Ε νικό Μετσό ιο Πο υτε νείο Σ ο ή Η εκτρο ό ν Μη ανικών και Μη ανικών Υπο ο ιστών Τομέας Επικοιν νιών, Η εκτρονικής και Συστημάτ ν Π ηροφορικής

Transcript

1 Ε νικό Μετσό ιο Πο υτε νείο Σ ο ή Η εκτρο ό ν Μη ανικών και Μη ανικών Υπο ο ιστών Τομέας Επικοιν νιών, Η εκτρονικής και Συστημάτ ν Π ηροφορικής Υ οποίηση Εικονικού Μετα έα ια Εφαρμο ές του Ίντερνετ του Μέ οντος Διπ ματική Ερ ασία του Εμμανουή Δημο εροντάκη Επι έπ ν: Βασί ης Μά κ αρης Κα η ητής Ε.Μ.Π. Ερ αστήριο Δια είρισης & Βέ τιστου Σ εδιασμού Δικτύ ν Α ήνα, Ιού ιος 2011

2

3 Ε νικό Μετσό ιο Πο υτε νείο Σ ο ή Η εκτρο ό ν Μη ανικών και Μη ανικών Υπο ο ιστών Τομέας Επικοιν νιών, Η εκτρονικής και Συστημάτ ν Π ηροφορικής Ερ αστήριο Δια είρισης & Βέ τιστου Σ εδιασμού Δικτύ ν Υ οποίηση Εικονικού Μετα έα ια Εφαρμο ές του Ίντερνετ του Μέ οντος Διπ ματική Ερ ασία του Εμμανουή Δημο εροντάκη Επι έπ ν: Βασί ης Μά κ αρης Κα η ητής Ε.Μ.Π. Ε κρί ηκε από την τριμε ή εξεταστική επιτροπή την 18 η Ιου ίου, Βασί ης Μά κ αρης Συμεών Παπα ασι είου Δημήτρης Κα ο εράς Κα η ητής Ε.Μ.Π. Αν. Κα η ητής Ε.Μ.Π. Ερευνητής ΕΠΙΣΕΥ Α ήνα, Ιού ιος 2011

4 ... Εμμανουή Δημο εροντάκης Διπ ματού ος Η εκτρο ό ος Μη ανικός και Μη ανικός Υπο ο ιστών Ε.Μ.Π. Copyright All rights reserved Εμμανουή Δημο εροντάκης, Με επιφύ αξη παντός δικαιώματος. Απα ορεύεται η αντι ραφή, απο ήκευση και διανομή της παρούσας ερ ασίας, εξ ο οκ ήρου ή τμήματος αυτής, ια εμπορικό σκοπό. Επιτρέπεται η ανατύπ ση, απο ήκευση και διανομή ια σκοπό μη κερδοσκοπικό, εκπαιδευτικής ή ερευνητικής φύσης, υπό την προϋπό εση να αναφέρεται η πη ή προέ ευσης και να διατηρείται το παρόν μήνυμα. Ερ τήματα που αφορούν τη ρήση της ερ ασίας ια κερδοσκοπικό σκοπό πρέπει να απευ ύνονται προς τον συ ραφέα. Οι απόψεις και τα συμπεράσματα που περιέ ονται σε αυτό το έ ραφο εκφράζουν τον συ ραφέα και δεν πρέπει να ερμηνευ εί ότι αντιπροσ πεύουν τις επίσημες έσεις του Ε νικού Μετσό ιου Πο υτε νείου.

5 Περί ηψη Τα τε ευταία ρόνια, ό ο και περισσότερο παρουσιάζεται η ανά κη ια υποδομές ε έ ου και αξιο ό ησης νέ ν πρ τοκό ν και υπηρεσιών. Σε συνδυασμό με την εκρηκτική ανάπτυξη τ ν τε νικών και τ ν εφαρμο ών της εικονικοποίησης έ ει προκύψει ένα π ή ος από εικονικές δικτυακές υποδομές, ε κατεστημένες πάν στο Ίντερνετ. Οι εικονικές δικτυακές υποδομές έ ουν σκοπό να αποτε έσουν ένα ρεα ιστικό περι ά ον πειραμάτ ν ια ερευνητές. Ωστόσο, μέ ρι πρόσφατα, αυτές οι υποδομές περιορίζονταν στην παρο ή δυνατοτήτ ν ια πειράματα εντοπισμένα από το επίπεδο Δικτύου της δικτυακής στοί ας και πάν. Μια αρκετά νέα εικονική δικτυακή υποδομή ια διενέρ εια πειραμάτ ν, το VINI Trellis, στο εύει στην προσφορά επιπ έον δυνατότητα ια πειράματα που επιτρέπουν παραμετροποιήσιμες τοπο ο ίες επιπέδου Ζεύξης. Σε ταυτό ρονη ανάπτυξη ρίσκονται και οι εικονικές δικτυακές συσκευές. Το πιο αρακτηριστικό παράδει μα ανοι τού ο ισμικού που υ οποιεί ειτουρ ίες μετα ής είναι το Open vswitch. Σκοπός αυτής της διπ ματικής είναι η ανάπτυξη ο ισμικού ια την ε κα ίδρυση και δια είριση τοπο ο ιών επιπέδου ζεύξης στο περι ά ον VINI Trellis με ρήση Open vswitch. Επιπ έον, στό ος είναι η ε κα ίδρυση τοπο ο ιών επιπέδου Ζεύξης μεταξύ εικονικών πόρ ν διαφορετικών πειραματικών υποδομών (VINI Trellis - Federica) που κάνουν ρήση διαφορετικών τε νο ο ιών επιπέδου Ζεύξης. Λέξεις Κ ειδιά εικονικοποίηση, επίπεδο Ζεύξης, εικονικές π ατφόρμες δικτυακών πειραμάτ ν, εικονικά δίκτυα, εικονικός μετα έας, Ίντερνετ του μέ οντος 5

6

7 Abstract In recent years,there is an increasing need for infrastructures that enable control and evaluation of new protocols and services. Combined with the explosive development of techniques and applications of virtualization led to an emerge of a variety of virtual network infrastructures located on top of the Internet. These virtual network infrastructures are designed to provide realistic environment for network experiments from researchers. However, until recently, these facilities were limited to providing opportunities for experiments detected by the Network layer of te network stack and up. A fairly new virtual network infrastructure for conducting experiments, the VINI Trellis, aims to provide additional capability for experiments over configurable link-layer topologies. There have also great advances in the field of virtual network devices. The most striking example of open source software that implements switching functions is Open vswitch. This diploma thesis aims to develop software for the establishment and management of link-layer topologies within the VINI Trellis environment using Open vswitch. Furthermore, we hope to establish link-layer topologies between virtual resources from separated experimental infrastructures (VINI Trellis - Federica) that deploy different link-layer technologies. Keywords virtualization, link layer, virtual network testbeds, virtual networks, virtual switch, Future Internet 7

8

9 Ευ αριστίες Θα ή ε α κατ αρ άς να ευ αριστήσ τον επι έποντα κα η ητή μου κ. Βασί η Μά κ αρη και τον κ. Λε νίδα Λυμπερόπου ο ια την κα οδή ησή τους κατά την εκπόνηση της παρούσας ερ ασίας. Επίσης α ή ε α να ευ αριστήσ τους Δημήτρη Κα ο ερά, Γιώρ ο Ανδρου ιδάκη και Α έξανδρο Σιού αρη, που με τις νώσεις και τις ιδέες τους οή ησαν στην επιτυ ή ο οκ ήρ ση της ερ ασίας. Θα ή ε α να δώσ ιδιαίτερες ευ αριστίες στον Χρήστο Αρ υρόπου ο, του οποίου η ερ ατικότητα και ο εν ουσιασμός του αποτέ εσαν και αποτε ούν έμπνευση ια μένα. Ευ αριστώ ό α τα παιδιά του Ερ αστηρίου Δια είρισης και Βέ τιστου Σ εδιασμού Δικτύ ν, που με οή ησαν, ο κα ένας με τον τρόπο του, σε κά ε ήμα της διαδικασίας. Τέ ος, ευ αριστώ την οικο ένειά μου και τους φί ους μου ια την κατανόηση και την υποστήριξή τους ό α αυτά τα ρόνια. Δημο εροντάκης Εμμανουή 9

10

11 Περιε όμενα Περί ηψη 5 Abstract 7 Ευ αριστίες 9 Περιε όμενα 12 Κατά ο ος σ ημάτ ν 13 1 Πρό ο ος 15 2 Θε ρητική Εισα ή L2 Δικτύ ση Γέφυρες και Μετα είς L2 Virtual Private Networks Εικονικοποιήση(virtualization) Εικονικοποίηση Υ ικού (Server Virtualization) Εικονικοποιήση δικτύ ν (Network Virtualization) Συστατικά Εικονικών Δικτύ ν Τε νικές Εικονικοποίησης Δικτύ ν Π ατφόρμες Δικτυακών Πειραμάτ ν Κατη ορίες Network Testbed Εικονικά Network Testbeds Π ατφόρμες που ρησιμοποιή ηκαν Virtual Network Testbed: Vini Επισκόπηση του Vini Trellis Trellis Control Plane Virtual Switching: Open vswitch Open vswitch Platform Αρ ιτεκτονική του Open vswitch Αρ ιτεκτονική Ε κα ίδρυσης L2 Εικονικών Τοπο ο ιών Προσ ήκη εικονικού μετα έα στο Trellis Αρ ιτεκτονική L2 connectivity μεταξύ κόμ ν από federated testbeds Αρ ιτεκτονική

12 12 Περιεχόμενα 5 Υ οποίηση Υπάρ ουσα διαδικάσια δημιουρ ίας δικτύου υποδομής Δημιουρ ία της virtual switched τοπο ο ίας Εκτίμηση της Απόδοσης του Συστήματος Επί ο ος Συμπεράσματα Προτάσεις ια με οντική ερ ασία Αʹ Οδη ός ε κατάστασης Τοπο ο ίας Υποδομής 67 Αʹ.1 Ρύ μιση του trellis.rb Αʹ.2 E κατάσταση Τοπο ο ίας Βʹ Open vswitch 71 Βʹ.1 Open vswitch Tables Βʹ.2 Basic Open Vswitch API Γʹ Source code 75 Βι ιο ραφία 101

13 Κατά ο ος σ ημάτ ν 2.1 Το πρότυπο OSI Hypervisor Virtualization OS-level Virtualization Host Virtualization Planetlab Node Architecture Επισκόπηση της Αρ ιτεκτονικής του Trellis Λεπτομέρειες της τοπο ο ίας του Trellis Αρ ιτεκτονική του MyPLC Επισκόπηση του Open vswitch Αρ ιτεκτονική του Open vswitch Open vswitch schema Τροποιημένη δικτυακή υποδομή στο περι ά ον Trellis Μετά αση της κίνησης από GRE σε VLAN Δικτυακή υποδομή σε federated περι ά ον Back-end ειτουρ ίες ια την δημιουρ ία IIAS δικτυακής τοπο ο ίας στο Trellis Τα interfaces που δημιουρ εί το script setup-link Back-end ειτουρ ίες ια την δημιουρ ία της νέας δικτυακής τοπο ο ίας στο Trellis Τα 2 σενάρια τ ν πειραμάτ ν

14

15 Κεφά αιο 1 Πρό ο ος Η παρούσα αρ ιτεκτονική του Ίντερνετ ρίσκεται υπό αμφισ ήτηση. Πο οί ερευνητές του διαδικτύου έ ουν ανα ν ρίσει αναδυόμενους φρα μούς της δεδομένης αρ ιτεκτονικής του Ίντερνετ. Έ ει, οιπόν, φτάσει η στι μή η διαδικτυακή έρευνα να αποκτήσει μία πιο ευρεία προοπτική ώστε αν και όπου είναι δυνατό να ανα ε ρη ούν οι αρ ιτεκτονικές αρ ές του Ίντερνετ. Οι με έτες πρέπει να ίνουν σε περι ά οντα ευρείας κ ίμακας που α παρά ουν ρεα ιστικά και εφαρμόσιμα αποτε έσματα ώστε να αξιο ο η εί η δυνατότητα υ οποίησης τ ν νέ ν με όδ ν, να επικυρ ούν οι συνο ικές συνέπειες και να προκύψουν περαιτέρ απαιτήσεις, προσανατο ισμοί και τις δεδομένα ια την έρευνα. Με άσει τα παραπάν, οι ευρείας κ ίμακας ερευνητικές δικτυακές υποδομές ια πειράματα αντιπροσ πεύουν το Ίντερνετ του μέ οντος. Τα τε ευταία ρόνια έ ουν διεξα εί σημαντικές έρευνες στον τομέα τον ερευνητικών δικτυακών υποδομών. Πιο συ κεκριμένα, οι εικονικές δικτυακές υποδομές έ ουν ν ρίσει με ά η ανάπτυξη ια αρκετούς ό ους. Ο κυρίαρ ος ό ος ανάπτυξης τους είναι οι δυνατότητα που παρέ ουν οι τε νικές εικονικοποίησης να μοιράζουν τους φυσικούς πόρους αποτε εί σημαντικό π εονέκτημα στην δημιουρ ία με ά ν υποδομών που μπορούν να ρησιμοποιη ούν ταυτό ρονα από πο ούς ρήστες. Εξίσου σημαντική έρευνα, έ ει διεξα εί και στον τομέα τ ν ομοσπονδιακών ερευνητικών υποδομών, που επιτρέπουν την ρήση πόρ ν από διαφορετικές πειραματικές υποδομές. Οι ομοσπονδιακές υποδομές ε ρούνται οι σημαντικότεροι αντιπρόσ ποι του Ίντερνετ του μέ οντος ό της υπερ-ευρείας υποδομής τους και της αυτοματοποιημένης δυνατότητας που παρέ ουν ια επικοιν νία τ ν υποδομών που την συνιστούν. Παρ ό α αυτά, μέ ρι πρόσφατα, οι υποδομές ια πειράματα παρεί αν δυνατότητες κυρί ς ια πειραματισμό με εφαρμο ές και πρ τόκο α του επιπέδου Δικτύου και άν. Η π ατφόρμα VINI Trellis δημιουρ ή ηκε με σκοπό να ξεπεράσει αυτό το εμπόδιο και να παρέ ει στους ερευνητές δυνατότητα ε έ ου τ ν τοπο ο ιών επιπέδου Ζεύξης. Η προσέ ιση του Trellis, όμ ς, στηρίζεται στην έννοια τ ν εικονικών ζεύξε ν σημείου προς σημείο. Βασικός στό ος αυτής της διπ ματικής είναι να α άξουμε την σημείου προς σημείο προσέ ιση του Trellis προσφέροντας την δυνατότητα δημιουρ ίας τοπικών δικτύ ν επιπέδου Ζεύξης, με την οή εια του εικονικού μετα έα Οpen vswitch. Επιπ εόν, ανα ν ρίζοντας την σημασία τ ν ομοσπονδιακών υποδομών παρουσιάζουμε έναν τρόπο επικοιν νίας σε επίπεδο Ζεύξης διαφορετικών υποδομών με σκοπό τον διαμοιρασμό πόρ ν ανάμεσα σε πειραματικές υποδομές. 15

16

17 Κεφά αιο 2 Θε ρητική Εισα ή 2.1 L2 Δικτύ ση Στο επίπεδο 2 (Layer 2, L2) του δικτυακού προτύπου OSI (σ ήμα 2.1) ρίσκεται το επίπεδο Ζεύξης δεδομέν ν (Data Link Layer). Το L2 παρέ ει τα ειτουρ ικά και διαδικαστικά μέσα ια την μεταφορά δεδομέν ν μεταξύ δικτυακών οντοτήτ ν, κα ώς και την δυνατότητα ανα νώρισης και πι ανώς διόρ σης σφα μάτ ν του Φυσικού επιπέδου (Physical Layer, L1). Παραδεί ματα L2 πρ τοκό ν είναι το Ethernet 1 ια τοπικά δίκτυα, το πρ τόκο ο Pointto-Point (PPP, RFC ) κ.τ.. Το Data Link Layer ασ ο είται με την τοπική παράδοση τ ν π αισί ν (Data Link frames) μεταξύ συσκευών που ανήκουν στο ίδιο τοπικό δίκτυο. Τα π αίσια δεν εξέρ ονται από τα όρια του τοπικού δικτύου. Η διαδικτυακή δρομο ό ηση και η κα ο ική διευ υνσιοδότηση είναι ειτουρ ίες υψη ότερου επιπέδου. Το L2 πρ τόκο α ασ ο ούνται με την τοπική παράδοση, την διευ υνσιοδότηση και την διαιτησία τ ν συσκευών που έ ουν να αποκτήσουν πρόσ αση στο μέσο μεταφοράς. Σ ήμα 2.1: Το πρότυπο OSI

18 18 Κεφάλαιο 2. Θεωρητική Εισαγωγή Γέφυρες και Μετα είς Τα ασικά συστατικά στοι εία ενός L2 τοπικού δικτύου είναι, π έον, οι έφυρες (bridges) και οι μετα είς (switches). Η εφύρ ση (bridging) αποτε εί μια τε νική προώ ησης πακέτ ν σε δίκτυα υπο ο ιστών μετα ής πακέτ ν (packet switched). Αντί ετα με την δρομο ό ηση (routing), το bridging δεν κάνει υπο έσεις ια το μέρος του δικτύου στο οποίο μπορεί να ρίσκεται μία συ κεκριμένη διεύ υνση. Αντί αυτού, στηρίζεται στην τε νική της π ημμύρας (flooding) και στον έ ε ο της διεύ υνσης προέ ευσης στην επικεφα ίδα τ ν ηφ έντ ν π αισί ν ια τον εντοπισμό ά ν στ ν συσκευών. Το bridging, ό της εξάρτησης του από το flooding, ρησιμοποιείται κυρί ς στα δίκτυα τοπικής περιο ής (Local Area Networks, LANs). Τα bridges είναι συσκευές πιο πο ύπ οκες από τα hubs και τους repeaters. Μπορούν να ανα ύσουν τα εισερ όμενα π αίσια ια να αποφασίσουν αν μπορούν να τα στεί ουν σε κάποιο ά ο τμήμα του δικτύου (network segment). Ένα bridge ρησιμοποιεί μία άση δεδομέν ν προώ ησης (forwarding database) ια να στέ νει π αίσια στα διάφορα network segments. Η forwarding database είναι αρ ικά άδεια και εμίζει με ε ραφές όσο το bridge δέ εται π αίσια. Προκειμένου να συνδέσει δύο network segments, το bridge δια άζει την Media Acces Control (MAC) διεύ υνση προορισμού του π αισίου και αποφασίζει είτε να το προ ήσει έιτε να το απορρίψει. Αν το bridge αποφασίσει ότι ο κόμ ος προορισμού ρίσκεται σε ά ο segment του δικτύου προ εί το πακέτο σε αυτό το segment. Αν η διεύ υνση προορισμού ανήκει στο ίδιο segment με την διεύ υνση προέ ευσης, τότε το π αίσιο απορρίπτεται. Ως L2 switches, σε ένα τοπικό δίκτυο, εννοούμε συνή ς ένα bridge με πο απ ές ύρες (multiport). Δη αδή μια φυσική συσκευή υ ικού (hardware) που ρησιμοποιεί την MAC διεύ υνση της κάρτας δικτύου (Network Interface Card, NIC) ενός υπο ο ιστικού συστήματος ια να αποφασίσει που α προ ήσει τα π αίσια. Τα L2 switches διατηρούν πίνακες φι τραρίσματος ( ν στοί και ς MAC address tables) ια την ειτουρ ία τους. Το L2 switching είναι πο ύ αποδοτικό ιατί δεν ίνονται τροποποιήσεις στα πακέτα δεδομέν ν, α ά μόνο στο π αίσιο που τα εν υ ακώνει και μόνο στην περίπτ ση διάδοσης σε ανόμοια μέσα (π.. από Ethernet σε FDDI 3 ). Χρησιμεύει, επίσης στην δημιουρ ία ομάδ ν ερ ασίας (workgroups) και στην μεί ση του με έ ους τ ν τομέ ν σύ κρουσης (collision domains). Όπ ς αναφέρ ηκε τα απ ά L2 switches παρέ ουν τις ίδιες ειτουρ ίες με τα bridges. Το επιτυ άνουν όμ ς πιο αποδοτικά αποφεύ οντας περιττούς ε έ ους τ ν π αισί ν και παρουσιάζοντας μια πιο δυναμική συμπεριφορά L2 Virtual Private Networks Ένα εικονικό ιδι τικό δίκτυο (virtual private network, VPN[15]) είναι ένας ασφα ής τρόπος σύνδεσης σε ένα ιδι τικό LAN που ρίσκεται σε απομακρυσμένη τοπο εσία, ρησιμοποιώντας το Ίντερνετ ή οποιοδήποτε μη ασφα ές δημόσιο δίκτυο, με σκοπό την μεταφορά δεδομέν ν ασφα ώς, με ρήση κρυπτο ραφίας. Το VPN ρησιμοποιεί επικύρ ση (authentication) ια να απορρίψει μη εξουσιοδοτημένους ρήστες και κρυπτο ράφηση ια να εμποδίσει την ανά ν ση πακέτ ν από μη εξουσιοδοτημένους ρήστες. Πιό συ κεκριμένα, το πρ τόκο ο VPN εν υ ακώνει πακέτα ρησιμοποιώντας μία ασφα ή κρυπτο ραφική μέ οδο μεταξύ δύο ή περισσότερ ν δικτυακών συσκευών που δεν είναι μέ η του ίδιου ιδι τικού δικτύου. Η κρυπτο ράφηση 3

