摘要:信息系统的安全防护问题一直以来都是研究热点,该文分析了虚拟化技术应用中由管理模式变化、应用迁移和没有统一的虚拟安全技术标准引发的风险情况。针对虚拟化技术应用存在的问题,以优化虚拟化平台的部署策略和创新安全交换技术措施等方面提出了相应对策,提出了一种新的虚拟条件下数据交换构架。
关键词:虚拟化技术;数据交换;技术标准
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2012)28-6836-04
虚拟化技术突破了传统IT基础设施构架和管理构架,已成为信息领域的应用热点,它有效地简化了基础设施的管理,使用户最大限度利用现有流程和资源,提高了IT资源的利用率,确保了业务连续性,并实现绿色IT的理念。目前,虚拟化技术应用集中在内存虚拟化、网络虚拟化,存储虚拟化、服务器虚拟化、数据中心虚拟化和应用虚拟化等方面。在虚拟化技术市场,主要虚拟化产品有VWare的EXSi、vSphere和vCloud、Citrix的XenDesktop和Xen Server、Xen的Xen Hypervisor、XCP和XCI、Microsoft的Hyper—V。EMC、Oracle、Virtual Iron、Novell、Red Hat等企业也已纷纷推出了虚拟化产品。作为一项突破性技术,虚拟化技术至今还未形成统一的虚拟化标准平台和开放协议,部署虚拟化技改变了IT基础设施构架和管理构架的,它使IT 投资能够实现收益最大化、IT部门能够以更加灵活的方式满足业务要求的的同时也带来了传统IT 中从未出现过的新风险。本文的目标就是通过探讨虚拟化技术的数据交换特性,研究基于虚拟化技术的信息系统安全防护综合框架,从而对信息系统进行更加有效的安全保护。
1 虚拟化技术简介
虚拟化技术是一项实现计算资源彼此隔离的技术,也就是把物理资源转变为逻辑上可以管理的资源,摆脱物理结构的限制。通过该技术可以在一个硬件平台上虚拟出若干个虚拟平台,并使计算元件在虚拟的平台上而不是真实的物理平台上运行,通过从物理硬件上隔离逻辑操作,虚拟化环境平台提供了更好的操作灵活性和方便的系统修改能力。
系统虚拟化是被最广泛接受和认识的一种虚拟化技术。系统虚拟化实现了操作系统与物理计算机的分离,使得在一台物理计算机上可以同时安装和运行一个或多个虚拟的操作系统。在操作系统内部的应用程序看来,与使用直接安装在物理计算机上的操作系统没有显著差异。
如上图所示,3个虚拟机同时运作在虚拟化平台Hypervisor上,共同使用物理服务器Physical Server的硬件资源。
2 虚拟化数据交换主要技术及特点
2.1 vSwitch虚拟交换机技术
vSwitch作为最早出现的一种的网络虚拟化技术,已经在Linux Bridge、VMWare vSwitch等软件产品中实现。所谓的vSwitch,就是VEB技术,即将虚拟网桥完全在服务器(终端)硬件上实现,不涉及外部交换机的协作。
该技术最大的优点就是流量完全在服务器上进行传递,能够享受到最大的带宽和最小的延迟。
如图3所示,VEB和VEPA被看成了网络虚拟化的两个方向。VEB朝的是低延迟,流量在服务器内平行流动,因此称为东西流策略;VEPA朝的是多功能方向,流量需要在服务器和交换机之间传递,因此称为南北流策略。
2.2 SR-IOV技术
由于仅靠软件来实现虚拟网桥会影响到服务器的硬件性能,因此出现了单一源I/O虚拟化(SR-IOV)技术,也就是将vSwitch技术在网卡NIC上实现,如图4所示
VEB直接嵌入在物理NIC中,负责虚拟NIC之间的报文转发,也负责将虚拟NIC发送的报文通过VEB上链口发到邻接桥上。
对比于虚拟机上通过软件实现交换,由硬件NIC实现交换可以提高I/O性能,减轻了由于软件模拟交换机而给服务器CPU带来的负担,而且由于是NIC硬件来实现报文传输,提高了虚拟机和外部网络的交互性能。
