使用Cisco MDS 9000多層光纖信道交換機系列的VSAN和分區功能

目的

本白皮書介紹Cisco MDS 9000多層存儲交換機系列的VSAN和分區功能，以及它們在存儲聯網環境中的實際應用。VSAN和分區是互為補充的兩項技術，為SAN設計人員提供了兩種強大的工具。本文闡述存儲網絡中分區的優勢和局限性，以及VSAN在成本、可擴展性、可用性安全性方面的改進。

簡介

目前當設計人員設計和部署存儲域網絡（SAN）時需要考慮多種因素。當設計和實施網絡時必須仔細考慮網絡的高可用性、可擴展性和安全性等特性。Cisco MDS 9000多層導向器和結構交換機系列提供各種產品，使軟件和硬件特性能夠滿足這些要害設計要求，從而為SAN設計人員提供更經濟高效和更可靠的部署方案。

結構分區（Fabric zoning）是目前光纖信道交換產品中的一種基本特性。分區可以限制連接到通用光纖信道SAN的設備之間的可視性和連接。雖然分區在結構內提供基本的安全功能，但它不改進結構的可擴展性和可用性。

為了提高結構可擴展性和可用性，并進一步豐富結構分區所提供的安全性業務，思科在Cisco MDS 9000多層導向器和結構交換機系列內開發了稱為虛擬SAN（VSAN）的新技術。VSAN結合硬件強制分區為SAN設計人員提供新工具，以高度優化SAN部署的可擴展性、可用性、安全性和治理。VSAN能夠在可擴展的通用物理基礎設施上創建完全獨立的結構拓撲結構，每個拓撲結構都有自己的一套結構業務。當每個VSAN處理自己的分區業務時，分區在每個VSAN內單獨配置，且不會影響任何其它VSAN和分區業務。

本方主要介紹VSAN和分區之間的區別，以及這兩項技術如何相互補充。每項技術都旨在解決光纖信道網絡中不同的問題。了解這兩項技術的優勢是有效部署并獲得最大優勢的要害。

結構分區業務

光纖信道結構中的分區業務旨在在共享同一結構的設備之間提供安全性。主要目的是阻止某些設備接入結構中的其它設備。假如在網絡中部署很多不同類型的服務器和存儲設備，安全性是要害。例如，假如一臺主機使用另一臺主機使用的磁盤，另一臺主機可能使用不同的操作系統，那么該磁盤的數據有可能被破壞。為了避免破壞SAN中的要害數據，分區答應用戶使用安全性示意圖，規定那臺設備－也就是主機--可以看到那些目標設備，從而減少數據丟失風險。

但是，分區也有其局限性。分區只用于阻止設備與其它未鑒權的設備進行通信。這是一項分布式業務，它通常遍布結構中的每個角落。因此對分區配置進行任何更改都會破壞整個連接的結構。分區還不能滿足光纖信道基礎設施的可用性或可擴展性需求。因此，當分區在結構中提供需要的服務時，VSAN以及分區的使用提供最佳解決方案。

分區優勢

• 增強的設備安全性—通過在光纖信道結構中部署分區，設備接入只局限于區域中的設備。用戶可以根據特定存儲設備（目標設備）的接入來隔離設備。當處理接入同一物理結構的多OS環境時必須提供這種功能。大多數操作系統不能讀取或了解不同操作系統的布局或文件系統結構。例如，使用Windows的主機能否看到AIX主機使用的磁盤，文件結構能否查看外部設備，并且被Windows系統視為被破壞的Windows卷，這種Windows卷可用并必須修復。一旦Windows服務器向該磁盤寫入其“簽名”，它將查看原始的AIX服務器，并且數據將遭到破壞。這是分區設計用于阻止某些設備接入其它設備的典型實例以及分區如此重要的原因所在。在所有分區都使用硬件實施的環境中，Cisco MDS 9000產品系列可以提供更強大的分區功能。每當安裝分區配置時，無論其是基于端口還是基于WWN，實際上都將配置下載到硬件中，并安裝基于幀到幀硬件的過濾器來確保沒有分區配置則不答應幀通過。
  
