VXLAN 或 Virtual Extended Local Area Network 是一種網(wǎng)絡(luò)虛擬化技術(shù)���,廣泛應(yīng)用于大型二層網(wǎng)絡(luò)����。源網(wǎng)絡(luò)設(shè)備和目的網(wǎng)絡(luò)設(shè)備之間建立邏輯VXLAN隧道���,采用UDP(User Datagram Protocol)封裝方式MAC�����,即將虛擬機(jī)發(fā)送的原始以太網(wǎng)報(bào)文完全封裝在UDP報(bào)文中����,然后在層封裝物理網(wǎng)絡(luò)的IP包頭和以太網(wǎng)包頭�。這樣,封裝后的報(bào)文就可以像普通的IP報(bào)文一樣通過(guò)路由網(wǎng)絡(luò)進(jìn)行轉(zhuǎn)發(fā)���。路由機(jī)翼將虛擬機(jī)從第 2 層和第 3 層網(wǎng)絡(luò)的結(jié)構(gòu)限制中完全解放出來(lái)�����。
為什么需要 VXLAN����?
為什么需要 VXLAN����?這與服務(wù)器虛擬化的趨勢(shì)息息相關(guān):一方面,虛擬機(jī)發(fā)生動(dòng)態(tài)遷移�,要求虛擬機(jī)的IP和MAC地址在遷移前后不能改變;
虛擬機(jī)的實(shí)時(shí)遷移
服務(wù)器虛擬化技術(shù)將物理服務(wù)器虛擬化為多個(gè)稱為虛擬機(jī) (VM) 的邏輯服務(wù)器��。服務(wù)器虛擬化可以有效提高服務(wù)器利用率���,降低能耗����,降低運(yùn)營(yíng)成本����,因此虛擬化技術(shù)得到廣泛應(yīng)用。
服務(wù)器虛擬化后���,虛擬機(jī)的動(dòng)態(tài)遷移就變得正常了�����,為了保證遷移過(guò)程中服務(wù)不中斷����,不僅要保持虛擬機(jī)的IP地址不變,還要保持虛擬機(jī)的運(yùn)行狀態(tài)machine 虛擬機(jī)遷移時(shí)的機(jī)器����。它還必須保持相同的狀態(tài)(例如 TCP 會(huì)話狀態(tài)),以便動(dòng)態(tài)虛擬機(jī)遷移只能在相同的第 2 層域中執(zhí)行���。但不能跨二層域遷移�。
傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)限制了虛擬機(jī)的動(dòng)態(tài)遷移范圍����。如下圖所示,遷移只能在小范圍內(nèi)進(jìn)行�����,應(yīng)用受到嚴(yán)重限制�����。
傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)限制了虛擬機(jī)的動(dòng)態(tài)遷移范圍
為了打破這個(gè)限制,實(shí)現(xiàn)虛擬機(jī)的大規(guī)模甚至跨區(qū)域動(dòng)態(tài)遷移�����,需要遷移中可能涉及的所有服務(wù)器都包含在同一個(gè)二層網(wǎng)絡(luò)域中���,因此可以輕松地進(jìn)行 VM 的大規(guī)模遷移。
眾所周知���,同一個(gè)二層交換機(jī)可以實(shí)現(xiàn)連接的服務(wù)器之間的二層通信�����,當(dāng)服務(wù)器從二層交換機(jī)的一個(gè)端口遷移到另一個(gè)端口時(shí)����,IP地址可以保持不變�����。這樣可以滿足動(dòng)態(tài)虛擬機(jī)遷移的需要����。這就是 VXLAN 的設(shè)計(jì)理念和目標(biāo)�。
VXLAN提供了一種方法論:基于IP網(wǎng)絡(luò)���,當(dāng)源端和目的端之間有通信需求時(shí)�����,在IP網(wǎng)絡(luò)上創(chuàng)建虛擬隧道����,透明轉(zhuǎn)發(fā)用戶數(shù)據(jù)��。任何兩個(gè)點(diǎn)都可以通過(guò) VXLAN 隧道進(jìn)行通信�,而忽略底層網(wǎng)絡(luò)的結(jié)構(gòu)和細(xì)節(jié)。從服務(wù)器的角度來(lái)看�,VXLAN為他們把整個(gè)骨干網(wǎng)虛擬成一個(gè)巨大的“二層交換機(jī)”,所有的服務(wù)器都連接到這個(gè)虛擬的二層交換機(jī)上����。但是如何在基礎(chǔ)網(wǎng)絡(luò)中轉(zhuǎn)發(fā)是這個(gè)“巨無(wú)霸”內(nèi)部的事情,服務(wù)器根本不用操心���。
