計(jì)算，存儲(chǔ)，網(wǎng)絡(luò)，安全，是構(gòu)建任何大型數(shù)據(jù)中心都繞不過(guò)去的四個(gè)問(wèn)題。云也不例外。在這個(gè)風(fēng)起云涌的云時(shí)代，各廠商賽馬般發(fā)布層出不窮的新技術(shù)，著實(shí)讓我們目不暇接。很多人昨天剛玩過(guò)Xen，今天看到Redhat宣稱KVM是其新的戰(zhàn)略方向，又忍不住把KVM拿來(lái)折騰一番。大家習(xí)慣性地把注意力都放在了“計(jì)算”上，積累了不少“服務(wù)器虛擬化”的經(jīng)驗(yàn)，卻不知不覺(jué)冷落了其余三個(gè)方面。國(guó)外同行們熱議Software Defined Network（SDN）和OpenFlow這些因?yàn)樵贫查g火爆的技術(shù)時(shí)，我們還卯足了勁兒一頭扎進(jìn)服務(wù)器虛擬化中不愿出來(lái)。

搜索了一下，網(wǎng)絡(luò)上關(guān)于“網(wǎng)絡(luò)虛擬化”的文章很少。工作關(guān)系長(zhǎng)期接觸這方面技術(shù)，不敢私藏，拿出來(lái)跟大家分享一下。水平有限，純屬拋磚引玉，大家扔磚頭時(shí)輕一點(diǎn)。歡迎討論，歡迎站短，歡迎郵件 cloudbengo@gmail.com

什么是Open vSwitch？它能給云帶來(lái)什么？

官網(wǎng)首頁(yè)精煉地回答了這個(gè)問(wèn)題：（翻譯自http://openvswitch.org/）

Open vSwitch的目標(biāo)，是做一個(gè)具有產(chǎn)品級(jí)質(zhì)量的多層虛擬交換機(jī)。通過(guò)可編程擴(kuò)展，可以實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)的自動(dòng)化（配置、管理、維護(hù)）。它支持現(xiàn)有標(biāo)準(zhǔn)管理接口和協(xié)議（比如netFlow，sFlow，SPAN，RSPAN，CLI，LACP，802.1ag等，熟悉物理網(wǎng)絡(luò)維護(hù)的管理員可以毫不費(fèi)力地通過(guò)Open vSwitch轉(zhuǎn)向虛擬網(wǎng)絡(luò)管理）。

?

?

圖一：Open vSwitch示意圖

官網(wǎng)的描述精準(zhǔn)而抽象，來(lái)點(diǎn)通俗的，Open vSwitch是一個(gè)由Nicira Networks主導(dǎo)的開(kāi)源項(xiàng)目，通過(guò)運(yùn)行在虛擬化平臺(tái)上的虛擬交換機(jī)，為本臺(tái)物理機(jī)上的VM提供二層網(wǎng)絡(luò)接入， 跟云中的其它物理交換機(jī)一樣工作在Layer 2層。Open vSwitch充分考慮了在不同虛擬化平臺(tái)間的移植性，采用平臺(tái)無(wú)關(guān)的C語(yǔ)言開(kāi)發(fā)。更為人民群眾喜聞樂(lè)見(jiàn)的是，它遵循Apache2.0許可，不論你是自用還是商用都OK。而它的同類產(chǎn)品VMware的vDS（vSphere Distributed VirtualSwitch），Cisco的Nexus 1000V都是收費(fèi)的。更重要的是，雖然免費(fèi)，其產(chǎn)品質(zhì)量卻深得信賴。在2010年Open vSwitch 1.0.0發(fā)布之前，Citrix就宣布在XenServer中將其作為默認(rèn)組件。關(guān)于這一點(diǎn)，也許Nicira的身世可以給出一些解釋，它的投資人里有Diane Greene（VMware聯(lián)合創(chuàng)始人）和Andy Rachleff（Benchmark Capital聯(lián)合創(chuàng)始人），經(jīng)常聽(tīng)朋友談起的幾個(gè)VMware網(wǎng)絡(luò)大牛也加盟其中，是目前硅谷最炙手可熱的SDN創(chuàng)業(yè)公司之一。

