0網(wǎng)絡(luò)虛擬化與其他技術(shù)的融合

網(wǎng)絡(luò)虛擬化與其他技術(shù)的融合

目錄白色微軟雅黑字號(hào)24標(biāo)題3標(biāo)題2標(biāo)題423數(shù)據(jù)中心互聯(lián)擴(kuò)展比較傳統(tǒng)方式主機(jī)虛擬方式網(wǎng)絡(luò)設(shè)備方式暗光纖/DWDMVxLanHP/H3CEVIVPLSDOVECISCOOTVNVGRESTT二層網(wǎng)絡(luò)擴(kuò)展，需要運(yùn)營(yíng)商配合，部署周期長(zhǎng)。L2OVERL3擴(kuò)展主機(jī)方式實(shí)現(xiàn)，未深度成熟，VxLan技術(shù)相對(duì)主流，適合多租戶應(yīng)用。L2OVERL3擴(kuò)展自有網(wǎng)絡(luò)設(shè)備部署，成熟可靠，擴(kuò)展能力有限，適合企業(yè)級(jí)應(yīng)用。4分布式數(shù)據(jù)中心訪問在分布式數(shù)據(jù)中心解決方案中，為了實(shí)現(xiàn)跨中心計(jì)算資源的動(dòng)態(tài)調(diào)配，一般采用虛擬機(jī)遷移技術(shù)，同時(shí)采用服務(wù)器高可靠性集群計(jì)算實(shí)現(xiàn)跨數(shù)據(jù)中心的應(yīng)用級(jí)容災(zāi)，這兩種應(yīng)用場(chǎng)景統(tǒng)稱為“分布式數(shù)據(jù)中心（DistributedDataCenter）部署方式”，其特點(diǎn)是一個(gè)應(yīng)用系統(tǒng)在IP地址不變的情況下可以在不同數(shù)據(jù)中心對(duì)外提供服務(wù)，數(shù)據(jù)中心的訪問用戶不感知這種變化。5動(dòng)態(tài)DNSGTM上記錄了A和B兩個(gè)數(shù)據(jù)中心入口的IP地址。當(dāng)有用戶解析業(yè)務(wù)的IP地址時(shí)，GTM會(huì)根據(jù)設(shè)置的策略向用戶返回不同IP地址。6路由健康注入（RHI）路由健康注入（RHI）是一種機(jī)制，它允許兩個(gè)數(shù)據(jù)中心使用同一個(gè)IP地址。這意味著同一個(gè)IP地址（主機(jī)路徑）被發(fā)布為不同的metric。上游路由器可以同時(shí)看到兩條路徑，并將metric更好的路徑插入到其路由表中。當(dāng)設(shè)備啟用RHI時(shí)，它將在VIP可用時(shí)將靜態(tài)路徑注入到設(shè)備的路由表中。當(dāng)VIP失效時(shí)，該靜態(tài)路徑將刪除。如果設(shè)備發(fā)生了故障，上游路由器使用的另一條路徑將到達(dá)服務(wù)器，從而實(shí)現(xiàn)高可用性。7LISPLISP（LocatorIDSeparationProtocol）實(shí)質(zhì)是個(gè)IPinIP的協(xié)議，LISP提出將標(biāo)識(shí)Locator的IP（RLOC）和標(biāo)識(shí)目的節(jié)點(diǎn)ID的IP（EID）進(jìn)行區(qū)分和疊加封裝，在公網(wǎng)傳輸時(shí)只根據(jù)LocatorIP轉(zhuǎn)發(fā)，只有到達(dá)站點(diǎn)邊緣時(shí)才會(huì)剝離外層IP，使用內(nèi)層標(biāo)識(shí)EID的IP進(jìn)行轉(zhuǎn)發(fā)。8云安全－網(wǎng)卡與交換機(jī)網(wǎng)絡(luò)虛擬化技術(shù)使得網(wǎng)絡(luò)邊緣向宿主服務(wù)器內(nèi)部延伸，部分虛擬機(jī)間的流量可以由虛擬交換機(jī)轉(zhuǎn)發(fā)而不流經(jīng)外部的網(wǎng)絡(luò)設(shè)備，傳統(tǒng)的邊界網(wǎng)絡(luò)安全設(shè)備，例如防火墻、IPS、UTM等不能全面了解宿主服務(wù)器內(nèi)部的網(wǎng)絡(luò)拓?fù)洌瑹o法對(duì)宿主服務(wù)器內(nèi)部轉(zhuǎn)發(fā)的網(wǎng)絡(luò)流量進(jìn)行有效地監(jiān)管。為了更清楚地感知虛擬機(jī)網(wǎng)絡(luò)流量、把握虛擬化后的網(wǎng)絡(luò)邊界、進(jìn)行安全管控，有兩種不同的解決方法。