什么是网络虚拟化 网络虚拟化简介

Posted 2023-04-13

网络虚拟化的内容一般指虚拟专用网络 (VPN)。VPN 对网络连接的概念进行了抽象，允许远程用户访问组织的内部网络，就像物理上连接到该网络一样。网络虚拟化可以帮助保护 IT 环境，防止来自 Internet 的威胁，同时使用户能够快速安全的访问应用程序和数据。 基于网络的虚拟化方法是在网络设备之间实现存储虚拟化功能，具体有下面几种方式： 　1. 基于互联设备的虚拟化：基于互联设备的方法如果是对称的，那么控制信息和数据走在同一条通道上;如果是不对称的，控制信息和数据走在不同的路径上。在对称的方式下，互联设备可能成为瓶颈，但是多重设备管理和负载平衡机制可以减缓瓶颈的矛盾。同时，多重设备管理环境中，当一个设备发生故障时，也比较容易支持服务器实现故障接替。但是，这将产生多个SAN孤岛，因为一个设备仅控制与它所连接的存储系统。非对称式虚拟存储比对称式更具有可扩展性，因为数据和控制信息的路径是分离的。 　　基于互联设备的虚拟化方法能够在专用服务器上运行，使用标准操作系统，例如Windows、Sun Solaris、Linux或供应商提供的操作系统。这种方法运行在标准操作系统中，具有基于主机方法的诸多优势--易使用、设备便宜。许多基于设备的虚拟化提供商也提供附加的功能模块来改善系统的整体性能，能够获得比标准操作系统更好的性能和更完善的功能，但需要更高的硬件成本。 　但是，基于设备的方法也继承了基于主机虚拟化方法的一些缺陷，因为它仍然需要一个运行在主机上的代理软件或基于主机的适配器，任何主机的故障或不适当的主机配置都可能导致访问到不被保护的数据。同时，在异构操作系统间的互操作性仍然是一个问题。 　　2. 基于路由器的虚拟化：基于路由器的方法是在路由器固件上实现存储虚拟化功能。供应商通常也提供运行在主机上的附加软件来进一步增强存储管理能力。在此方法中，路由器被放置于每个主机到存储网络的数据通道中，用来截取网络中任何一个从主机到存储系统的命令。] 参考技术A 近年来，云计算的浪潮席卷IT界。几乎所有的IT基础构架都在朝着云的方向发展。在云计算的发展中，虚拟化技术一直是重要的推动因素。作为基础构架，服务器和存储的虚拟化已经发展的有声有色，而同作为基础构架的网络却还是一直沿用老的套路。在这种环境下，网络确实期待一次变革，使之更加符合云计算和互联网发展的需求。云计算的大环境下，网络虚拟化的定义没有变，但是其包含的内容却大大增加了。
云计算环境下的网络虚拟化需要解决端到端的问题，笔者将其归纳为三个部分：
（一）第一部分是服务器内部。随着越来越多的服务器被虚拟化，网络已经延伸到Hypervisor内部，网络通信的端已经从以前的服务器变成了运行在服务器中的虚拟机，数据包从虚拟机的虚拟网卡流出，通过Hypervisor内部的虚拟交换机，在经过服务器的物理网卡流出到上联交换机。在整个过程中，虚拟交换机，网卡的I/O问题以及虚拟机的网络接入都是研究的重点。
（二）第二部分是服务器到网络的连接。10Gb以太网 和Infiniband等技术的发展使一根连接线上承载的带宽越来越高。为了简化，通过一种连接技术聚合互联网络和存储网络成为了一个趋势。本回答被提问者采纳 参考技术B 网络虚拟化 网络虚拟化的内容一般指虚拟专用网络 (VPN)。VPN 对网络连接的概念进行了抽象，允许远程用户访问组织的内部网络，就像物理上连接到该网络一样。网络虚拟化可以帮助保护 IT 环境，防止来自 Internet 的威胁，同时使用户能够快速安全的访问应用程序和数据。 参考技术C 网络虚拟化一般指虚拟专用网络 (VPN)。VPN 对网络连接的概念进行了抽象，允许远程用户访问组织的内部网络，就像物理上连接到该网络一样。网络虚拟化可以帮助保护 IT 环境，防止来自 Internet 的威胁，同时使用户能够快速安全的访问应用程序和数据。“Virtual Private Network”。vpn被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。]

