2014年10月10日, • 网络

需要:不妥协的虚拟交换

由查理·阿什顿

在最近的英特尔开发商论坛在旧金山，有很多关于各种虚拟交换方法的权衡的讨论。在这篇文章中，我们将概述最常见的解决方案的优点和缺点，并展示在不损害关键系统级特性的情况下实现积极的性能目标是可能的。

虚拟交换是基于软件定义网络(SDN)的数据中心以及利用网络功能虚拟化(NFV)的电信基础设施中的关键功能。例如，NFV场景下，vSwitch (virtual switch)负责核心网络和运行在虚拟机(virtual Machines)中的虚拟应用或VNFs (virtual network Functions)之间的网络流量交换。vSwitch与VNFs运行在相同的服务器平台上，其交换性能直接影响单个服务器刀片上可支持的订阅者数量。ag亚博真人这反过来又会影响到整体的每用户运营成本，并对向NFV转型所能实现的运营成本改进产生重大影响。ag亚博真人

由于切换性能是降低OPEX的重要驱动因素，因此开发了两种方法来提高性能，同时牺牲功能:PCI直通和单根I/O虚拟化(SR-IOV)。正如我们将看到的，尽管这些方法所放弃的功能对于运营商级电信网络是至关重要的。幸运的是，现在有一种替代解决方案可以提供类内最佳性能和这些关键功能，因此这种折衷是不必要的。

PCI Pass-through是切换到NFV基础设施的最简单方法。详细说明如下在这里，它允许主机服务器上的物理PCI Network Interface Card (NIC)直接分配给来宾虚拟机。来宾操作系统驱动程序可以直接使用设备硬件，而不依赖于主机操作系统的任何驱动程序功能。

使用PCI Pass-through，您可以将网络流量以线路速率交付给虚拟网络函数(VNFs)，其延迟完全依赖于物理网卡。但是网卡与虚拟机的映射是1:1的，不支持虚拟机之间共享网卡，这就阻碍了NFV中一个关键的概念——资源的动态重新分配。每个虚拟机都需要一个专用的网卡，但不能共享，而且网卡的价格明显高于内核，灵活性也较低。

本白皮书很好地解释了单根I/O虚拟化(SR-IOV)背后的概念。基本上，SR-IOV(在某些nic中实现，但不是所有nic)提供了一种机制，通过这种机制，一个以太网端口可以看起来像是多个独立的物理设备。这使得一个网卡可以在多个虚拟机之间共享。

与PCI通过的情况一样，SR-IOV以线速率为虚拟网络功能（VNF）提供网络流量，通常具有50μs的延迟，这符合NFV基础设施的要求。使用SR-IOV，可以实现NIC共享的基本级别，但不能完全灵活，可以完全动态地重新分配资源。NIC共享还降低了净吞吐量，因此通常需要额外的（昂贵的）NIC来实现系统级性能目标。

然而，对于NFV，当我们考虑运营商级电信网络的绝对需求时，PCI Pass-through和SR-IOV的最大限制就变得明显了:

由于来宾虚拟机可以直接访问网络，因此网络安全性受到限制。关键的安全特性如ACL和QoS保护不被支持，因此没有针对拒绝服务(DoS)攻击的保护。
这些方法阻止了动态VM迁移的实现，即VM可以从一个物理核心迁移到另一个物理核心(可能位于不同的服务器上)，而不会丢失流量或数据。只有“冷迁移”是可能的，通常会影响业务至少2分钟。
不需要Hitless软件补丁和升级是不可能的，因此网络运营商也被迫使用冷迁移来实现这些功能。
检测链路故障最多需要4秒，这将影响所需的链路保护能力。
服务提供者设置和管理VNF服务链的能力是有限的。通常,链将自动设置的角度VNF(可能由外部协调器),而如果VNF拥有接口(如PCI直通或SR-IOV)的情况下,必须参与的设置和管理链,这是不可行或复杂的。

对于在现网中部署NFV的服务提供商，PCI Pass-through和SR-IOV都不能提供电信客户要求的运营商级可靠性，即6 - 9(99.9999%)的服务正常运行时间。

幸运的是，电信级加速vSwitch (AVS)在风河钛服务器软件为这个问题提供了解决方案。

在性能方面，AVS的性能是开源Open vSwitch (OVS)软件的40倍，在运行于2.9GHz的双插槽Intel®Xeon®Processor E5-2600系列平台(“Ivy Bridge”)上，每核每秒交换1200万个数据包(64字节数据包)。AVS执行线速率交换时使用的处理器核比OVS少得多，使得剩余的内核可以用于运行包含创收服务的虚拟机。(见这个早期的帖子关于这种高性能虚拟交换的更多好处。)

与此同时，AVS提供了载波级功能，这是我们讨论过的其他两种解决方案所没有的: