对网络虚拟化的一些关键特征做一番检讨,将有助于企业做好明年的规划,建构新一代系统。而我发现,有关网络虚拟化的最佳信息来源都在Nicira。任何想要建构网络虚拟化基础设施的企业都应该对其予以关注。
下面所列出的七大特征均摘自Nicira的一篇白皮书:“网络虚拟化的七大特征”。
1、独立于网络硬件
在新兴的多租户云中,厂商锁定的旧规则正在迅速瓦解。网络虚拟化平台必须是能够在任意网络硬件上运行的,这很像x86服务器hypervisor能够在任意厂商的服务器上运行一样。这种独立性意味着物理网络可以是硬件厂商产品的任意组合。随着时间的推移,能够更好地支持虚拟化和商品化的更新的架构会越来越普及,从而进一步改善云的资本效益。
2、忠实复制物理网络服务模式
数量极其庞大的企业应用都不是作为Web应用开发的,而再去花费数十亿美元将这些应用重新改写既不现实也无可能。因此,一个网络虚拟化平台必须能够支持今天任何一个物理环境下运行的任意工作负载。而为了做到这一点,它必须完全重建2层和3层的语义环境,包括支持广播和组播。除此之外,它还必须能够提供现有网络所提供的高等级网络服务,诸如ACL、负载均衡以及WAN优化等。
同样重要的是,虚拟网络解决方案可完全虚拟网络地址空间。一般来说,虚拟网络要么是从物理环境迁移而来,要么是与物理网络相集成的,要改变虚机(VM)的现有地址是没有可能的。因此,重要的是,虚拟网络环境不能命令或者限制虚拟网络中所使用的地址,并且应允许各虚拟网络间相互覆盖IP和MAC地址。
3、遵循计算虚拟化的运营模式
计算虚拟化的一个关键特征就是能够把一个虚机作为一个软状态来处理,换句话说,该虚机可以迁移、暂停、重用、快照,以及回退到之前的配置。为了在虚拟环境中的无缝集成,网络虚拟化解决方案必须能够支持同样的控制和灵活性。
4、与任何hypervisor平台兼容
网络虚拟化平台还必须能够与全系服务器hypervisor共同工作,包括Xen、XenServer、KVM、ESX和Hyper-V,并具备跨任意网络底层和hypervisor环境、控制虚拟化网络连接性的能力。这种“any-to-any”范式改变可提供:
●更高效地利用现有网络投资
●减少新的、3层架构创新的成本和管理复杂度
●工作负载可从企业向云服务环境迁移
5、虚拟网络、物理网络和控制平面之间的安全隔离
多租户要求最大限度地提高计算、存储和网络资产的使用率,途径是共享物理基础设施。网络虚拟化平台在维持这种资源整合的同时还要提供根据监管规则所需的隔离,提供与计算虚拟化同样的安全保障。和计算虚拟化一样,网络虚拟化平台应可在各个虚拟网络之间提供严格的地址隔离(也就是说一个虚拟网络不能非有意地访问另一个虚拟网络),同时也在虚拟网络和物理网络之间进行地址隔离。最后这一性质也让物理网络无法成为攻击目标,除非虚拟平台自身遭到破坏。
6、云的性能和规模
在单一数据中心里,云推动着租户、服务器以及应用规模的急剧增长。然而,现有网络仍然受限于网络的物理限制,尤其是受到VLAN数量的限制(仅限于4096个)。VLAN是在服务器虚拟化极大地扩展了对虚拟隔离环境数量的需求之前设计出来的。网络虚拟化必须能够支持相当大规模的网络部署,例如数万个甚至数十万个虚拟网络。这不仅能允许更大量租户的存在,而且还可支持诸如灾备、数据中心租用等关键服务。
虚拟网络解决方案还不应在网络中产生任何阻塞点或失效点。粗略地来讲,这就意味着解决方案的所有组件都必须是完全分布式部署的,所有网络路径均应支持多路径和故障切换功能。最后,网络虚拟化解决方案还不能严重影响到数据路径的性能。因实施网络虚拟化所需的数据路径上的检测次数应该与现在数据路径的表现相同。在网络边缘用软件实现网络全虚拟,且仍能以全10G线速执行也是可能的。
7、可编程网络预配置与预控制
从传统上说,网络都是一次配置一个设备,尽管这一过程可借助脚本(也就是模仿单个的配置)来加快。现有的方法无法加快网络配置,易出现错误,而且可能会因为错误的输入而打开了安全漏洞。在大规模云部署环境中,这样的过程即提高了风险程度,也提高而来手动配置成本,从而影响到服务的速度和/或赢利能力。
网络虚拟化解决方案应能全盘控制所有的虚拟网络资源,并可通过编程手段来管理这些资源。这就是说,配置可在服务等级上发生,而不是在要素等级上发生,这可以极大地简化配置逻辑,避免由于物理网络节点失灵而发生任何中断。可编程API应能提供对虚拟网络的全盘管理和配置,不仅要在云的时序规模上支持动态配置,而且还要有联机引入和配置服务的能力。
结论
上述这七大关键特征对于企业架构的需求来说是一个良好的起点。好消息是,企业可以在不必做大的改动的情况下就享受到网络虚拟化的这些好处。企业真正需要做的就是了解这种新的方法,并与技术思想领导人相互沟通。