Muhammad al-xorazmiy nomidagi toshkent axborot texnogiyalari universiteti
Download 308.75 Kb.
|
Виртуализация.en.uz
- Bu sahifa navigatsiya:
- Izolyatsiya qilish mexanizmlari
- Tarmoqli kengligi izolyatsiyasi
- Topologiya izolyatsiyasi
- CPU izolyatsiyasini almashtiring
|
3.4 Bo'laklarni aniqlash siyosati
Dilimlar FlowVisor-da ulanadigan modulda aniqlanadi. Har bir siyosat matn konfiguratsiya fayli bilan tavsiflanadi - har bir bo'lak uchun bitta. O'tkazish qobiliyatini taqsimlash uchun bo'lim uchun barcha trafik yagona QoS sinfiga ko'rsatiladi. Har bir bo'lakda protsessorni almashtirish va boshqa jadval yozuvlari uchun sobit, doimiy byudjet mavjud. Tarmoq topologiyasi tarmoq tugunlari va portlari ro'yxati sifatida belgilanadi. Har bir bo'lak uchun oqim maydoni xavfsizlik devori qoidalariga o'xshash tartiblangan kortejlar ro'yxati bilan belgilanadi. Har bir qoida tavsifi bogʻlangan amalga ega, masalan, ruxsat berish, faqat oʻqish yoki rad etish va birinchi mos keladigan qoida asosida belgilangan tartibda tahlil qilinadi. Qoidalar oqim maydonining bo'limlarini kesish va ma'lum bir bo'lakni boshqarish uchun birlashtirilgan. Faqat o'qish qoidalari tilimlarga OpenFlow boshqaruv xabarlarini va so'rovlarni almashtirish statistikasini olish imkonini beradi, lekin yo'naltirish jadvaliga yozuvlarni kiritish uchun emas. Quyidagi misolda tasvirlanganidek, qoidalar bir-biriga mos kelishi mumkin. Yuqoridagi misolni davom ettiradigan bo'lsak, tarmoq ma'muri Elis Bobga HTTP yukini muvozanatlash bo'yicha hamkorlik tajribasini o'tkazishga ruxsat bermoqchi. Bob bir qator tadqiqotchi hamkasblarini uning tajribasida ishtirok etishga ishontirdi. Elis tajribaga kirishgan foydalanuvchilarning HTTP trafigini nazorat qilishni Bobga topshirmoqchi, qolganini esa ishlab chiqarish trafigi uchun qoldirmoqchi. Bundan tashqari, Elis butun tarmoqning ishlashini nazorat qiluvchi passiv tilimni ishga tushirishni xohlaydi. Ushbu misolda quyidagi oqimlar maydoni qoidalari bo'ladi. Bobning eksperimental tarmog'i uning tajribasiga qo'shilgan foydalanuvchilar to'plami uchun HTTP trafigi sifatida aniqlanadi. Shunday qilib, uning tarmoq tavsifi har bir foydalanuvchi uchun bitta qoidaga ega bo'ladi: Ruxsat bering: tcp porti: 80 va ip=user ip. Ushbu qoidalardan biriga mos keladigan kalitdan OpenFlow xabarlari Bob boshqaruvchisiga yuboriladi. Bob kiritishga urinayotgan har qanday oqim yozuvlari ushbu qoidalarga mos kelishi uchun qayta yoziladi. Elisning ishlab chiqarish tarmog'i Bob tarmog'ining to'ldiruvchisidir. Bob tajribasidagi har bir foydalanuvchi uchun ishlab chiqarish trafik tarmog'i shaklning salbiy qoidasiga ega: Rad etish: tcp port: 80 va ip=user ip. Ishlab chiqarish tarmog'i barcha oqimlarga mos keladigan yakuniy qoidaga ega bo'ladi: Ruxsat bering: hammasi. Shunday qilib, ishlab chiqarish tarmog'i boshqaruvchisiga faqat Bob tarmog'iga kirmaydigan OpenFlow xabarlari yuboriladi. Ishlab chiqarish nazoratchisi, agar ular Bob trafigiga mos kelmasa, yo'naltiruvchi yozuvlarni kiritishga ruxsat beriladi. Elisning monitoring tarmog'iga barcha tarmoqlardagi barcha trafikni ko'rishga ruxsat berilgan. Uning bitta qoidasi bor, faqat o'qish uchun: hammasi. Bu faqat o'qish uchun qoida Elisning monitoring tarmog'i butunlay passiv bo'lishini va uning ishlab chiqarish tarmog'ining normal ishlashiga xalaqit bermasligini ta'minlaydi. 5 Ushbu qoidalarga asoslangan siyosat, garchi oddiy bo'lsa ham, ushbu maqolada tasvirlangan tajribalar va joylashtirish uchun etarli. Kelajakda FlowVisor ilovalari koʻproq ixtisoslashgan siyosat ehtiyojlariga ega boʻlishini va tadqiqotchilar va virtual tarmoq operatorlari oʻzlarining shaxsiy resurslarni taqsimlash siyosatlarini ishlab chiqishlarini kutamiz. Izolyatsiya qilish mexanizmlari Virtualizatsiyaning muhim komponenti bo'limlar orasidagi izolyatsiyadir. Izolyatsiya mexanizmlari manbaga qarab o'zgarganligi sababli, biz har bir resursni o'z navbatida tasvirlaymiz. Virtual tarmoq uchun umumiy manbalardan tashqari, OpenFlow-ni apparat abstraksiya platformasi sifatida tanlaganimiz bizga bitta qo‘shimcha resursni virtuallashtirishga olib keladi: OpenFlow