19 2.1 L2 Δικτύωση 19 εφαρμόζεται ώστε να διατηρη ούν ασφα ή τα δεδομένα όπ ς διέρ ονται από τους συνδεδεμένους κόμ ους ενός τοπικού δικτύου ή δικτύ ν ευρείας περιο ής. Εμείς α εστιάσουμε σε υπηρεσίες VPN που ειτουρ ούν στο L2[?] L2 VPN Services Τα ασικά L2 VPN services είναι[4]: Virtual LAN: Τα Virtual LAN είναι μία L2 τε νική που επιτρέπει την συνύπαρξη πο απ ών LAN broadcast domains, διασυνδεδεμένα με ένα σύνο ο από multipoint links (trunks), κάνοντας ρήση του IEEE 802.1Q trunking πρ τοκό ου. Virtual private LAN service (VPLS): Το VPLS είναι ένα L2 Point-to-Point Virtual Private Network (PPVPN) προσομοιώνοντας ό ες τις ειτουρ ίες ενός LAN. Από την προοπτική του ρήστη, ένα VPLS παρέ ει την δυνατότητα της διασύνδεσης κάποι ν τμημάτ ν LAN (LAN segments) πάν από μία υποδομή δικτύου μετα ής πακέτ ν. Η υποδομή αυτή είναι αόρατη στον ρήστη με αποτέ εσμα τα απομακρυσμένα LAN segments να συμπεριφέρονται σαν ένα LAN. Στο VPLS, ο παρο έας της υποδομής προσομοιώνει επιπ έον και ένα bridge που υποστηρίζει learning και, προαιρετικά, VLAN. Pseudo wire (PW): Το PW είναι παρόμοια υπηρεσία με το VPWSπαρο ή pointto-point προσομοί ση L1 κυκ μάτ ν ρίς data link δομή, α ά μπορεί επιπ έον να παρέ ει διαφορετικά L2 πρ τόκο α στα δύο άκρα. Συνή ς, το interface του είναι ένα πρ τόκο ο WAN, όπ ς τα Asynchronous Transfer Mode (ATM) και Frame Relay. Όταν έ ουμε σαν σκοπό την παρουσίαση ενός συνε ούς (contiguous) LAN μεταξύ δύο ή περισσότερ ν τοπο εσιών είναι πιο κατά η α τα VPLS και IPLS. IP-only LAN-like service (IPLS): Το IPLS είναι ένα υποσύνο ο του VPLS με δυνατότητες L3. Χρησιμοποιεί πακέτα και ό ι π αίσια Tunneling with L2 payload Η υ οποίηση τ ν VPN services ασίζονται σε υποδομές που υ οποιούνται από tunneling πρ τόκο α. Στα δίκτυα υπο ο ιστών ένα πρ τόκο ο tunneling είναι ένα δικτυακό πρ τόκο ο (το delivery protocol) μέσα στο οποίο εν υ ακώνεται ένα ά ο πρ τόκο ο (το payload protocol). Με την ρήση του tunneling μπορούμε ια παράδει μα να μεταφέρουμε ένα πακέτο πρ τοκό ου μη συμ ατού με το δίκτυο παράδοσης, είτε να δημιουρ ήσουμε ένα ασφα ές κανά ι μέσα σε ένα μη αξιόπιστο δίκτυο. Ιδιαίτερο ενδιαφέρον, παρουσιάζουν οι τρόποι δημιουρ ίας VPLS που παρέ ει υπηρεσία Ethernet, ό της ευρείας ρήσης του Ethernet στα τοπικά δίκτα. Το VPLS μπορεί να προκύψει με την ρήση tunneling πρ τοκό ν που δέ ονται ια payload protocol το Ethernet. Ακο ου ούν οι ασικότερες τε νο ο ίες εν υ άκ σης π αισί ν Ethernet. Layer 2 Tunneling Protocol (L2TP): Το L2TP είναι ένα tunneling πρ τόκο ο, αναπτυ μένο από την Cisco Systems 4, που ρησιμοποιείται ια την δημιουρ ία VPNs. Δεν παρέ ει κρυπτο ράφηση ή εμπιστευτικότητα από μόνο του. Βασίζεται σε κάποιο πρ τόκο ο 4

20 20 Κεφάλαιο 2. Θεωρητική Εισαγωγή κρυπτο ράφησης που μεταφέρεται μέσα στο tunnel ια να παρέ ει ασφά εια. Το L2TP ενερ εί σαν L2 πρ τόκο ο α ά τυπικά ανήκει στο Επίπεδο Συνόδου (Session Layer, L5). Βασίζεται στα πα αιότερα πρ τόκο α Layer 2 Forwading Protocol (L2F) και Point-to- Point Tunneling Protocol(PPTP). Η τε ευταία έκδοση L2TPv3 παρέ ει επιπ έον επι ο ές ασφα είας, ε τι μένη εν υ άκ ση και δυνατότητα να μεταφέρει π αίσια διαφορετικά του PPP πάν από ένα διαδίκτυο IP, όπ ς Ethernet, Frame Relay, ATM κ.τ.. Το L2TPv3 μπορεί, οιπόν, να ρησιμοποιη εί ς υποδομή ενός VPLS. Generic Routing Encapsulation (GRE): Το GRE 5 είναι ένα tunneling πρ τόκο ο αναπτη μένο από την Cisco Systems που μπορεί να δε τεί σαν payload μία με ά η ποικι ία από πρ τόκο α, μεταφέροντας τα μέσα από εικονικά point-to-point links πάν από ένα διαδίκτυο πρ τοκό ου IP. Όπ ς και το L2TP, το GRE δεν δημιουρ εί ασφα ή tunnels α ά επιτρέπει την εν υ άκ ση πρ τοκό ν που παρέ ουν ασφά εια, όπ ς το IPsec. To GRE, όπ ς έει και το όνομά του, έ ει ς σκοπό να αποτε έσει ένα ενικό πρ τόκο ο, ικανό να εν υ ακώσει μία με ά η ποικι ία από πρ τόκο α. Ένα από τα πρ τόκο α που μπορούν να αποτε έσουν το payload protocol είναι και το Ethernet. Η τε νο ο ία αυτή ονομάζεται EoGRE και μπορεί να ρησιμοποιη εί ια να στηρίξει ένα VPLS. Multiprotocol Label Switching (MPLS) Το MPLS είναι ένας υψη ά επεκτάσιμος, ανεξάρτητος από κά ε τη επικοιν νιακό πρ τόκο ο μη ανισμός μεταφοράς πακέτ ν. Σε ένα δίκτυο MPLS ανατί ενται ετικέτες στα πακέτα δεδομέν ν. Οι αποφάσεις προώ ησης τ ν πακέτ ν ίνονται αποκ ειστικά με άση το περιε όμενο τ ν ετικετών. Έτσι δημιουρ ούνται κυκ ώματα από άκρη σε άκρη (end-to-end) ανεξαρτήτ ς του τύπου του μέσου μεταφοράς και του πρ τοκό ου. Το π εονέκτημα του MPLS είναι ότι εξα είφει κά ε εξάρτηση σε συ κεκριμένη τε νο ο ία Data Link Layer, κα ώς και την ανά κη πο απ ών δικτύ ν L2 ια την ικανοποίηση διαφορετικών τύπ ν κίνησης. Το MPLS αποτε εί, ουσιαστικά, έναν τρόπο δημιουρ ίας εικονικών ζέυξε ν (virtual links) μεταξύ απομακρυσμέν ν κόμ ν και μπορεί να εν υ ακώσει πο ά διαφορετικά είδη πρ τοκό ν. 2.2 Εικονικοποιήση(virtualization) Ως virtualization μπορούμε να ορίσουμε κά ε τε νο ο ία που συνδυάζει η μοιράζει υπο ο ιστικούς πόρους ώστε να τους ανα έσει σε ένα η περισσότερα ειτουρ ικά περι ά οντα ρησιμοποιώντας με οδο ο ίες όπ ς: τμηματοποίηση (partition) σε επίπεδο υ ικού ή ο ισμικού, μερική ή π ήρη προσομοί ση, emulation 6, διαμοιρασμό ρόνου και πο ές ά ες [10]. Μπορούμε οιπόν μέσ του virtualization να πετύ ουμε έναν, ή και περισσότερους, από τους παρακάτ σκοπούς: δημιουρ ία ενός επιπέδου αφαίρεσης, απόκρυψη αρακτηριστικών και, τέ ος δημιουρ ία απομον μέν ν περι α όντ ν. Στην συνέ εια απαρι μούμε κάποια από τα ασικά π εονεκτήματα του virtualization [10]: 1. Server Consolidation: Ενοποίηση του φόρτου ερ ασίας πο απ ών υπο ρησιμοποιούμεν ν υπο ο ιστών σε ι ότερους με σκοπό την εξοικονόμηση hardware, ειτουρ ίες ε έ ου και δια είρισης τ ν υποδομών ρήση υ ικού(hardware) ή ο ισμικού(software) ια την αντι ραφή τ ν ειτουρ ιών ενός συστήματος σε ένα δεύτερο, διαφορετικό σύστημα

21 2.2 Εικονικοποιήση(virtualization) Sandboxing: Οι εικονικές μη ανές(virtual machines, VMs) ρησιμέυουν στην παρο ή ασφα ών απομονομέν ν περι α όντ ν(sandboxes) ια την εκτέ εση ξέν ν ή ι ότερο αξιόπιστ ν εφαρμο ών. 3. Multiple Execution Environments: Δημιουρ ία πο απ ών ανεξάρτητ ν περι α όντ ν εκτέ εσης και άυξηση του QoS εξασφα ίζοντας συ κεκριμένη ορισμένη ποσότητα πόρ ν. 4. Virtual hardware: Παρο ή μη δια έσιμου υ ικού (π.. εικονικούς προσαρμο είς(virtual adapters) Ethernet, εικονικούς μετα είς(virtual switches) Ethernet κ.τ..). 5. Software Migration: Διευκο ύνει την μετανάστευση(migration) του ο ισμικού, παρέ οντας έτσι ευκινησία(mobility)/ 6. Testing/QA: Βοη άει στην παρα ή αυ αίρετ ν σεναρί ν που είναι δύσκο ο να παρα ούν στην πρα ματικότητα, διευκο ύνοντας έτσι την διαδικασία τ ν δοκιμών. Το virtualization μπορeί να έ ει ς στό ο οποιοδήποτε στοι είο ενός υπο ο ιστικού συστήματος, όπ ς ια παράδει μα το hardware, το software, την μνήμη, είτε ά α μέσα απο ήκευσης, δεδομέν ν είτε δικτύ ν. Απο ό α αυτά εμείς α παρουσιάσουμε τα server και network virtualization, όπου όπ ς α δούμε το πρώτο α αποτε έσει μέσο ια την επίτευξη του δεύτερου Εικονικοποίηση Υ ικού (Server Virtualization) To server virtualization[3] μπορεί να επιτευ εί με πο ούς τρόπους, κα ένας από τους οποίους προσφέρει διαφορετικά π εονεκτήματα α ά και μειονεκτήματα. Θα ασ ο η ούμε με τε νικές virtualization σε επίπεδο υπο ο ιστή, είτε ειτουρ ικού συστήματος(operating system, OS). Το αποτέ εσμα αυτών τ ν τε νικών είναι περισσότερο η απόκρυψη τ ν φυσικών αρακτηριστικών της υποδομής, παρά η δημιουρ ία μιας αφηρημένης υπο ο ιστικής π ατφόρμας. Το ο ισμικό που ε έ ει το virtualization αποκα είται συνή ς υπερπεπόπτης (hypervisor) ή ε ε κτής εικονικής μη ανής (virtual machine monitor) Στην συνέ εια παρουσιάζονται οι ασικότερες τε νικές αυτού του είδους Π ήρης Εικονικοποίηση (Full virtualization) Στην επιστήμη τ ν υπο ο ιστών, το full virtualization είναι μία μέ οδος virtualization που ρησιμοποιείται ώστε να παρέ ει ένα συ κεκριμένο είδος περι ά οντος εικονικής μη ανής (virtual machine environment), πιο συ κεκριμένα, αυτό που είναι μία π ήρης εξομοί ση του υποκείμενου hardware. Το full virtualization απαιτεί κά ε ξε ριστό συστατικό του hardware να απεικονίζεται σε κάποιο από τα διάφορα virtual machines, περι αμ άνοντας π ήρη: σύνο ο εντο ών (instruction set), ειτουρ ίες εισόδου εξόδου (I/O operations), διακοπές (interrupts), πρόσ αση στην μνήμη (memory access) και οποιαδήποτε ά α στοι εία ρησιμοποιούνται από το sofware που εκτε είται στο υποκείμενο μη άνημα και προορίζεται ια εκτέ εση στο virtual machine. Σε ένα τέτοιο περι ά ον κά ε software που είναι ικανό να παρά ει εντο ές συμ ατές με το πρα ματικό hardware μπορεί να εκτε εστεί στο virtual machine, ακόμα και οποιοδήποτε ειτουρ ικό σύστημα (operating system, OS). Αυτή είναι και η ασική διαφοροποίηση με ά ες τε νικές platform virtualization, δη αδή ότι δεν ρειάζεται συ κεκριμένο ή τροποποιημένο software να εκτε είται στο virtual machine. Το full virtualization έ ει αποδει τεί πο ύ επιτυ ές ια:

22 22 Κεφάλαιο 2. Θεωρητική Εισαγωγή 1. Διαμοιρασμός ενός υπο ο ιστικού συστήματος μεταξύ πο απ ών ρηστών. 2. Απομόν ση τ ν ρηστών μεταξύ τους. 3. Emulation καινούρ ιου hardware ια την επίτευξη αυξημένης αξιοπιστίας, ασφά ειας και παρα ικότητας Υπο ο η ούμενη απο Υ ικό εικονικοποίηση (Hardware-assisted virtualization) Το hardware-assisted virtualization είναι μία προσέ ιση που επιτρέπει αποδοτικό full virtualization εκμετα ευόμενο ικανότητες του hardware, και κυρί ς τ ν επεξερ αστών του οικοδεσπότη (host). Το virtual machine monitor μπορεί, με την οή εια του hardware-assisted virtualization, να εικονικοποιήσει αποδοτικά το σύνο ο του x86 instruction set, ρησιμοιποιώντας ια τις ευαίσ ητες εντο ές ένα σύστημα τύπου πα ίδευση-και-μίμηση (trap-and-emulate) στο hardware Μερική εικονικοποίηση (Partial virtualization) Στο partial virtualization, το virtual machine εξομοιώνει πο απ ά στι μιότυπα ενός με ά ου μέρους του υποκείμενου hardware περι ά οντος,και συ κεκριμένα ώρους διευ ύνσε ν (address spaces). Συνή ς αυτό σημαίνει ότι το virtual machine δεν α υποστηρίζει την εκτέ εση ενός π ήρους operating system, όπ ς στο full virtualization, α ά μπορούν να εκτε εστούν πο ές εφαρμο ές. Μία σημαντική μορφή partial virtualization είναι η εικονικοποίηση ώρου διευ ύνσε ν (address space virtualization), στην οποία το virtual machine αποτε είται από ένα ανεξάρτητο adrress space. Αυτή η δυνατότητα απαιτεί hardware που να υποστηρίζει μετά εση διευ ύνσε ν (address relocation). Το partial virtualization αποτε εί, ιστορικά, ένα πο ύ σημαντικό ήμα προς την επίτευξη του full virtualization, και είναι σημαντικά πιο εύκο ο να υ οποιη εί. Παρέ ει την δυνατότητα ια την δημιουρ ία αξιό ο ν virtual machines, δυνατά να υποστηρίξουν σημαντικές εφαρμο ές. Έ ει αποδει τεί ικανό ια τον διαμοιρασμό υπο ο ιστικών πόρ ν μεταξύ πο απ ών ρηστών. Ωστόσο, σε σύ κριση με το full virtualization, μειονεκτεί σε καταστάσεις που απαιτούν συμ ατότητα προς τα πίσ (backward compatibility) ή φορητότητα (portability). Εφ όσον υπάρ ει δυσκο ία στην ακρι ή πρό εψη τ ν αρακτηριστικών που ρησιμοποιούνται από μία δεδομένη εφαρμο ή, οπότε σε περίπτ ση που κάποια αρακτηριστικά του hardware δεν έ ουν εξομοι εί οποιοδήποτε software τα ρησιμποιεί α αποτυ άνει Παραεικονικοποίηση (Paravirtualization) Είναι μία τε νική virtualization που παρουσιάζει στα virtual machines μια διεπαφή ο ισμικού (software interface) που είναι παρόμοια α ά ό ι πανομοιότυπη με αυτή του υποκείμενου hardware. Ο στό ος της τροποποιημένης διεπαφής (interface) είναι να μειώσει τo μερίδιο ρόνου εκτέ εσης του φι οξενούμενου (guest) που αφορά τις ειτουρ ίες που είναι ουσι δώς πιο δύσκο η η εκτέ εση τους σε ένα εικονικό περι ά ον σε σύ κριση με το μη-εικονικό περι ά ον. Το paravirtualization παρέ ει ειδικά κα ορισμένα ά κιστρα (hooks) που επιτρέπουν στους guests και στον host να ζητούν και να ανα ν ρίζουν αυτές τις διερ ασίες, που σε ά η