既然Citrix的企業(yè)級(jí)虛擬化產(chǎn)品都裝備了Open vSwitch，我們還有什么理由懷疑它的可靠性呢？更何況它還是開(kāi)源的！

你可能會(huì)問(wèn)，我為什么有必要在自己的云架構(gòu)中使用它呢？它能給我的云帶來(lái)什么？

OK。需求決定一切，如果你只是自己搞一臺(tái)Host，在上面虛擬幾臺(tái)VM做實(shí)驗(yàn)。或者小型創(chuàng)業(yè)公司，通過(guò)在五臺(tái)十臺(tái)機(jī)器上的虛擬化，創(chuàng)建一些VM給公司內(nèi)部開(kāi)發(fā)測(cè)試團(tuán)隊(duì)使用。那么對(duì)你而言，網(wǎng)絡(luò)虛擬化的迫切性并不強(qiáng)烈。也許你更多考慮的，是VM的可靠接入：和物理機(jī)一樣有效獲取網(wǎng)絡(luò)連接，能夠RDP訪問(wèn)。Linux Kernel自帶的橋接模塊就可以很好的解決這一問(wèn)題。原理上講，正確配置橋接，并把VM的virtual nic連接在橋接器上就OK啦。很多虛擬化平臺(tái)的早期解決方案也是如此，自動(dòng)配置并以向用戶透明的方式提供虛擬機(jī)接入。如果你是OpenStack的fans，那Nova就更好地幫你完成了一系列網(wǎng)絡(luò)接入設(shè)置。Open vSwitch在WHY-OVS這篇文章中，第一句話就高度贊揚(yáng)了Linux bridge：

“We love the existing network stack in Linux.? It is robust, flexible, and feature rich.? Linux already contains an in-kernel L2 switch (the Linux bridge) which can be used by VMs for inter-VM communication.? So, it is reasonable to ask why there is a need for a new network switch.”

但是，如果你是大型數(shù)據(jù)中心的網(wǎng)絡(luò)管理員，一朵沒(méi)有網(wǎng)絡(luò)虛擬化支持的云，將是無(wú)盡的噩夢(mèng)。

在傳統(tǒng)數(shù)據(jù)中心中，網(wǎng)絡(luò)管理員習(xí)慣了每臺(tái)物理機(jī)的網(wǎng)絡(luò)接入均可見(jiàn)并且可配置。通過(guò)在交換機(jī)某端口的策略配置，可以很好控制指定物理機(jī)的網(wǎng)絡(luò)接入，訪問(wèn)策略，網(wǎng)絡(luò)隔離，流量監(jiān)控，數(shù)據(jù)包分析，Qos配置，流量?jī)?yōu)化等。

有了云，網(wǎng)絡(luò)管理員仍然期望能以per OS/per port的方式管理。如果沒(méi)有網(wǎng)絡(luò)虛擬化技術(shù)的支持，管理員只能看到被橋接的物理網(wǎng)卡，其上川流不息地跑著n臺(tái)VM的數(shù)據(jù)包。僅憑物理交換機(jī)支持，管理員無(wú)法區(qū)分這些包屬于哪個(gè)OS哪個(gè)用戶，只能望云興嘆乎？簡(jiǎn)單列舉常見(jiàn)的幾種需求，Open vSwitch現(xiàn)有版本很好地解決了這些需求。

? ?需求一：網(wǎng)絡(luò)隔離。物理網(wǎng)絡(luò)管理員早已習(xí)慣了把不同的用戶組放在不同的VLAN中，例如研發(fā)部門、銷售部門、財(cái)務(wù)部門，做到二層網(wǎng)絡(luò)隔離。Open vSwitch通過(guò)在host上虛擬出一個(gè)軟件交換機(jī)，等于在物理交換機(jī)上級(jí)聯(lián)了一臺(tái)新的交換機(jī)，所有VM通過(guò)級(jí)聯(lián)交換機(jī)接入，讓管理員能夠像配置物理交換機(jī)一樣把同一臺(tái)host上的眾多VM分配到不同VLAN中去；

? ?需求二：QoS配置。在共享同一個(gè)物理網(wǎng)卡的眾多VM中，我們期望給每臺(tái)VM配置不同的速度和帶寬，以保證核心業(yè)務(wù)VM的網(wǎng)絡(luò)性能。通過(guò)在Open vSwitch端口上，給各個(gè)VM配置QoS，可以實(shí)現(xiàn)物理交換機(jī)的traffic queuing和traffic shaping功能。