  
• RSCN 抑制—通過在光纖信道網絡中實施分區，注冊狀態更改通知(RSCN)與區域中已改變狀態的設備隔離。這會減少結構中設備的中斷，尤其是那些不信任或不接近于實際狀態變化的設備。但是，在一些情況下，如同時保存在多個區域的存儲磁盤陣列接口，分區不能提供全面保護。
  
  
• 每端口多個區域—當使用分區來隔離設備連接時，單個共享的設備可能同時必須駐留在多個區域中。當多臺服務器需要接入同一個磁盤子系統接口時一般會出現這種情況。每臺服務器通常通過磁盤子系統接口駐留在單獨的區域中，因此磁盤子系統接口與每臺服務器駐留在一個區域中。這支持接入普通設備－存儲子系統接口，同時阻止服務器相互之間進行通信。
  分區局限性
  
  
• 可擴展性—雖然與典型ip網絡相比，目前的光纖信道網絡在規模上相對有限，但在未來進行存儲網絡擴展將有可能揭示設計方面的局限性。光纖信道不僅僅限制結構中域的數量(通常一臺交換機一個域)，還限制域中端口的數量。分區對為網絡提供高級別的可擴展性不起任何作用。即使設備在單獨的區域中，如仍然駐留在一個通用結構中的區域，它受到結構中尋址限制和路由可擴展性的束縛。此外，隨著結構的增長，部署的區域的數量增加，治理較多數量區域需要的控制面板帶寬也隨之增加。
  
  
• 結構可用性—當硬件強制進行分區時，雖然分區可以在網絡中提供重大的安全性優勢，但它對在結構中提高自身的可用性無任何作用。當結構中所有區域共享通用的結構業務時，假如名稱服務器終止響應，或FSPE開始不規則路由，將會給整個存儲網絡帶來嚴重的破壞性影響。此外，由于分區的分布式特性，對正在使用的一組區域進行的任何更改都會給結構造成影響，并且當安裝了更改時有可能中斷業務。
  
  
• 流量治理—在治理存儲網絡中終端設備之間的連接方面，分區非常有效。但是，分區不提供任何功能來控制路徑選擇和直通分區的設備之間的存儲網絡。根據分區配置規定，只要兩臺設備答應進行通信，他們的數據流可以通過SAN中的任何路徑，這些路徑根據結構中的路由協議來確定。隨著存儲聯網環境的增長，工程師的數據流傳輸需求變得越來越重要，以確保以一種最佳方式來利用結構帶寬。
  
  
• 可治理性—由于分區是結構中一項普通的分布式業務，它可以作為普通業務來治理。因此，當企業考慮在較少數的大型SAN結構中取消多種業務時，分區將仍然作為一項普通的分布式業務而存在。分區不是一項用于讓多個治理小組進行治理的業務。因此，假如企業在同一SAN結構中取消了HR應用基礎設施以及工程應用基礎設施，需要在應用擁有者之間大范圍地進行要害性調整，確保兩個應用組共享的一組普通區域不會遭到破壞，或突發的更改。
  
  
• 區域治理安全性—在光纖信道存儲網絡中，將分區業務作為一項分布式業務進行部署。分布式數據庫在存儲網絡的所有成員交換機中同步并維系。作為一項分布式業務，分區數據庫可以由結構的任意成員交換機來進行更新。因此，雖然分區是一項安全性業務，但它的實際部署是相對不安全的。假如結構中成員交換機的安全性受到威脅，結構級的分區配置也會受到不利影響。盡管ANSI T11標準委員會提出新的建議來保護分區業務，但當前的分區實施也有它們的缺點。
  