23 2.2 Εικονικοποιήση(virtualization) 23 περίπτ ση α εκτε ούνταν στον εικονικό τομέα (virtual domain) όπου η απόδοση είναι ειρότερη. Μία επιτυ ημένη paravirtualized π ατφόρμα μπορεί να απ ουστέψει τον δια ειριστή τ ν εικονικών μη ανών (virtual machine manager, VMM) νμεταφέροντας την εκτέ εση τ ν κρίσιμ ν διερ ασιών από το virtual domain στο host domain και μειώνοντας την συνο ική υπο ά μιση απόδοσης τ ν εκτε έσε ν στον guest. Το paravirtualization απαιτεί το operating system του guest να είναι ρητά τροποποιημένο ώστε να είναι συμ ατό με την διεπαφή προ ραμματισμού της εφαρμο ής (application programing interface, API) του paravirtualization. Ενά συμ ατικό OS που δεν ανα ν ρίζει το paravirtualization δεν μπορεί να εκτε εστεί πάν σε έναν paravirtualizing VMM. Εν τούτοις, ακόμα και σε περιπτώσεις όπου το OS δεν ίνεται να τροποποιη εί, μπορεί να υπάρ ουν δια έσιμα συστατικά που επιτρέπουν πο ά από τα σημαντικά π εονεκτήματα επίδοσης του paravirtualization. Σ ήμα 2.2: Hypervisor Virtualization Εικονικοποίηση σε επίπεδο ειτουρ ικού συστήματος (Operating system-level virtualization) Είναι μία μέ οδος server virtualization όπου ο πυρήνας (kernel) του OS επιτρέπει την δημιουρ ία πο απ ών απομον μέν ν στι μιοτύπ ν του σε επίπεδο ρήστη (user-space). Τέτοια στι μιότυπα, που αποκα ούνται δο εία(containers) ή φυ ακές (jails), έ ουν την ικανότητα να φαίνονται σαν πρα ματικοί servers από την π ευρά τ ν ρηστών τους. Σε συστήματα Unix, αυτή η τε νο ο ία μπορεί να παρομοιαστεί με τον τυπικό chroot 8 μη ανισμό. Εκτός από τους μη ανισμούς isolation, ο πυρήνας παρέ ει επίσης δυνατότητες δια είρισης πόρ ν, ώστε να οριο ετήσει την επιρροή τ ν δραστηριοτήτ ν του ενός container στα υπό οιπα. Το OS-level virtualization ρησιμοποιείται συνή ς σε περι ά οντα εικονικής φι οξενίας (virtual hosting), όπου ρησιμέυει στην δέσμευση περιορισμέν ν πόρ ν hardware ανάμεσα σε έναν με ά ο αρι μό αμοι αία μη εμπιστευόμεν ν (mutually-distrusting) ρηστών. Χρησιμοποιείται επίσης, σε μικρότερη κ ίμακα, ια την ενοποίηση του hardware του server μετακινώντας υπηρεσίες (services) απομον μέν ν hosts σε έναν server. Ά α τυπικα σενάρια περι αμ άνουν 8

24 24 Κεφάλαιο 2. Θεωρητική Εισαγωγή εφαρμο ές σε δια ρισμένα containers ια αυξημένη ασφά εια, ανεξαρτησία από το hardware και τις επιπρόσ ετες ειτουρ ίες δια είρισης πόρ ν. Τέ ος, υ οποιήσεις OS-level virtualization που παρέ ουν ενερ ή μετανάστευση (live migration) μπορούν να ρησιμοποιη ούν ια δυναμική εξισορρόπηση φόρτου (load balancing) μεταξύ κόμ ν σε μία συστοι ία υπο ο ιστών (cluster). Σ ήμα 2.3: OS-level Virtualization Εικονικοποιήση δικτύ ν (Network Virtualization) Εικονικοποιήση δικτύ ν (Network Virtualization) είναι η διαδικασία του συνδυασμού πρα ματικών και εικονικών δικτυακών πόρ ν σε μια δια ειριστική οντότητα ο ισμικού. Το τε ικό προϊόν είναι το εικονικό δίκτυο(virtual network). Ο σκοπός της εικονικοποίησης δικτύ ν είναι ο διαμοιρασμός δικτυακών πόρ ν σε συστήματα και ρήστες με αποδοτικό, ε ε όμενο και ασφα ή τρόπο. Τα εικονικά δίκτυα ρίζονται σε δύο με ά ες κατη ορίες[2]: εσ τερικά και εξ τερικά. Τα εξ τερικά εικονικά δίκτυα αποτε ούνται από κάποια τοπικά δίκτυα που δια ειρίζονται με ο ισμικό ς ενιαία οντότητα. Τα συστατικά ενός κ ασσικού εξ τερικά εικονικού δικτύου είναι τα switches, σε επίπεδο hardware, και η τε νο ο ία VLAN, σε επίπεδο software. Παραδεί ματα ρήσης τους περι αμ άνουν με ά α εταιρικά δίκτυα και data centers. Ένα εσ τερικό εικονικό δίκτυο αποτε είται από ένα σύστημα που ρησιμοποιεί virtual machines ή παρεμφερείς τε νο ο ίες προσαρμοσμένα πάν σε ένα του ά ιστον ψευδο-δικτυακή διεπαφή (pseudo-network interface). Tα virtual machines αυτά, μπορούν να επικοιν νούν μεταξύ τους σαν να συνυπήρ αν στο ίδιο τοπικό δίκτυο, δημιουρ ώντας έτσι ένα εικονικό δίκτυο. Τα συστατικά στοι εία του είναι εικονικές δικτυακές διεπαφές (virtual network interface) ή virtual NICs (VNICs 10 ) και εικονικοί μετα είς (virtual switches). Επίσης, υπάρ ει η δυνατότητα να συνδυαστούν δικτυακοί πόροι ώστε να συνυπάρξουν εσ τερικά και εξ τερικά εικονικά δίκτυα. Για παράδει μα, μπορούμε να προσαρμόσουμε προσ πικά (NIC) 10 ψευδο-δικτυακό interface που που ρυ μίζεται πάν σε έναν φυσικό δικτυακό προσαρμο έα του συστήματος

25 2.3 Εικονικοποιήση δικτύων (Network Virtualization) 25 συστήματα με εσ τερικά εικονικά δίκτυα σε LANs (Local Area Networks) που ανήκουν σε ένα ευρύτερο, εξ τερικό εικονικό δίκτυο. Στην συνέ εια, κά ε αναφορά στον όρο virtual network α αφορά τον συνδυασμό εσ τερικών και εξ τερικών εικονικών δικτύ ν Συστατικά Εικονικών Δικτύ ν Αντί ετα με πο ές προτάσεις (π..[8]) πιστεύουμε ότι ένα virtual network στηρίζεται πάν σε 4 ασικά στοι εία[7]: virtual hosts, που εκτε ούν ο ισμικό και προ ούν πακέτα, virtual links, που μεταφέρουν τα πακέτα μεταξύ τ ν virtual hosts, virtual switches, που εκτε ούν ειτουρ ίες ια την δημιουρ ία εικονικών τοπικών δικτύ ν και logical routers, που εκτε ούν τις υπηρεσίες δρομο ό ησης σε εικονικό διαδικτυακό επίπεδο. Ένας virtual host παρέ ει την ψευδαίσ ηση ενός αφιερ μένου φυσικού οικοδεσπότη (physical host), ενώ στην πρα ματικότητα μπορεί να υπάρ ουν ταυτό ρονα και ά οι virtual hosts στο ίδιο φυσικό υ ικό (physical hardware). Αν δούμε αφαιρετικά έναν virtual host μπορούμε να τον απεικονίσουμε σαν ένα κουτί που περιέ ει πόρους, όπ ς στο σ ήμα 2.4. Ένας virtual host φαίνεται να έ ει αφιερ μένους φυσικούς πόρους (pysical resources) ή ο ικούς πόρους (logical resources). Παραδεί ματα τ ν physical resources είναι η KME (CPU), η μνήμη και το εύρος ζώνης (bandwidth), ενώ τα logical resources είναι πόροι που υ οποιούνται από το OS, όπ ς ο πίνακας διερ ασιών (process table), ο πίνακας σε ίδ ν (page table), ο πίνακας προώ ησης IPv4 (IPv4 forwarding table) και η ενδιάμεση μνήμη (memory buffer). Στην πρα ματικότητα, ό οι αυτοί οι πόροι είναι εικονικοί από την άποψη ότι διατί ενται από ένα virtualization layer που υ οποιεί την αφαίρεση του virtual host. Το virtualization layer δημιουρ εί εικονικούς πόρους από τους φυσικούς ρησιμοποιώντας μη ανισμούς δέσμευσης πόρ ν και ρονοδρομο ό ησης, έτσι ώστε κά ε αφηρημένος virtual host να δέ εται τους αναμενόμενους πόρους που ζητή ηκαν. Ακόμη, η αφαίρεση του virtual host οριο ετεί το έυρος τ ν logical resources που αντιστοι ούν στο κουτί. Με αυτόν το τρόπο, κά ε virtual host μπορεί αφα ώς να δια ειριστεί τα δικά του logical resources. Το virtualization layer μπορεί να μην εικονικοποιεί ό ους τους δια έσιμους πόρους, με πι ανό αποτέ εσμα την ύπαρξη πόρ ν στο φυσικό μη άνημα α ά εκτός του κουτιού. Αυτοί οι πόροι είτε α είναι μή δια έσιμοι, είτε α υποστηρίζουν περιορισμένη α η επίδραση με το εσ τερικό του virtual host, είτε ρησιμοποιούνται και από ά ες εφαρμο ές ταυτό ρονα. Οι virtual hosts μπορούν να επιτύ ουν δύο είδη isolation: Απομόνωση πόρων (Resource isolation): Εξασφα ίζει ότι κανένας virtual host δεν μπορεί έ ει πρόσ αση στους πόρους ά ου virtual host. Οι δεμευτές μνήμης (resource allocators) στο virtualization layer πο υπ έκουν και προ ραμματίζουν τους φυσικούς πόρους ώστε να παρέ ουν εικονικούς πόρους μέσα σε έναν virtual host. Απομόνωση Χώρου Ονομάτων (Namespace isolation): Εξασφα ίζει ότι κά ε virtual host μπορεί να ονομάσει και να αναφερ εί σε πόρους (όπ ς διερ ασίες, αρ εία, μνήμη,

26 26 Κεφάλαιο 2. Θεωρητική Εισαγωγή Σ ήμα 2.4: Host Virtualization δικτυακά interface, δικτυακές διευ ύνσεις, πίνακες προώ ησης (forwarding tables)) και δεν δύναται να αναφερ εί σε πόρους ά ν π αισί ν. Για παράδει μα, μία εφαρμο ή σε έναν virtual host δεν μπορεί να προσ έσει διαδρομές στην Βάση Π ηροφοριών Προώ ησης (Forward Information Base, FIB) ενός ά ου virtual host, και δύο ή περισσότεροι virtual hosts μπορούν να ρησιμποιούν την ίδια διεύ υνση IP ια να ονομάσουν διαφορετικά εικονικά δικτυακά interfaces. Ένα virtual link φαίνεται σαν ένα physical link, α ά πο ά virtual links μπορεί να μοιράζονται ένα physical link. Από την ά η, ένα virtual link μπορεί να αποτε είται από πο ά hops στο υποκείμενο φυσικό δίκτυο. Τα virtual switches είναι software που επιτρέπει την επικοιν νία μεταξύ πο ών VMs. Όπ ς και ένα φυσικό Ethernet switch, ένα virtual switch μπορεί να κάνει περισσότερα από την απ ή προώ ηση πακέτ ν. Μπορεί να δια ειριστεί έξυπνα την δικτυακή επικοιν νία ε έ οντας τα πακέτα πριν τα προ ήσει. Κάποιοι π ητές, ενσ ματώνουν virtual switches στο ο ισμικό ια virtualization που παρέ ουν, είτε μπορεί να περιέ ονται στο firmware ενός φυσικού server. Σ ετικά πρόσφατα, οι π ητές δρομο ο ητών (routers) ξεκίνησαν να υποστηρίζουν virtualization του hardware τ ν δρομο ο ητών τους. Οι ο ικοί δρομο ο ητές (logical routers) ρίζουν έναν φυσικό router σε πο απ ούς logical routers που διατηρούν τους δικούς τους πίνακες δρομο ό ησης (routing tables), interfaces, πο ιτικές (policies), και στι μιότυπα πρ τοκό ν δρομο ό ησης (routing protocols). Το ασικό ζητούμενο τ ν logical routers είναι η ενοποίηση πο απ ών δικτυακών στοι εί ν σε μία συσκευή hardware, απ οποιώντας έτσι τις ρυ μίσεις σε φυσικό επίπεδο (π.. κα ώδια και racks) και μειώνοντας τον απαιτούμενο φυσικό ώρο κα ώς και τα κόστη. Επιπ έον, η ύπαρξη τ ν logical routers επιτρέπει προσαρμοσμένες ρυ μίσεις δρομο ό ησης ή και διαφορετικά πρ τόκο α δρομο ό ησης ια συ κεκριμένες εφαρμο ές Τε νικές Εικονικοποίησης Δικτύ ν Η έννοια τ ν πο απ ών συνυπαρ όντ ν ο ικών δικτύ ν είναι αυτή που περι ράφει, ουσιαστικά τον όρο εικονικό δίκτυο. Τα εικονικά δίκτυα μπορούν κατη οριοποιη ούν σε τέσσερις ασικές κ άσεις ς εξής[9]: Virtual Local Area Networks (VLANs): Ένα VLAN είναι ένα σύνο ο από ο ικά δικτυ μένους hosts με μοναδικό broadcast domain ανεξάρτητα της φυσικής συνδεσιμότητας, σύμφ να με το πρ τόκο ο 802.1Q.Ό α τα π αίσια σε ένα VLAN

27 2.4 Πλατφόρμες Δικτυακών Πειραμάτων 27 περιέ ουν ένα VLAN ID στην επικεφα ίδα MAC, και οι μετα είς με δυνατότητες VLAN ρησιμοποιούν τόσο την διεύ υνση MAC όσο και το VLAN ID ια να προ ήσουν τα π αίσια. Εφ όσον τα VLANs ασίζονται σε ο ικές αντί ια φυσικές ζεύξεις η δια είριση του δικτύου, ο έ ε ος του και η επαναρύ μιση τ ν VLANs είναι ευκο ότερη από αυτές τ ν τ ν αντίστοι ν φυσικών. Επιπρόσ ετα, τα VLANs παρέ ουν αυξημένα επίπεδα απομόν σης. Virtual Private Networks(VPNs): Ένα VPN, όπ ς περι ράφηκε στο 2.1.2, είναι ένα δεσμευμένο(dedicated) δίκτυο που συνδέει πο απ ές τοπο εσίες ρησιμοποιόντας ιδι τικές και ασφα είς σήρα ες(tunnels) τοπο ετημέμενες πάν σε δημόσια δίκτυα επικοιν νίας όπ ς το Ίντερνετ. Στις περισσότερες περιπτώσεις τα VPNs ενώνουν απομακρυσμένες ε ραφικά τοπο εσίες μίας εταιρικής επι είρησης. Κά ε τοπο εσία VPN περιέ ει μία ή περισσότερες συσκευές άκρου πε άτη(customer edge) που συνδέονται με έναν ή περισσότερους δρομο ο ητές άκρου παρο έα(provider edge). Active and Programmable Networks: Η έρευνα πάν στα Active and Programmable Networks πυροδοτή ηκε από την ανά κη ια δημιουρ ία, ανάπτυξη και δια είριση νέ ν υπηρεσιών ρή ορα με άση τις ανά κες τ ν ρηστών. Εκτός από προ ραμματισιμότητα, προσφέρουν έννοιες όπ ς απομον μένα περι ά οντα που επιτρέπουν πο απ ούς ρήστες να εκτε ούν πι ανώς συ κρουόμενους(conflicting) κώδικες στα ίδια δικτυακά στοι εία ρίς να προκα ούν δικτυακές αναστά ειες. Overlay Networks: Αποτε ούν ο ικά δίκτυα τοπο ετημένα πάν σε ένα ή περισσότερα υπαρκτά φυσικά δίκτυα. Το ίδιο το Ίντερνετ ξεκίνησε σαν overlay πάν από το τη επικοιν νιακό δίκτυο. Στο σημερινό Ίντερνετ τα overlays δημιουρ ούνται, κυρί ς, στο επίπεδο εφαρμο ής. Υπάρ ουν, όμ ς, και υ οποιήσεις σε αμη ότερα επίπεδα της δικτυακής στοί ας (network stack). Τα overlay δεν ρειάζονται, ούτε προκα ούν, α α ές στο (δίκτυο άση???)underlay δίκτυο. Σαν αποτέ εσμα, έ ουν ρησιμοποιη εί εκτενώς ς σ ετικά απ ός και ανέξοδος τρόπος ια την υ οποίηση νέ ν αρακτηριστικών και διόρ ση α ών στο Ίντερνετ. Ένα π ή ος overlay αρ ιτεκτονικών έ ουν προτα εί τα τε ευταία ρόνια με σκοπό την επί υση ποικί ν προ ημάτ ν, περι αμ ανομέν ν τ ν: δυνατότητα multicasting, παρο ή υπηρεσιών QoS, δια εσιμότητα δρομο ό ησης στο Ίντερνετ, προστασία από επι έσεις DOS(Denial of Service), δίκτυα ια Content Distribution 11 (CDNs) και διαμοιρασμό αρ εί ν. Ακόμα μία ρήση τους είναι στην δημιουρ ία testbed( 2.4) με σκοπό τον σ εδιασμό και την αξιο ό ηση νέ ν αρ ιτεκτονικών. 2.4 Π ατφόρμες Δικτυακών Πειραμάτ ν H σημερινή φύση του Διαδικτύου αποτε εί φρα μό ια την διενέρ εια πειραμάτ ν, α ά και την ανάπτυξη και δοκιμή νέ ν υπηρεσιών και τε νο ο ιών. Αυτό το πρό ημα έρ ονται να ύσουν οι π ατφόρμες που υ οποιούν Network testbeds. Ένα testbed είναι μια περι ά ον ια πειραματισμό (test environment). Τα testbeds επιτρέπουν αυστηρό, διαφανή και αναπαράξιμο τρόπο δοκιμής νέ ν τε νο ο ιών και ερ α εί ν. Έτσι, ένα Network Testbed είναι ένα περι ά ον ια έ ε ο νέ ν δικτυακών ή διαδικτυακών εφαρμο ών και αρ ιτεκτονικών (π.. πειραματικά πρ τόκο α). Δη αδή, δικτυακά περι ά οντα 11 σύστημα από υπο ο ιστές που περιέ ουν αντί ραφα δεδομέν ν τοπο ετημένα σε διάφορους κόμ ους του δικτύου

