信創云計算技術下虛擬化網關與網絡管理研究

摘要：文章基于信創云計算技術，探討了虛擬化網關與網絡管理的相關問題，主要研究了云內機制和云間機制2個方面。在云內機制方面，文章提出了基于虛擬交換和通用控制接口的設計方法，分析了其技術細節和實現方式。在云間機制方面，文章探討了網絡通信協議（OpenFlow）和網絡系統（NetFPGA）在虛擬網絡中的應用，介紹了VLAN翻譯的原理和性能評估方法。通過性能評估實驗，文章驗證了所提方法的有效性和可行性。研究結果表明，基于信創云計算技術的虛擬化網關與網絡管理方法能夠有效提升網絡性能，為云計算環境下的網絡管理提供了重要參考。

關鍵詞：信創云計算技術；虛擬化網關；網絡管理

中圖分類號：TP393.01" 文獻標志碼：A

0 引言

隨著云計算技術的快速發展，虛擬化網關與網絡管理成為了云計算領域的重要研究課題。傳統的網絡設備在處理大規模、高密度的虛擬網絡時面臨性能瓶頸和管理挑戰。因此，本文旨在通過信創云計算技術，來解決云內、云間虛擬網絡的動態連接和配置問題，進而提升網絡性能和管理效率。

1 云內機制

1.1 虛擬交換

系統框架的主要設計目標是實現多臺虛擬機之間的動態連接需求。由于1臺物理機可將多臺虛擬機實例化，因此為實現這一目標，在虛擬化管理程序或物理機的內核中引入一個新的網絡層。該網絡層具有固有的獨特性能，如提供虛擬機之間的連通性、實現租戶之間的資源和命名空間隔離以及感知虛擬機的遷移。

當前，云計算行業內已經提出了幾種虛擬網絡設計，如鍵盤、視頻或鼠標KVM（Keyboard Video Mouse，KVM）信創云、思科的Nexus 1000V虛擬交換機和虛擬軟件（Vmware）的KVM等案例，但是這些虛擬交換元素的行為類似于物理交換機。本文之所以選擇虛擬交換作為設計的基本構建模塊，是因為如下2個原因：一方面，虛擬交換已成為商品化虛擬化管理程序和操作系統內核中的普遍轉發平面，因其實用性高并且可以部署到現有的網絡設備和系統中，給現有網絡帶來較低的影響；另一方面，虛擬交換為安全性和運行性能提供了基本的網絡隔離［1］。虛擬交換技術的細節設計如下。

動態連接和配置虛擬交換元素：該方法允許在多個節點上動態連接和配置虛擬交換元素，從而實現任意虛擬網絡的啟用。這意味著可以根據需要動態地添加、刪除或修改虛擬交換元素，以適應不同網絡拓撲和需求。

虛擬交換元素的組成：虛擬交換元素由一系列邏輯（或虛擬）端口、一個或多個轉發表以及一些轉發邏輯組成。邏輯端口可以與虛擬機的虛擬接口、物理接口或其他端口抽象（如虛擬局域網VLAN（Virtual Local Area Network，VLAN）或隧道）進行綁定。轉發表包括L2（二層）、地址解析協議（Address Resolution Protocol，ARP）或訪問控制列表（Access Control Lists，ACL）等類型，用于決定數據包的轉發行為。轉發邏輯負責執行數據包處理的各種動作，如頭部重寫、緩沖、過濾和組播分組等。

基于虛擬交換的構建模塊：為了實現上述功能，本文選擇了虛擬交換作為基本構建模塊。虛擬交換已經被廣泛應用于商品化虛擬化管理程序和操作系統內核中，提供了網絡隔離、安全性和性能等方面的基本支持［2］。

