白皮书：VMware NSX 网络虚拟化平台

　　VMware 软件定义的数据中心（SDDC）愿景采用了一系列核心数据中心虚拟化技术，借助可充分利用并扩展现有计算、网络和存储基础架构投资的自动化及无中断部署，能够大幅提高数据中心的经济效益和业务敏捷性。当前，企业数据中心极大地受益于服务器和存储虚拟化解决方案，它们借此整合了基础架构资源并调整了用途、降低了运维复杂性，并且根据业务优先事项动态调整和扩展了应用基础架构。但是，数据中心网络却未能跟上这一步伐，仍存在僵化、复杂、专有和拒绝创新等问题，这是实现虚拟化和 SDDC 全部潜能的一大障碍。

　　VMware NSX 网络虚拟化平台的推出，为 VMware 软件定义的数据中心（SDDC）体系结构提供了第三个重要支柱。NSX 网络虚拟化使网络连接也能享有 VMware 已经为计算和存储提供的服务。与服务器虚拟化允许操作员以编程方式按需创建、拍摄快照、删除和还原基于软件的虚拟机（VM）的方式大致相同，NSX 支持按需创建、保存、删除和还原虚拟网络，而无需对物理网络进行任何重新配置。结果是从根本上转变数据中心网络的运维模式，将网络调配时间从数天或数周缩短至数分钟，极大简化了网络操作。

　　NSX 是一款可部署在任何 IP 网络中的无中断解决方案，包括现有的数据中心网络设计，以及任何网络连接供应商提供的新一代结构架构。只需采用 NSX，您就拥有了交付软件定义的数据中心所需的物理网络基础架构。

　　传统的网络连接方法不仅妨碍当今组织实现软件定义的数据中心的全部承诺，也使他们面临灵活性受限和运维方面的挑战。

　　服务器和存储虚拟化解决方案极大地转变了数据中心，其优势在于通过自动化大幅节省了运维成本，通过整合与硬件独立性节约了资金，以及通过按需进行的自助调配方法提高了敏捷性。然而，尽管这些收获十分可观，但这些解决方案仍有大量潜能尚未得到开发。更确切地说，过时的网络运维模式使得这些企业的发展受到阻碍。

　　网络连接和网络服务一直拘泥现状，无法跟上服务器和存储解决方案的发展步伐。尽管这些解决方案可以快速调配，但由于网络连接服务仍需手动调配且受限于供应商特定的硬件和拓扑，因此受到制约。这直接影响了应用部署时间，因为应用同时需要计算和网络连接资源。

　　当前运维模式下，为支持应用部署而调配网络服务时，该过程速度缓慢、需要手动操作且易于 出错。网络操作员依赖终端、键盘、编写脚本和 CLI 来操作众多 VLAN、防火墙规则、负载均衡器以及 ACL、QoS、 VRF 和 MAC/IP 表。由于需要确保对某个应用的网络更改不会对其他应用造成不利影响，因此进一步加大了复杂性和风险。鉴于这一情况的复杂性，也就不难理解为何近期有多项研究都指出，60% 以上的网络停机和 / 或安全违规是由手动配置错误引起的。结果就是，除了频繁出现难以避免的配置错误，IT 对新业务要求的响应速度也过于缓慢，因为计算和存储基础架构快速调整用途后须等待网络跟上步伐才能正常运行。

　　当前由于采用以设备为中心的网络连接方法，工作负载的移动范围限制在各个物理子网和可用性区域内。为获得数据中心的可用计算资源，网络操作员不得不按部就班地手动配置 VLAN、ACL、 防火墙规则等。此流程不仅缓慢、复杂，而且最终将达到配置上限（例如，总计 4096 个 VLAN）。组织通常会选择 以高昂成本为每个应用 / 网络连接单元超额调配服务器容量，这就导致资源闲置和资源利用率不佳。

　　其他数据中心网络连接挑战 数据中心网络连接团队在传统网络连接方法上面临的相关挑战包括 :

　　应对这些挑战的解决办法就是对网络进行虚拟化，即针对网络连接执行已对计算和存储执行的相同操作。事实上，网络虚拟化在概念上与服务器虚拟化极其相似（参见图 1）。

　　借助服务器虚拟化，软件抽象层（服务器 hypervisor）将在软件中重现熟悉的 x86 物理服务器属性（如 CPU、RAM、磁盘、 网卡），允许它们以编程方式组建为任意组合，从而在数秒内生成唯一的虚拟机（VM）。