28 28 Κεφάλαιο 2. Θεωρητική Εισαγωγή που προσομοιώνουν την ειτουρ ία πρα ματικών δικτύ ν. Σε αυτά, ο ρήστης έ ει την δυνατότητα να πειραματιστεί κάτ από πρα ματικές συν ήκες, ρίς όμ ς να α η επιδρά, άρα και να επηρεάζει, το πρα ματικό Διαδίκτυο[5] Κατη ορίες Network Testbed Μπορούμε να ορίσουμε τέσσερα ασικά είδη Network Tesbed[11]: Cluster testbeds: Βασίζονται στην έννοια του network emulation. Δη αδή την τε νική όπου ένα υπαρκτό δίκτυο προσομοιώνεται με σκοπό να αξιο ο η εί η επίδοση, να προ εφ εί η επίδραση κάποι ν α α ών ή και ια να ε τιστοποιη ούν αποφάσεις αρ ιτεκτονικής. Τέτοια testbeds ενώνουν ένα με ά ο αρι μό δικτυακών συστατικών (π.. ζεύξεις,μετα είς, δρομο ο ητές κ.τ..) σε μία ενιαία ε κατάσταση που μπορεί να προσπε αστεί απομακρυσμένα από ρήστες μέσ ενός web interface. Overlay testbeds : Βασίζονται στην έννοια του overlay network, που περι ράψαμε παραπάν. Μπορούμε να φανταστούμε ότι οι κόμ οι του overlay είναι συνδεδεμένοι μεταξύ τους με εικονικές, είτε ο ικές ζεύξεις. Κά ε μία από τις αυτές αντιστοι εί σε ένα μονοπάτι, ενός η περισσότερ ν, φυσικών ζεύξε ν του underlay network. Federated testbeds : Μπορούν να δημιουρ η ούν από την διασύνδεση ά ν ανεξάρτητ ν τοπικά δια ειριζόμεν ν testbed. Networking research kits : Συ ο ές συστατικών ο ισμικού και υ ικού που μπορούν να ρησιμοποιη ούν από ερευνητές ια να ε καταστήσουν τα δικά τους τοπικά δικτυακά ερ αστήρια Εικονικά Network Testbeds Αρ ικά εξη ούμε τα π εονεκτήματα τ ν εικονικών Network Testbeds και στην συνέ εια παρουσιάζουμε κάποια αρακτηριστικά παραδεί ματα εικονικών Network Testbeds Η σημασία της εικονικοποίησης ια τα Network Testbeds Στο π αίσιο τ ν Network testbeds, η έννοια του virtualization αναφέρεται σε μία ποικι ία από με όδους που έ ουν αναπτυ εί ια την επί υση προ ημάτ ν στην κατασκευή και την ρήση τ ν testbeds. Για παράδει μα οι εικονικές ζεύξεις τ ν cluster testbeds, η εικονικοποίηση φυσικών πόρ ν έτσι ώστε να διαμοιράζονται από πο ούς ερευνητές, ακόμα και η προσομοί ση δικτύ ν. Μπορούμε να εντοπίσουμε τρία ασικά προ ήματα που έρ εται να ύσει το virtualization στα Network Testbeds[5]: 1. Οι ερευνητές πρέπει να μπορούν να πειραματιστούν εύκο α με νέες αρ ιτεκτονικές σε live κίνηση. 2. Πρέπει να υπάρ ει ένα εύ ο ος τρόπος να τοπο ετούνται επικυρ μένες αρ ιτεκτονικές σε εφαρμο ή. 3. Πρέπει οι νέες προτεινόμενες αρ ιτεκτονικές να μπορούν να απευ υν ούν στην επί υση ό ι μόνο μεμον μέν ν προ ημάτ ν, α ά στο ευρύ φάσμα προ ημάτ ν αρ ιτεκτονικής που μπορεί να αντιμετ πίζει το Ίντερνετ. the Internet.

29 2.4 Πλατφόρμες Δικτυακών Πειραμάτων Planetlab Το Planetlab 12 είναι ένα ανοι τό, πα κόσμιο και κατανεμημένο virtual overlay network testbed.σκοπός του είναι αποτε έσει την υποδομή ια μία νέα ενιά εφαρμο ών και υπηρεσιών ια το Ίντερνετ. Εξυπηρετεί δύο ασικές ειτουρ ίες: Π ατφόρμα ια μακρό ρονες υπηρεσίες. Testbed ια δικτυακά και διαδικτυακά πειράματα. Ουσιαστικά το Planetlab είναι μια συ ο ή υπο ο ιστών κατανεμημέν ν πάν στο Ίντερνετ. Ο κά ε ένας από αυτούς είναι ένας κόμ ος. Οι κόμ οι του Planetlab έ ουν σαν ειτουρ ικό μία κανονική έκδοση Linux με με κάποιες ε τιώσεις ια την υποστήριξη πο απ ών εφαρμο ών και ρηστών.οι εφαρμο ές μοιράζονται έναν κόμ ο Planetlab διαμένοντας σε ξε ριστούς virtual servers. Από την προοπτική της εφαρμο ής, στο περι ά ον εκτέ εσης φαίνεται σαν ένας προσ πικός υπο ο ιστής Linux. Το Planetlab αποτε εί ιδανική π ατφόρμα ια την εκτέ εση κατανεμημέν ν, αποκεντρ μέν ν εφαρμο ών και υπηρεσιών πάν από πο ούς κόμ ους. Υποστηρίζει τόσο ρα υπρό εσμες όσο και μακροπρό εσμες υπηρεσίες ικανές να στηρίξουν μια πε ατειακή άση. Πρόκειται δη αδή ια ένα testbed α ά και π ατφόρμα εφαρμο ής που υποστηρίζει την μετά αση μίας εφαρμο ής από το δοκιμαστικό στάδιο απευ είας σε μία υπηρεσία που εξε ίσσεται συνε ώς. Από τους ερευνητές, που μέσ του Planetlab δοκιμάζουν υπηρεσίες τε ικών ρηστών, αναμένεται, επίσης, η ανάπτυξη υπο-υπηρεσιών που με επανάδραση α ρησιμοποιούνται στο ίδιο το Planetlab ια την ανάπτυξη ά ν. Μακροπρό εσμος στό ος είναι να προσδιοριστούν υπηρεσίες κοινών δομικών στοι εί ν άση τ ν οποί ν μπορούν να κατασκευαστούν ά ες υπηρεσίες και εφαρμο ές. Η προοπτική αυτή έ ει σαν κίνητρο την ενική διερεύνηση σ ετικά με την κα ύτερη δυνατή επίδραση της δικτυακής ερευνητικής κοιν νίας στο Ίντερνετ. Το Planetlab αποτε εί υ οποίηση του οράματος να εισα ούν νέες τε νο ο ίες στο Ίντερνετ μέσ της ανάπτυξης τ ν δικτύ ν overlay. Βασική ορο ο ία: Site: Μία φυσική τοπο εσία όπου ρίσκονται nodes του Planetlab. Node: Ένας ειδικού σκοπού server που παρέ ει υπηρεσίες του Planetlab. Slice: Ένα σύνο ο από δεσμευμένους πόρους, που είναι κατανεμημένοι μέσα στο Planetlab. Για τους περισσότερους users, ένα slice σημάινει πρόσ αση σε ένα Unix shell σε έναν αρι μό κόμ ν του Planetlab. Τα slices έ ουν συ κεκριμένο ρόνο ζ ής και πρέπει να ανανεώνονται περιοδικά προκειμένου να παραμένουν έ κυρα. Sliver: Οι δεσμευμένοι πόροι ενός node που ανατί ενται σε έναν user. Ένα slice αποτε είται από πο ά slivers. Principal Invsetigator (PI): Οι PIs σε κά ε site είναι υπεύ υνοι ια την δια είριση τ ν slices και τ ν users. User: Οποιοσδήποτε που αναπτύσσει και εκτε εί εφαρμο ές στο Planetlab.

30 30 Κεφάλαιο 2. Θεωρητική Εισαγωγή Σ ήμα 2.5: Planetlab Node Architecture Αξίζει να σημει εί ότι οι όροι Site, Node, Slice και Sliver ρησιμοποιούνται ενικότερα στον ώρο τ ν virtual network testbeds. [12] [13] VINI Το VINI 13 είναι μια εικονική δικτυακή υποδομή, η οποία επιτρέπει σε ερευνητές δικτύ ν να αξιο ο ήσουν πρ τόκο α και υπηρεσίες που έ ουν αναπτύξει σε μία ευρύτερη δικτυακή περιο ή. Το VINI επιτρέπει στους ερευνητές να αναπτύξουν και να αξιο ο ήσουν τις ιδέες τους με την ρήση ο ισμικού routing, κίνηση πακέτ ν και δικτυακών ε ονότ ν. Με σκοπό να παρέ ει στους ερευνητές ευε ιξία στον σ εδιασμό τ ν πειραμάτ ν τους, το VINI υποστηρίζει ταυτό ρονα πειράματα με αυ αίρετες δικτυακές τε νο ο ίες πάν από μία διαμοιραζόμενη φυσική υποδομή. Το ασικό πρό ημα στο οποίο απευ ύνεται το VINI είναι ότι οι ερευνητές στην προσπά εια αξιο ό ησης τ ν προτάσε ν τους πρέπει να επι έξουν ανάμεσα στις προσομοιώσεις, οδη ούμενες είτε από συν ετικά μοντέ α τοπο ο ίας είτε απο μετρήσεις τ ν υπαρ όντ ν πρ τοκό ν, ή σε μικρής κ ίμακας testbeds. Ιδανικά, ια την αξιο ό ηση α έπρεπε οι ερευνητές να έ ουν την δυνατότητα να διεξά ουν πειράματα που είναι ταυτό ρονα και ρεα ιστικά και ε ε όμενα. Σύμφ να με τους δημιουρ ούς του VINI[6], η ερευνητική κοινότητα ρειάζεται μία υποδομή ια την διεξα ή πειραμάτ ν που ικανοποιεί τους τέσσερις παρακάτ στό ους: Εκτέλεση πραγματικού software δρομολόγησης: Οι ερευνητές πρέπει να έ ουν τη δυνατότητα να εκτε ούν τυπικό software δρομο ό ησης στα πειράματά τους, ώστε να αποτιμούν τις επιδράσεις τ ν επεκτάσε ν στα πρ τόκο α και να αξιο ο ούν νέες υπηρεσίες σε συμ ατικά εμπορικά δικτυακά στοι εία. Έκθεση σε ρεαλιστικές δικτυακές συνθήκες: Οι ερευνητές πρέπει να μπορούν να κατασκευάζουν πειράματα σε ρεα ιστικές τοπο ο ίες και συν ήκες δρομο ό ησης. Τα πειράματα α πρέπει να μπορούν να με ετάνε την συμπεριφορά ενός συστήματος σ ετικά με εξ τερικά ερε ίσματα, όπ ς μηνύματα πρ τοκό ν δρομο ό ησης από το Ίντερνετ

31 2.4 Πλατφόρμες Δικτυακών Πειραμάτων 31 Έλεγχος δικτυακών γεγονότων: Οι ερευνητές πρέπει να μπορούν να παρεμ ά ουν δικά τους δικτυακά ε ονότα (π.. αποτυ ίες ζεύξης(link failures) και flash crowds 14 ) που δεν εμφανίζονται συ νά στην πράξη, την διεξα ή ε ε όμεν ν πειραμάτ ν και ακρι είς μετρήσεις αυτών τ ν ε ονότ ν. Μεταφορά πραγματικής κίνησης: Οι ερευνητές πρέπει να έ ουν τη δυνατότητα να αξιο ο ούν τα πρ τόκο ά τους και υπηρεσίες που μεταφέρουν κίνηση εφαρμο ών μεταξύ πρα ματικών κόμ ν, ώστε να επτραπούν μετρήσεις της επίδοσης από άκρο σε άκρο και οι επιπτώσεις στους τερματικούς κόμ ους. Για την ικανοποίηση αυτών τ ν στό ν ρειάζονται ερ α εία ια την δημιουρ ία virtual networks α ά και της υποδομής πάν στην οποία α στηρίζονται. Το Planetlab ια παράδει μα είναι μία υποδομή που υποστηρίζει την εκτέ εση πο απ ών κατανεμημέν ν υπηρεσιών σε εκατοντάδες κόμ ους στον κόσμο. Ωστόσο, η διενέρ εια ε ε όμεν ν και ρεα ιστικών πειραμάτ ν στο Planetlab δεν είναι εύκο η, ό τ ν τριών πρώτ ν ό ν που αναφέρ ηκαν. Από την ά η, συ ο ές ερ α εί ν (toolkits), όπ ς τα X-Bone 15 και Violin, αυτοματοποιούν την δημιουρ ία τ ν overlay networks ρησιμοποιώντας tunnels μεταξύ τ ν hosts, ειπτρέποντας σε ερευνητές να αξιο ο ήσουν νέα πρ τόκο α και υπηρεσίες. Εν τούτοις, αυτά τα ερ α εία δεν συνδέονται με κάποια με ά ου εύρους φυσική υποδομή που να αντικατοπτρίζει ένα φυσικό δίκτυο. Ο σκοπός του VINI είναι να συνδυάσει αυτές τις δύο τε νο ο ίες Federica Η υποδομή FEDERICA είναι αδιάφορη προς τον τύπο τ ν πρ τοκό ν, τ ν υπηρεσιών και τ ν εφαρμο ών που μπορεί να τε ούν υπό δοκιμή, ενώ ταυτό ρονα επιτρέπει την εκτέ εση καινοτομικών πειραμάτ ν. Η multi-domain, με ά ης έκτασης υποδομή του FEDERICA παρέ ει ένα περι ά ον πρα ματικών συν ηκών ια την από άκρο σε άκρο υ οποίηση δικτυακών πειραμάτ ν. Τα εικονικά slices της υποδομής FEDERICA ανατί ενται σε ερευνητές ύστερα από αίτηση, ια να πρα ματοποιήσουν τα πειράματά τους σε ένα ευρύ υπόστρ μα. Ένα εικονικό slice είναι ένας συνδυασμός κυκ μάτ ν και εικονικών κόμ ν. Μπορεί να περιέ ει routed IP circuits, συστήματα και δρομο ο ητές. Σε επίπεδο εικονικοποιήσης δικτυακών συσκευών, ό οι οι πόροι που ασίζονται στην διαστρ μάτ ση πρ τοκό ν κατά το μοντέ ο OSI μπορούν να εικονικοποιη ούν και να δ ούν στους ρήστες. Στο L2, τα physical devices μπορoύν να παραμετροποιη ούν ώς εικονικά Ethernet switches. Όπ ς και στους ο ικούς δρομο ο ητές, τα εικονικά switches είναι, επίσης, ανεξάρτητα devices, ενώ ο ρήστης δεν αντι αμ άνεται την διαφορά ανάμεσα σε εικονικό και πρα ματικό Ethernet switch. Για την εφαρμο ή εικονικών ειτουρ ιών του L3 υπάρ ουν δύο επι ο ές. Σύμφ να με την πρώτη επι ο ή τα physical network devices μπορούν να μεταφερ ούν σε παραμετροποιημένους logical/virtual routers και να τοπο ετη ούν στο εικονικό περι ά ον οποιουδήποτε FEDERICA node. Στην δεύτερη επι ο ή παραμετροποιούμε τα υπάρ οντα logical/virtual routers και τα πειράμτα εκτε ούνται κάτ από διαφορετικές συν ήκες απόδοσης. 14 με ά ο κύμα κίνησης προς κάποιον server που προκα εί δραματική αύξηση στον φόρτο ερ ασίας, προκα εί σο αρές πιέσεις στις ζεύξεις που οδη ούν στον server και οδη εί σε σημαντική απώ εια πακέτ ν και συμφόρηση 15

32 32 Κεφάλαιο 2. Θεωρητική Εισαγωγή Για την επίτευξη εικονικοποίησης >L3, τα FEDERICA nodes περι αμ άνουν υπο ο ιστές με ο ισμικό και ειτουρ ικό σύστημα εικονικοποίησης. Σε ένα ανεξάρτητο στι μιότυπο ενός VM μπορεί να εφαρμοστεί οποιαδήποτε αναπαράσταση και κρυπτο ράφηση δεδομέν ν (L7 και L6), intra-host επικοιν νία (L5) και QoS από άκρο σε άκρο.

33 Κεφά αιο 3 Π ατφόρμες που ρησιμοποιή ηκαν Για να πετύ ουμε στον στό ο μας πρέπει να στηρι τούμε πάν σε κάποια αποδοτική τε νο ο ία ια virtual network testbeds, κα ώς και σε κάποια τε νο ο ία που να υ οποιεί το virtual switching. Στην συνέ εια περι ράφονται οι τε νο ο ίες που τε ικώς επι έ τηκαν και αποτέ εσαν την άση ια την υ οποίηση μας. 3.1 Virtual Network Testbed: Vini Στην συνέ εια παρουσιάζουμε το Vini 1, το Virtual Network testbed που αποτέ εσε την άση ια ια το σύστημα που υ οποιή ηκε Επισκόπηση του Vini Το VINI είναι ένα testbed όπ ς το Planetlab( ), όπου ρήστες μπορούν να δημιουρ ήσουν εικονικές τοπο ο ίες μέσα στα δικά τους slices. Μία εικονική τοπο ο ία VINI αποτε είται από virtual machines (όπ ς τα slices του Planetlab σε τε νικό επίπεδο) συνδεδεμένα από point-to-point(σημείο προς σημείο) virtual links. Οι εφαρμο ές που εκτε ούνται μέσα σε ένα VINI slice έ ουν την δυνατότητα να στεί ουν και να ά ουν κίνηση διαμέσου της της εικονικής τοπο ο ίας, κα ώς και να ε έ ουν π ς τα πακέτα α προ ούνται μέσα στην τοπο ο ία. Με αυτό τον τρόπο, δίνεται η δυνατότητα να εκτε είται ανοι τό ο ισμικό ια routing, όπ ς το Quagga, μέσα στο VINI slice ώστε να δημιουρ εί ένα π ήρες routing overlay. Το VINI συνδέεται άμεσα με το Planetlab. Από την ανάπτυξη του VINI έ ουν παρα εί τρία ασικά επιτεύ ματα: 1. Ένα testbed ξε ριστό από το δημόσιο Planetlab. Το VINI, ουσιαστικά, είναι ένα στι μιότυπο ενός private Planetlab που ρησιμοποιεί το MyPLC ( έπε ) ια την δια είριση τ ν κόμ ν