尽管如此,SR-IOV技术也存在不足,比如缺乏管理可扩展性、网络流量流的管理可见性,还可能因为地址表容量不足导致泛洪的增加。
3 一种解决方案及优势
之前虚拟集群均采用“软”的方式来实现数据交换,现在可采用一种“硬”交换机的思路,将虚拟机的交换能力回归到交换机 ,安全性能有保证,特性丰富 ,管理界面清晰 。
根据IEEE802.1工作组提出的技术,指定了一种Edge Virtual Bridging(EVB)标准(IEEE 802.1Qbg),主要是通过支持端口映射的S-VLAN组件,该标准基于一个名为Virtual Ethernet Port Aggregator (VEPA) 的技术。通过VEPA,来自于VM的所有流量都会被转发到邻近的物理接入交换机,或者当目标VM也位于同一个服务器时被转回到相同的物理服务器。
左边是虚拟机部分,深绿色粗线标识VM Edge(虚拟机边缘),VM中各个虚拟网卡virtual Network Interface Controller (VNIC)都以虚拟接口在图中标识,即深绿粗线上的各个白色接口。虚拟网卡需要通过hypervisor和物理网络接口关联起来,这就涉及到下面所说的VEB和VEPA。
VEB指的是Virtual Ethernet Bridges (虚拟以太网网桥),该网桥上也有虚拟端口(VLAN Bridge Ports),虚拟网卡对应的接口就是和网桥上的虚拟端口连接,这个连接称为VSI(Virtual Station Interface,虚拟终端接口)。VEB实际上就是一个常规的以太网网桥,可以等同于视作前面提到的vSwitch技术。一般来说,VEB用于在虚拟网卡之间进行本地转发,即负责不同虚拟网卡间报文的转发。注意,VEB不需要通过探听(Snooping)网络流量来获知MAC地址,因为它通过诸如访问虚拟机的配置文件等手段来获知虚拟机的MAC地址。此外,VEB也负责虚拟网卡和外部交换机之间的报文传输,但不负责外部交换机本身的报文传输,如图7所示,1表示虚拟网卡和邻接交换机通讯,2表示虚拟网卡之间通讯,3表示VEB不支持交换机本身的互相通讯。VEB不支持STP协议,这是因为像以VMware为代表的虚拟机架构强调一层的网络架构,也就是说,一个主机上的所有的Virtual Switch是无法直接沟通的,如果需要沟通的话,那就需要通过物理的交换机,也就是主机本身的网络架构就是平的,所以主机上的交换机就没有使用生成树协议的需要。因此,Hypervisor需要保证其内部的VEB连接不存在环路。对于互相之间需要通过直连来获取高转发性能、低延迟的虚拟机,建议将它们连接在VEB上。
VEPA指的是将虚拟机上若干个VSI口汇聚起来,交换机发向各个VSI的报文首先到达VEPA,再有VEPA负责朝某个VSI转发。另外一方面,VSI所生成的报文不通过VEB进行转发,而是统统汇聚在一起通过物理链路发送到交换机,由交换机来完成转发,交换机将报文送回虚拟机或将报文转发到外网。这样既可以利用交换机实现更多的功能(如安全策略、流量监控统计),又可以减轻虚拟机上的转发负担。VEPA在整个EVB视图中所处位置如上所示,图8中VEPA负责汇聚3个VSI的流量,再转发到邻接桥上。VEPA只支持虚拟网卡和邻接交换机之间的报文传输,不支持虚拟网卡之间报文传输,也不支持邻接交换机本身的报文传输。对于需要获取流量监控、防火墙或其他连接桥上的服务的虚拟机可以考虑连接到VEPA上。
4 结束语
本文阐述根据IEEE 802.1Qbg标准,通过采用一种硬件方式,设计虚拟以太网交换方式,解决虚拟网络数据交换存在的问题,使得虚拟化服务平台管理员可以专注于与服务平台相关的配置工作,网络管理员更加专注于与网络相关的配置工作,帮助网络管理员和系统管理员更加便利地合作,最终达到简化数据中心系统的管理的目标。