  
• 記賬—分區是一項相對動態的業務，出于各種與應用相關的原因考慮，可以頻繁對其進行更改。同樣，它很難計算應用組之間的帶寬使用，這些應用組可以根據他們的分區定義來定義。因此，假如構建一個通用結構包含了多種應用，每種應用根據分區定義來劃分，使用當今的硬件來隔離并計算每個區域的帶寬使用通常是不可能實現的。

虛擬SAN (VSAN)

虛擬SAN以一種彈性、安全、經濟高效和可治理的方式來提供擴展SAN突破當前限制的能力。SAN設計人員可以使用VSAN來構建大量統一的結構，在應用之間仍然提供需要的安全性和隔離，它超出了目前通過分區提供的安全性和隔離的范疇。

今天，出于各種原因考慮，SAN設計人員構建單獨的結構，也稱為SAN孤島。SAN孤島指物理上完全獨立的用于把主機連接到存儲設備的交換機或交換機組。構建SAN孤島的原因包括希望把各種應用隔離到自己的結構中，或通過最大限度地降低結構級中斷事件的影響來提高可用性。此外，物理上隔離的SAN孤島還提供高安全性，因為每個物理基礎設施都有自己單獨的一組結構業務和治理接入。雖然這些都是構建單獨結構的正當原因，但是這種方案會迅速增加并浪費結構端口和資源的成本。增加單獨的結構意味著需要更多的硬件、更多的端口、更高的成本、要治理更多的設備以及通常都不能充分利用硬件。部署單獨的SAN孤島的另一個缺點是完全隔離的孤島在資源重新分配方面的不靈活性。假如一個結構有許多未使用的端口，而另一個結構端口明顯不足，一個結構不能簡單地把未使用的端口重新分配到需要它們的位置。

為了幫助實現相同的獨立環境，同時取消構建物理上獨立的結構的額外費用，思科在Cisco MDS多層導向器和結構交換機系列中引入了虛擬SAN (VSAN)。VSAN提供在相同的冗余物理基礎設施上創建獨立的虛擬結構的能力。

SAN設計人員可以使用VSAN來提高SAN結構的工作效率，無需構建多個物理上獨立的結構來滿足企業或應用需求。實際上，您可以部署少量低成本的冗余結構，每個結構安裝多種應用，同時仍然提供與孤島類似的獨立功能。結構內的備用端口可以在不發生中斷的情況下迅速分配到現有的VSAN，從而提供一種虛擬增長面向應用的SAN孤島的方法。

VSAN功能的另外一種主要優勢在于提供高可用性。VSAN不僅僅提供基于硬件的獨立，而且還為每個VSAN提供一套完全相同的光纖信道業務。因此，當創建了一個VSAN時，在新VSAN內也創建了一套完全獨立的結構業務、配置治理功能和策略。創建的結構業務實例包括名稱服務器、區域服務器、域控制器、別名服務器和登錄服務器。這種業務復制功能提供在同一物理基礎設施上構建解決HA焦點需要的獨立環境的能力。例如，VSAN1中一組正在使用的區域的一部分根本不影響VASN2中的結構。

除了降低基礎設施成本之外，VSAN還為SAN設計人員提供很多靈活性。例如，MDS 9000產品系列每個物理結構支持1000個VSAN。您可以從中繼鏈路選擇添加或刪除每個VSAN，從而通過結構控制VSAN的擴展。此外，我們還提供專用的業務計數器來跟蹤每個VSAN的統計數據。

VSAN還提供一種方法可通過長距離基礎設施在遠程數據中心進行獨立結構的互連。由于在硬件內完成向幀添加標記，并且幀標記包括在所有EISL幀中，它可以在傳輸中承載，包括DWDM、CWDM和FCIP。因此，多個VSAN發送的業務可以通過一對光纖來超遠程復用和傳輸，但仍然保持完全獨立。VSAN利用通用冗余物理基礎設施構建靈活的獨立結構以此實現HA目標，從而提高可擴展性。

