2.4、云计算FusionCompute网络虚拟化

目标：描述DVS、EVS的实现原理及特点
描述端口组与虚拟端口之间的关系
描述虚拟机之间的网路走向（通信）

一、网络虚拟化相关概念及技术
1、Linux Bridge介绍
Linux Bridge（网桥）是工作于二层的虚拟网络设备，功能类似于物理交换机
Bridge可以绑定其他Linux网络设备作为从设备，并将这些设备虚拟化为端口，当一个从设备被绑定到bridge上时，就相当于真实网络中的交换机端口中插入了一个连接有终端的网线

注：一个Linux Bridge只能绑定同网段的254台虚拟机
跟Hub作用类似，不支持一些高级特性（如VLAN，QoS）

2、OVS概述
Open vSwitch （OVS）是一款基于软件实现的虚拟化以太网交换机，真实存在的程序，存在于内核态下
OVS能够支持多种标准的管理接口和协议，还可以支持跨多种物理服务器的分布式环境
OVS提供了对Openflow协议的支持，并且能够与众多开源的虚拟化平台相整合（Openflow是支持SDN的协议）
OVS位于ROOT模式下，VM位于NON-ROOT模式下，进行转发流量时会触发VM exit（退出NON-ROOT，进入ROOT），返回结果时会触发VM entry（退出ROOT，进入NON-ROOT），性能较低。

OVS的主要作用：
传递虚拟机之间的流量
实现VM和外界网络的通信

3、DVS概述
分布式虚拟交换机，提供与虚拟机相连的端口，另一端是与虚拟机所在的主机上的物理以太网适配器相连的上行链路（不是真实存在，只是逻辑存在）
虚拟机选择DVS上的端口组时，DVS会把上面的配置，如：vlan，端口类型，流量策略等同步到OVS上
当需要性的物理网络隔离时可以创建一个新的DVS，不同的DVS之间默认时物理隔离的
主要作用：实现对OVS的统一管理与配置
使虚拟机在跨主机迁移时确保其网络的配置保持一致性

4、EVS概述（EVS=OVS+DPDK）
弹性虚拟交换机，是用户态下的OVS，借助于DPDK的网卡管理、API和大页内存来提升物理网卡收发包性能和处理能力。
①、EVS关键技术：
A、物理网卡访问：DPDK高速数据通道
B、报文处理：大页内存
C、交换业务处理：轮询转发，减少调度开销
多核（线程）并行处理
Openflow流表转发优化
D、前后端技术：vhost-user技术
注：当OVS加入DPDK这个驱动后，使得OVS位于用户态，减少VM exit和VM entry（网络IO没有VM exit和VM entry，其他流量存在），提高网络IO性能

②、EVS中的概念
A、Sockets：计算机之间进行通信的一种约定或一种方式。通过 socket 这种约定，一台计算机可以接收其他计算机的数据，也可以向其他计算机发送数据
B、Vring：虚拟机网卡缓冲区，实现并发处理
C、DPDK：数字平面开发套件，用户态下操作物理网卡函数，包含完整的vhost库，能够包含完整的virtio逻辑，在OVS中直接抽象成一个端口vport，

优势： 转发性能高，尤其是短包转发性能、较内核OVS可提升8~9倍以上。 问题： 主要支持Intel网卡，其他网卡支持的较少；
对OVS-DPDK而言，旁路内核Datapath，功能较内核缺失。需要在用户态下开发； IVSHM的安全性需要关注。热迁移功能难以实现；
vSwitch会消耗宝贵的CPU资源。

 D、Neutron：中子是一个OpenStack项目，在由其他OpenStack服务（如nova）管理的接口设备（如VNIC）之间提供“网络即服务”。是OpenStack负责整合整个云网络的资源的组件

5、华为分布式交换方案（特点）
①、集中管理：统一portal和集中的管理，简化用户的管理和配置
②、开源Open vSwitch：集成开源Open vSwitch，差分利用和集成开源社区虚拟交换能力
③、提供丰富的虚拟交换的二层特性，包括交换QoS，安全隔离等