VXLAN將整個(gè)骨干網(wǎng)虛擬成一個(gè)巨大的“二層交換機(jī)”
基于這個(gè)“Layer 2 Switch”模型�,很容易理解為什么VXLAN現(xiàn)在可以實(shí)現(xiàn)動(dòng)態(tài)VM遷移:將虛擬機(jī)從“Layer 2 Switch”的一個(gè)端口交換到另一個(gè)端口,而無(wú)需更改IP地址全部�。
租戶數(shù)量的增加需要能夠隔離大量租戶的網(wǎng)絡(luò)
在傳統(tǒng)的 VLAN 網(wǎng)絡(luò)中,標(biāo)準(zhǔn)定義支持的可用 VLAN 數(shù)量只有 4000 個(gè)左右�。服務(wù)器虛擬化后,一臺(tái)物理服務(wù)器托管多個(gè)虛擬機(jī)�����,每個(gè)虛擬機(jī)都有獨(dú)立的 IP 地址和 MAC 地址����,服務(wù)器對(duì)應(yīng)的數(shù)量成倍增加�。比如公有云或者其他大型虛擬化云數(shù)據(jù)中心,往往要容納數(shù)萬(wàn)甚至更多的租戶����,VLAN能力顯然是不夠的。
VXLAN如何解決以上問(wèn)題�? VXLAN在VXLAN幀頭中引入了一個(gè)類似于VLAN-ID的網(wǎng)絡(luò)標(biāo)識(shí)符,稱為VXLAN網(wǎng)絡(luò)標(biāo)識(shí)符VNI(VXLAN網(wǎng)絡(luò)ID)由24位組成���,理論上最多可以支持1600萬(wàn)個(gè)VXLAN網(wǎng)段����,從而滿足大型和多樣化租戶之間的識(shí)別和隔離需求。
VXLAN 和 VLAN 有什么區(qū)別����?
VLAN作為一種傳統(tǒng)的網(wǎng)絡(luò)隔離技術(shù),標(biāo)準(zhǔn)定義的VLAN只有4000個(gè)左右�����,無(wú)法滿足大型二層網(wǎng)絡(luò)中租戶之間的隔離要求��。此外�,二層VLAN范圍一般較小且固定,無(wú)法支持虛擬機(jī)的大規(guī)模動(dòng)態(tài)遷移����。
VXLAN完美彌補(bǔ)了VLAN的上述不足。一方面���,通過(guò)VXLAN中的24位VNI字段����,提供高達(dá)1600萬(wàn)租戶的識(shí)別能力���,遠(yuǎn)大于VLAN的4000�;另一方面,VXLAN本質(zhì)上是由兩臺(tái)交換機(jī)組成�,在兩臺(tái)交換機(jī)之間建立了一條虛擬隧道,穿越基礎(chǔ)IP網(wǎng)絡(luò)���,基礎(chǔ)IP網(wǎng)絡(luò)到一個(gè)巨大的“二層交換機(jī)”�,即一個(gè)大的二層網(wǎng)絡(luò)被虛擬化了大規(guī)模動(dòng)態(tài)虛擬機(jī)遷移的需求����。
雖然 VXLAN 名義上是 VLAN 的擴(kuò)展協(xié)議,但 VXLAN 建立虛擬隧道的能力與 VLAN 有很大的不同��。
讓我們介紹一下VXLAN數(shù)據(jù)包是什么樣的�。
VXLAN 數(shù)據(jù)包格式(例如,外部 IP 標(biāo)頭為 IPv4 格式)
如上圖所示����,VTEP對(duì)VM發(fā)送的原始以太網(wǎng)幀(原始L2幀)進(jìn)行如下“包裝”:
VXLAN Header 添加一個(gè) VXLAN 頭(8 字節(jié))���,其中包含一個(gè) 24 位 VNI 字段��,用于定義 VXLAN 網(wǎng)絡(luò)中的不同租戶����。此外,它還包含 VXLAN 標(biāo)志(8 位�,值 00001000)和兩個(gè)保留字段(分別為 24 位和 8 位)。