　　借助网络虚拟化，与“网络 hypervisor”对等的功能可在软件中重现第 2 至 7 层的全套网络连接服务（如交换、路由、 访问控制、防火墙、服务质量和负载均衡）。因此，这些服务也能够通过编程方式组成任意组合，只不过在这种情况下，能够在几秒钟内生成的是唯一虚拟网络。

　　毫无疑问，这也会产生类似的优势。例如，正如虚拟机独立于底层 x86 平台并允许 IT 将物理主机视为计算容量池，虚拟网络也独立于底层 IP 网络硬件，并允许 IT 将物理网络视为一个可以按需使用和调整用途的容量传输池。

　　更重要的是，网络虚拟化提供了坚实的基础，可帮助解决阻碍当今组织实现软件定义的数据中心的全部潜能的网络连接挑战。

　　相比新兴的硬件定义的数据中心（HDDC）替代方法，采用软件定义的数据中心 （SDDC）方法来构建新一代数据中心具有多项极具吸引力的优势。首先，SDDC 是经过验证的方法。实际上，该方法将基于软件的高级智能内置于应用和平台中，Google 和 Amazon 正是借此才得以提供当今世界最大、最敏捷且最高效的数据中心。 SDDC 的另一个主要优势是，它会按照软件发布的速度进行创新，而不是遵循 3 至 5 年（或更久）的 ASIC 和硬件升级周期。此外，采用新的创新成果时，无需再对硬件进行彻底升级。最重要的是，软件定义的数据中心可与现有物理基础架构协同工作，并且能够按照组织选择的任意节奏随现有配置进行无中断部署。

　　VMware NSX 是 VMware 推出的市场领先的网络虚拟化实施方案。NSX 提供了全新的网络连接运维模式，可突破当前物理网络障碍，使数据中心操作员得以将敏捷性、经济性和选择性提高若干数量级。

　　借助 NSX，可以利用底层物理网络作为简单的数据包转发底板，以编程方式创建、调配和管理虚拟网络。以软件形式提供的网络和安全服务会按照针对各连接应用定义的网络连接和安全策略，分发到 hypervisor 并“附加”至各台虚拟机。当虚拟机移动到另一台主机时，其网络连接和安全服务也会随之移动。此外，在创建新虚拟机以扩展应用时，必要策略也会动态应用于这些虚拟机。

　　最终结果是提供了一种革命性的数据中心网络连接方法，该方法还可通过将服务交付时间从数周缩短至数秒来满足当今企业的速度需求，而这只是其众多优势之一。

　　以下几张图显示了 NSX 的基本工作原理。 基于这些图，还可以进一步了解 NSX 解决 方案所具有的技术特征、功能和价值主张。

　　图 2：NSX 是一款多 hypervisor 解决方案，该方案会利用数据中心内各服务器 hypervisor 中已存在的虚拟交换机。NSX 会协调这些虚拟交换机及推送给交换机的网络服务，以便连接的虚拟机高效地提供一个用于创建虚拟网络的平台，即“网络 hypervisor”。

　　与虚拟机充当软件容器向应用提供逻辑计算服务的情况类似，虚拟网络也可用作软件容器向连接的工作负载提供逻辑网络服务，如逻辑交换机、逻辑路由器、逻辑防火墙、逻辑负载均衡器、逻辑 VPN 等。这些网络和安全服务以软件形式提供，而且只需从底层物理网络转发 IP 数据包。

　　图 3：可利用云计算管理平台（CMP）对虚拟网络进行调配，该平台使用 NSX Controller 公开的 RESTful API，请求针对相应工作负载将虚拟网络和安全服务实例化

　　（步骤 1）。Controller 随后会向相应的虚拟交换机分发必要的服务，并以逻辑方式将 这些服务附加至相应的工作负载（步骤 2）。

　　此方法不仅允许不同虚拟网同一 hypervisor 上的不同工作负载相关联，还支持创建从基础虚拟网络（包含至少两个节点）到极为高级的架构（与用于交付多层应用的复杂多分段网络拓扑匹配）的所有内容。

　　图 4a 和 4b：对于连接的工作负载而言，虚拟网络在外观和操作方面都与传统物理网络类似。工作负载会“看到”与传统物理配置中相同的第 2 层、第 3 层及第 4-7 层网络服务。只是这些网络服务现为分布式软件模块（运行于本地主机上的 hypervisor）的逻辑实例，并应用于虚拟交换机的虚拟接口。

