiveMigrate，除了免費提供的個人版之外，需要付費購買的企業版及企業加強版均有內建該項功能。 目 前內建在Windows Server 2008的Hyper-V 1.0，在技術上僅具備Quick Migration的離線移轉功能，因此企業需將虛擬機器停機之後，才能搬移到其他的Hyper-V伺服器，繼續提供服務，而在未來Windows Server 2008 R2推出之後，Live Migration將會成為內建的標準功能，屆時可在不停機的狀況下移轉虛擬機器。文⊙楊啟倫 什麼是虛擬機器的動態移轉？ 預計在2009年推出的ESX 4.0，具備一項名為分散式虛擬交換器（Distributed Virtual Switch，DVS）的新技術。藉由DVS，我們可以將分散在同一個區域網路下的多臺虛擬交換器集結起來，虛擬成一臺大型的機箱式交換器 （Chassis Switch）集中管理，在不需要個別連接每一臺虛擬交換器的情況下，簡化管理作業。 除此之外，DVS另一項值得一提的應用在於，它同時提供了交換器政策的動態轉移。就現有版本的ESX來說，虛擬機器完成VMotion動態移轉之 後，就必須在該臺虛擬機器所在的虛擬交換器上重新設定，但DVS的特色是隨著虛擬機器的搬移而同步移轉交換器設定，不需要額外的手動設定。 DVS的相關技術目前已經提供給網路設備廠商用來開發新產品，例如Cisco新推出的Nexus 1000V交換器，就是一款支援DVS且能部署在未來ESX平臺上的虛擬交換器產品。 目前各家廠牌的企業端虛擬化產品，除了一般常見的付費版本之外，也有提供功能簡化後的免費版本，讓人自由下載。相較於市售版本，免費版本的套件在 網路功能方面皆有所精簡。舉例來說，像是虛擬機器的動態移轉能力（如VMware ESX的VMotion），以及實體伺服器之間的高可用性（High Availability，HA）備援機制，就只有付費版本才有提供；此外，像是Citrix XenServer的免費版本XenExpress還更進一步地，去除在虛擬交換器上設定VLAN的能力。 就功能來說，這些免費版本僅適合測試，而非應用於架構複雜的實際上線環境。

利用原廠管理工具設定虛擬交換器
和實體的交換器設備相比，虛擬交換器的設定顯然要相對容易許多，利用原廠提供的管理工具，在企業於虛擬平臺建立虛擬機器的同時，也能針對網路功能的部分一併完成設定。

VMware ESX
VMware的ESX是現有企業端虛擬化產品中，歷史最悠久的一款產品，當我們安裝好一臺ESX伺服器之後，即可從ESX的網頁介面下載VMware Infrastructure Client（VIC）軟體，利用軟體的圖形化介面，連接個別的ESX伺服器，再加以管理。

整體來說，ESX所有的網路功能，包括虛擬交換器的新增、移除，以及VLAN的切割等，均可透過圖形化的介面以勾選方式完成，設定上相當容易。

另外一種方式，則是同樣使用VIC軟體，連接Virtual Center伺服器，如此一來，便可以透過同一介面，管理內部網路的多臺ESX伺服器，而在網路功能的設定方面，也比透過VMware Infrastructure Client軟體，個別連接單一伺服器時要來得強大，像是VMotion，就必須在Virtual Center的平臺上才能進行設定。

除此之外，管理者可以透過SSH，遠端登入ESX伺服器的文字管理介面，並且利用輸入文字指令的方式，去設定虛擬平臺，例如虛擬交換器在內的各項網路功能。

Citrix XenServer
XenCenter是Citrix XenServer的圖形化管理工具，利用這套軟體，企業可以使用單一介紹，同時連接多臺的XenServer伺服器進行集中式的管理。

在XenServer的平臺上，虛擬交換器的元件被稱之為「Network」，基本功能的設定大致與ESX雷同，一樣可以在XenCenter完成前述各項的虛擬交換器功能設定。

微軟Hyper-V
「Hyper-V管理員」是Windows Server 2008的虛擬化管理工具，當我們透過「伺服器管理員」，安裝好Hyper-V的套件之後，該應用程式也會一併地安裝完成，利用這項工具，即可管理虛擬交換器的各項組態設定。

Hyper-V管理員的功能與ESX的VIC相類似，同樣都是提供給企業連接個別的虛擬平臺伺服器從事管理，如果企業環境中同時存在有多臺 Hyper-V伺服器需要集中管理，或者需要建立高可用性的備援機制，則必須借助於自家的System Center Virtual Machine Manager（SCVMM）軟體才能進行。

微軟日前推出的新版SCVMM 2008，除了具備完整管理Windows Server 2008以及Hyper-V Server 2008的Hyper-V平臺網路設定之外，也支援其他廠商的第3方平臺，如VMware ESX的管理，透過與VMware Virtual Center之間的介接，企業可以在SCVMM 2008的管理畫面中，瀏覽ESX平臺的網路設定。

