對(duì)網(wǎng)絡(luò)虛擬化的一些關(guān)鍵特征做一番檢討，將有助于企業(yè)做好明年的規(guī)劃，建構(gòu)新一代系統(tǒng)。而我發(fā)現(xiàn)，有關(guān)網(wǎng)絡(luò)虛擬化的最佳信息來(lái)源都在Nicira。任何想要建構(gòu)網(wǎng)絡(luò)虛擬化基礎(chǔ)設(shè)施的企業(yè)都應(yīng)該對(duì)其予以關(guān)注。

下面所列出的七大特征均摘自Nicira的一篇白皮書(shū)：“網(wǎng)絡(luò)虛擬化的七大特征”。

1、獨(dú)立于網(wǎng)絡(luò)硬件

在新興的多租戶云中，廠商鎖定的舊規(guī)則正在迅速瓦解。網(wǎng)絡(luò)虛擬化平臺(tái)必須是能夠在任意網(wǎng)絡(luò)硬件上運(yùn)行的，這很像x86服務(wù)器hypervisor能夠在任意廠商的服務(wù)器上運(yùn)行一樣。這種獨(dú)立性意味著物理網(wǎng)絡(luò)可以是硬件廠商產(chǎn)品的任意組合。隨著時(shí)間的推移，能夠更好地支持虛擬化和商品化的更新的架構(gòu)會(huì)越來(lái)越普及，從而進(jìn)一步改善云的資本效益。

2、忠實(shí)復(fù)制物理網(wǎng)絡(luò)服務(wù)模式

數(shù)量極其龐大的企業(yè)應(yīng)用都不是作為Web應(yīng)用開(kāi)發(fā)的，而再去花費(fèi)數(shù)十億美元將這些應(yīng)用重新改寫(xiě)既不現(xiàn)實(shí)也無(wú)可能。因此，一個(gè)網(wǎng)絡(luò)虛擬化平臺(tái)必須能夠支持今天任何一個(gè)物理環(huán)境下運(yùn)行的任意工作負(fù)載。而為了做到這一點(diǎn)，它必須完全重建2層和3層的語(yǔ)義環(huán)境，包括支持廣播和組播。除此之外，它還必須能夠提供現(xiàn)有網(wǎng)絡(luò)所提供的高等級(jí)網(wǎng)絡(luò)服務(wù)，諸如ACL、負(fù)載均衡以及WAN優(yōu)化等。

同樣重要的是，虛擬網(wǎng)絡(luò)解決方案可完全虛擬網(wǎng)絡(luò)地址空間。一般來(lái)說(shuō)，虛擬網(wǎng)絡(luò)要么是從物理環(huán)境遷移而來(lái)，要么是與物理網(wǎng)絡(luò)相集成的，要改變虛機(jī)(VM)的現(xiàn)有地址是沒(méi)有可能的。因此，重要的是，虛擬網(wǎng)絡(luò)環(huán)境不能命令或者限制虛擬網(wǎng)絡(luò)中所使用的地址，并且應(yīng)允許各虛擬網(wǎng)絡(luò)間相互覆蓋IP和MAC地址。

3、遵循計(jì)算虛擬化的運(yùn)營(yíng)模式

計(jì)算虛擬化的一個(gè)關(guān)鍵特征就是能夠把一個(gè)虛機(jī)作為一個(gè)軟狀態(tài)來(lái)處理，換句話說(shuō)，該虛機(jī)可以遷移、暫停、重用、快照，以及回退到之前的配置。為了在虛擬環(huán)境中的無(wú)縫集成，網(wǎng)絡(luò)虛擬化解決方案必須能夠支持同樣的控制和靈活性。

4、與任何hypervisor平臺(tái)兼容

網(wǎng)絡(luò)虛擬化平臺(tái)還必須能夠與全系服務(wù)器hypervisor共同工作，包括Xen、XenServer、KVM、ESX和Hyper-V，并具備跨任意網(wǎng)絡(luò)底層和hypervisor環(huán)境、控制虛擬化網(wǎng)絡(luò)連接性的能力。這種“any-to-any”范式改變可提供：

● 更高效地利用現(xiàn)有網(wǎng)絡(luò)投資

● 減少新的、3層架構(gòu)創(chuàng)新的成本和管理復(fù)雜度

● 工作負(fù)載可從企業(yè)向云服務(wù)環(huán)境遷移

5、虛擬網(wǎng)絡(luò)、物理網(wǎng)絡(luò)和控制平面之間的安全隔離

多租戶要求最大限度地提高計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資產(chǎn)的使用率，途徑是共享物理基礎(chǔ)設(shè)施。網(wǎng)絡(luò)虛擬化平臺(tái)在維持這種資源整合的同時(shí)還要提供根據(jù)監(jiān)管規(guī)則所需的隔離，提供與計(jì)算虛擬化同樣的安全保障。和計(jì)算虛擬化一樣，網(wǎng)絡(luò)虛擬化平臺(tái)應(yīng)可在各個(gè)虛擬網(wǎng)絡(luò)之間提供嚴(yán)格的地址隔離(也就是說(shuō)一個(gè)虛擬網(wǎng)絡(luò)不能非有意地訪問(wèn)另一個(gè)虛擬網(wǎng)絡(luò))，同時(shí)也在虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)之間進(jìn)行地址隔離。最后這一性質(zhì)也讓物理網(wǎng)絡(luò)無(wú)法成為攻擊目標(biāo)，除非虛擬平臺(tái)自身遭到破壞。