1.2 通用控制接口

通用控制接口提供了一系列功能，用于執行與虛擬網絡創建和管理相關的操作。這套功能實現了網絡抽象的標準化，使用戶能夠在不同站點啟用多臺虛擬機并實現它們之間的連接。此外，接口支持邏輯端口、轉發表和轉發邏輯的控制，通過以下基本原語抽象虛擬交換，即：交換元素、虛擬端口、鏈接和策略［3］。

交換元素：此功能支持在專用節點上創建、移除和監控虛擬交換機。該設計借鑒了網絡通信協議OpenFlow的一些原理，不僅適用于軟件交換機，還可擴展至硬件基的OpenFlow交換機。

虛擬端口：該功能用于添加或移除綁定到虛擬機的虛擬端口，或解除端口與虛擬機的綁定。

鏈接：該功能用于管理虛擬端口之間的連接路徑，包括創建、修改和刪除連接路徑。通過這些功能，用戶可以為屬于同一實驗者或服務提供者的虛擬節點和鏈接創建網絡拓撲。

策略：該功能用于設置如服務質量（Quality of Service，QoS）等路徑的約束。

系統的核心模塊基于函數庫實現。首先，虛擬網絡管理系統包括一個描述模塊，解析服務請求者的需求。在確定虛擬網絡的拓撲結構后，調用虛擬機協調器模塊與相關節點通信，創建虛擬交換機，將每個虛擬端口綁定到相應的虛擬機。隨后，拓撲分配器調用控制接口的函數創建鏈接，以反映所需的拓撲結構。

由于交換元素的假設和抽象具有足夠的通用性，這種設計可以擴展到其他支持可擴展轉發平面的正交研究或硬件加速方案的整合當中。這種整合能力提高了系統的靈活性和應用范圍，使得不同私有云系統中的多臺虛擬機能夠在不同站點間有效連接和協同工作［4］。

1.3 交換元素處理程序

虛擬交換處理程序是實現控制接口功能與底層虛擬交換機之間交互的核心組件。該處理程序的實現多樣化，依賴于不同虛擬交換機的技術架構。目前，本文已經開發出2種不同的處理程序版本，分別適用于KVM信創云和VMware的KVM環境，以示范此技術的應用潛力［5］。

在KVM信創云的實施方案中，由于其基于OpenFlow的設計原理，此實現提供了一個可通過通用流表進行轉發動作配置的接口。利用OpenFlow協議及其應用程序編程接口（Application Programming Interface，API）能夠動態地在KVM上配置多種VLAN，從而支持多個虛擬網絡的啟用。這種方式允許單個KVM信創云節點同時支持多個虛擬網絡，每個網絡由獨立配置的VLAN組成，節點間的通信仿佛其直接連接一般，這一部分在性能評估中通常被稱為VLAN方法。

對于VMware的KVM實施方案，由于其不將轉發平面暴露給外部配置，每個虛擬網絡需要在各節點上創建獨立的虛擬交換機。這種方法被稱為KVMes方法，與基于OpenFlow的實現相比，需要多臺虛擬交換機來啟用相同的網絡拓撲，這可能導致資源利用率低下并增加管理的復雜性。

交換元素處理程序對虛擬鏈接的支持則較為復雜。在虛擬網絡中，如果2個虛擬端口須建立連接并位于同一局域網內，通常會通過VLAN或干道技術創建虛擬鏈接。對于位于不同IP域的虛擬端口，若無虛擬專用局域網業務（Virtual Private LAN Service，VPLS）支持，則可能需要建立通用路由封裝（Generic Routing Encapsulation，GRE）隧道來實現連接。若網絡路徑中已有VPLS機制，則可以直接調用云內部機制來完成虛擬端口的連接。

2 云間機制

2.1 OpenFlow和NetFPGA

2.1.1 OpenFlow的具體應用

（1）流量的控制與管理。

在信創云計算平臺中，OpenFlow控制器被部署在虛擬化網關上，用于動態管理和調整網絡流量。例如：當檢測到某一網絡路徑出現擁塞時，OpenFlow控制器可以根據預設策略將流量重新分配到其他路徑中，從而避免網絡瓶頸，提高整體網絡的傳輸效率。這一過程涉及流表的下發和更新，控制器通過南向接口與交換機進行通信，及時調整流量路徑。

