VEPA背景介绍

由于一个虚拟机上可能存在多个系统，系统之间通讯就需要通过网络，但和普通的物理系统间通过实体网络设备互联不同，各个系统的网络接口也是虚拟的，因此不能直接通过实体网络设备互联。参考虚拟机的实现方式，将网络设备也虚拟化，并绑定在虚拟机（服务器中虚拟出交换机）中，这样虚拟机上的网络接口可以不需要经过实体网络，直接在虚拟机内部通过虚拟交换机等虚拟的网络设备进行互联。物理主机（服务器）虚拟交换机，用于虚拟机互访（本质上就是一种“软”交换机的行为，软件虚拟出来交换机）：

1、性能低，特性少

2、模糊了主机和网络管理界面

带来的问题：

1、流量无法监控 ，存在安全隐患

2、无法实施安全策略

3、管理边界不清 （模糊了主机和网络管理界面，服务器和网络管理员的管理界面）

4、影响服务器性能

 

解决方法及好处

我们采用一种“硬”交换机的思路，将虚拟机的交换能力回归到交换机，性能保证，特性丰富，管理界面清晰。

IEEE指定了一种Edge Virtual Bridging(EVB)标准，该标准基于一个名为Virtual Ethernet Port Aggregator (VEPA) 的技术。通过VEPA，来自于VM的所有流量都会被转发到邻近的物理接入交换机，或者当目标VM也位于同一个服务器时被转回到相同的物理服务器。如下图所示，由VM1发往VM2或VM3的报文，首先被发往外部交换机，查表后，报文沿原路返回服务器。（详见下图）

802.1Qbg标准的作者——HP 的Paul Congdon，将这种工作模式形象的描述为“发卡弯（hairpin turn）”转发。这样既可以利用交换机实现更多的功能(如安全策略、流量监控统计)，又可以减轻虚拟机上的转发负担，通常情况下，以太网交换机在处理报文转发时，对于从一个端口上收到的报文，不会再将该报文从该端口发回所以交换机需要修改驱动才能得以支持“从某端口上收到的报文继续从此端口发出”这种应用场景。

虚拟化后的第二个问题是虚拟机迁移。

为了方便用户部署虚拟机，目前很多虚拟化平台都支持在虚拟机所提供服务不间断的情况下，允许虚拟机在不同的物理主机上进行迁移的功能。

 

虚拟机迁移

如上图所示，当物理主机1发生故障或者需要对物理主机1进行硬件升级时，可以在虚拟机VM4所提供服务不间断的情况下，将虚拟机VM4从物理主机1迁移到物理主机2上，让虚拟机VM4在物理主机2上提供相应服务。

动态迁移技术可用在灾备、资源调整、服务器维护等场合，通过动态地将应用程序从一个服务器移动到另一个服务器，减少计划停机时间。通过允许用户将工作负载从负载较重的服务器移动到具有空闲容量的服务器，可以应对不断变化的工作负载和业务需求。同时，通过允许简单地整合工作负载，并关闭不使用的服务器，减少能量的消耗。

所以虚拟机迁移技术在新型数据中心被广泛应用。伴随着虚拟机的迁移，为了网络安全所设计的一些虚拟机之间的互访策略、安全策略、流控控制是否需要同时进行手工迁移？

在数据中心中，安全策略的部署一直是一个有挑战的任务，需要根据具体服务器的应用特点对不同类型的应用系统制定不同级别的防护策略。在传统的数据中心中，由于应用系统和服务器区域基本都是固定不变的，所以安全策略仅在规划初期工作量较大，后期更多的是进行策略的更新和细微的调整。然而在虚拟化环境下则完全不同，应用系统和服务器是自由匹配和随需迁移的关系，每一次虚拟机的迁移对应安全策略的改变和调整，如果不能实现动态的配置调整，对于虚拟环境下安全策略的部署将不具备可实施性。

所以我们需要提供这种虚拟机策略动态迁移的智能更新机制。所以总结一下数据中心交换机的虚拟化支持主要包括三个方面：

1.   服务器支持VEPA将虚拟机流量转发至交换机

2.   交换机支持“发卡弯”技术，将虚拟机的报文可以返回收到报文的端口

3.   发现虚拟机迁移并动态更新安全、流控控制等策略（可以配合网管软件实现）