對網(wǎng)絡(luò)虛擬化的一些關(guān)鍵特征做一番檢討，將有助于企業(yè)做好明年的規(guī)劃，建構(gòu)新一代系統(tǒng)。而我發(fā)現(xiàn)，有關(guān)網(wǎng)絡(luò)虛擬化的最佳信息來源都在Nicira。任何想要建構(gòu)網(wǎng)絡(luò)虛擬化基礎(chǔ)設(shè)施的企業(yè)都應(yīng)該對其予以關(guān)注。

下面所列出的七大特征均摘自Nicira的一篇白皮書：“網(wǎng)絡(luò)虛擬化的七大特征”。

1、獨立于網(wǎng)絡(luò)硬件

在新興的多租戶云中，廠商鎖定的舊規(guī)則正在迅速瓦解。網(wǎng)絡(luò)虛擬化平臺必須是能夠在任意網(wǎng)絡(luò)硬件上運行的，這很像x86服務(wù)器hypervisor能夠在任意廠商的服務(wù)器上運行一樣。這種獨立性意味著物理網(wǎng)絡(luò)可以是硬件廠商產(chǎn)品的任意組合。隨著時間的推移，能夠更好地支持虛擬化和商品化的更新的架構(gòu)會越來越普及，從而進(jìn)一步改善云的資本效益。

2、忠實復(fù)制物理網(wǎng)絡(luò)服務(wù)模式

數(shù)量極其龐大的企業(yè)應(yīng)用都不是作為Web應(yīng)用開發(fā)的，而再去花費數(shù)十億美元將這些應(yīng)用重新改寫既不現(xiàn)實也無可能。因此，一個網(wǎng)絡(luò)虛擬化平臺必須能夠支持今天任何一個物理環(huán)境下運行的任意工作負(fù)載。而為了做到這一點，它必須完全重建2層和3層的語義環(huán)境，包括支持廣播和組播。除此之外，它還必須能夠提供現(xiàn)有網(wǎng)絡(luò)所提供的高等級網(wǎng)絡(luò)服務(wù)，諸如ACL、負(fù)載均衡以及WAN優(yōu)化等。

同樣重要的是，虛擬網(wǎng)絡(luò)解決方案可完全虛擬網(wǎng)絡(luò)地址空間。一般來說，虛擬網(wǎng)絡(luò)要么是從物理環(huán)境遷移而來，要么是與物理網(wǎng)絡(luò)相集成的，要改變虛機(jī)(VM)的現(xiàn)有地址是沒有可能的。因此，重要的是，虛擬網(wǎng)絡(luò)環(huán)境不能命令或者限制虛擬網(wǎng)絡(luò)中所使用的地址，并且應(yīng)允許各虛擬網(wǎng)絡(luò)間相互覆蓋IP和MAC地址。

3、遵循計算虛擬化的運營模式

計算虛擬化的一個關(guān)鍵特征就是能夠把一個虛機(jī)作為一個軟狀態(tài)來處理，換句話說，該虛機(jī)可以遷移、暫停、重用、快照，以及回退到之前的配置。為了在虛擬環(huán)境中的無縫集成，網(wǎng)絡(luò)虛擬化解決方案必須能夠支持同樣的控制和靈活性。

4、與任何hypervisor平臺兼容

網(wǎng)絡(luò)虛擬化平臺還必須能夠與全系服務(wù)器hypervisor共同工作，包括Xen、XenServer、KVM、ESX和Hyper-V，并具備跨任意網(wǎng)絡(luò)底層和hypervisor環(huán)境、控制虛擬化網(wǎng)絡(luò)連接性的能力。這種“any-to-any”范式改變可提供：

● 更高效地利用現(xiàn)有網(wǎng)絡(luò)投資

● 減少新的、3層架構(gòu)創(chuàng)新的成本和管理復(fù)雜度

● 工作負(fù)載可從企業(yè)向云服務(wù)環(huán)境遷移

#p#

5、虛擬網(wǎng)絡(luò)、物理網(wǎng)絡(luò)和控制平面之間的安全隔離

多租戶要求最大限度地提高計算、存儲和網(wǎng)絡(luò)資產(chǎn)的使用率，途徑是共享物理基礎(chǔ)設(shè)施。網(wǎng)絡(luò)虛擬化平臺在維持這種資源整合的同時還要提供根據(jù)監(jiān)管規(guī)則所需的隔離，提供與計算虛擬化同樣的安全保障。和計算虛擬化一樣，網(wǎng)絡(luò)虛擬化平臺應(yīng)可在各個虛擬網(wǎng)絡(luò)之間提供嚴(yán)格的地址隔離(也就是說一個虛擬網(wǎng)絡(luò)不能非有意地訪問另一個虛擬網(wǎng)絡(luò))，同時也在虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)之間進(jìn)行地址隔離。最后這一性質(zhì)也讓物理網(wǎng)絡(luò)無法成為攻擊目標(biāo)，除非虛擬平臺自身遭到破壞。