（2）虛擬網絡的創建與管理。

OpenFlow支持在物理網絡設備上創建多個虛擬網絡，每個虛擬網絡可以為不同的租戶服務。在信創云計算環境中，虛擬化網關通過OpenFlow協議將物理網絡資源劃分為多個邏輯隔離的虛擬網絡，每個虛擬網絡都具有獨立的流表和網絡策略。這樣可以實現多租戶的資源隔離和獨立管理，保障各租戶之間的安全性和資源獨立性。

（3）網絡監控與故障診斷。

在網絡管理中，OpenFlow控制器可以實時監控網絡狀態，獲取網絡流量的詳細信息。當網絡中出現異常流量或故障時，控制器可以快速定位故障點并采取相應的措施。例如：通過OpenFlow控制器監控各交換機的流表狀態和網絡拓撲，當檢測到某條鏈路的流量突然增加時，可以判斷該鏈路可能出現故障或攻擊行為，控制器會立即調整流量路徑以保障網絡的正常運行［6］。

2.1.2 NetFPGA的具體應用

（1）高性能數據包處理。

在信創云計算平臺中，NetFPGA被用作高性能數據包處理引擎。虛擬化網關通過將數據包處理任務卸載到NetFPGA硬件平臺上，實現線速的數據包轉發和處理。具體而言，當數據包到達虛擬化網關時，NetFPGA可以根據預設的硬件邏輯快速進行數據包的分類、過濾、轉發等操作，大幅提高了數據包處理的效率和速度。

（2）定制化網絡功能。

利用NetFPGA的可編程特性，開發者可以在硬件級別實現定制化的網絡功能。例如：開發者可以在NetFPGA上實現一個專用的防火墻模塊，對經過虛擬化網關的流量進行實時監控和過濾，確保網絡的安全性。又例如：開發者可以在NetFPGA上實現負載均衡功能，根據流量動態調整多個服務器的負載，優化資源利用率。這些功能可以通過編寫硬件描述語言來實現，部署在NetFPGA平臺上。

（3）提供實驗與測試平臺。

NetFPGA提供了一個靈活的實驗平臺，研究人員可以在真實硬件環境下測試和驗證新的網絡協議和算法。例如：當研究新的路由協議時，開發者可以在NetFPGA上實現該協議的核心算法，通過模擬真實的網絡環境進行測試和優化。通過這種方式，研究人員可以在實驗室環境中驗證其研究成果，為實際部署提供可靠的數據支持。

通過OpenFlow和NetFPGA的結合，基于信創云計算技術的虛擬化網關和網絡管理不僅可以實現高效的流量控制和管理，還能提供定制化的網絡功能和高性能的數據處理能力，從而推動云計算技術的創新與發展。

2.2 VLAN翻譯

本文以圖1所示系統為例，展示機制在實際部署中如何運行。圖1所示系統展示了通過2臺網關交換機簡化2個虛擬網絡進行VLAN翻譯的過程。不僅數據平面保持不變，而且僅根據控制器配置的流表處理數據包。本文通過在POX中實現2個模塊和2個表來擴展控制器。在部署虛擬網絡時，相關信息將被更新到控制器的2個表中。虛擬網絡管理系統將確定一條可以連接此虛擬網絡虛擬機的路徑；系統將沿著這條路徑配置每個網關系統的vlan2vlan表。