? ?需求三：流量監(jiān)控，Netflow，sFlow。物理交換機(jī)通過(guò)xxFlow技術(shù)對(duì)數(shù)據(jù)包采樣，記錄關(guān)鍵域，發(fā)往Analyzer處理。進(jìn)而實(shí)現(xiàn)包括網(wǎng)絡(luò)監(jiān)控、應(yīng)用軟件監(jiān)控、用戶監(jiān)控、網(wǎng)絡(luò)規(guī)劃、安全分析、會(huì)計(jì)和結(jié)算、以及網(wǎng)絡(luò)流量數(shù)據(jù)庫(kù)分析和挖掘在內(nèi)的各項(xiàng)操作。例如，NetFlow流量統(tǒng)計(jì)可以采集的數(shù)據(jù)非常豐富，包括：數(shù)據(jù)流時(shí)戳、源IP地址和目的IP地址、 源端口號(hào)和目的端口號(hào)、輸入接口號(hào)和輸出接口號(hào)、下一跳IP地址、信息流中的總字節(jié)數(shù)、信息流中的數(shù)據(jù)包數(shù)量、信息流中的第一個(gè)和最后一個(gè)數(shù)據(jù)包時(shí)戳、源AS和目的AS，及前置掩碼序號(hào)等。

xxFlow因其方便、快捷、動(dòng)態(tài)、高效的特點(diǎn)，為越來(lái)越多的網(wǎng)管人員所接受，成為互聯(lián)網(wǎng)安全管理的重要手段，特別是在較大網(wǎng)絡(luò)的管理中，更能體現(xiàn)出其獨(dú)特優(yōu)勢(shì)。

沒(méi)錯(cuò)，有了Open vSwitch，作為網(wǎng)管的你，可以把xxFlow的強(qiáng)大淋漓盡致地應(yīng)用在VM上！

? ?需求四：數(shù)據(jù)包分析，Packet Mirror。物理交換機(jī)的一大賣點(diǎn)，當(dāng)對(duì)某一端口的數(shù)據(jù)包感興趣時(shí)（for trouble shooting , etc），可以配置各種span（SPAN, RSPAN, ERSPAN），把該端口的數(shù)據(jù)包復(fù)制轉(zhuǎn)發(fā)到指定端口，通過(guò)抓包工具進(jìn)行分析。Open vSwitch官網(wǎng)列出了對(duì)SPAN, RSPAN, and GRE-tunneled mirrors的支持。

關(guān)于具體功能，就不一一贅述了，感興趣的童鞋可以參考官網(wǎng)功能列表：http://openvswitch.org/features/

只是在Open vSwitch上實(shí)現(xiàn)物理交換機(jī)的現(xiàn)有功能？那不是Nicira的風(fēng)格。

云中的網(wǎng)絡(luò)，絕不僅僅需要傳統(tǒng)物理交換機(jī)已有的功能。云對(duì)網(wǎng)絡(luò)的需求，推動(dòng)了Software Defined Network越來(lái)越火。而在各種SDN解決方案中，OpenFlow無(wú)疑是最引人矚目的。Flow Table + Controller的架構(gòu)，為新服務(wù)新協(xié)議提供了絕佳的開(kāi)放性平臺(tái)。Nicira把對(duì)Openflow的支持引入了Open vSwitch。引入以下模塊：

·???????? ovs-openflowd? ---? OpenFlow交換機(jī)；

·???????? ovs-controller? --- OpenFlow控制器；

·???????? ovs-ofctl? --- Open Flow 的命令行配置接口；

·???????? ovs-pki? --- 創(chuàng)建和管理公鑰框架；

·???????? tcpdump的補(bǔ)丁 --- 解析OpenFlow的消息；

不再展開(kāi)，大家感興趣的話可以Google之。

圖2 ：Open Flow示意圖 -- 摘自O(shè)pen Flow白皮書

需求決定產(chǎn)品，正是由于在企業(yè)級(jí)云中，需要各種豐富的網(wǎng)絡(luò)功能，VMware才于n年前就推出了vSwitch、vDS等虛擬交換機(jī)。正是看到了云中的網(wǎng)絡(luò)是一塊大市場(chǎng)，Cisco才與VMware緊密合作，以partner的形式基于VMware kernel API開(kāi)發(fā)出了自己的分布式虛擬交換機(jī)Nexus 1000V（功能對(duì)應(yīng)于VMware的vDS）。可惜的是，這兩款產(chǎn)品都是收費(fèi)的。Citrix倒是基于Open vSwitch快速追趕，推出了自己的Distributed Virtual Switch解決方案。但是不好意思，也是收費(fèi)的。開(kāi)源云的標(biāo)桿OpenStack去年下半年推出了一項(xiàng)宏大的計(jì)劃，啟動(dòng)了Quantum項(xiàng)目，志在通過(guò)引入Open vSwitch，為Open Stack Network模塊勾勒出“Connectivity as a service”的動(dòng)人前景。有時(shí)間的話，會(huì)再多帶帶開(kāi)一篇文章討論。

感謝開(kāi)源，Open vSwitch是坐公交車的成本，進(jìn)口跑車的體驗(yàn)！還等什么，在你的大型開(kāi)源云架構(gòu)中，使用Open vSwitch吧