许多
网络厂商已经开始利用英特尔的平台和
硬件产品,降低开发成本。例如,思科ASA防火墙,F5负载均衡器,和Vyatta
路由器。接下来的事情是显而易见的,而有些供应商已经开始提供虚拟devices.f5产品已经有当地的交通managerndash;虚拟版(LTM VE)产品,Vyatta声称有一个完整的虚拟设备
解决方案。尽管VMware稍微落后在这方面,它还提供了虚拟防火墙(vShield
区域,vShield App)和路由器/负载均衡器(vShield边缘)。
虚拟网络设备:什么是密钥
网络设备
不同于服务器。他们通常高我/ O
任务,传送大量用最小的额外
处理通过网络接口的数据,而且非常依赖于专用硬件。所有高速路由和数据包转发,包括加密(IPSec和SSL)和负载平衡,依靠一个专用
处理器。当一个网络设备重新包装成一个虚拟的机格式,专用的硬件是无效的。所有这些任务现在都必须由通用CPU
执行,这有时会导致
性能的显著下降。
在虚拟机的路由器或防火墙的部署可以直接占领其他地方可以更好地利用CPU mdash;mdash;当然,除非你有充分的预分配服务器,并有大量的空闲时间,或在这种
情况下,你的计划会导致严重的问题。
更糟糕的是,服务器虚拟化解决方案中使用的虚拟机
管理软件也可以虚拟化网络接口,这意味着从网络设备到虚拟化硬件的每个I/O访问
路径都将由一个更为特权的软件(虚拟机管理
程序)进行
转换。它可以使用大量的CPU时间来解码需要做的事情,并
模拟所需的
操作,同时,虚拟机之间
传输的数据必须
复制到它们的
地址空间中,从而增加了整个
进程的延迟。
与dvfilter虚拟机管理程序VMware API会带来一些帮助,它
支持一个可加载的内核模块,
检查和
修改管理程序(网络数据路径
代理)内部或虚拟机(网络
控制路径代理)之间传输的网络流量,可加载内核模块可以大大降低虚拟机环境转换的开销。
虚拟网络设备的
作用 虚拟的网络设备可以扮演很多角色。例如,你可以虚拟出一个不依赖专门的硬件来执行大量的CPU密集型处理装置。Web应用防火墙(WAF)和复杂的负载平衡是很好的例子。他们通常是作为Apache Web服务器或加载模板为鱿鱼反向代理服务器实现。
同时,如果你正在计划部署多租户云,以网络设备为乐高积木不仅可以用来证明性能低于标准获得的灵活性。如果你根据VM / CPU,
用户实际使用的充电,你不需要考虑多少CPU他们使用,因为这种情况将更加突出。
当防火墙和路由
功能是在每一个虚拟机管理器实现的虚拟交换机的一部分,虚拟化的网络也将发挥作用。这可能会导致
优化交通流之间的虚拟机(无论他们是否属于同一个IP子网),而且还可以解决交通长号的问题。不幸的是,它看来,思科仍然是唯一的供应商,使用虚拟
以太网模块(VEM)功能
扩展VMware虚拟机管理程序开关。尽管许多安全解决方案已经部署在VMsafe API,目前我知道的网络设备,包括VMware vShield边缘,仍然依赖于虚拟机虚拟传输流量(或物理)
局域网。