服务器虚拟化已经改变了IT的运作方式,随着越来越多的网络被虚拟化,数据中心现在正面临着另一种变革性的技术。随着网络功能虚拟化(NFV)的引入,单个物理主机可以托管多层应用程序,即使没有网络流量穿过物理网络。网络功能虚拟化使得网络设备或网络功能的虚拟化成为可能,用户可以从网络虚拟化的诸多优势中获益。NFV的基础是虚拟交换机,这与服务器虚拟化一样古老。最基本的形式是为运行在单个物理主机上的虚拟机提供第2层连接。经过几年的发展,虚拟化厂商已经为虚拟交换机增加了新的特性。从逻辑的角度来看,虚拟交换机提供了许多与传统架顶式交换机相同的功能。现在,在一个虚拟交换机上配置多个VLAN是很常见的。通过虚拟交换机进行通信的虚拟机是网络虚拟化的一个基本示例。同时,VLAN之间的流量通过虚拟交换机和物理网络之间的中继提供。流量流经主机服务器的物理端口。物理服务器端口实际上用作虚拟交换机的上行端口。如果两台虚拟机运行在同一台物理主机上,但在不同的VLAN中,那么两台虚拟机之间的流量就需要经过物理网络。这时候防火墙就是用来过滤两台主机之间的流量的。NFV的引入将网络虚拟化提升到了一个新的水平。一个简单的例子是虚拟防火墙。第2层防火墙始终在标准x86物理硬件上运行。与任何其他x86工作负载一样,防火墙可以作为虚拟设备交付。现在考虑上面提到的不同VLAN中的两个虚拟机需要相互通信。在每个VLAN中加入虚拟防火墙,并连接一个虚拟端口,使得虚拟机不使用物理主机进行通信成为可能。.流量仍然驻留在物理主机内部,因此物理网络不知道虚拟机之间的通信。在单个主机内,我们设置了一个虚拟网络,该网络也扩展到物理主机。大多数服务器虚拟化平台都引入了分布式交换机的概念,即跨越多台主机的虚拟交换机。集中控制器充当分布式交换机的控制和数据层。在VMware中,控制器是vCenter。在KVM和XenServer中,控制器是一个开放的vSwitch数据库。在物理环境中,分布式交换机可与堆叠式交换机架构相媲美。每个物理主机上的交换模块是集中管理的分布式虚拟交换机的一个组件。物理网络参与管理程序之间的网络流量交换。不需要物理网络来参与虚拟机之间的流量交换。分布式虚拟交换机在底层物理网络之上形成一个逻辑网络层。独立的NFV设备运行在网络层之上。以二层应用为例,虚拟防火墙可以位于一台主机上,虚拟机可以位于另一台主机上。虚拟机之间的路由和流量过滤实际上就是底层主机之间数据包的交换。使用网络虚拟化,我们在管理程序内部重新创建抽象的物理网络。直接的问题是:为了什么目的?网络虚拟化的技术优势很多。网络虚拟化允许应用程序和工作负载的移动性。第2层域可以在数据中心、公共云等平台和内部基础设施之间轻松扩展。但是,大多数功能都可以使用其他网络技术来实现。一个例外是使用网络来分割虚拟工作负载。网络虚拟化优势最引人注目的技术用例之一是能够对网络进行分段。网络分段,有时称为微分段,使企业能够在工作负载之间创建细粒度的规则。与基于IP片段创建规则的传统第3层防火墙不同,网络分段允许在虚拟机级别过滤规则——独立于IP片段。虚拟机级别的切分考虑了零信任策略的实施。零信任安全用例零信任策略不假定节点接收隐式信任关系,因为它共享一个网段。在网络层控制安全需要一个可以检查所有第2层流量的安全设备。使用物理设备进行上述过滤有些不切实际。由于虚拟交换机位于管理程序内核内部,因此与使用物理设备执行相同检测的成本相比,在管理程序级别进行过滤的CPU成本几乎可以忽略不计。跨虚拟网络扩展零信任安全性已成为现实。当将网络控制器的概念与网络虚拟化相结合时,技术路线图变得更加有趣。通过从物理网络中抽象出控制平面和数据平面,企业可以支持真正敏捷的环境。将网络视为覆盖,它可以在任何网络之上运行,包括公共云提供商。部署混合云的挑战之一是第2层网络域和安全性的分离。例如,AmazonAWS使用IP表来管理实例之间的零信任。管理员必须管理两个单独的防火墙策略以允许从内部计算机到在AWS中运行的计算机的流量。使用网络虚拟化,策略可以由单个网络控制器管理,该控制器从CMP或网络管理系统接收策略。VMware的NSX是一个在网络和x86虚拟化堆栈之间提供令人兴奋的集成的产品示例。NSXFirewall能够管理基于虚拟机的零信任策略。由于防火墙规则和虚拟机是vCenter中的对象,因此策略可以与虚拟机一起生死。融合管理是一种强大的抽象。必须忍受防火墙规则审核的组织将对临时NSX防火墙规则感兴趣。例如,防火墙规则允许两个虚拟机之间的HTTP流量。如果删除了vCenter中的虚拟机,则防火墙规则也将被删除。防火墙规则抽象简化了安全审计。大多数企业还没有准备好将其整个基础架构转换为应用程序开发和基础架构管理相结合的模型。网络虚拟化的优势之一是它允许逐步部署,而不是简单地交钥匙。典型的应用程序将是基础架构的隔离部分,由OpenStack等云管理技术运行。底层技术基础设施可以是通过运行OpenDayLight的白盒交换机互连的所有管理程序。当您需要运行更多应用程序时,您可以添加其他管理程序或通过公共云提供商扩展基础架构。对于开发人员来说,这都是虚拟基础设施,没有什么重要的。网络虚拟化的复杂性网络虚拟化并非没有挑战。尽管网络控制器技术有所改进,但管理虚拟网络仍然是一项令人沮丧的工作。网络控制器本身的不成熟加剧了一些问题;有些是由于物理网络和虚拟网络之间缺乏可见性。没有管理虚拟网络与物理网络的标准。如果您需要强大的数据管理功能,最好使用Cisco、Juniper或Brocade的集成管理工具。然而,这违背了拥有独立于物理网络的网络层的初衷。第二个挑战是将虚拟网络的灵活性扩展到物理网络。网络分段等功能仅在流量流经管理程序时才有用。如果通信发生在两台物理主机之间,那么零信任策略必须通过与虚拟网络分离的物理组件来实现。这变得难以维护,类似于在内部和公共云资源之间维护安全域的挑战。与服务器虚拟化的影响类似,网络虚拟化有可能显着改变数据中心网络。但采用SDN需要新的思维,而SDN被视为颠覆了传统的IT实践。网络虚拟化对于已经大量虚拟化并希望部署云或Platform3.0应用程序的组织具有重要价值。对于传统的企业应用,除了虚拟机的网络分段,网络虚拟化的优势几乎可以忽略不计。