34 34 Κεφάλαιο 3. Πλατφόρμες που χρησιμοποιήθηκαν 2. Ένα σύνο ο από επεκτάσεις στον Planetlab kernel και ερ α εί ν που ονομάζεται Trellis. Το Trellis συνδέει τις εικονικές τοπο ο ίες με τα slices. Επί του παρόντος, το Trellis εκτε είται μόνο σε κόμ ους που ανήκουν στην υποδομή του VINI, και ό ι στην υποδομή του PLanetlab. Υπάρ ει, όμ ς συνερ ασία με το Planetlab ώστε στο μέ ον να παρέ ει την δυνατότητα ια δημιουρ ία τοπο ο ιών όπ ς του VINI. 3. Το αρ ικό proof-of-concept toolkit PL-VINI. Το toolkit αυτό ρησιμοποιεί τις τε νο ο ίες Click 2, User-Mode Linux 3, XORP 4 και Quagga 5 προκειμένου να δημιουρ ήσει routing overlays μέσα σε slices που ανήκουν στο public Planetlab. Η ανάπτυξη του PL-VINI έ ει σταματήσει Trellis Το Trellis είναι μια π ατφόρμα software ια την φι οξενία πο απ ών εικονικών δικτύ ν σε μοιραζόμενο εμπορικό hardware. Το Trellis επιτρέπει σε κά ε εικονικό δίκτυο να ορίσει την δική του τοπο ο ία, πρ τόκο α ε έ ου και forwarding tables, διευκο ύνοντας την ανάπτυξη προσαρμοσμέν ν υπηρεσιών σε ένα απομον μένο, παραμετροποιήσιμο και προ ραμματίσιμο δίκτυο και μειώνοντας το κόστος με τον διαμοιρασμό μίας φυσικής υποδομής. Οι στό οι του Trellis είναι οι εξής: Ταχύτητα: Ένα εικονικό δίκτυο πρέπει να είναι ικανό να μεταφέρει πακέτα σε τα ύτητες πο ών Gigabits. Isolation: Προκειμένου να αποτραπούν οι παρεμ άσεις μεταξύ τ ν εικονικών δικτύ ν, η υποδομή α πρέπει να παρέ ει namespace isolation και isloation πόρ ν, τόσο του συστήματος (π.. PIDs, αρ εία, CPU) όσο και δικτυακών πόρ ν (π.. forwarding tables, link, bandwidth). Ευελιξία: Μία υπηρεσία που εκτε είται σε ένα εικονικό δίκτυο πρέπει να μπορεί να κα ορίσει το δικό της πρ τόκο ο δρομο ό ησης. Η π ατφόρμα πρέπει να παρέ ει έναν δυνατό και κατανοητό περι ά ον ανάπτυξης δικτυακών υπηρεσιών. Επεκαταστιμότητα (scalability): Η π ατφόρμα πρέπει να μπορεί να υποστηρίξει, ταυτό ρονα, όσα εικονικά δίκτυα όσα κοστίζει η ε κατάσταση και η συντήρησή της. Χαμηλό κόστος: Το κόστος της φι οξενίας ενός εικονικού δικτύου πρέπει να είναι πο ύ αμη ό. Το Trellis μπορεί να εκτε είται πάν σε συμ ατικό εμπορικό hardware (π.. υπο ο ιστές προορισμένοι ια servers) ώστε να μει ούν τα κόστη και τα εμπόδια αποδο ής από τους ρήστες. Η ρήση συμ ατικού εμπορικού hardware επιτρέπει επίσης στην υποδομή να συμ αδίζει με προόδους στην τε νο ο ία (π.. πο υπύρηνοι επεξερ αστές). Με άση αυτά ζητούμενα προέκυψε η παρακάτ αρ ιτεκτονική από τους δημιουρ ούς του Trellis[7]

35 3.1 Virtual Network Testbed: Vini Trellis Architecture Το Trellis δεν αποτε εί προσπά εια ανάπτυξης ενός Virtual Network Testbed από το μηδέν. Είναι ένας συνδυασμός από ένα σύνο ο τε νο ο ιών αι μής που ε ρή ηκαν κατά η ες, με σκοπό να προκύψει ένα νέο, αποδοτικό και ο οκ ηρ μένο Virtual Network Testbed. Η αρ ιτεκτονική του Trellis ρίζεται σε δύο ασικά κομμάτια, αυτά του εκάστοτε εικονικού δικτύου. Στους virtual hosts και στα virtual links. Σ ήμα 3.1: Επισκόπηση της Αρ ιτεκτονικής του Trellis Στην συνέ εια παρουσιάζουμε τις πιο ασικές αποφάσεις τ ν δημιουρ ών του Trellis που αφορούν αυτά τα στοι εία. Virtual Host Η δημουργία των virtual hosts θα γίνεται με βάση Container-based εικονικοποίηση. Η πρώτη πιο σημαντική απόφαση είναι ο τρόπος εικονικοποίησης του virtual host. Οι πιο ενδεδει μένες μέ οδοι ια τέτοιες περιπτώσεις είναι το full virtualization, το paravirtualization και το OS-level virtualization, όπ ς αυτά εξη ή ηκαν στο Συνή ς, τα fully virtualized και paravirtualized συστήματα παρέ ουν κα ύτερο επίπεδο isolation από τα containers, τα οποία όμ ς έ ουν κα ύτερες επιδόσεις κα ώς αποτε ούν πιο ε αφριές αφαιρέσεις από τα virtual machines. Έτσι, οι απαιτήσεις ια κα ές επιδόσεις, επεκτασιμότητα σε συνδυασμό με ικανοποιητικό isolation και ευε ιξία κάνουν επιτακτική την ρήση της εικονικοποίησης ασισμένης σε containters(container based virtualization). Γίνεται συνδυασμός δύο διαφορετικών τέτοι ν τε νο ο ιών. Του Linux VServer και του NetNS ια του ό ους που εξη ούνται στην συνέ εια, μαζί με μία συνοπτική παρουσίαση τους. Linux VServer: Το Linux-Vserver 6 είναι μία open source υ οποίηση virtual server που εφαρμόζει os-level virtualization στον Linux kernel. Ουσιαστικά αποτε εί έναν μη ανισμό 6

36 36 Κεφάλαιο 3. Πλατφόρμες που χρησιμοποιήθηκαν jail που μπορεί να ρησιμοποιη εί ια τον ασφα ή διαμοιρασμό τ ν πόρ ν ενός υπο ο ιστικού συστήματος (όπ ς το file system, η CPU, η μνήμη κ.τ..). Κά ε jail ονομάζεται security context και το εικονικοποιημένο σύστημα που περιέ ει είναι ο virtual server. Παρέ εται ένα ερ α είο ια την μετακίνηση ανάμεσα στα διάφορα security context. Έτσι η εκκίνηση ενός virtual server είναι απ ώς η εκκίνηση του ειτουρ ικού μέσα σε ένα νέο security context, ενώ το κ είσιμο είναι τερματισμός ό ν τ ν διερ ασιών που ζουν στο security context. Ένα από τα σημαντικά κριτήρια επι ο ής του Linux-Vserver ια το server virtualization του Trellis είναι ότι υποστηρίζεται από το Planetlab, άρα και το MyPLC στο οποίο στηρίζεται το Trellis. Η ρήση του όμ ς συνεπά εται το σημαντικό μειονέκτημα ότι δεν εικονικοποιεί την δικτυακή στοί α (network stack) του Linux α ά στηρίζεται στην απομόν ση. Συνεπώς, δεν μπορεί ο κά ε virtual server να δημιουρ εί τις δικές του εσ τερικές ρυ μίσεις ια routing και firewalling. Για να κα ύψει αυτή την απαίτηση το Trellis ρησιμοποιεί το NetNS. NetNS: Το Trellis ρησιμοποιεί τα Linux Network NameSpaces 7 (NetNS) ια να απομονώσει το network stack του πυρήνα. Μπορεί έτσι να δημιουρ ήσει πο απ ά στι μιότυπα του network stack και επιπ έον να τα απομονώσει μεταξύ τους, ώστε να αποτρέπονται παρεμ άσεις μεταξύ τ ν διαφορετικών virtual networks. Πιο συ κεκριμένα, το NetNS εικονικοποιεί κά ε προσ άσιμο δικτυακό πόρο(π.. διευ ύνσεις IP, routing tables, interfaces, port numbers κ.τ..), επιτρέποντας έτσι σε κά ε virtual host την επι υμητή δικτυακή πρόσ αση. Ένα namespace με τους δικτυακούς του πόρους είναι μοναδικό και δένεται σε συ κεκριμένες διερ ασίες. Μετά την δημιουρ ία του, ίνεται αόρατο στις α ές διερ ασίες που εκτε ούνται εκτός του virtual host. Virtual Links Στο Trellis τα virtual links μεταφέρουν την κίνηση μεταξύ δύο virtual hosts. Ένας virtual host παραδίδει το π αίσιο σε ένα virtual interface, το οποίο το στέ νει σε ένα virtual link. Αφού το πακέτο εξέ ει από τον virtual host διαμέσ του virtual interface μπορεί να ε έ εται ο ρυ μός μετάδοσης του από κάποιον διαμορφ τή κίνησης (traffic shaper), με σκοπό την επίτευξη του μέ ιστου bitrate. Στην συνέ εια, το π αίσιο παραδίδεται στο tunnel προκειμένου να μεταδο εί στο ά ο άκρο του virtual link. Σύμφ να με τους δημιουρ ούς του Trellis τα virtual links πρέπει να : Παρουσιάζονται σαν εικονικά Ethernet links. Ο στό ος αυτής της επι ο ής είναι διότι αποτε εί μία ευρέ ς ρησιμοποιούμενη και οικεία L2 τε νο ο ία. Ο αντίκτυπος της στην υ οποίηση είναι ότι ένα virtual link πρέπει να περιέ ει την σημασιο ο ία του Ethernet (π.. broadcast domains, point-to-multipoint τοπο ο ίες) και να υποστηρίζει την μορφή τ ν π αισί ν Ethernet. Χρησιμοποιούν ε αφρείς μη ανισμούς εν υ άκ σης και αποπο υπ εξίας. Λό τ ν πο απ ών εικονικών συσκευών Ethernet (και τ ν πο απ ών virtual hosts) που πρέπει να μοιράζονται ένα physical device, το υπόστρ μα πρέπει να διασφα ίζει ότι τα πακέτα αποπο υπ έκονται προς την σ στή εικονική συσκευή. Μπορούν να επι ά ουν περιορισμό του εύρους ζώνης εκτός του π αισίου του virtual host. Κά ε virtual link μπορεί να έ ει ένα όριο εύρους ζώνης, με σκοπό την διασφά ιση του isolation μεταξύ εικονικών δικτύ ν. Το υπόστρ μα πρέπει να απα ορεύει στο virtual link την υπέρ αση αυτού το κα ορισμένου ορίου. 7

37 3.1 Virtual Network Testbed: Vini 37 Υλοποίηση των virtual links με την αποστολή πλαισίων ethernet μέσα από GRE tunnels. Για να κα υφ ούν οι στό οι που περι ράφηκαν έ ινε ρήση μίας αρκετά σύ ρονης τε νο ο ίας tunneling. Πρόκειται ια μία επέκταση του πρ τοκό ου ια tunneling GRE, ώστε να υποστηρίζει την δυνατότητα μεταφοράς πακέτ ν Ethernet, ν στή και ς Ethernet over GRE (EoGRE, έπε ). Το Trellis ρησιμοποιεί το EoGRE σαν μη ανισμό tunneling ιατί ένα στα ερό και μικρό κόστος εν υ άκ σης και επιπ εόν ρησιμοποιεί ένα κ ειδί με έ ους τεσσάρ ν byte ια να αποπο υπ έξει τα πακέτα και να τα προ ήσει στο σ στό tunnel interface. Λό της key-based πο υπ εξίας, τα EoGRE tunnels επιτρέπουν σε ένα virtual network να ρησιμοποιήσει επικα υπτόμενο ώρο διευ ύνσε ν και προσφέρουν την δυνατότητα ια την πακέτ ν πρ τοκό ν διαφορετικών του IP. Τερματισμός των tunnels στο root context, έξω από τα cοntainers των virtual hosts. Τα virtual links του Trellis πρέπει να είναι απομον μένα από το υπό οιπο virtual network και πρέπει να είναι ευέ ικτα. Για να ικανοποιήσει αυτόυς τους στό ους, το Trellis τερματίζει τα virtual links στο root context. Πιο συ κεκριμένα τα EoGRE tunnels τερματίζονται σε root context. Στην συνέ εια μία ενδιάμεση συσκεύη ουρών αναμονής διαμορφώνει την κίνηση κάνοντας ρήση του tc, το Linux traffic control module 8. Η εικονική συσκευή που ρίσκεται στον virtual host συνδέεται μέσ μίας έφυρας (bridge) με το άκρο του tunnel. Αυτή η αρ ιτεκτονική (σ ήμα 3.2) επιτρέπει την εφαρμο ή πο ιτικών διαμόρφ σης της κίνησης και την υ οποίηση α ορί μ ν ρονοδρομο ό ησης που προσφέρουν ε υήσεις εξυπηρέτησης ια κά ε virtual interface. Τέ ος, διατηρείται η δυνατότητα τ ν ρηστών να επι ά ουν τις δικές τους πο ιτικές διαμόρφ σης της κίνησης όσον αφορά την δική τους κίνηση. Σ ήμα 3.2: Λεπτομέρειες της τοπο ο ίας του Trellis 8

38 38 Κεφάλαιο 3. Πλατφόρμες που χρησιμοποιήθηκαν Trellis Control Plane Αναφέραμε ότι το VINI αποτε εί ουσιαστικά ένα στι μιότυπο ενός private Planetlab. Ως αποτέ εσμα, το Control Plane του Trellis είναι ασισμένο στο Control Plane με ενός private Planetlab, το MyPLC MyPLC Το MyPLC είναι μία π ήρης φορητή ε κατάσταση του PlanetLab Central. H προεπι ε μένη ε κατάσταση αποτε είται από έναν web server, έναν XML-RPC API server, έναν boot server και έναν database server, τα ασικά στοι εία δη αδή του PLC (σ ήμα Το ασικό αρακτηριστικό του ο ισμικού είναι ότι υποστηρίζει κατανεμημένη εικονικοποίηση (distributed virtualization), την δυνατότητα, δη αδή, να ανατί εται ένα slice τ ν υ ικών πόρ ν του δικτύου Planetlab σε κάποια εφαρμο ή. Έτσι η εφαρμο ή αυτή μπορεί να εκτε είται σε ό ες ή σε κάποιες από τις μη ανές που ρίσκονται σε ό ο τον κόσμο, και την ίδια ρονική στι μή πο ές ά ες εφαρμο ές να εκτε ούνται σε διαφορετικά slices. Σ ήμα 3.3: Αρ ιτεκτονική του MyPLC

39 3.1 Virtual Network Testbed: Vini Trellis Management Plane Internet In A Slice (IIAS) Η συ ο ή ερ α εί ν IIAS[6][1] διευκο ύνει την δημιουρ ία ενός π ήρους εικονικού δικτύου μέσα σε ένα slice. Eίναι ένα παράδει μα αρ ιτεκτονικής δικτύου που μπορεί να εφαρμοστεί στο PL-VINI και στο Trellis. Οι ερευνητές μπορούν ρησιμοποιήσουν το IIAS προκειμένου να διεξά ουν ε ε όμενα πειράματα που αξιο ο ούν τα υπάρ οντα πρ τόκο α δρομο ό ησης IP και τους μη ανισμούς προώ ησης κάτ από ρεα ιστικές συν ήκες. Ενα ακτικά, το IIAS μπορεί να ρησιμοποιη εί σαν μια υ οποίηση αναφοράς (όπ ς και στην δική μας περίπτ ση), η οποία μπορεί να τροποποιη εί προκειμένου να αξιο ο η ούν επεκτάσεις σε σημερινά πρ τόκο α και μη ανισμούς. Ένα IIAS αποτε είται από πέντε συστατικά: 1. μία μη ανή προώ ησης ια τα πακέτα που μεταφέρονται από το overlay network (ένας overlay router), 2. μία έξυπνη μέ οδο ρύ μισης τ ν forwarding tables της μη ανής προώ ησης (ένα control plane), 3. έναν μη ανισμό προκειμένου οι πε άτες να μπορούν εισά ουν κίνηση στο overlay network ώστε να υπάρ ει πρα ματική κίνηση (overlay ingress), 4. ένα μέσο αντα α ής πακέτ ν με severs που δεν ν ρίζουν την υπάρξη του overlay network, έτσι εφ όσον το με α ύτερο κομμάτι του διαδικτύου ρίσκεται έξ από το overlay network, 5. μία συ ο ή από κατανεμημένους υπο ο ιστές στους οποίους α στηρίζεται το overlay network. Το αρ ικό IIAS συνδύαζε τις τε νο ο ίες Click, XORP, User-Mode Linux και OpenVPN ια να επιτρέψει την εκτέ εση ενός εικονικού παρο έα Ίντερνετ (virtual Internet Service Provider(ISP)) σε κά ε slice. Στην συνέ εια όμ ς το IIAS εξε ι ηκε προκειμένου να υποστηρίζει το Trellis και μετατράπηκε σε framework ε έ ου του VINI. Η νέα έκδοση του IIAS εκτε εί Quagga και OpenVPN επάν στην εικονική τοπο ο ία του Trellis. Οι πε άτες συνδέονται σε έναν κόμ ο εισόδου (ingress node) μέσ του OpenVPN, και δρομο ο ούν κίνηση στο IIAS. Από την π ευρά του, το IIAS δρομο ο εί την κίνηση στον ορισμένο κόμ ο εξόδου (egress node) ια το πρό εμα δικτύου (network prefix) του, όπου η κίνηση εξέρ εται από το NAT. To Quagga εκτε εί το πρ τόκο ο OSPF ια να δημιουρ εί τις διαδρομές (routes). Vsys 9 Το Vsys, ένα ενα ακτικό sudo, είναι ένα ερ α είο που παρέ ει την δυνατότητα σε μη προνομιού ους ρήστες να εκτε έσουν εντο ές που ρειάζονται αυξημένα δικαιώματα (privileges), όπ ς το πρό ραμμα sudo στο Linux. Η δυνατότητα αυτή είναι ιδιαίτερα ρήσιμη σε εικονικοποιημένα περι ά οντα, όπου οι ρήστες δεν είναι μόνο περιορισμένοι α ά και απομον μένοι. Το Vsys υ οποιή ηκε στα π αίσια της ανάπτυξης του Planetlab με σκοπό να επιτρέπει στους ρήστες να εκτε ούν ρήσιμες προκα ορισμένες υπηρεσίες ια τις οποίες δεν έ ουν εξουσιοδότηση. Οι δια έσιμες στον ρήστη (είτε virtual guest) εντο ές είναι ένα προκα ορισμένο σύνο ο από εκτε έσιμα αρ εία, που μπορούν με ακρί εια να ε έ ουν το α μό πρόσ ασης που το slice 9