　　图 5a 和 5b：在虚拟交换机虚拟接口应用 / 强制实施安全服务的能力还可消除“发夹式”传输，这是传统物理网络体系结构中一项令人失望的“功能”，在该体系结构中，东西向通信流量（例如，位于同一 hypervisor，但位于不同子网的两台虚拟机之间的流量）需要流经网络才能到达路由、防火墙等基本服务。借助 NSX，此类效率低下的流量模式（往往会导致核心链接超额订购）将不复存在。

　　NSX 能够同时向 IT 和大规模业务提供价值，这要得益于多项主要的功能和特征。其中就包括与现有网络基础架构配合使用、支持逐步采用网络虚拟化，以及显着降低网络复杂性的能力。

　　简单而言，NSX 可与以下各项配合使用 :

　　NSX 网络虚拟化并非一种“无所不能抑或一无是处”的方案。因为使用 NSX 虚拟网络无需对底层物理网络的配置进行更改（只需允许封装数据包通过现有防火墙），它们能够以透明方式与当前物理网络上的现有应用部署共存。IT 部门可以灵活地对网络的各个部分进行虚拟化，只需向 NSX 平台添加 hypervisor 节点。此外，对于能够实现虚拟网络与物理网络无缝互连的网关而言，您可以从 VMware 获得软件式网关，也可以从多家 NSX 合作伙伴的架顶式交换机硬件获得硬件网关。例如，可使用这些网关来支持连接到虚拟网络的工作负载进行 Internet 访问，或者将旧式 VLAN 和裸机工作负载直接连接到虚拟网络。

　　NSX 将虚拟网络从底层物理网络抽取出来，从而提高了自动化水平。操作员无需与物理网络进行交互，因而避免了各个平台之间的不一致问题。操作员也无需处理 VLAN、ACL、生成树、一系列复杂的防火墙规则以及复杂的“发夹式”流量传输模式，因为对网络进行虚拟化后就无需再使用这些内容。NSX 网络虚拟化并非一种“无所不能抑或一无是处”的方案。随着各个组织逐步扩大对 NSX 虚拟网络的采用，他们可以不断精简物理网络的配置和设计。局限于一家供应商的情况已不复存在，因为物理网络只需提供可靠的高速数据包转发，然后就可以混搭来自不同产品线和供应商的硬件。

　　默认情况下，每个虚拟网络在自己的地址空间内运行，因此它在本质上与所有其他虚拟网络和底层物理网络相隔离。此方法有效实现了“权限尽可能少”原则，且无需物理子网、 VLAN、ACL 或防火墙规则。借助这种方法，还可以让单独的开发、测试和生产虚拟网络（每个网络使用不同的应用版本，但使用同一个 IP 地址）在同一底层物理基础架构上同时运行。此外，NSX 虚拟网络可轻松支持多层网络环境。 例如，多个第 2 层网段、第 3 层网段和 / 或单个第 2 层网段上的微分段（使用分布式防火墙规则）可以按任意组合实施，以对 n 层 Web 应用的不同组件之间的流量进行有效分段。

　　最终结果是，在真实的生产 NSX 部署中，单个控制器集群能提供 10,000 多个虚拟网络，为超过 100,000 台虚拟机提供支持。

　　采用传统网络连接方法的情况下，配置和转发状态信息会分布于大量不同的网络设备。此情形往往会影响可见性，并且可能会影响相关故障排除工作。相比之下，NSX 在一个位置提供所有网络连接和服务的一切配置和状态信息。可以轻松访问所有 NSX 组件和虚拟网络要素（逻辑交换机、路由器等）的连接状态和日志，以及虚拟网络拓扑和底层物理网络之间的对应关系。此外，网络管理员还可以继续利用他们一直使用的所有熟悉的监控、管理和分析工具。

　　NSX 极其灵活、高度可延展且受到广泛支持。借助强大的流量引导功能，可以针对每个应用工作负载，将网络和安全服务的任意组合按应用策略定义的任意顺序链接在一起。这种高度的灵活性不仅适用于本机 NSX 服务，也适用于多种兼容的第三方解决方案，包括新一代防火墙、应用交付控制器和防入侵系统的虚拟和物理实例。借助 NSX，网络和安全团队能够在虚拟网络环境内利用熟悉的产品和技术，从而提高运维效率并确保服务交付的一致性，同时让组织可以从对基于硬件的网络连接和安全解决方案的现有投资中获得最大价值。合作伙伴推出了一系列与 NSX 兼容的产品，这也表明了业界对 NSX 的广泛认可，以及 NSX 网络虚拟化实现的对新运维模式的支持。