在VSAN成員端口和EISL鏈路上，每個單獨的虛擬結構使用基于硬件的幀標記來相互隔離。增強型ISL (EISL)鏈路已經創建，并在結構中包括了為每個幀增加的標記信息。在互連任何MDS 9000系列交換機產品的鏈路上支持EISL鏈路。VSAN的成員數取決于物理端口，一個物理端口只屬于一個VSAN。因此，無論那一種接口連接到一個物理端口，它都屬于該端口的VSAN的成員。

VSAN優勢

• 虛擬SAN孤島—目前在存儲網絡中仍然有許多原因，要求SAN設計人員為不同的應用構建獨立的結構。我們在本文中已經討論了許多這類原因，如部署安全性焦點和系統OS沖突。VSAN為SAN設計人員提供一種方法，將多個昂貴的物理SAN孤島結合到更經濟高效的通用冗余SAN結構中。使用VSAN，可以在相同的物理基礎設施上虛擬復制與通過構建物理上獨立的孤島實現的相同的安全性和獨立功能。
  
  
• 對終端設備透明—VSAN不需要對SAN終端設備有任何非凡的了解、配置或軟件，如主機/HBA或磁盤子系統。當流量進入交換機時向它添加標記，一旦幀離開交換機前往Nx_Port時將標記刪除。
  
  
• ISL中繼—即使每個VSAN代表獨立的結構，并且業務不能通過VSAN，MDS 9000系列支持Trunking E_Port (TE_Port)上的VSAN“中繼”。使用TE_Ports可提供多種優勢。雖然業務不能跨越VSAN，但多個VSAN可以共享相同的ISL。多個VSAN可共享ISL的帶寬，以便提高ISL的利用率。這可以大大減少規定部署中需要的ISL的數量?？缭絋E_Port的VSAN中繼還支持流量整形的基本格式。由于VSAN可以單獨分配到一個中繼，將具有較低優先級業務的VSAN將分配到可能有較長路徑的ISL，從而為較高優先級的業務保留較短的路徑。

• 結構可用性—每個VSAN包括所有結構業務的單獨業務。這提供了更穩定的結構，因為不僅僅是每個VSAN的結構業務故障是隔離的，而且每個VSAN的結構級事件，如構建結構或重新配置結構也是隔離的。假如將一臺交換機添加到現有網絡中，那么只需對新交換機上部署的VSAN進行結構重建或重新配置，整個網絡中剩余的VSAN保持不變。VSAN功能限制了對需要駐留在獨立環境中的設備任何可能的中斷，無需物理隔離。結果是提高了VSAN提供的可用性，這還答應SAN設計人員來構建經濟高效的大型SAN，而不是小型SAN孤島。
  
  
• 結構可擴展性—在網絡可用性方面，光纖信道有多種局限性。但是，VSAN提供一種方式來擴展結構。當在物理基礎設施中部署VSAN時，每個VSAN的光纖信道尋址方案必須是唯一的。在標準結構中只答應239個域(交換機)。這在很大程度上限制了結構的可擴展性。通過部署VSAN，光纖信道尋址方案基于每個VSAN付諸實施?，F在，每個VSAN最多可以支持239個域，從而擴展物理基礎設施中的可擴展性。
  
  
• 精簡（Collapsed）物理基礎設施—通常的存儲域網絡實施是部署“SAN孤島”。每種應用、操作系統或業務部門都有自己的SAN結構。當使用這一設計方案來部署時，硬件通常并未得到充分利用，并浪費了昂貴的硬件和治理資源。相反，部署VSAN能夠把許多單個的SAN 融合到大型的單個基礎設施中。這可以降低硬件成本，提高整個網絡的可治理性，同時維持SAN孤島模式的穩定和業務隔離。