40 40 Κεφάλαιο 3. Πλατφόρμες που χρησιμοποιήθηκαν έ ει σε ξένα π αίσια. Τα εκτε έσιμα αυτά αρ εία ρίσκονται τοπο ετημένα σε συ κερκιμένο κατά ο ο (directory) στο π αίσιο εξυπηρέτησης. Στα slices που ε ράφονται σε αυτές της υπηρεσίες δημιουρ είται ένα ζεύ ος από fifo pipes (ή ένα unix domain socket) ια κά ε υπηρεσία. Αυτά τα pipes (ή τα sockets αντίστοι α) αποτε ούν τα κανά ια επικοιν νίας (εισόδου και εξόδου) με τις υπηρεσίες. Ο μη ανισμός πιστοποίησης του Vsys ασίζεται στο isolation του συστήματος αρ εί ν (filesystem) είτε usenix-permission-based 10 isolation και δεν απαιτεί καμμία ρητή συνα α ή όταν κα ούνται οι privileged υπηρεσίες. Τα ασικά π εονεκτήματα του Vsys είναι η δυνατότητα της ανάπτυξης scipts ια τον ρήστη σε οποιαδήποτε ώσσα προ ραμματισμού, η δυνατότητα να την ενερ οποίησης τ ν scritps αυτών δυναμικά και η δυνατότητα τού αποτε εσματικού και με επτομέρεια περιορισμού δικαι μάτ ν (π.. μερική πρόσ αση σε ένα αρ είο). Επιπρόσ ετα, τα Vsys scritps μπορούν να ρησιμοποιη ούν με απ ά ερ α εία UNIX όπ ς τα cat, echo και grep. 3.2 Virtual Switching: Open vswitch Τα δίκτυα, σε εικονικοποιημένα περι ά οντα, παρουσιάζουν νέες ευκαρίες και προ ήματα. Ωστόσο, το τυπικό διαδικτυακό μοντέ ο σε αυτά τα περι ά οντα αποτε είται από τον κ ασσικό L2 switch ή L3 router σε επίπεδο hypervisor ή στο επίπεδο δια είρισης υ ικού του εικονικού περι ά οντος. Αυτά τα εικονικά δικτυακά στοι εία δια ειρίζονται την επικοιν νία μεταξύ virtual machines που ρίσκονται στην ίδια φυσική τοπ εσία, κα ώς και την επικοιν νία με την φυσική NIC. Είναι υ οποιημένα σε software και συνή ς τοπο ετούνται στο π αίσιο του host. Το Open vswitch είναι μια προσπά εια να προσαρμοστεί το εικονικό επίπεδο δικτύου στο σύνο ο τ ν ιδιοτήτ ν του[14]. Χρησιμοποιή ηκε, οιπόν, ια να διατε εί τον ρό ο του εικονικού switch Open vswitch Platform Το Open vswitch 11, είναι ένας ο ικός δικτυακός μετα έας (vswitch) ειδικά προορισμένος ια εικονικά περι ά οντα. Η διαφορά του σε σ έση με ά ες παρόμοιες προσε ίσεις έ κειται στο ε ονός ότι παρέ ει μία εξ τερική διεπαφή (interface) ια συμπα ή δομικά (fine-grained), έ ε ο της συμπεριφοράς προώ ησης, που μπορεί να υποστηρίξει ειτουρ ίες QoS, tunneling kai filtering κανόν ν. Επίσης, υποστηρίζει μία απομακρυσμένη διεπαφή που επιτρέπει την μετανάστευση (migration) του παραμετροποιημένου στι μιοτύπου (configuration state) ( ρήσιμο στην πρόσαψη δικτυακ ν πο ιτικών στα virtual machines). Επιπ έον, η υ οποίηση του παρέ ει μια ευέ ικτη μη ανή προώ ηση, ασισμένη σε πίνακες, που μπορεί να ρησιμοποιη εί ια την ο ική τμηματοποιήση (partition) του forwarding plane. Τέ ος, έ ει την δυνατότητα συνερ ασίες με τα περισσότερα Linux-based περι ά οντα εικονικοποίησης όπ ς Xen 12,XenServer 13, KVM 14 και QEMU

41 3.2 Virtual Switching: Open vswitch 41 Σ ήμα 3.4: Επισκόπηση του Open vswitch Ένα ακόμη πο ύ σημαντικό αρακτηριστικά του Open vswitch, αν και εκτός τ ν π αισί ν αυτής της διπ ματικής είναι η συμ ατότητα του με OpenFlow switches και controllers. Αυτό το αρακτηριστικό διευρύνει σημαντικά της ικανότητες του Open vswitch ς ερ α είο ια το Ίντερνετ του Μέ οντος. Πι ανές ρήσεις του είναι ια την επί υση προ ημάτ ν όπ ς την απομόν ση σε διαμοιραζόμενα περι ά οντα, κινητικότητα μεταξύ υποδικτύ ν, κατανεμημέν ν τοπο ο ιών και ορατότητας μεταξύ κόμ ν[14] Αρ ιτεκτονική του Open vswitch Επισκόπηση Το Open vswitch[14] είναι ο ισμικό που τοπο ετείται στον επίπεδο του mangement domain (hypervisor ή σε ά ες περιπτώσεις host kernel space). Παρέ ει συνδεσιμότητα μεταξύ τ ν virtual machines και τ ν φυσικών interfaces. Υ οποιεί το τυπικό Ethernet switching με δυνατότητες ια VLAN, RSPAN και ασικό ACL. Μπορεί να ρησιμοποιη εί και αυτόνομα, όπ ς στην περίπτ ση που με ετάμε εμείς, σαν ένας standard L2 μετα έας. Για υποστηρίξει, όμ ς, την σύνδεση με εικονικά περι ά οντα παρέ ει διεπαφές ια την δια είριση του forwarding state και managing configuration state κατά σε περι ά ον εκτέ εσης. Παραμετροποίηση(configuration):Διαμέσου της διεπαφής παραμετροποίησης μία απομακρυσμένη διαδικασία μπορεί να δια άσει α ά και να μετα ά ει το configuration state (ζεύ η κ ειδί/τιμή) και να δημιουρ ήσει triggers που ενερ οποιούνται από ασύ ρονα ε ονότα και μετα ά ουν το configuration state. Υπάρ ει δυνατότητα ια ρήση τ ν ιδιοτήτ ν που περι ράφονται παρακάτ στο Παράρτημα Βʹ.2. Επιπ έον, αυτή η διεπαφή παρέ ει την δυνατότητα σύνδεσης δικτυακών ports με το ενικότερο εικονικό περι ά ον. Για παράδει μα, η διεπαφή παρέ ει την δυνατότητα ορισμού κα ο ικά μοναδικών ανα ν ριστικών (UUIDs) ια εικονικά interfaces του switch. Αυτή η δυνατότητα είναι απαραίτητη ια την ανεξαρτητοποίηση της παραμετροποίησης από αρακτηριστικά τοπο ο ίας. Μονοπάτι Προώ ησης (Forwarding Path): Η δια είριση της παραμετροποίησης του μετα έα, όπ ς περι ράφηκε παραπάν, είναι κάτι συνη ισμένο και στους φυσικούς μετα είς. Το

42 42 Κεφάλαιο 3. Πλατφόρμες που χρησιμοποιήθηκαν Open vswitch παρέ ει επιπ έον την δυνατότητα της απομακρυσμένης δια είρισης του forwarding path. Με αυτόν τον τρόπο, δίνεται σε εξ τερικές διερ ασίες άμεση πρόσ αση στο forwarding table, προσδιορίζοντας την συμπεριφορά πακέτ ν άσει τ ν L2,L3 και L4 επικεφα ίδ ν. Το lookup μπορεί να αποφασίσει να προ ήσει τα πακέτα σε μία ή περισσότερες πόρτες, να απορρίψει το πακέτο, είτε να του εφαρμόσει en/decapsulation. Η διεπαφή του forwarding path υ οποιεί ένα υπερσύνο ο τ ν ειτουρ ιών του πρ τόκο ου OpenFlow. Δια είριση Συνδεσιμότητας (Connectivity management): Το Open vswitch παρέ ει μία τοπική διεπαφή δια είρισης, μέσα από το οποία το virtualization layer μπορεί να δια ειριστεί την τοπο ο ική παραμετροποίηση. Η διεπαφή επιτρέπει την δημιουρ ία εικονικών μετα έ ν, δια είριση της συνδεσιμότητας τ ν Virtual Interfaces (VIFs) ( ια κά ε συνδεδεμένο VIF προστί εται ένα logical port στο switch), α ά και δια είριση συνδεσιμότητας τ ν Physical Interfaces (PIFs). Κάτ από το Open vswitch ρίσκεται ένα flow-table forwarding model. παρόμοιο με αυτό που ρησιμοποιείται από το OpenFlow. Το rule-based forwarding αποσκοπεί στην επίτευξη ενός σ εδόν αυ αίρετου logical partitioning τ ν διαδικασιών του forwarding. Πιο συ κεκριμένα, επιτρέπει την σύνδεση μεταξύ του δικτυακού configuration state και τ ν διαδικασιών του forwarding με ένα υποσύνο ο της κίνησης, είτε από ένα VIF, ένα VM, είτε ένα σύνο ο από VMs. Στην απ ούστερη ρήση του, το Open vswitch συμπεριφέρεται όπ ς ένα παραδοσιακό physical switch μέσα στο virtualization layer. Κά ε στι μιότυπο δια ειρίζεται ξε ριστά διαμέσου τ ν διεπαφών δια είρισης, παρέ οντας ορατότητα και έ ε ο πάν σε inter-vm επικοιν νίες, που είναι ορατές στο first hop physical switch. Ωστόσο, η συμπερί ηψη τ ν interfaces ια κα ο ικό managing configuration και forwarding state επιτρέπει την κατανομή τ ν ειτουρ ιών του switch σε πο απ ούς servers, αποσυνδέοντας έτσι αποτε εσματικά την ο ική δικτυακή τοπο ο ία από την φυσική. Για παράδει μα, μια απομακρυσμένη διαδικασία, εφόσον είναι ενσ ματ μένη στην π ατφόρμα ε έ ου του virtualization, μπορεί να κάνει migrate το network configuration state ταυτό ρονα με τα( VMs), όπ ς αυτά μετακινούνται μεταξύ τ ν φυσικών servers. Επιπρόσ ετα, η δυνατότητα της δια είρισης του forwarding table διαμέσ ενός εξ τερικού interface επιτρέπει στην αμη ού επιπέδου flow state να κάνει migrate μαζί με το VM. Αυτό α ήταν ρήσιμο την μεταφορά τ ν υπαρ όντ ν flow counters και ACLs. Επίσης επιτρέπει το migration κανόν ν που αφορούν tunneling, δυνατότητα ρήσιμη στo migration μεταξύ διαφορετικών υποδικτύ ν IP Υ οποίηση Σε αυτή την παρά ραφο κάνουμε μια στοι ειώδη παρουσίαση της υ οποίησης του Open vswitch, κα ώς αυτό α μας επιτρέψει να κατανοήσουμε σε με α ύτερο ά ος την ειτουρ ία του. Στην υ οποίηση υπάρ ουν δύο ασικά συστατικά: ένα ρή ορο μονοπάτι (fastpath) που εντοπίζεται στο kernel-space κα ώς και ένα αρ ό μονοπάτι (slowpath) στο user-space. Στo fast path υ οποιείται η μη ανή του forwarding που είναι υπεύ υνη ια το ανά πακέτο lookup, την τροποποίηση και το forwarding. Επιπ έον, διατηρεί και τους μετρητές ια κά ε ε ραφή του πίνακα forwarding. Αυτό το κομμάτι του συστήματος είναι το πιο επίφο ο,

43 3.2 Virtual Switching: Open vswitch 43 όσον αφορά την τα ύτητα. Αυτός είναι ένας από τους ασικούς ό ους που επι έ ηκε να τοπο ετη εί στο fast path. Το με α ύτερο μέρος της ειτουρ ικότητας υ οποιείται στο slow path, που εκτε είται στο domain της δια είρισης του VM, ώστε να μει εί το μέ ε ος του system specific κ δικά (kernel-space), ρίς με ά ο κόστος σε επιδόσεις. Υ οποιεί το forwarding logic, συμπερι αμ ανομέν ν τ ν MAC learing και load-balancing σε bonded interfaces. Ακόμα, υ οποιεί την απομακρυσμένη ορατότητα (remote visibility) και configuration interfaces, όπ ς ια τα NetFlow, OpenFlow και πρ τόκο α απομακρυσμένης δια είρισης. Open vswitch Database Schema Σ ήμα 3.5: Αρ ιτεκτονική του Open vswitch Μία άση δεδομέν ν, με δομή όπ ς απεικονίζεται παρακάτ (3.6), διατηρεί τις παραμέτρους ια κά ε Open vswitch daemon. Η υψη ότερου επιπέδου ρύ μιση του daemon κα ορίζεται από τον πίνακα Open vswitch. Ε ραφές στους υπό οιπους πίνακες έ ουν νόημα μόνο εφ όσον μπορούμε να φτάσουμε σε αυτές άμεσα ή έμμεσα διαμέσ του πίνακα Open vswitch. Σ ήμα 3.6: Open vswitch schema Οι πίνακες που α μας απασ ο ήσουν στα π αίσια της διπ ματικής είναι οι Bridge, Port και Interface, τ ν οποί ν τα αρακτηριστικά που ρησιμοποιή ηκαν παρουσιάζονται στο

44 44 Κεφάλαιο 3. Πλατφόρμες που χρησιμοποιήθηκαν Παράρτημα Βʹ.

45 Κεφά αιο 4 Αρ ιτεκτονική Ε κα ίδρυσης L2 Εικονικών Τοπο ο ιών 4.1 Προσ ήκη εικονικού μετα έα στο Trellis Σκοπός μας είναι η δημιουρ ία μίας π ατφόρμας που α παρέ ει L2 connectivity και α επιτρέπει στους ερευνητές τον πειραματισμό με υπηρεσίες και επεκτάσεις πρ τοκό ν και σε αυτό το επίπεδο. Μέ ρι πρόσφατα οι ερευνητές δεν εί αν την δυνατότητα να διεξά ουν τέτοια πειράματα σε με ά ης κ ίμακας δίκτυα, ώστε να παρά ουν αξιόπιστα αποτε έσματα. Το Trellis είναι μια προσπά εια να ξεπεραστεί αυτό το εμπόδιο. Η τρέ ουσα αρ ιτεκτονική και υ οποίηση του όμ ς έ ει σαν άση την δημιουρ ία ζεύξε ν σημείου προς σημείο (point-topoint). Η προοπτική αυτή εμποδίζει τους ρήστες-ερευνητές να με ετήσουν συμπεριφορές σε Ethernet switched LANs, που αποτε ούν την κυρίαρ η δομή, όσον αφορά τα τοπικά δίκτυα υπο ο ιστών. Η προσέ ιση μας οιπόν αποσκοπεί στην προαιρετική ανά εση τ ν switching ειτουρ ιών ενός slice σε ένα sliver, το switch sliver. Αυτός το sliver α εντοπίζεται σε έναν τυπικό Trellis node, και η τροποίηση αφορά το switch sliver και α είναι συνδεδεμένο με ό α τα υπό οιπα slivers που ανήκουν στο ίδιο slice. Η μετατροπή του sliver σε switch sliver δεν συνίσταται μόνο στην εκτέ εση διερ ασιών ε έ ου του switching (π.. ACLs, QoS) στο sliver αυτό α ά και στην αυτόματη δημιουρ ία της συνδεσμο ο ίας του LAN, συμπερι αμ άνοντας ό ους τους κόμ ους του slice Αρ ιτεκτονική Η ήψη τ ν αποφάσε ν ια την αρ ιτεκτονική που υ οποιή ηκε στηρί ηκε στα παρακάτ ασικά κριτήρια. Π ήρης L2 Συνδεσιμότητα: Είναι πο ύ σημαντικό η π ατφόρμα που α προκύψει να παρουσίαζει στους ρήστες όσο το δυνατόν πιο π ήρη L2 συνδεσιμότητα. Δη αδή η υποδομή να είναι κα ορισμένη με τέτοιο τρόπο ώστε να μην κ ηρονομεί περιορισμούς στους ρήστες κα ώς αυτό α την κα ιστά δύσπεπτη και α αυξήσει την πι ανότητα ια αν ασμένη ρήση. 45

46 46 Κεφάλαιο 4. Αρχιτεκτονική Εγκαθίδρυσης L2 Εικονικών Τοπολογιών Επεκτασιμότητα: Αποτε εί από τους πιο σημαντικούς παρά οντες σε περι ά οντα εικονικοποίησης κα ώς, ένας από τους σκοπούς της είναι η ενοποίηση πο ών συστημάτ ν. Ομοιο ένεια: Η ομοιο ένεια σε μία τέτοια π ατφόρμα παίζει σημαντικό ρό ο κα ώς κάνει απ ούστερη και πιο σ στή την δια είριση της. Η ομοιο ένεια πρέπει να διατηρείται στα π αίσια κά ε αφηρημένης οντότητας(π.. simple node, switch node). Σε ευρύτερο π αίσιο η ομοιο ένεια κάνει την δια είριση της π ατφόρμας πιο ομα ή και αποδοτική. Τα ύτητα: Η τα ύτητα είναι ασικός παρά οντας, α ά ό ι από την άποψη της επιτά υνσης. Δεν έ ουμε σαν σκοπό να επιτα ύνουμε το υπάρ ον σύστημα α ά να διατηρήσουμε αμετά ητες τις αρ ικές επιδόσεις (π.. του Trellis). Έτσι α έ ουμε καταφέρει να προσ έσουμε επιπ έον ειτουρ ικότητα ρίς να επι αρύνουμε το υπάρ ον σύστημα. Φυσικά, κά ε απόφαση που αποφέρει και επιτά υνση και ειτουρ ικότητα είναι ευπρόσδεκτη. Με άση αυτούς του στό ους προέκυψαν οι αποφάσεις ια την αρ ιτεκτονική της εκτεταμένης π ατφόρμας. Στην συνέ εια παρουσιάζουμε και αιτιο ο ούμε ανα υτικά τις αποφάσεις Ορισμός του switch sliver Δημιουρ ούμε μία καινούρ ια αφηρημένη οντότητα. Αυτή του switch sliver. Αυτό το sliver δεν πρέπει να αντιμετ πίζεται από τον ρήστη σαν ένα απ ό sliver. Ο ρό ος του είναι αυτός της δια είρισης του virtual switch με ρήση τ ν ερ α εί ν που α παρέ ονται. Ιδανικά, ο ιδιοκτήτης του slice, α μπορεί να συνδέεται στο sliver αυτό και να κάνει monitoring της κίνησης του virtual switch (με ρήση NetFlow, sflow), να εφαρμόζει πο ιτικές QoS και να δια ειρίζεται την υπερκείμενη τοπο ο ία (π.. με ρήση flow based forwarding). Ό ες αυτές είναι δυνατότητες που αυξάνουν σε πο ύ με α ό α μό την ευε ιξία και τις δυνατότητες πειραματισμού του ερευνητή. Η προεπι ε μένη αρ ιτεκτονική του IIAS δημιουρ εί virtual point-to-point links δύο μεμον μέν ν slivers. Εμείς, ρησιμοποιούμε την αρ ή του Trellis να ασίζεται σε point-to-point links ια να επεκτείνουμε το L2 broadcast domain του κά ε sliver. Ενώ πριν, κά ε κόμ ος συνδεόταν μόνο με τους ειτονικούς του, μέσ του switch sliver προσ έτει στο broadcast domain του κά ε sliver που ανήκει στο ίδιο slice Open vswitch αντί Linux bridge Το Linux OS περι αμ άνει ένα ενσ ματ μένο L2 switch (το Linux Bridge) που μπορεί να ρησιμοποιη εί από τα VMs ια συνδεσιμότητα μεταξύ τ ν VMs, ακόμα και αν ρίσκονται σε διαφορετική φυσική υποδομή. Παρ ό α αυτά το Open vswitch έ ει υ οποιη εί ια ρήση σε εικονικές διατάξεις πο απ ών server, ένας ώρος στον οποίο η υπάρ ουσα δομή δεν αποδίδει τόσο κα ά. Αυτά τα περι ά οντα συ νά αρακτηρίζονται από δυναμικά end-points, την δια είριση ο ικών αφαιρέσε ν και μερικές φορές την συνερ ασία με ειδικού σκοπού switching hardware. Στην συνέ εια απαρι μούμε τις σ εδιαστικές αρ ές του Open vswitch που το κα ιστούν επικρατέστερο ια την αρ ιτεκτονική μας από το Linux Brigde: 1. mobility of state: Το Open vswitch υποστηρίζει την ρύ μιση και την μεταφορά τόσο τ ν ρυ μίσε ν όσο και του στι μιοτύπου της κατάστασης του δικτύου. Για παράδει μα,