NSX 简介— 网络虚拟化

传统的数据中心都是用物理网络来分隔不同的业务系统，这就需要管理员预先规划好数据中心的网络拓扑结构，划分好 VLAN，以确保各个业务系统之间是相互隔离的；并且在防火墙上配置上百条规则，针对每一个应用关闭不需要的网络端口，以降低黑客攻击的风险。这是一个费时费力的工作，一旦某个业务系统需要增加一些新的功能，或者不同的业务系统之间需要互相访问，就需要对数据中心内的网络做出相应的调整，这个过程不但费时，而且需要非常小心，避免任何一个错误的配置而导致网络中断。

传统数据中心：各个业务系统在硬件上相互隔离

在基于 vSphere 的软件定义数据中心中，各个虚机的网络都连接在 Hypervisor 所提供的一个虚拟交换机上，这个交换机是横跨整个 vSphere 集群的各个物理服务器的，所以称之为分布式交换机 (Distributed Switch)。所有虚机的网络通讯都是通过这个虚拟交换机来实现的，分布式交换机负责把数据包通过底层的物理网络转发到应该去的目的地。既然所有的网络通讯都是由虚拟交换机软件来实现的，我们自然可以通过软件来实现更多的网络功能，这个软件就是 VMware NSX，来自于 VMware 2012 年收购的 Nicia。

网络虚拟化的实现原理

NSX 为虚机提供了虚拟化的网络，把虚机和物理网络相隔离，做到了网络服务与具体的物理网络设备无关，使得用户在网络设备的选择和采购上有着更大的灵活性。NSX 在虚拟网络上可以提供几乎所有的网络服务，如：路由器、负载均衡、防火墙等。除了这些常规的功能，NSX 还能够提供一些传统物理网络无法实现或实现代价很高的功能：

✰ 东西向防火墙：通常我们把数据中心内部的网络流量称之为东西向流量，数据中心内部和外部的流量称之为南北向流量。数据中心一般只在对外的网络边界上设置防火墙，因为原则上认为入侵风险来自于外部，数据中心内部是相对安全的。如果使用硬件防火墙的话，就需要在所有的业务系统之间设置防火墙，且不说这是一笔很大的硬件投资，就是防火墙规则的设置和维护也是一个巨大的工作量，所以没有数据中心会这么做。但是 NSX  可以很容易地通过软件实现这一功能，把来自于数据中心内部的入侵风险降到最低，即使黑客能够攻陷某一个应用，他也无法访问到数据中心内部其他的系统。

✰ 网络微分段：传统的物理网络是用物理网段或 VLAN 来隔离不同网络的，而且只能隔离到物理服务器（同一服务器上的虚机之间还是没有隔离的），当需要对网段进行调整时，需要调整物理网络或 VLAN，这可不是一件轻松的工作。微分段 (Micro-segmentation) 是通过分布式防火墙实现的功能，每个虚机都有一台防火墙，自然可以很轻松地隔离微分段之外的虚机。

软件定义数据中心：各个业务系统在 NSX 虚拟网络平台上相互隔离，

但共用同一个物理网络 

NSX 所提供的虚拟化网络平台不再要求各业务系统的网络物理隔离，只需要标准化的交换机或路由器把整个数据中心联成一张大网，NSX 会在虚拟网络层上根据业务需求提供隔离（使用微分段技术）。数据中心网络的规划和管理大大简化，既可以降低网络设备的采购成本，也可以有效降低网络的运营管理成本。

在 NSX 虚拟网络上，传统网络中由硬件提供的路由 (RT - Routing) 、交换 (SW - Switching)、负载均衡 (LB - Load Balancing) 和防火墙 (FW - FireWall) 功能都改由软件来实现了，具有更大的灵活性。

NSX 主要有三大应用场景：

✎ 数据中心网络安全：如上所述，分布式软件防火墙和微分段大大简化了数据中心的网络安全管理，相比物理网络环境能够实现更高等级的安全防护。

✎ IT 自动化：虚拟网络的功能都是由软件来实现的，所以能够使用命令来动态地创建网络设备，调整网络配置和安全策略参数，实现数据中心的 IT 自动化。