• 流量治理和業務優勢—VSAN的實施使SAN設計人員能夠通過網絡更全面地控制業務的傳輸和其優先級分配。使用VSAN功能，您可以根據應用對不同的VSAN進行優先級分配，并使他們能夠依據逐項應用接入結構中特定的路徑。您還可以使用VSAN來進行業務傳輸，從而更有效地使用網絡帶寬。采用流量工程的一種級別，SAN設計人員可以從通過任何指定的通用VSAN中繼（EISL）中選擇啟動或關閉特定的VSAN，從而為特定的VSAN創建有限的拓撲結構。流量工作的另一種級別來源于每個VSAN的單獨路由配置。正如前面所討論的，VSAN的實施規定每個配置的VSAN支持一套獨立的結構業務。其中一種業務是FSPE路由協議，它可以基于每個VSAN單獨進行配置。因此，在每個VSAN拓撲結構中，可以配置FSPF來提供唯一的路由配置以及隨之發生的業務傳輸。使用VSAN提供的流量工程功能能夠更全面地控制結構中的業務，并充分使用已部署的結構資源。
  
  
• VSAN治理安全性—與分區不同，VSAN業務在結構中不是一項分布式業務。每臺交換機在本地進行VSAN配置，在一臺交換機上配置VSAN不影響網絡中任何其它交換機的配置。雖然用戶可以使用思科結構治理器在網絡中的任意交換機上配置VSAN，但工具也是對每臺交換機單獨進行配置。因此，每臺交換機只強制在交換機本身本地進行VSAN配置。使用Cisco MDS 9000產品系列中提供的基于角色的配置安全性功能，在選定的交換機上可以進一步限制選定的用戶來接入VSAN配置。

使用VSAN和分區

MDS 9000產品系列中的VSAN和分區是兩種功能強大的工具，旨在幫助SAN設計人員來構建強韌、安全和可治理的網絡環境，同時優化交換硬件的使用，降低成本。一般說來，VSAN用于把冗余物理SAN基礎設施分成獨立的虛擬SAN孤島，每個虛擬SAN孤島具有自己的一套光纖信道結構業務。通過使每個VSAN支持一套獨立的光纖信道業務， 基于VSAN部署的基礎設施可以存儲大量應用，無需關注這些虛擬環境之間的結構資源或事件沖突。一旦分隔了物理結構，分區用于在每個VSAN中部署安全性，我們對安全性方案進行了調整，以滿足每個VSAN中每種應用的需求。下表匯總了VSAN和分區之間的主要區別。右圖還顯示了通用物理結構區域中VSAN之間的關系。在通用物理拓撲結構中，首先將VSAN作為獨立的結構來創建。一旦創建了VSAN，根據需要在每個VSAN中應用各個唯一的區域設置。

VSAN可以在要求調用SAN孤島的任何位置使用。下面介紹一些使用VSAN的常用設計方案。其中，我們在每個VSAN中基于各種應用需求來使用度身定制的單獨分區配置。

備份VSAN

這是一種常見的方案，嚴格創建單獨和物理上隔離的備份SAN來承載備份業務。使用VSAN，可以在通用物理基礎設施上創建額外的VSAN，它只承載磁帶業務。使用這種設計方案， SAN設計人員可以降低為備份構建物理上隔離的SAN的成本，但仍然能夠實現相同功能的隔離。

部門VSAN

目前仍有許多原因，要求保證構建獨立的SAN孤島。我們在本文中已經提到了許多這方面的原因。由于需要額外的硬件，構建物理上獨立的結構要求增加成本?？紤]到這樣一個事實，每個SAN孤島作為自己物理上獨立的結構來處理，它必須可以單獨進行治理和單獨進行容量規劃。我們通常超額供給每個SAN孤島，以滿足應用的額外增長需求，直到實現了這類增長為止，這些多余的端口將保留不用。正如存儲設備聯合提高了存儲設備的利用率那樣，SAN的聯合也提高了SAN網絡硬件的利用率。

