Ciemna strona wirtualizacji

Rozwiązania producentów

Na rynku dostawców technologii wirtualizacji serwerów dominuje firma VMware, ale nie należy zapominać również o pozostałych, takich jak: Citrix Zen, Microsoft Hyper-V, KVM czy innych mniejszych. Najwięcej rozwiązań oferowanych jest jednak właśnie pod platformę VMware, i to ona posłuży nam jako przykład.

Ciemna strona wirtualizacji

Kontrola przy użyciu vCenter

Na rysunku przedstawiono proces kontroli sieciowej za pomocą vCenter. Konsola zarządzania VMware vCenter kontroluje proces uruchamiania maszyny wirtualnej i wskazuje, gdzie dana maszyna wirtualna zostanie uruchomiona. Natomiast hypervisor sprawdza serwer fizyczny oraz maszyny wirtualne na nim działające. vSwitch to programowy przełącznik warstwy drugiej, dostarczany przez producenta (VMware). Każda maszyna wirtualna ma wirtualne interfejsy sieciowe NIC, etykietowane jako vNIC. Mają one przydzielone adresy MAC z puli przeznaczonej dla producenta lub korporacyjnej - przypisanej przez administratora sieci.

Pierwszym zadaniem administratorów serwerów jest zdefiniowanie charakterystyki sieci oraz polityki dla maszyn wirtualnych. Operator wydaje polecenie do vCenter, aby następnie uruchomić maszynę wirtualną VM2 (krok nr 2). Proces ten składa się z wielu wiadomości systemowych przekazywanych między vCenter a hypervisorem, jedna z nich zawiera informacje o regułach sieci dla hypervisora. W kroku nr 3, hypervisor konfiguruje przełącznik vSwitch z poprawnym numerem VLAN, QoS oraz regułami bezpieczeństwa. Kiedy aplikacja działająca na maszynie VM2 rozpoczyna wysłanie pakietów, reguła zostaje uruchomiona na przełączniku vSwitch (na rysunku oznaczono to niebieską kropką).

Takie podejście rozwiązuje problem uruchamiania reguł na pierwszym przełączniku, ale już nie konfiguracji VLAN na fizycznym przełączniku sieciowym. Przed rozpoczęciem wysyłania ruchu przez maszynę wirtualną, niezbędne jest skonfigurowanie sieci VLAN na porcie przełącznika, co wymaga szybkiej koordynacji między odpowiednimi zespołami lub prekonfigurowania przełącznika. Koordynacja może być jeszcze bardziej skomplikowana, kiedy maszyna przenoszona jest w locie. Po jej przeniesieniu jest potrzebna koordynacja działań między zespołem ds. wirtualizacji a tym odpowiedzialnym za konfigurację sieci. Na koniec, po pomyślnym przeniesieniu maszyny, wymagane jest wyczyszczenie konfiguracji starego przełącznika.

Jednym z największych problemów przy takim podejściu jest liczba zadań koordynujących pomiędzy zespołami odpowiedzialnymi za wirtualizację i konfigurację sieci. Pierwszy musi skonfigurować w vCenter parametry, które leżą w gestii administratorów sieciowych, takie jak VLAN, QoS i ACL. Jakiekolwiek zmiany wykonane w konfiguracji sieci VLAN lub reguł muszą zostać natychmiast wprowadzone do konfiguracji maszyny wirtualnej, co wprowadza dodatkowy punkt, w którym może dojść do pomyłki, a w konsekwencji do awarii.

Kolejną niedogodnością jest brak możliwości podglądu przez grupę administratorów sieci tego, co aktualnie dzieje się w wirtualnym przełączniku vSwitch, który pozostaje pod kontrolą vCenter, a nie tradycyjnego oprogramowania do zarządzania siecią. Ponadto, zespół zarządzania siecią ma ograniczony wgląd w konfigurację maszyny wirtualnej. Problem ten został rozwiązany przez kilku producentów sieciowych poprzez powiadamianie przez vCenter o zmianach i wyświetlaniu ich wraz z innymi informacjami o stanie sieci, co jest bardzo pomocne przy określaniu pojawiających się problemów.


TOP 200