6、云的性能和規(guī)模

在單一數(shù)據(jù)中心里，云推動(dòng)著租戶、服務(wù)器以及應(yīng)用規(guī)模的急劇增長(zhǎng)。然而，現(xiàn)有網(wǎng)絡(luò)仍然受限于網(wǎng)絡(luò)的物理限制，尤其是受到VLAN數(shù)量的限制(僅限于4096個(gè))。VLAN是在服務(wù)器虛擬化極大地?cái)U(kuò)展了對(duì)虛擬隔離環(huán)境數(shù)量的需求之前設(shè)計(jì)出來(lái)的。網(wǎng)絡(luò)虛擬化必須能夠支持相當(dāng)大規(guī)模的網(wǎng)絡(luò)部署，例如數(shù)萬(wàn)個(gè)甚至數(shù)十萬(wàn)個(gè)虛擬網(wǎng)絡(luò)。這不僅能允許更大量租戶的存在，而且還可支持諸如災(zāi)備、數(shù)據(jù)中心租用等關(guān)鍵服務(wù)。

虛擬網(wǎng)絡(luò)解決方案還不應(yīng)在網(wǎng)絡(luò)中產(chǎn)生任何阻塞點(diǎn)或失效點(diǎn)。粗略地來(lái)講，這就意味著解決方案的所有組件都必須是完全分布式部署的，所有網(wǎng)絡(luò)路徑均應(yīng)支持多路徑和故障切換功能。最后，網(wǎng)絡(luò)虛擬化解決方案還不能?chē)?yán)重影響到數(shù)據(jù)路徑的性能。因?qū)嵤┚W(wǎng)絡(luò)虛擬化所需的數(shù)據(jù)路徑上的檢測(cè)次數(shù)應(yīng)該與現(xiàn)在數(shù)據(jù)路徑的表現(xiàn)相同。在網(wǎng)絡(luò)邊緣用軟件實(shí)現(xiàn)網(wǎng)絡(luò)全虛擬，且仍能以全10G線速執(zhí)行也是可能的。

7、可編程網(wǎng)絡(luò)預(yù)配置與預(yù)控制

從傳統(tǒng)上說(shuō)，網(wǎng)絡(luò)都是一次配置一個(gè)設(shè)備，盡管這一過(guò)程可借助腳本(也就是模仿單個(gè)的配置)來(lái)加快?，F(xiàn)有的方法無(wú)法加快網(wǎng)絡(luò)配置，易出現(xiàn)錯(cuò)誤，而且可能會(huì)因?yàn)殄e(cuò)誤的輸入而打開(kāi)了安全漏洞。在大規(guī)模云部署環(huán)境中，這樣的過(guò)程即提高了風(fēng)險(xiǎn)程度，也提高而來(lái)手動(dòng)配置成本，從而影響到服務(wù)的速度和/或贏利能力。

網(wǎng)絡(luò)虛擬化解決方案應(yīng)能全盤(pán)控制所有的虛擬網(wǎng)絡(luò)資源，并可通過(guò)編程手段來(lái)管理這些資源。這就是說(shuō)，配置可在服務(wù)等級(jí)上發(fā)生，而不是在要素等級(jí)上發(fā)生，這可以極大地簡(jiǎn)化配置邏輯，避免由于物理網(wǎng)絡(luò)節(jié)點(diǎn)失靈而發(fā)生任何中斷?？删幊藺PI應(yīng)能提供對(duì)虛擬網(wǎng)絡(luò)的全盤(pán)管理和配置，不僅要在云的時(shí)序規(guī)模上支持動(dòng)態(tài)配置，而且還要有聯(lián)機(jī)引入和配置服務(wù)的能力。

結(jié)論

上述這七大關(guān)鍵特征對(duì)于企業(yè)架構(gòu)的需求來(lái)說(shuō)是一個(gè)良好的起點(diǎn)。好消息是，企業(yè)可以在不必做大的改動(dòng)的情況下就享受到網(wǎng)絡(luò)虛擬化的這些好處。企業(yè)真正需要做的就是了解這種新的方法，并與技術(shù)思想領(lǐng)導(dǎo)人相互溝通。

(本文作者Bob Gourley是美國(guó)國(guó)防情報(bào)局(DIA)的前任CTO，后創(chuàng)辦科技研究與顧問(wèn)公司Crucial Point LLC，并出任CTO。)