例如，假如一個部門應用需要42個SAN連接端口，通常我們將在獨立的SAN孤島中供給64個端口來支持增長。但是，是否應稍后確定這一應用將不需要所有這些多余的端口，拆除這些端口并重新部署用于另外一個應用在物理上是可行的。因此，假如設計時考慮了未使用的端口（為42個連接點部署了64個端口），那么在這一實例中每個端口的有效成本高達152%。假如在構建64端口SAN需要的任何ISL成本中考慮了您的因素，成本還要高于這一數值。

在這一實例中使用VSAN，在大型冗余結構中最初只要部署42個端口?？梢詣摻╒SAN并把42個端口分配給VSAN，從而優化SAN端口的有效成本。將來假如需要更多的端口來支持增長，在不中斷業務的前提下可以從物理結構未使用的端口庫中簡單進行分配。通過進行簡單的軟件配置，未使用的端口可以簡單地重新部署用于基于VSAN中的其它應用。

擴展的VSAN

VSAN的另一種重要特性是可以在數據中心之間通過廣泛的傳輸網絡承載，同時仍然維持獨立。隨著客戶繼續在多個數據中心之間構建分布式應用環境，無論是地理上的應用還是災難恢復原因，都必須維持VSAN相互隔離。

由于VSAN涉及使用成員關系標識符明確標記每個幀，這些被標記的幀可以在廣泛的媒介中傳輸。這類媒介包括DWDM(密波分復用)、CWDM (稀疏波分復用)以及IP光纖信道(FCIP)方法等光傳輸，使用可以承載IP業務 (SONET分組、ATM、幀中繼、固定無線等) 的任意傳輸網絡。例如，使用VSAN可以提供多種應用發送的數據的虛擬獨立，這些數據通過城域或廣域網絡傳輸到通用災難恢復站點。在災難恢復站點，可以通過單獨實施DR配置來相互隔離VSAN標記的數據。

利用VSAN技術可以顯著降低與從多個SAN通過城域或廣域網傳輸存儲業務相關的成本。今天，需要許多獨立的SONET電路或DWDM波長來傳輸與獨立的SAN孤島相關的存儲業務。但是，使用VSAN技術提供的孤島功能，可以使用較少的電路和/或波長來傳輸多個SAN孤島發送的業務，同時仍然維持嚴格的獨立。因此，VSAN技術提供的孤島功能可以直接降低增加傳輸硬件的成本，包括SONET客戶機端接口和DWDM轉發器。

結語

VSAN提供一種解決方案來解決當今SAN設計人中碰到的許多挑戰。作為分區功能的提供者，除了分區之外，VSAN還提供補充和需要的功能。

目前仍存在許多挑戰，要求SAN設計人員構建富有彈性的存儲網絡基礎設施，同時降低成本。但是，降低成本不能以犧牲SAN基礎設施的可用性、安全性或可治理性為代價。借助于目前的光纖信道交換產品，SAN設計人員可以構建多個物理上獨立的SAN基礎設施，幫助確保應用環境之間的可用性和安全性。由于交換機、磁盤和磁帶資源物理上獨立，在這個基礎上制訂的設計方案會使容量規劃和資源優化變得更加復雜。資源，尤其是昂貴的交換機端口，不能輕松地從一個應用移植到另一個應用。因此出現了端口的超額供給，從而大幅增加存儲網絡基礎設施每端口的有效成本。雖然分區功能可以促進SAN基礎設施的整體安全性，但它不能解決以上難題。

在Cisco MDS 9000多層導向器和結構交換機系列中引入虛擬SAN可使SAN設計人員能夠靈活地構建聯合且低成本的存儲網絡，同時滿足要害應用的安全性和可用性需求。VSAN功能提供優化光纖信道基礎設施的使用，以及維持在不中斷業務的前提下，在虛擬結構之間重新分配和移植結構和存儲資源的能力的方法。此外還提供基于具體記錄的VSAN的統計數據記賬，旨在促進與結構資源相關的容量規劃和可能的退費處理。VSAN技術只是Cisco MDS 9000交換機系列提供的可以幫助SAN設計人員構建多層存儲網絡的工具之一。