boshqaruv kanali. Tarmoqli kengligi izolyatsiyasi Odatda, hatto nisbatan oddiy tovar tarmoq uskunasi ham asosiy tarmoqli kengligi izolyatsiyasi uchun ba'zi imkoniyatlarga ega. OpenFlow xizmat ko'rsatish sifati (QoS) navbatlari nazoratini hali oshkor qilmasa-da, FlowVisor hali ham paketlardagi VLAN ustuvor bitlarini belgilash orqali mavjud kommutatorning tarmoqli kengligi izolyatsiyasi xususiyatlaridan foydalanishi mumkin. VLAN teglari uch bitli maydonga ega, VLAN Priority Code Point (PCP) bu paketni sakkizta ustuvor navbatdan biriga solishtirish uchun standart mexanizmdir. OpenFlow protokoli VLAN teglari va ustuvor bitlarni boshqarish qobiliyatini ochib beradi, shuning uchun oqimdagi barcha paketlarni ma'lum bir ustuvorlik bilan belgilash mumkin. Shunday qilib, tarmoqli kengligi izolyatsiyasini ta'minlash uchun FlowVisor barcha bo'laklarni yo'naltirish jadvali qo'shimchalarini "VLAN ustuvorligini belgilash" amalini o'z ichiga oladi va sakkiz ustuvor navbatdan biriga ustuvorlikni belgilaydi. Berilgan qismdagi barcha trafik resurslarni taqsimlash siyosatida ko'rsatilgan trafik sinfiga moslashtiriladi. Har bir trafik sinfining aniq ma'nosi CLI kommutatoridagi tarmoq ma'muri tomonidan tarmoqdan tashqarida sozlanishi kerak. E'tibor bering, VLAN PCP bitlaridan foydalanish FlowVisor dizayniga xos emas, balki tovar apparati bilan o'zaro ishlash uchun qisqa muddatli yechimdir. Kelgusi OpenFlow 1.0 versiyasida QoS funksiyalari va navbat ta’riflari ustidan ko‘proq to‘g‘ridan-to‘g‘ri nazorat kutilmoqda va QoSni yanada nozik nazorat qilish imkonini beradi. Shuningdek, IP-ning ToS bitlari ham xuddi shu tarzda trafikni mavjud trafik navbatlariga xaritalash uchun ishlatilishi mumkin. Topologiya izolyatsiyasi Controllers OpenFlow protokoli orqali tarmoq tugunlari va havolalarini topadi. Virtual bo'lmagan sozlamada, qurilma kontrollerning tinglovchi TCP portiga faol ulanganda, kontroller tarmoq qurilmasini topadi. FlowVisor kommutator va kontroller o'rtasida proksi-server vazifasini bajarganligi sababli, u faqat mehmonning virtual topologiyasidagi kalitlar uchun mehmon nazoratchisiga ulanishlarni proksi qiladi. Bundan tashqari, OpenFlow-da kalitdagi mavjud jismoniy portlarni ro'yxatga olish xabari mavjud. FlowVisor faqat virtual topologiyada paydo bo'ladigan portlar haqida xabar berish uchun xabar javobini tahrir qiladi. Nihoyat, havola qatlamini aniqlash protokoli (LLDP) xabarlari bilan ishlashga alohida e'tibor beriladi. NOX da, mashhur OpenFlow kontroller ishlab chiqish platformasi, LLDP xabarlari qo'shni kashf qilish uchun har bir kommutator portiga yuboriladi. Xabarlar qo'shni kalit tomonidan qabul qilinganda, ular hech qanday yo'naltirish qoidalariga mos kelmaydi va shuning uchun boshqaruvchiga qaytariladi. Yuboruvchi va qabul qiluvchi kalitlarga e'tibor qaratib, NOX qo'shni ulanishni aniqlashi mumkin. Xabarlar o'ziga xos, taniqli shaklga ega bo'lganligi sababli, FlowVisor xabarni ushlaydi va yuboruvchi bo'laklar identifikatori bilan teglar qo'yadi, shunda ular yana qabul qilinganda to'g'ri bo'limga yuboriladi. CPU izolyatsiyasini almashtiring Tovar tarmog'idagi protsessorlar odatda kam quvvatli o'rnatilgan protsessorlardir va shuning uchun osonlikcha ortiqcha yuklangan resursdir. Muammo shundaki, ko'pgina apparatlarda yuqori yuklangan kalit protsessor tarmoqning sezilarli uzilishiga olib keladi. Agar, masalan, protsessor haddan tashqari yuklangan bo'lsa, apparatni yo'naltirish davom etadi, lekin kalitlar OpenFlow so'rovlariga javob berishni to'xtatadi, bu esa LLDP qo'shnisini aniqlash protokolining kutish vaqti tugashiga olib keladi, bu esa kontrollerning tarmoq bo'ylab havolalar siljishi borligiga ishonishiga olib keladi va keyin barcha maqsadlar va maqsadlar uchun tarmoq yaroqsiz holga keladi. Kommutator protsessoriga yuklanishning to'rtta asosiy manbasi mavjud: (1) yangi oqim sozlamalari xabarlarini yaratish, (2) kontrollerdan so'rovlarni yuborish, (3) "sekin yo'l" paketlarini yo'naltirish va (4) ichki holatni saqlash. Ushbu yuk manbalarining har biri alohida izolyatsiya mexanizmini talab qiladi. Download 308.75 Kb. Do'stlaringiz bilan baham: 
|