47 4.1 Προσθήκη εικονικού μεταγωγέα στο Trellis 47 στην περίπτ ση που ένα virtual machine μετακινείται μεταξύ end-hosts, είναι δυνατή η μεταφορά μαζί του ό ι μόνο τ ν αντίστοι ν ρυ μίσε ν (κανόνες SPAN, ACLs, QoS) α ά και ό η η τρέ ουσα δικτυακή κατάσταση (π.. το στι μιότυπο της κατάστασης, που μπορεί να είναι δύσκο ο να ανακασκευαστεί). Επιπ έον, η κατάσταση του Open vswitch κατα ράφεται και απο ηκεύεται από ένα πρα ματικό μοντέ ο δεδομέν ν (datamodel) επιτρέποντας την ανάπτυξη δομημέν ν συστημάτ ν αυτοματισμού. 2. Responding to network dynamics: Τα εικονικά περι ά οντα, συ νά, αρακτηρίζονται από με ά ο α μό μετα ο ών. Τα virtual machines μεταφέρονται, επαναφέρονται σε πα ιότερες και νεότερες ρονικές στι μές, και το ο ικά περι ά ον μετα ά εται. Το Open vswitch έ ει έναν αρι μό από αρακτηριστικά προκειμένου να προσαρμόζεται στις α α ές αυτές. Εκτός από την υποστήριξη ια NetFlow και sflow που μπορούν να έ ουν ορατότητα τ ν μετα ο ών, η άση δεδομέν ν δικτυακής κατάστασης (OVSDB) υποστιρίζει απομακρυσμένη ενερ οποίηση ε ονότ ν (remote triggers). Αυτό ρησιμέυει στην δημιουρ ία software που παρακο ου εί το δίκτυο και δρα ανά ο α με τις α α ές. Αυτή η τε νική ρησιμοποιείται ευρέ ς σήμερα, ια παράδει μα στην δια είριση τ ν μεταφορών τ ν virtual machines. Επιπ έον, η υποστήριξη ια OpenFlow δίνει επίσης δυνατότητα ια απομακρυσμένο έ ε ο της κίνησης. 3. Maintenance of logical tags: Distributed virtual switches (οπώς τo VMware vds και το Nexus 1000 V της Cisco) συ νά διατηρούν ένα ο ικό επίπεδο στο δίκτυο προσ έτ ντας ή με τον ειρισμό ετικετών (tags) στα πακέτα του δικτύου. H τε νική αυτή μπορεί να ρησιμοποιη εί ια να προσδιοριστεί μοναδικά ένα virtual machine (με τρόπο αν εκτικό στο hardware spoofing), ή διατηρήσει κάποιο ο ικό π αίσιο σ ετικό μόνο με το ο ικό επίπεδο. Έτσι, η δια είριση τ ν tags μπορεί να παρέ ει την ίδια ειτουρ ία που παρέ ει ένα distributed virtual switch. Επιπ έον, οι κανόνες του tagging απο ηκέυονται σε μία ετιστοποιημένη μορφή και ό ι σε μη αποδοτικό συνδυασμό με κάποια δικτυακή συσκευή, οπότε και είναι δυνατή η δημιουρ ία, τροποποίηση και μεταφορά ι ιάδ ν κανόν ν. 4. EoGRE support: Το Open vswitch παρέ ει μία δική του υ οποίηση ια EoGRE tunnels, που αποτε ούν ασικό κομμάτι της αρ ιτεκτονικής του Trellis. Υποστηρίζει ακόμα π ήρη απομακρυσμένη δια είριση τ ν tunnels, ρήσιμο ια την σύνδεση εικονικών δικτυών με διαφορετικά data centers. 5. Hardware integration: Το μονοπάτι προώ ησης (forwarding path) του Open vswitch ρίσκεται σε kernel context και έ ει σ εδιαστεί ώστε μεταφέρει την δια είριση τ ν πακέτ ν στο hardware. Έτσι, το μονοπάτι ε έ ου (control path) μπορεί να δια ειριστεί μία software υ οποίηση α ά και ένα hardware switch. Το hardware integration δεν προσφέρει μόνο ε τί ση τ ν επιδόσε ν στα virtualized environments α ά και επιτρέπει (σε περίπτ ση που το Open vswitch ε έ ει και φυσικές συσκευές) την δημιουρ ία ενός ενοποιημένου αυτόματου δικτυακού ε έ ου τ ν εικονικών και μη περι α όντ ν. Β έπουμε, οιπόν, ότι το Open vswitch απευ ύνεται σε διαφορετικά σενάρια ρήσης από το Linux Bridge και το Linux networking stack, εστιάζοντας στην ανά κη ια αυτοματοποιημένο και δυναμικό έ ε ο του δικτύου σε ευρείας κ ίμακας εικονικοποιημένα περι ά οντα ασισμένα στο Linux. Σε αυτό το π αίσιο, αποφασίζουμε να υ οποιήσουμε το virtual switch κάνοντας ρήση της τε νο ο ίας Open vswitch.

48 48 Κεφάλαιο 4. Αρχιτεκτονική Εγκαθίδρυσης L2 Εικονικών Τοπολογιών Χρήση ενός vswitch σε κά ε node Απόρροια της προη ούμενης απόφασης είναι να αντικαταστήσουμε στην υπάρ ουσα αρ ικτεκτονική τα linux bridges με vswitches. Σύμφ να με του δημιουρ ούς του Open vswitch, είναι εξίσου αποδοτικό με Linux bridges. Ωστόσο, όπ ς δείξαμε παραπάν πρόκειται ια ένα ερ α είο με αυξημένες δυνατότητες, πιο έξυπνο από ένα Linux bridge. Έτσι αποφασίσαμε να αντικαταστήσουμε ό α τα linux bridge instances κά ε κόμ ου με ένα μοναδικό Open vswitch instance. Η απόφαση αυτή δημιουρ εί προ ήματα στο isolation της κίνησης τ ν διαφορετικών slices. Τον τρόπο επίτευξης του isolation τον συζητάμε στην Με αυτή την αντικατάσταση δίνουμε μία ομοιο ενή μορφή στο συνο ικό σύστημα και εξοικονομούμε πόρους στο π αίσιο του host. Eπίσης δίνουμε την δυνατότητα στον network administrator της υποδομής να μπορεί να κα ορίσει περιοριστικές πο ιτικές στα virtual links, ειτουρ ία που είναι ρήσιμη ια την ισοκατανομή τ ν πόρ ν στους ρήστες, κα ώς και να αποκτήσει ο οκ ηρ τικό έ ε ο πάν στην κίνση τ ν nodes, διευκο ύνοντας με αυτό το τρόπο την δια είριση του συστήματος Υ οποίηση του switching σε host context Η υ οποίηση του switching μπορεί να ίνεται είτε σε host context, δη αδή στην υποδομή του virtual network, είτε σε user context, μέσα στο sliver. Δεδομένης, της απόφασης να ρησιμοποιούμε ένα vswitch σε κά ε κόμ ο στο host context, επι έ ουμε αυτό το vswitch να υ οποιεί και το switching. Ώς αποτέ εσμα, ένα Open vswitch instance υ οποιεί ταυτό ρονα την σύνδεση (stitching) τ ν EoGRE end-points και τ ν κόμ ν, α ά και τις ειτουρ ίες που αντιστοι ούν και ζητούνται από το switch sliver. Η διεπαφή ε έ ου του ρήστη στο switching α ίνεται με Vsys εντο ές προκειμένου να εξασφα ιστεί το isolation. Ενα ακτικά α μπορούσαμε να ε καταστήσουμε ένα καινούρ ιο vswitch μέσα στο sliver προκειμένου ο ρήστης να έ ει άμεση πρόσ αση σε αυτό. Κάτι τετοιο όμ ς α ήταν αρκετά μη αποδοτικό κα ώς ο κώδικας του vswitch α εκτε είτο σε εικoνικό περι ά ον. Επιπ έον, μειώνεται η ρεα ιστικότητα και το επίπεδο ε έ ου τ ν πειραμάτ ν, κα ώς με αυτή την αρ ιτεκτονική η κίνηση α έπρεπε να περνάει μέσα από δύο vswitch, με πι ανώς διαφορετικές ρυ μίσεις Isolation με ρήση της τε νο ο ίας VLAN Η ρήση ενός vswitch ια ό α τα slivers στην υποδομή ενός node προκα εί εμφανή προ ήματα σ ετικά με το isolation της κίνησης του κά ε slice. Χρειαζόμαστε οιπόν μία τε νική προκειμένου να ομαδοποιήσουμε τα ports του vswitch που αφορούν το ίδιο slice. Σαν ύση στο πρό ημα αυτό στο π αίσιο το Open vswitch διακρίνουμε δύο ασικές τε νικές: την ρήση κανόν ν flow και την ρήση VLAN. Η ομαδοποιήση τ ν port ενός switch με την ρήση VLAN αποτε εί σήμερα μία από τις σημαντικότερες ειτουρ ίες τ ν physical switches. Είναι ο κυρίαρ ος τρόπος δημιουρ ίας L2 broadcast domains από network segments που συνδέονται στο switch κα ώς και εξασφά ισης ενός επιπέδου ασφα είας στα τοπικά υποδίκτυα. Θέ οντας να προσομοιώσουμε, οιπόν, την ειτουρ ία ενός L2 broadcast domain η ρήση τ ν VLANs μοιάζει ιδανική. Εφ οσον, όμ ς αναφερόμαστε σε μία π ατφόρμα που παρέ ει την δυνατότητα πειραμάτ ν πρέπει να ά ουμε

49 4.1 Προσθήκη εικονικού μεταγωγέα στο Trellis 49 υπ όψην μας το ε ονός ότι ρησιμοποιόντας VLANs ια την δημιουρ ία της υποδομής εμποδίζουμε τους πειραματισμούς με τε νο ο ίες VLAN. Η ενα ακτική προσέ ιση είναι να οριστούν κανόνες flow στο vswitch με σκοπό την προώ ηση πακέτ ν με άση τις MAC προορισμού και διεύ υνσης, ρίς την διενέρ εια lookup σε κάποια ά η δομή του vswitch παρά μόνο εκείνη τ ν flows. Οι κανόνες flow του Open vswitch αποτε ούν ένα υπερσύνο ο τ ν κανόν ν flow του OpenFlow. Αυτή η ύση παρέ ει L2 connectivity, όμ ς οδή εί σε α α ή της αφαίρεσης του virtual switch σε virtual hub. Δη αδή, οδή εί σε απώ εια της έννοιας του MAC learning, αφήν ντας σαν μόνη ύση προώ ησης το flooding. Η απώ εια αυτή ειτουρ ικότητας μας οδή ησε στο συμπέρασμα ότι ο κα ορισμός του isolation με την ρήση κανόν ν flow ρειάζεται την δια είριση από μία πιο έξυπνη οντότητα, ια παράδει μα ενός OpenFlow controller. Μία τέτοια προσέ ιση υπερ αίνει τον αρ ικό μας σκοπό κα ώς υπάρ ουν απ ούστερες ενα ακτικές. Κατα ή ουμε οιπόν στην ρήση VLANs παρα τον περιορισμό που επι ά ουν. Η άρση του εμποδίου ια ρήση τ ν VLAN από τους users αποτε εί μία από τις προτάσεις ια με οντική ερ ασία. Ο ιδανικός τρόπος τρόπος να ίνει αυτό α ήταν με την επέκταση του Open vswitch ια την υποστήριξη του πρ τοκό ου 802.1QinQ 1 ( ν στό και ς 802.1ad), το επιτρέπει διπ ό VLAN tagging Δια ραφή τ ν π εοναζόντ ν δικτυακών συσκευών στην υποδομή του switch sliver Από την αρ ιτεκτονική που έ ει προκύψει μπορούμε να παρατηρήσουμε ότι στον switch sliver κά ε slice ρειάζεται μόνο ένα μονοπάτι σύνδεσης με το vswitch. Έτσι, ρίς ά η της ειτουρ ία του συστήματος, μπορούμε να δια ράψουμε τα επιπ έον μονοπάτια. Η επι ο ή αυτή δυναμώνει επίσης την αφαίρεση του switch sliver, κα ώς του δίνει ξε ριστά αρακτηρίστικα από τα υπό οιπα nodes. To switch slice δεν ρησιμοποιείται σαν ά ος ένας κόμ ος του πειράματος α ά σαν το switch μιας τοπο ο ίας με της αντίστοι ες δυνατότητες. Το μονοπάτι που διατηρούμε είναι ια να επιτρέπουμε στον ρήστη να κάνει monitor την κίνηση που περνάει από το switch. Μετα, από ό ες τις αποφάσεις κατα ή ουμε στην αρ ικτεκτονική που περι ράφεται στο σ ήμα

50 50 Κεφάλαιο 4. Αρχιτεκτονική Εγκαθίδρυσης L2 Εικονικών Τοπολογιών Σ ήμα 4.1: Τροποιημένη δικτυακή υποδομή στο περι ά ον Trellis 4.2 L2 connectivity μεταξύ κόμ ν από federated testbeds Μέ ρι τώρα παρουσιάσαμε μία αρ ιτεκτονική που παρέ ει L2 connectivity μεταξύ κόμ ν που ανήκουν στο ίδιο συ κεκριμένο testbed, το VINI Trellis. Ωστώσο, υπάρ ουν πο ές network testbed π ατφόρμες ια ανάπτυξη και έ ε ο νέ ν δικτυακών τε νο ο ιών. Κά ε π ατφόρμα έ ει το δικό της π αίσιο ε έ ου που δια ειρίζεται τοπικά. Ως αποτέ εσμα, είναι δύσκο ο να δημιουρ η ούν testbeds πα κόσμιας κ ίμακας. Την ύση σε αυτό το πρό ημα μπορούν να δώσουν οι συνενώσεις (federation) πο ών testbed. Ένα σύνο ο από federated testbeds μπορεί να παρέ ει πα κόσμιας κ ίμακας, ρεα ιστικό περι ά ον διεξα ής πειραμάτ ν. Η υποδομή ια virtual links, και κατ επέκταση ενός L2 broadcast domain, στα virtual network testbeds συνή ς ασίζεται σε μία από τις τε νο ο ίες VLAN ή EoGRE. Για παράδει μα, στην περίπτ ση του VINI έ ουμε L2 τοπο ο ίες που κα ορίζονται και δια ρίζονται άσει IP end-points και GRE tunnels ενώ στην περίπτ ση του FEDERICA τα L2 broadcast domains και οι L2 τοπο ο ίες κα ορίζεται και δια ρίζονται με VLANs. Η επίτευξη L2 connectivity σε ένα federation από testbeds όπου ό α ρησιμοποιούν ια την δημιουρ ία της υποδομής EoGRE είναι τετριμμένη. Σε τέτοια περίπτ ση η δημιουρ ία του L2 broadcast domain που περι αμ άνει κόμ ους από διαφορετικά testbeds απαιτεί την ίδια διαδικασία που α ακο ου ούσαμε ια την δημιουρ ία ενός L2 broadcast domain σε ένα από αυτά τα testbeds, όπ ς π.. παρουσιάσαμε ια το VINI Trellis. Στην περίπτ ση όμ ς του federation

51 4.2 L2 connectivity μεταξύ κόμβων από federated testbeds 51 από testbeds που ρησιμοποιούν είτε EoGRE είτε VLAN ια την δημιουρ ία τ ν virtual links τότε ο τρόπος δημιουρ ίας ενός L2 broadcast domain μεταξύ κόμ ν τ ν διάφορ ν testbeds δεν είναι προφανής Αρ ιτεκτονική Σε μία προσπά εια να προσαρμοστούμε στο κ ίμα τ ν εξε ίξε ν α κάνουμε μία επιπ έον προσ ήκη στην αρ ιτεκτονική που ήδη παρουσιάσαμε. Η προσ ήκη αποσκοπεί στην δυνατότητα της παρο ής L2 connectivity ενός sliver σε VINI Trellis nodes με sliver σε κάποιο ά ο testbed που στηρίζεται στην τε νο ο ίας VLAN ια να δημιουρ ήσει L2 broadcast domains. Το αποτέ εσμα α είναι ένα L2 stiching τ ν τε νο ο ιών EoGRE και VLAN. Στην περίπτ ση της εκτεταμένης αρ ιτεκτονικής του VINI Trellis που δημιουρ ήσαμε, το σύνο ο του L2 broadcast domain ενός slice μπορεί να προσε ιστεί μέσ του node όπου εντοπίζεται το switch sliver. Για την επίτευξη, οιπόν, του L2 connectivity μεταξύ τ ν κόμ ν του VINI και τ ν κόμ ν του co-federated testbed, προυποτί εται η ύπαρξη L2 connectivity μεταξύ τ ν κόμ ν του co-federated και το node όπου είναι τοπο ετημένο το switch sliver. Προσπα ώντας να κα ύψουμε αυτή την προυπό εση συντάμε τα εξής προ ήματα: το co-federated testbed δεν υποστηρίζει EoGRE, άρα δεν μπορούμε να συνδέσουμε απευ είας τα nodes μέσ διαδικτύο κάνοντας ρήση τ ν public IPs τους, τα nodes μπορεί να μην δέ ονται public IPs (π.. FEDERICA) και δεν ειναι ανα καίο οι φυσικές υποδομές τ ν testbeds να ρίσκονται στην ίδια φυσική τοπο εσία (co-located), άρα δεν μπορούμε απ ά να δημιουρ ήσουμε μια φυσική L2 τοπο ο ία που να παρέ ει την απαραίτητη συνδεσιμότητα. Απαντάμε σε αυτά τα προ ήματα ορίζοντας ένα Magic Node. Το Magic Node είναι ένα φυσικό υπο ο ιστικό σύστημα co-located με το co-federated testbed που ανα αμ άνει να παρέ ει την υπηρεσία του L2 stitching τ ν federated testbeds. O Network Administrator μπορεί να ε ρήσει το Magic Node σαν ένα μαύρο κουτί που δέ εται κίνηση EoGRE και την μετατρέπει σε VLAN.