虛擬服務(wù)器邊界VMMNICVM1VM2VMn…虛擬網(wǎng)卡虛擬網(wǎng)卡虛擬網(wǎng)卡虛擬交換VirtualSwitchingMAC/PHY接入交換機(jī)物理服務(wù)器邊界二層網(wǎng)絡(luò)邊界9虛機(jī)態(tài)網(wǎng)絡(luò)安全設(shè)備技術(shù)虛機(jī)態(tài)網(wǎng)絡(luò)安全設(shè)備是指?jìng)鹘y(tǒng)的硬件網(wǎng)絡(luò)安全設(shè)備(防火墻、IPS、UTM、防病毒網(wǎng)關(guān)等)由運(yùn)行在服務(wù)器虛擬化平臺(tái)上的虛擬機(jī)實(shí)現(xiàn)，用于監(jiān)控其他虛擬機(jī)間的網(wǎng)絡(luò)流量。虛機(jī)態(tài)安全設(shè)備的功能與硬件設(shè)備完全一致，部署方式采用透明模式、路由模式或混合模式。10物理設(shè)備處理虛機(jī)流量技術(shù)物理設(shè)備處理虛機(jī)流量技術(shù)則是要把所有的虛擬機(jī)網(wǎng)絡(luò)流量都發(fā)送到宿主服務(wù)器相連的物理交換機(jī)上進(jìn)行轉(zhuǎn)發(fā)處理，使用外部交換機(jī)上的流量統(tǒng)計(jì)、端口安全、ACL、QoS等功能對(duì)虛擬機(jī)的網(wǎng)絡(luò)流量進(jìn)行有力的監(jiān)控，代表技術(shù)包括Cisco的VN-Tag和HP的VEPA。11SDN與網(wǎng)絡(luò)虛擬化早期的網(wǎng)絡(luò)虛擬化的相關(guān)工作多在解決一些具體的問題，欠缺完整的技術(shù)體系與合理的組織結(jié)構(gòu)。軟件定義網(wǎng)絡(luò)（SDN）的興起也為網(wǎng)絡(luò)虛擬化提供了一個(gè)新的思路，如何利用SDN去實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化已然成為了一個(gè)熱門的話題。網(wǎng)絡(luò)虛擬化與SDN因?yàn)榇嬖谠S多類似的地方而常常被人混淆，其實(shí)SDN要做的是從底層數(shù)據(jù)平面分離出一個(gè)邏輯的中心控制平面，而網(wǎng)絡(luò)虛擬化根據(jù)邏輯網(wǎng)絡(luò)對(duì)底層網(wǎng)絡(luò)進(jìn)行抽象，兩者并非一個(gè)概念。不過思想上的相似性確是加強(qiáng)了它們之間的聯(lián)系。首先，SDN作為重構(gòu)網(wǎng)絡(luò)的技術(shù)被認(rèn)為是實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化的一種有效的手段；其次，SDN網(wǎng)絡(luò)的性能測(cè)試可以借助于已有的網(wǎng)絡(luò)虛擬化工具實(shí)現(xiàn)；最后，網(wǎng)絡(luò)虛擬化可以通過虛擬SDN交換機(jī)（事實(shí)上就是一些流表）來實(shí)現(xiàn)節(jié)點(diǎn)虛擬化。12網(wǎng)絡(luò)虛擬化網(wǎng)絡(luò)虛擬化本身的功能雖然已經(jīng)相當(dāng)齊備，然而各類技術(shù)都存在著一定的局限性，需要對(duì)網(wǎng)絡(luò)虛擬化技術(shù)進(jìn)行統(tǒng)一整合。這方面的主要成果主要來自產(chǎn)業(yè)界，其中代表性平臺(tái)如下：Nicira公司的NVP是一個(gè)純軟件實(shí)現(xiàn)的產(chǎn)品，它將網(wǎng)絡(luò)的控制功能從底層的網(wǎng)絡(luò)硬件中解耦出來，交由虛擬的網(wǎng)絡(luò)層面處理。這種網(wǎng)絡(luò)的虛擬化極大地簡(jiǎn)化了網(wǎng)絡(luò)的構(gòu)建和管理，已經(jīng)在AT&T、eBay、FidelityInvestments、NTT和Rackspace等公司廣泛應(yīng)用。Cisco公司的OnePK是一套方便開發(fā)者在Cisco的設(shè)備上自動(dòng)部署服務(wù)的工具。借助于Cisco的路由器和交換機(jī)的可編程性，OnePK可以讓網(wǎng)絡(luò)高效地適應(yīng)變化的應(yīng)用需求，提供更高靈活性的同時(shí)，降低了運(yùn)營(yíng)維護(hù)的成本，讓網(wǎng)絡(luò)的性能充分釋放出來。Juniper公司的Junosphere是一套借助于云計(jì)算架構(gòu)實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)平臺(tái)，其完全依托于自身的基礎(chǔ)設(shè)施，對(duì)外提供Web訪問服務(wù)。