在實際部署中，VLAN翻譯機制通過2臺網關交換機簡化了2個虛擬網絡之間的操作。數據平面保持不變，只有根據控制器配置的流表才會處理數據包。控制器通過2個模塊和2個表來實現系統的擴展功能。當部署虛擬網絡時，虛擬網絡管理系統確定連接此虛擬網絡的虛擬機的路徑，在每個網關系統中配置相應的vlan2vlan表。第一個模塊負責接收管理系統的配置信息并配置表，而vlan2vlan表則實現了私有VLAN標簽到公共VLAN標簽的映射。每個網關系統的第二個表則更新為外部網絡上虛擬機的媒體存取控制位址地址（Media Access Control Address，MAC）并且將控制器的第二個模塊作為ARP代理來響應ARP查詢，從而防止ARP洪泛。當虛擬機遷移或銷毀時，模塊將更新表，這是因為虛擬機的創建、遷移和銷毀均由管理系統或云管理器進行控制。在每個網絡域中，管理系統具有完整的主機管理詳細信息。網關系統負責在2個表之間進行網絡域的VLAN標簽轉換。借助NetFPGA和OpenFlow的支持，VLAN標簽轉換的管理保持在控制平面中并且數據平面處理和標簽轉換處理保持在線速率。

3 性能評估

3.1 實驗方法

虛擬網絡的性能適用于其所應用的程序和場景。本文所提系統可以輕松建立一個虛擬網絡用于性能測量，如圖1所示。此設置的目的是在實際生產網絡上創建一個具有多跳路徑的虛擬網絡。本文使用3組物理機器，前2組位于京都先端科學大學（KUAS），第3組位于臺灣成功大學（NCKU）。2個KUAS大學之間有8個路由跳。前2組分配在同一個局域網中，但存在于不同的服務器機架上；它們與第3組之間的流量通過廣域網環境傳輸。這些機器使用鯤鵬服務器ARM網絡接口。

為了評估實現效果，本文設計了3個場景：（1）基準場景，該場景將虛擬機連接到軟件橋接器，通過干線和VPLS跨越Internet連接；（2）KVM場景，該場景使用專用虛擬交換機連接虛擬機，每個虛擬網絡使用一條GRE虛擬鏈路；（3）VLAN場景，該場景使用所提出的虛擬交換機和VLAN（端口組）機制連接虛擬機。

本文使用BWPing（帶寬和響應時間的工具）、Nttcp（測試工具）和Iperf（網絡性能測試工具）等基準工具生成流量，通過吞吐量和延遲來評估性能。吞吐量對數據傳輸服務和大型傳輸的性能至關重要，而延遲則對小型傳輸和交互式服務的性能影響較大。

3.2 性能結果

吞吐量性能結果如圖2所示。與具有VPLS和帶寬保留場景相比，作為場景實現的最差情況，本文僅展示了ORE隧道機制場景中的測量結果。在廣域網環境中，2種機制表現良好，實現的最佳吞吐量范圍為800～825 Mbps。其中，信創云方法的性能優于基準方法的性能。通過進一步分析發現，這是因為橋接模塊的實現相對簡潔，類似于軟件集線器原理。相比之下，信創云對虛擬網絡進行了優化。因此，本文通過上述分析可以了解到KVM方法優于VLAN方法。在考慮成本的情況下，KVM須要支出額外的成本，用于根據VLAN標簽對數據包進行多路復用或解復用。因此，本文須要進一步論證成本的影響。

為了比較系統延遲，本文創建了32個虛擬網絡，在每對虛擬機上運行一個程序。其中，這些程序使用ICMP回顯請求/響應對的往返延遲來測量響應時間。測量設定對象為在一個小時內進行測量樣本。延遲性能對比結果如圖3所示，圖中為平均延遲響應時間。額外成本可能來自GRE隧道機制。因此，本文分別比較了KVM（以GRE為前綴標記）和基準（以IP為前綴標記）的延遲。結果顯示，所引入的額外成本在可接受范圍內。