52 52 Κεφάλαιο 4. Αρχιτεκτονική Εγκαθίδρυσης L2 Εικονικών Τοπολογιών Σ ήμα 4.2: Μετά αση της κίνησης από GRE σε VLAN Περι ραφή του Magic Node Τον ρό ο Magic Node μπορεί να αποτε έσει οποιοδήποτε υπο ο ιστικό σύστημα co-located στο co-federated testbed site. Δέ εται EoGRE π αίσια από την π ευρά του VINI Trellis testbed. Αφού εξά ει το payload Ethernet frame το προ εί σε ένα logical swith, που έ ει δυνατότητα VLAN tagging στα ports, όπου και παρά εται ένα 802.1Q π αίσιο με το ορισμένο VLAN tag. Τέ ος, το VLAN tagged π αίσιο προ είται προς τα nodes του co-federated testbed. Ως logical switch την επι έ ουμε να εκτε είται το Open vswitch, κα ώς αποτε εί ιδανικό ερ α είο ια την προσ μοί ση ενός switch σε επίπεδο software. Το ερ α είο Linux bridge δεν αποτε εί ενα ακτικη, κα ώς, ενώ προσφέρει παραπάν ειτουρ ικότητα από ένα απ ό bridge η προσ μοί ση ενός logical switch με υποστήριξη ια VLAN ports ξεπερνάει τις δυνατότητες του. Στο ασικό σενάριο ρήσης ενός Magic Node, κατα ή ει σε ένα port ενός physical switch στο οποίο κατα ή ει και η on-site φυσική υποδομή του co-federated testbed. Ανα έτοντας οιπόν τα δύο ports σε ένα logical switch έ ουμε την ο οκ ήρ ση του L2 stitching. Ωστόσο, μπορούμε π έον να ασιστούμε στο L2 connectivity μεταξύ slices τ ν federated testbeds και να το ρησιμοποιήσουμε ια να παρέ ουμε υπηρεσίες ια οποιοδήποτε δικτυακό επίπεδο ανώτερο του L2. Έτσι, σε ένα εξε ι μένο σενάριο ρήσης του Magic Node, συνδέεται σε ένα physical router, όπου συνδέεται και η φυσική υποδομή του co-federated testbed. Στον physical router, η inter-slice κίνηση περνάει μέσα από logical routers. Κά ε logical router ειτουρ εί πάν από ένα L2 broadcast domain. Αυτό το εξε ι μένο σενάριο περι ράφεται στο σ ήμα 4.2. Η συνο ική αρ ιτεκτονική οιπόν είναι:

53 4.2 L2 connectivity μεταξύ κόμβων από federated testbeds 53 Σ ήμα 4.3: Δικτυακή υποδομή σε federated περι ά ον

54

55 Κεφά αιο 5 Υ οποίηση Αρ ικά α παρουσιάσουμε το ασικό σενάριο ρήσης του Trellis και π ς ρησιμοποιεί τα ερ α εία Vsys και τα IIAS scripts. Στην συνέ εια α εξη ήσουμε τις προσ ήκες μας. Υπάρ ουν τέσσερις ασικοί μέ οδοι δημιουρ ίας εικονικών δικτύ ν στο Trellis. Η επι ο ή τους ίνεται ορίζοντας την τιμή του attribute vini_topo στο slice. Οι δυνατές τιμές είναι οι εξής: none: Η μέ οδος none δεν επιτρέπει την δημιουρ ία virtual networks σε αυτό το slice. Ό α τα slices που ρησιμοποιούν αυτή την μέ οδο ρησιμοποιούν το φυσικό NIC του κόμ ου, όπ ς στο κ ασσικό Planetlab. vsys: Η μέ οδος vsys επιτρέπει την δημιουρ ία εικονικών τοπο ο ιών στο slice με την ρήση τ ν IIAS scripts. iias: Η μέ οδος iias δημιουρ εί και ρυ μίζει αυτόματα τα virtual links μεταξύ τ ν κόμ ν σε ένα slice, εφ όσον οι κόμ οι ανήκουν σε sites άμεσα συνδεδεμένα στην φυσική τοπο ο ία. manual: Η μέ οδος manual επιτρέπει στον administrator του MyPLC να ορίσει τα slice attributes topo_rspec. Η κα ύτερη μέ οδος ια πειραματισμό και επέκταση τ ν εικονικών τοπο ο ί ν του Trellis παρέ εται από την μέ οδο vsys. Τα IIAS scripts περιέ ουν τους μη ανισμούς που έ ουν ρησιμοποιη εί από το Trellis ια την υ οποίηση και τ ν υπο οιπ ν με όδ ν. Έτσι, μπορούμε να πειραματιστούμε με τις υπάρ ουσες δυνατότητες α ά και να τις επεκτείνουμε, με αντίκρυσμα ό ι μόνο στην μέ οδο vsys, α ά στο σύνο ο τ ν παρε όμεν ν με όδ ν του Trellis. 5.1 Υπάρ ουσα διαδικάσια δημιουρ ίας δικτύου υποδομής Με ρήση τ ν ερ α εί ν IIAS scripts και Vsys μπορούμε, σαν δια ειριστές της δικτυακής υποδομής να δημιουρ ήσουμε την εικονική τοπο ο ία που α είναι δια έσιμη στους ρήστες, αφού εξη ήσουμε συνοπτικά π ς ειτουρ εί η διαδικασία και συνδυάζονται τα ερ α εία. 55

56 56 Κεφάλαιο 5. Υλοποίηση Οι δημιουρ οί του Trellis παρέ ουν ένα σύνο ο από scripts τα οποία είναι υπεύ υνα ια την δημιουρ ία της IIAS αρ ιτεκτονικής. Αυτά τα scripts ρησιμοποιούνται από τον Network administrator, και τοπο ετούνται στο MyPLC VM. Ο Network administrator προσδιορίζει σε ένα configuration file τις επι υμητές από τους users τοπο ο ίες και τα scripts. Με αυτό τον τρόπο δημιουρ ούνται bash scripts ια κά ε sliver κά ε node, που αντι ράφονται στα slivers. Αυτά τα scripts εκτε ούνται σε κά ε sliver και κα ούν κάποια προκα ορισμένα Vsys scripts, η εκτέ εση τ ν οποί ν δημιουρ εί την ζητούμενη τοπο ο ία. Τα ασικά scripts ια την δημιουρ ία τ ν εικονικών τοπο ο ιών, κα ώς και η κύρια διαδικασία φαίνονται στο σ ήμα 5.1. Σ ήμα 5.1: Back-end ειτουρ ίες ια την δημιουρ ία IIAS δικτυακής τοπο ο ίας στο Trellis Χ ριζούμε τα αρ εία της τοπο ο ίας σε δύο ασικές κατη ορίες το front-end και το backend. Το front-end αποτε είται από τα αρ εία τα οποία ρησιμοποιεί άμεσα ο Network Administrator ια να ρυ μίσει και να δημιουρ ήσει την εικονική τοπο ο ία. Το back-end ανα αμ άνει να δε τεί την τοπο ο ία που έ ει ορίσει ο Network Administrator και να την δημιουρ ήσει. Back-end: IIAS Network.rb: Το αρ είο Network.rb είναι το πρώτο που με ετάμε ιατί ορίζει τις ασικές κ άσεις που ρησιμοποιούνται στην δημιουρ ία της τοπο ο ίας. Οι ασικές κ άσεις είναι : Slice, Iface, Node και Link. Ο στό ος του script είναι να δημιουρ ήσει αντικείμενα (objects) τ ν παραπάν κ άσε ν που περιέ ουν το σύνο ο τ ν π ηροφοριών την ορισμένης από τον Network Administrator τοπο ο ία. Αποτε εί το πρώτο ήμα της διαδικασίας του back-end ια την δημιουρ ία τ ν εικονικών τοπο ο ιών. Slice: Στι μιότυπα της κ άσης Slice περιέ ουν τις ασικές π ηροφορίες του slice όπ ς το όνομα του, το κ ειδί ια τα GRE tunnels (gre key), το ζητούμενο περι ά ον της π ατφόρμας (PL-VINI ή Trellis), κα ώς και ρυ μίσεις που αφορούν το routing σε L3. Iface: Η κ άση Iface ρησιμοποιείται αποκ ειστικά από το back-end και περι ράφει

57 5.1 Υπάρχουσα διαδικάσια δημιουργίας δικτύου υποδομής 57 ένα network interface που ε κα ίσταται μέσα σε sliver και αποτε εί end-point του virtual link. Node: Η κ άση Node διατηρεί π ηροφορίες ια τον κόμ ο που φι οξενεί ένα sliver α ά και ια το ίδιο το sliver. Περιέ ει τα δικτυακά αρακτηριστικά του κόμ ου (π.. dns name, IP), α ά και αρακτηριστικά του sliver όπ ς αν α εκτε εί ειτουρ ίες routing, αν α εκτε εί OpenVPN 1 server κ.τ.. Link: Ο σκοπός της κ άσης Link είναι να περι ράψει ένα virtual link και να δημιουρ ήσει τα κατά η α στι μιότυπα της κ άσης Iface που α αποτε ούν τα end-points του virtual link. Για κά ε virtual link στο οποίο συμμετέ ει το sliver δημιουρ είται ένα νέο Iface και προσδιορόζεται η IP του. IIAS Configurator.rb: To αρ είο Configurator.rb αποτε εί τον συνδετικό κρίκο ό ν τ ν αρ εί ν. Αρ ικοποιεί ό ες τις κ άσεις από τα απαραίτητα αρ εία και κα εί τις με όδους που δημιουρ ούν τα scripts που α εκτε εστούν στα slivers ια την κατασκευή της τοπο ο ίας. Αποτε εί τον σύνδεσμο του back-end με το front-end. H σύνδεση ίνεται με την μετάφραση του configuration file trellis.rb σε στι μιότυπα κ άσε ν του Network.rb. Στην συνέ εια, κα ούνται οι μέ οδοι που α παρά ουν την εικονική τοπο ο ία με άση αυτά τα στι μιότυπα. Η ασικότερη από αυτές τις με όδους, όσον αφορά την τοπο ο ία, είναι η VsysGenerator που περιέ εται στο ομώνυμο αρ είο. IIAS VsysGenerator.rb: Το αρ είο VsysGenerator.rb δημιουρ εί τα scripts που παρά ουν την τοπο ο ία. Τυπώνει, δη αδή, τα bash scripts που α εκτε εστούνε στα slivers. Παρά ει διαφορετικά scripts ια το κά ε sliver. Τα bash scipts που παρά ονται ρησιμοποιούν τα Vsys scripts setup-link και setup-nat προκειμένου να ε καταστήσουν τα ζητούμενα εικονικά links και να προσδώσουν network connectivity στα slivers. Δημιουρ ούνται τέσσερα bash scripts ια κά ε sliver: setup-links: Όταν εκτε εστεί μέσα σε ένα sliver δημιουρ εί και ρυ μίζει ό α τα απαραίτητα logical και virtual network devices που απαιτούνται ια τα virtual links στα οποία συμμετέ ει το sliver κα ώς και ια την παρο ή του network connectivity στο sliver. Απαραίτητα ερ α εία αποτε ούν τα Vsys scripts setup-link και setup-nat. teardown-links: Καταστρέφει ό α τα network devices που δημιουρ ή ηκαν από το script setup-links. ping-test: Δοκιμάζει την ειτουρ ία του network connectivity του sliver, κα ώς και την ορ ή ειτουρ ία τ ν virtual links. startup: Ενερ οποιεί και ρυ μίζει υπηρεσίες που πι ανώς απαιτούνται από το sliver, οπ ς τον Quagga software router. Vsys setup-link: Το αρ είο setup-link είναι υπεύ υνο ια την δημιουρ ία της τοπο ο ίας στο εκάστοτε sliver. Δημιουρ εί ό η την απαραίτητη ομάδα από interfaces, στο sliver και στον host, που α αποτε έσει το ένα άκρο του virtual link. Η ομάδα αποτε είται από 4 linux network interfaces συνδεδεμένα μεταξύ τους σε σειρά, όπ ς φαίνεται στό σ ήμα

58 58 Κεφάλαιο 5. Υλοποίηση Σ ήμα 5.2: Τα interfaces που δημιουρ εί το script setup-link 1. etun0: Το ένα interface του ενός Virtual Ethernet ζευ αριού (veth pair). Ένα veth είναι αποτε είται από δύο εικονικά Ethernet devices συνδεδεμένα μεταξύ τους έτσι ώστε όταν ένα π αίσιο εισέρ εται στο ένα device τότε εξέρ εται από το ά ο. Η συνή ης ρήση τ ν veth είναι ια την σύνδεση ενός guest με κάποιο network interface του host. Κά ε συσκευή έ ει την δικία της διεύ υνση MAC και εφόσον συνδε εί με κάποιο ενερ ό interface όπ ς κάποιο ethx μπορεί να δώσει στον guest π ήρη δικτυακή ειτουρ ικότητα. Το etun0 είναι το άκρο του veth pair που ε κα ίσταται στο container (guest). 2. etun1: Το άκρο του veth pair από την π ευρά του host. 3. br0: Το br0 είναι ένα linux bridge που ρησιμποιείται ια να συνδέσει το etun1 με το egre0. Μέσ του br0 καταφέρνει το veth pair να αποκτήσει πρόσ αση σε πακέτα που προέρ ονται από το δίκτυο και κατα ή ουν στο egre0. 4. egre0: Το egre0 είναι το end-point ενός EoGRE tunnel. Στην ά η άκρη του tunnel υπάρ ει το node που περιέ ει το δεύτερο sliver του virtual link. Υ οποιείται ς linux logical network interface που είναι συνδεδεμένο με το physical interface του node. Το script setup-link υιο ετεί μία αζή συμπεριφορά, δημιουρ ώντας μία ομάδα από interfaces ια κά ε ξε ριστό virtual link ενός sliver, αναντίστοι α με τις προδια ραφές του Trellis. Vsys setup-nat: To αρ είο setup-nat κα ιερώνει το network connectivity του slice. Ουσιαστικά, δημιουρ εί ένα κανούρ ιο network interface στο sliver και το συνδέει με τον host κρυ ντάς το από NAT. Τα interfaces που δημιουρ ούνται είναι ένα Virtual Ethernet pair, τα nat$gre_key και natx$gre_key, όπου $gre_key το GRE key του slice. nat$gre_key: Το interface nat$gre_key αποτε εί το άκρο του veth pair που ε κα ίσταται μέσα στο sliver. Μπορεί να ρησιμοποιη εί ια σύνδεση με το διαδίκτυο, ή οποιοδήποτε δίκτυο στο οποίο είναι συνδεδεμένος o node. Ακόμα, σε περίπτ ση που το slice τρέ ει OpenVPN server ρησιμοποιείται to interface nat$gre_key ώστε να εισά ει κίνηση ο ρήστης μέσ του διαδίκτυου στο virtual network που του παρέ εται.

59 5.1 Υπάρχουσα διαδικάσια δημιουργίας δικτύου υποδομής 59 natx$gre_key: Το interface natx$gre_key αποτε εί το άκρο του veth pair που ε κα ίσταται στο root context του node. Μέσ του ερ α είου Linux ipables 2 δημιουρ είται ένα Network Address Translation (NAT) μεταξύ του natx$gre_key και του physical network device του host. Έτσι υ οποιείται η σύνδεση μεταξύ τυο sliver και του φυσικού δικτύου στο οποίο ρίσκεται το node. Front-end: IIAS trellis.rb: Το αρ είο trellis.rb είναι το configuration file, όπου ο Network Administrator μπορεί να δη ώσει την επι υμητή τοπο ο ία. Ουσιαστικά, αρ ικοποιούνται κ άσεις που περιέ ονται στο Network.rb. O ρήστης ορίζει αρ ικά σε ποιά slices (από τα υπάρ οντα στο site) έ ει να δημιουρ ήσει τις εικονικές τοπο ο ίες. Στην συνέ εια, ορίζονται τα αρακτηριστικά τ ν κόμ ν που ε κα ίστανται τα slivers του slice και τα virtual links που α δημιουρ η ούν μεταξύ τ ν slivers. IIAS Makefile: Το Makefile αποτε εί ουσιαστικά το το ερ α είο του Network Administrator ια την δημιουρ ία της τοπο ο ίας. Παρέ ει ένα σύνο ο από εντο ές που αντιστοι ούν σε ενέρ ειες του back-end. Το Makefile είναι υπέυ υνο ια την κ ήση τ ν back-end scripts, την μεταφορά τ ν παρα όμεν ν scripts στα slices κα ώς και ια την εκτέ εση τους Δημιουρ ία της virtual switched τοπο ο ίας Η αρ ιτεκτονική IIAS ασίζεται στην δημιουρ ία virtual point-to-point links μεταξύ τ ν slivers. Εμείς στο εύουμε στην επέκταση της ειτουρ ικότητας της αρ ιτεκτονικής IIAS, με την προσπά εια να δημιουρ ήσουμε ένα Virtual Private Lan Service ασισμένο στο IIAS. Αυτή η νέα αρ ιτεκτονική, ασίζεται όπ ς αναφέρ ηκε στην ρήση ενός sliver ς switch sliver, που α παρέ ει συνδεσιμότητα μεταξύ ό ν τ ν υπο οίπ ν slivers. Το switch sliver επίσης α είναι υπέ υνο ια το L2Stitching. Ουσιαστικά επεκτείνουμε τα ερ α εία Vsys και IIAS δίνοντας στο network administrator του τ ν αφιερ μέν ν VINI nodes που εκτε ούν το Trellis την δυνατότητα ια αυτόματη ε κατάσταση και εκτέ εση του Open vswitch κα ώς και αυτόματη δημιουρ ία του της switched τοπο ο ίας, με άση τις προδια ραφές που έ ει ζητήσει ο ρήστης.ακόμα, προσ έτουμε την δυνατότητα αυτόματου L2 stitching με την ρήση Magic Node. Back-end: IIAS Network.rb: Το αρ είο trellis.rb διατηρεί τον ρό ο του α ά με αυξημένη ειτουρ ικότητα. Το αρ είο Network.rb Τροποιούμε τις υπάρ ουσες κ άσεις εκτός της κ άσης Iface και ορίζουμε την νέα κ άση Magic_Node όπ ς περι ράφεται παρακάτ. Slice: Η νέα κ άση Slice περιέ ει επιπ έον στοι εία ια το αν το slice ρησιμοποιεί Open vswitch αντί ια Linux Bridge και αν έ ει ενερ οποιημένο το L2 stitching. Node: Στην νέα κ άση Node, τα nodes που περιέ ουν switch slivers δημιουρ ούν ένα μοναδικό veth pair ια κά ε switch sliver. Επίσης δημιουρ ούνται virtual links μεταξύ ό ν τ ν slivers και το switch sliver, εάν αυτό υπάρ ει και ανήκει στον συ κεκριμένο node. 2

60 60 Κεφάλαιο 5. Υλοποίηση Σ ήμα 5.3: Back-end ειτουρ ίες ια την δημιουρ ία της νέας δικτυακής τοπο ο ίας στο Trellis Link: Τροποποείται η ο ική ανά εσης τ ν IP διευ ύνσε ν κα ώς π έον δεν έ ουμε μόνο virtual point-to-point links α ά ο όκ ηρα L2 broadcast domains. Magic_Node: H κ άση Magic_Node διατηρεί τα απαιραίτητα στοι εία ια έναν Magic Node προκείμενου να είναι δυνατή η σύνδεση με αυτόν σε φυσικό επίπεδο. Επίσης περιέ ει π ηροφορία ια το VLAN network interface που α ρησιμοποιη εί ια το L2 stitching. IIAS Configurator.rb: To αρ είο Configurator.rb διατηρεί τον ρό ο του α ά με αυξημένη ειτουρ ικότητα. Η ασική τροποποίηση είναι ο έ ε ος αν έ ουν ίνει σ στά οι δη ώσεις ια το Open vswitch και το L2 Stitching, και η κ ήση στην συνέ εια τ ν τροποποιημέν ν με όδ ν του VsysGenerator.rb και τ ν νέ ν με όδ ν του L2StitchGenerator.rb. IIAS VsysGenerator.rb: Το αρ είο VsysGenerator.rb διατηρεί τον ρό ο του α ά με αυξημένη ειτουρ ικότητα. Συ κεκριμένα, τροποιούνται τα script setup-links και teardownlinks που παρά ονται. Οι α α ές παρουσιάζονται στην συνέ εια. setup-links: Δίνεται η δυνατότητα να εκτε εστεί ένα από τα setup-link setupvlink Vsys scripts. Στην περίπτ ση που ο Netowrk Administrator έ ει επι έξει το virtual network του slice να στηρίζεται σε Open vswitch τότε κα είται το setupvlink Vsys script, α ιώς το setup-link. Επιπ έον, εφ όσον έ ει οριστεί το sliver