Cisco推出專屬虛擬交換器產品，部份規格將成為802.3標準
除了VMware等推出虛擬化產品的系統廠商之外，網路設備業者近期在虛擬交換器的技術議題上也有所著墨，例如支持VMware不遺餘力的 Cisco，即是最早有所動作的一家廠商，他們在9月份VMworld大會當中，展示了一款能部署在VMware ESX平臺上的虛擬交換器產品──Nexus 1000V。

Cisco將自家的虛擬交換器技術統稱為「VN-Link」，在這架構之下，除了軟體型式的Nexus 1000V，未來也會有硬體的相關方案，像是能與ESX平臺整合運作的實體交換器Nexus 5000。

Nexus 1000V預計在2009年的上半推出，是一款搭配ESX銷售的產品，屆時VMware會推出兩種不同版本的ESX套件，一種是內建Nexus 1000V的特別版本，另一種則是使用VMware原有虛擬交換器技術的一般版本。

相較於ESX、Hyper-V等其他虛擬平臺的原生虛擬交換器技術，Nexus 1000V具備更多的網路功能，例如Netflow流量控制、QoS、ERSPAN、VLAN，以及Access Control List（ACL）的連線控制等。
該款虛擬交換器亦支援VMware的VMotion，十分特別的是，在虛擬機器移轉的過程之中，原本對應到該臺虛擬機器從事管理的交換器設定，也會跟著一起搬移到其他的ESX伺服器上的Nexus 1000V交換器繼續使用。

值得一提的是，搭配未來內建於ESX平臺上的DVS API技術，企業可以將原本分散於各臺ESX伺服器上的Nexus 1000V交換器連接起來，虛擬成一臺機箱式交換器，此時Nexus 1000V的角色就如同安裝在交換器機箱內的板卡（Line Card），此外，在虛擬機器動態移轉的同時，對應到該臺虛擬機器的交換器設定，運用這項機制後，企業也能藉由DVS的設定同時搬移，使得企業對於虛擬機 器的管理更完善，不致因為實體伺服器環境的變更而出現落差。

Nexus 5000交換器推出的時間，預計是2009年的下半，可以整合未來新版的ESX平臺協同運作。執行的流程如下，在虛擬機器送出封包時，會同時在VLAN標 籤的欄位中加入一些額外資訊，當Nexus 5000交換器透過ESX原生的虛擬交換器，以及ESX伺服器上的實體網卡接收到封包之後，便會根據標籤當中的內容，套用適合的政策規則。

臺灣Cisco技術事業群資深技術顧問錢小山表示，由虛擬機器送出的這種VLAN標籤，是一種新型的VLAN標籤，不同於一般傳統的802.1Q 標籤，只有支援這項規格的實體網卡、交換器設備才能傳送帶有這類VLAN標籤的封包，而Nexus 5000是業界首款支援這項規格的交換器產品。

目前這種新的VLAN標籤格式，已經被Cisco與VMware送交至IEEE審查，預計將會成為802.3規範當中的一員，一旦通過之後，未來市售的網路卡，以及交換器等基礎網路設備將會跟進，支援這項技術規範。

和軟體版本的Nexus 1000V相比，由於交換器政策的指派、執行，改由硬體的Nexus 5000交換器負責，因此可降低上層ESX伺服器的運作負荷，不過另一方面，企業則需要更換包含網路卡、交換器在內的網路基礎設備，在花費較軟體方案為高。


其他網路設備商開始以既有產品支援
相對於Cisco，另外一家網路設備廠商Juniper的做法就有所不同，他們整合虛擬化的方式是利用現有的交換器設備，來延伸虛擬化技術的應用，而不是直接和VMware等平臺廠商合作，去推出新的技術標準或產品。

Juniper表示，利用EX 4200系列交換器的虛擬機箱（Virtual Chassis）功能，企業可以將分散在內部機房，甚至於兩個異地機房之間的同系列交換器集結起來（上限是10臺），當做是一臺本地端的大型機箱式交換器運用。

因此原本只能在同一網段下執行的虛擬機器動態移轉作業，在這項功能的輔助之下，使得企業得以跨越機房之間的地域限制，將虛擬機器移轉到相隔數十公里遠的另外一臺虛擬平臺伺服器繼續提供服務。

不僅如此，在Juniper的架構之下，異地之間的交換器設備仍舊可以從事VLAN Trunk的工作，為了避免閘道端的路由器清除夾帶在封包內容中的VLAN標籤，造成交換器無法辨識，在這種情況下，透過與核心端的EX 8200交換器（或者是路由器）間的整合，不同VLAN的封包可以各自透過不同的MPLS VPN通道傳送，確保兩地機房間的VLAN功能可以正常運作。文⊙楊啟倫

實體、虛擬交換器功能比較表
交換器類型	實體交換器	虛擬交換器
單一設備網路埠數量	少	多
設備層級	L2~L7	以L2為主
網路功能	多	少（部份功能如VLAN，需搭配實體交換器才能運作）
資料來源：iThome整理，2008年12月

點小圖看大圖

來源：http://www.ithome.com.tw/itadm/article.php?c=52712