6、云的性能和規(guī)模

在單一數(shù)據(jù)中心里，云推動著租戶、服務(wù)器以及應(yīng)用規(guī)模的急劇增長。然而，現(xiàn)有網(wǎng)絡(luò)仍然受限于網(wǎng)絡(luò)的物理限制，尤其是受到VLAN數(shù)量的限制(僅限于4096個)。VLAN是在服務(wù)器虛擬化極大地擴(kuò)展了對虛擬隔離環(huán)境數(shù)量的需求之前設(shè)計出來的。網(wǎng)絡(luò)虛擬化必須能夠支持相當(dāng)大規(guī)模的網(wǎng)絡(luò)部署，例如數(shù)萬個甚至數(shù)十萬個虛擬網(wǎng)絡(luò)。這不僅能允許更大量租戶的存在，而且還可支持諸如災(zāi)備、數(shù)據(jù)中心租用等關(guān)鍵服務(wù)。

虛擬網(wǎng)絡(luò)解決方案還不應(yīng)在網(wǎng)絡(luò)中產(chǎn)生任何阻塞點或失效點。粗略地來講，這就意味著解決方案的所有組件都必須是完全分布式部署的，所有網(wǎng)絡(luò)路徑均應(yīng)支持多路徑和故障切換功能。最后，網(wǎng)絡(luò)虛擬化解決方案還不能嚴(yán)重影響到數(shù)據(jù)路徑的性能。因?qū)嵤┚W(wǎng)絡(luò)虛擬化所需的數(shù)據(jù)路徑上的檢測次數(shù)應(yīng)該與現(xiàn)在數(shù)據(jù)路徑的表現(xiàn)相同。在網(wǎng)絡(luò)邊緣用軟件實現(xiàn)網(wǎng)絡(luò)全虛擬，且仍能以全10G線速執(zhí)行也是可能的。

7、可編程網(wǎng)絡(luò)預(yù)配置與預(yù)控制

從傳統(tǒng)上說，網(wǎng)絡(luò)都是一次配置一個設(shè)備，盡管這一過程可借助腳本(也就是模仿單個的配置)來加快?，F(xiàn)有的方法無法加快網(wǎng)絡(luò)配置，易出現(xiàn)錯誤，而且可能會因為錯誤的輸入而打開了安全漏洞。在大規(guī)模云部署環(huán)境中，這樣的過程即提高了風(fēng)險程度，也提高而來手動配置成本，從而影響到服務(wù)的速度和/或贏利能力。

網(wǎng)絡(luò)虛擬化解決方案應(yīng)能全盤控制所有的虛擬網(wǎng)絡(luò)資源，并可通過編程手段來管理這些資源。這就是說，配置可在服務(wù)等級上發(fā)生，而不是在要素等級上發(fā)生，這可以極大地簡化配置邏輯，避免由于物理網(wǎng)絡(luò)節(jié)點失靈而發(fā)生任何中斷。可編程API應(yīng)能提供對虛擬網(wǎng)絡(luò)的全盤管理和配置，不僅要在云的時序規(guī)模上支持動態(tài)配置，而且還要有聯(lián)機(jī)引入和配置服務(wù)的能力。

結(jié)論

上述這七大關(guān)鍵特征對于企業(yè)架構(gòu)的需求來說是一個良好的起點。好消息是，企業(yè)可以在不必做大的改動的情況下就享受到網(wǎng)絡(luò)虛擬化的這些好處。企業(yè)真正需要做的就是了解這種新的方法，并與技術(shù)思想領(lǐng)導(dǎo)人相互溝通。(波波編譯)

(本文作者Bob Gourley是美國國防情報局(DIA)的前任CTO，后創(chuàng)辦科技研究與顧問公司Crucial Point LLC，并出任CTO。)