二、网络虚拟化功能特性
1、华为虚拟交换模式

①、普通交换：普通模式下，虚拟机有前后端两个虚拟机网卡设备，其中，前端网卡连接在虚拟交换机的虚端口上。虚拟机网络数据包通过环形缓冲区和事件通道在前后端网卡之间传输，并最终通过后端网卡连接的虚拟交换机实现转发。（性能较差，因为需要频繁实现VM exit和VM entry）

②、SR-IOV：单根IO虚拟化，类似于网卡直通模式。支持SR-IOV的物理网卡，可以虚拟机出多个网卡，以供虚拟机使用，对于虚拟机来说就像是有了一块单独的物理网卡一样。相比软件虚拟化的网卡，提升了网络IO性能；相对于硬件直通（PCI Passthrough）又减少了硬件网卡数量的限制。

③、用户态：利用EVS原理实现

2、网络安全策略

①、二层网络安全策略
A、IP与MAC绑定
防止虚拟机用户通过修改虚拟网卡IP，MAC地址，发起IP，MAC仿冒攻击，增强用户虚拟机的网络安全，通过生成IP-MAC的绑定关系，基于IP源侧防护与动态ARP检测（DAI）对绑定关系报文进行过滤。（虚拟机端口为普通才可以使用）
B、DHCP隔离
禁止用户虚拟机开启DHCP Server服务，防止用户无意识或者恶意启动DHCP Server服务，影响正常虚拟机分配IP过程

②、广播报文抑制
端口组运行通过设置广播抑制带宽，可以限制虚拟机发送大量广播报文，防止广播报文攻击。（安全组虚拟机不支持配置广播抑制带宽）

③、安全组
用户根据虚拟机安全需求创建安全组，每个安全组可设定一组访问规则。当虚拟机加入安全组后即受到访问规则组的保护，用户通过在创建虚拟机是选定要加入的安全组来对自身的虚拟机进行安全隔离和访问控制（虚拟机一块网卡只能加入一个安全组中）

3、网络QoS：提供带宽配置控制能力
基于端口组成员接口发送方向和接受方向的带宽控制
基于端口组每个成员接口提供流量整形，带宽优先级的控制能力

4、网口绑定
管理员可以通过FusionCompute绑定CNA主机的网口，提高网络的可靠性，针对于普通网卡和DPDK驱动的物理网卡均可以设置端口绑定模式

5、端口类型
普通（Access）：只属于一个vlan，一般是普通类型虚拟交换机的选择
中继（Trunk）：可以属于多个vlan，当虚拟机网卡启动vlan设备的情况下的选择，如果不选择中继端口，可能导致虚拟机不能通信，因为带标签的数据包过不去（有些网卡是支持开启vlan的）

三、拓展
两台虚拟机之间网络不通的可能原有

1、虚拟机内部问题
①、VM的IP地址，子网掩码，网关IP配置错误或无配置
②、虚拟机防火墙或者安全软件未关闭
③、VM故障或关机

2、相同CNA主机相同网络
①、虚拟机处于不通端口组，且WLAN号不同
②、虚拟交换机进程（open-vswitch）发生故障

3、相同CNA主机不同网络
①、虚拟交换机进程发生故障
②、服务器物理网卡故障或者网口松动
③、网线老化，网线有问题
④、物理交换机网口没接好，或者交换机故障
⑤、物理交换机没有配置网关和放行相关vlan
⑥、交换机放行策略

4、不同CNA主机相同DVS
①、虚拟交换机进程发生故障
②、服务器物理网卡故障或者网口松动
③、网线老化，网线有问题
④、物理交换机网口没接好，或者交换机故障
⑤、物理交换机没有配置网关和放行相关vlan
⑥、交换机放行策略
⑦、对端物理主机故障

5、不同CNA主机不同DVS
不同DVS默认物理隔离，如果需要通信，最简单的是将对端虚拟机绑定到本端虚拟机所在的DVS端口上
如：DVS2上的VM7要与DVS1上的VM1通信，可以把VM7绑定到DVS1的端口上