3.3 服務分區的性能

在信創云模型中，服務可以在幾個數據中心中進行分區；同時，國產化設備易引發服務需求方對性能的擔憂。基于圖1所示系統場景，本文進行了一項測量以驗證其性能，設置2種配置：（1）原始配置，無服務分區的原始云系統；（3）信創云配置，該配置是有服務分區的信創云系統。在3個位置部署了3臺基準機器：IDCA（標記為訪問點）、IDCB（標記為Home節點）和第三個地方（標記為中立節點）。以上設置可滿足一個特殊基準程序發出會話的請求。根據圖1中定義的場景驅動，會話生成器能夠測量整個會話的響應時間，如圖4所示。

結果顯示，來自Home節點的用戶可以在信創云模型中獲得更好的性能。這是因為一些關鍵信息可以在本地獲取，對于大多數選擇Home節點用戶而言，性能也是他們追求的重點。中立節點的結果也表明，信創云模型的性能更優越。通過追蹤2個IDC之間的網絡距離后，本文發現中立位置靠近IDC B是造成這一結果的原因。以上結果表明，數據中心位置是用戶感知延遲的重要因素。第三個數據集用戶位于IDC A并嘗試從IDC B訪問內容，目前效果相對最不理想。然而，即使在效果不理想的情況下，信創云模型也沒有明顯的性能損失。為了有效支持服務分區和信創云，系統能夠在生產網絡中輕松且動態地建立虛擬網絡。整個測試結果如圖4所示，虛擬網絡的創" 建和轉發引入的額外成本保持在可接受范圍內，虛擬網絡的性能能夠用于處理它們所在的應用程序和場景。

4 結語

本文提出了一種基于虛擬網絡管理系統的虛擬化網關與網絡管理方案，通過性能評估實驗驗證了其可行性和有效性。結果顯示，該方案不僅在吞吐量、延遲等性能指標上表現良好，還能夠有效支持服務分區和動態虛擬網絡的建立。未來，研究人員將繼續改進和優化系統設計，以提升網絡性能和管理效率，滿足不斷增長的云計算應用需求。

參考文獻

［1］葛楠，于村.基于“云計算網絡”的疾病控制中心檔案管理信息化［J］.辦公室業務，2022（10）：119-121.

［2］羅陽倩子.基于云計算平臺的網絡運行管理系統設計［J］.互聯網周刊，2022（7）：50-52.

［3］陳琰.大數據云計算下網絡安全管理的具體方法探討［J］.中小企業管理與科技，2021（4）：9-10.

［4］呂達.云計算平臺的網絡運行管理系統設計［J］.電子技術與軟件工程，2021（4）：185-187.

［5］梁希望，沈強磊，王曙杰.云計算技術在網絡管理中的應用探討［J］.通訊世界，2020（4）：84-85.

［6］姜可.如何加強網絡運維云計算的管理工作［J］.計算機產品與流通，2020（1）：42.

（編輯 王永超）

Research on virtual gateway and network management under Xin Chuang Yun computing technology

LU" Minghuai， XU" Yangguang

（Guangzhou Digital Government Operation Center， Guangzhou 510000， China）

Abstract： This paper explores the related issues of virtualization gateway and network management based on Xin Chuang Yun computing technology， and mainly studys two aspects： intra-cloud mechanism and inter-cloud mechanism. In terms of intra-cloud mechanism， a design method based on virtual switching and universal control interfaces is proposed， and its technical details and implementation methods are analyzed. In terms of inter-cloud mechanism， the application of OpenFlow and NetFPGA in virtual networks is explored， and the principles and performance evaluation methods of VLAN translation are introduced. The effectiveness and feasibility of the proposed method are verified through performance evaluation experiments. The research results indicate that virtualization gateways and network management methods based on Xin Chuang Yun computing technology can effectively improve network performance， providing important references for network management in cloud computing environments.

Key words： Xin Chuang Yun computing technology; virtualization gateway; network management

作者簡介：路明懷（1976— ），男，高級工程師，碩士；研究方向：云服務技術及管理。