　　现在，多家全球顶级规模的服务提供商、全球金融和企业数据中心已将 NSX 大规模部署到整个生产环境中。AT&T、NTT、Rackspace、eBay 和 PayPal 只是已利用 NSX 对其网络进行虚拟化的一小部分公司，现已受益于这款变革性解决方案提供的速度和运维效率。典型使用情形包括：

　　最重要的是，NSX 可以将网络和安全调配与计算 / 存储调配协调一致，从而使组织能够以前所未有的速度开发、测试和部署新应用。对于许多 NSX 客户而言，缩短销售就绪时间带来了切实的竞争优势，并增加了总收入。

　　传统网络过于僵化，其功能的发展速度也过于缓慢。相比之下，NSX 虚拟网络可以实时进行重新配置，而且可以在新服务推出后根据需要插入，而无论服务是虚拟还是物理形式。此外，网络连接功能现在能够以软件发布周期的速度（数月）发展，而不是遵循硬件发布周期及更新 / 升级速度（数年）。 该解决方案的其他方面提供了大的灵活性。例如，NSX 虚拟网络能够适应重叠的 IP 地址并在分散于各地的数据中心之间提供第 2 层邻接关系，使得组织能够极其轻松地利用混合云配置（例如，针对云分流 / 突发）。利用 NSX 网络虚拟化的软件定义的数据中心体系结构还可让内外部数据中心具备不同的物理网络硬件。这不仅支持轻松集成以进行数据中心合并和收购，还支持最广泛的外部服务提供商选择。相比之下，HDDC 体系结构需要所有数据中心（内部或外部）具备相同版本的物理硬件才能交付一致的服务。

　　借助 NSX，工作负载可以在各子网和可用性区域之间自由移动（或 “vMotion”），而且工作负载的安置也不依赖于指定位置的物理拓扑及物理网络服务的可用性。从网络连接角度来看，无论虚拟机所处物理位置如何，它所需要的一切内容均通过 NSX 提供。此功能的一项重要优势在于，再也无需在每个应用 / 网络单元中超额调配服务器容量。组织可以在任意位置利用可用资源，从而能够显着优化资源利用率和整合率。

　　NSX 利用多种不同方式提高了网络安全性。首先，可以更加精细地应用各个策略。规则并非主要（甚至仅仅）绑定到 IP 地址，而是可以根据虚拟容器、应用和 Active Directory 身份标识来应用规则，此外，通过利用虚拟机自检功能，还支持更多规则。策略实施日趋动态化且分布更广泛，这为网络安全性方面带来了另外两项优势。

　　使用传统网络连接方法时，要利用备份站点进行灾难恢复就需要在成本和功能之间取得平衡。相对在另一个位置按原样重现网络拓扑和服务，大多数组织都会选择一款所谓“出色”的解决方案，往往会通过减少主要数据中心的功能的方式来折衷实现降低成本的目的。NSX 让您无需妥协。借助随组织的计算和存储虚拟化解决方案一起运行的 NSX 网络虚拟化，IT 可以为整个“应用体系结构”创建快照，然后将副本发送至灾难恢复站点，该站点已做好随时在任何硬件上进行一键式恢复的准备，并且所有功能都齐备。

　　NSX 可降低网络的总体拥有成本（TCO）。NSX 提供了大量降低与网络连接相关的运营开销和资金开销的机会。例如，NSX 具有以下优势：

　　最终，企业和服务提供商均可在网络方面节省一定的周期性和经常性成本，即使没有数百万也有数千美元。

　　作为用于网络虚拟化的平台，VMware NSX 将网络服务与数据中心网络硬件分离，并在软件中重现和提供这些服务，以便它们按任意组合在所需位置以编程方式进行配置，并且在配置过程中与所服务的工作负载保持同步。通过配合使用熟悉的服务器和存储虚拟解决方案带来的功能和优势，这种革命性的网络连接方法能够释放软件定义的数据中心的全部潜力，从而使数据中心管理人员能够将敏捷性、经济性和选择性提高若干数量级。此外，通过允许组织充分利用现有物理网络基础架构和投资，NSX 能够完成所有这些任务。借助 NSX，组织已拥有当今新一代数据中心所需的网络。