六問六答：網絡虛擬化優勢及挑戰

網絡虛擬化不只是管理虛擬環境中的網絡，它實際上是對物理網絡及其組件比如交換機、端口以及路由器進行抽象。

采用網絡虛擬化，你可以將多個物理網絡抽象為一個虛擬網絡，或者將一個物理網絡分割為多個邏輯網絡。當然，網絡虛擬化也帶來了一些挑戰，包括虛擬交換機管理、安全問題以及虛擬網絡的流量監控。

專家Stephen Bigelow回答了如下問題：網絡虛擬化，內部虛擬網絡和外部虛擬網絡的區別，以及就資源使用、安全以及管理而言，虛擬網絡存在的優勢及不足。

什么是網絡虛擬化?

Stephen Bigelow：網絡虛擬化是使用基于軟件的抽象從物理網絡元素中分離網絡流量的一種方式。網絡虛擬化與其他形式的虛擬化有很多共同之處。

例如，存儲虛擬化允許組織將組織內部的所有存儲資源整合到一個存儲池中，然后再從存儲池中分配存儲容量。存儲虛擬化與企業所使用的存儲類型、存儲的物理位置無關。

對網絡虛擬化來說，抽象隔離了網絡中的交換機、網絡端口、路由器以及其他物理元素的網絡流量。每個物理元素被網絡元素的虛擬表示形式所取代。管理員能夠對虛擬網絡元素進行配置以滿足其獨特的需求。網絡虛擬化在此處的主要優勢是將多個物理網絡整合進更大的邏輯網絡中。反之，一個物理網絡也可以被劃分為多個邏輯網絡。

既然網絡虛擬化的抽象有效地消除了流量與物理網絡組件之間的任何聯系，那么就有必要采用綜合管理工具對虛擬網絡進行追蹤并監控。

內部網絡虛擬化和外部網絡虛擬化的區別

Stephen Bigelow：外部網絡虛擬化應用于適當的網絡中，影響了物理網絡中的諸多元素，比如布線、網絡適配器、交換機、路由器等等。外部網絡虛擬化將多個物理網絡整合為更大的邏輯網絡，或者將單個物理網絡劃分為多個邏輯網絡。

內部網絡虛擬化通過在虛擬服務器內部定義邏輯交換機以及網絡適配器，創建了一個或多個邏輯網絡。內部虛擬化網絡能夠連接運行在一臺服務器上的兩個或多個虛擬機，而且虛擬機之間的網絡流量不會經過物理網絡基礎設施。內部網絡虛擬化最小化了物理網絡上的網絡流量，是讓服務器內部相關的工作負載進行網絡通信的一種更快和更有效的方式。

然而，內部網絡虛擬化也引起了更多的網絡負載均衡以及遷移問題。一般來說，工作負載能夠遷移至具有足夠計算資源的任一物理服務器上。當工作負載連接至內部虛擬網絡時，這些工作負載可能需要一同遷移至同一臺服務器上。否則，它們需要將數據傳輸至外部網絡，這可能導致不可預料以及難以承受的網絡流量峰值，可能會對其他網絡流量造成破壞。

虛擬網絡軟件使用什么技術過程對網絡進行虛擬化?

Stephen Bigelow：虛擬網絡軟件對網絡進行虛擬化的過程概述如下：虛擬網絡軟件的構想是采用軟件引入一個抽象層，該抽象層將流量從物理網絡元素中分離出來。與此同時，網絡虛擬化還將創建虛擬組件，比如虛擬網絡適配器以及虛擬網絡交換機。管理員幾乎能夠以任何方式整合這些虛擬網絡元素，為組織構建規模任意的網絡或者創建共享同一物理網絡基礎設施的多個網絡。

網絡虛擬化依賴每個虛擬服務器上的網絡虛擬化軟件、內部的交換機(比如智能交換機)以及支持網絡虛擬化的其他網絡設備。當你考慮組合可能需要被虛擬化的多種設備時，有必要對需要協同工作以支持網絡虛擬化的硬件和軟件資源進行整合。舉例來說，Citrix和Vyatta提供了虛擬化網絡軟件產品，能夠為組織機構創建完整的虛擬化網絡堆棧。

網絡虛擬化如何改進網絡資源的使用?

Stephen Bigelow：網絡虛擬化是為了充分利用組織現有的資源。我們先從內部虛擬網絡講起，因為和外部虛擬網絡相比，內部虛擬網絡容易理解。

內部虛擬網絡借助基于軟件的虛擬交換機和虛擬網絡端口，使各種網絡負載能夠與同一物理服務器上的其他網絡負載共存。當同一臺物理服務器上的兩臺虛擬機交換數據時，網絡流量并不會經過外部網絡。工作負載只在物理服務器的內存中交換數據。對工作負載之間的數據傳輸來說，這提供了極其快速的性能。因為數據不需要流經外部網絡，解放了網絡中其他服務器及任務所需要的帶寬。

外部網絡虛擬化分割并隔離網絡，改進網絡流量并增加安全性的方式與內部網絡虛擬化有一些不同之處。外部網絡虛擬化沒有為存儲和公司的各部門創建多個網絡，不用構建多個物理網絡，外部網絡虛擬化就能夠調整網絡大小以適應每個組或用例的需要。舉個簡單的例子，網絡虛擬化能夠隔離公司的人力資源數據、生產數據以及應付賬款數據，但是所有的部門仍舊在使用相同的物理網絡。

外部網絡虛擬化只需要維護、管理單個物理網絡，因為對每個網絡進行管理不需要多個工具集，因此其管理效率更高。

網絡虛擬化如何改進安全?

Stephen Bigelow：基本的理論是使用網絡虛擬化限制哪些類型的網絡流量能夠流經物理網絡。既然只有配置為給定虛擬網絡一部分的網絡節點才能夠在虛擬網絡中發送或接收數據，那么網絡流量應該更加安全。但是需要指出的是網絡虛擬化本身并不保證安全，但是網絡虛擬化組織并限制網絡流量的能力能夠為阻止非授權節點訪問敏感數據提供幫助。例如，你可能創建一個虛擬網絡來處理VoIP數據，而且只有被授權使用VoIP的用戶才能能夠訪問那個虛擬網絡。

管理虛擬交換機存在哪些挑戰?

Stephen Bigelow：網絡虛擬化及虛擬交換機存在一些需要注意的挑戰。當在服務器內部創建虛擬網絡組件時，一個主要的問題就是網絡管理員與服務器管理員之間存在的潛在的沖突。創建并管理虛擬網絡元素的主要任務通常被分配給服務器管理員，而網絡管理員并不能管理甚至查看網絡中的某些組件。

另外，既然內部虛擬機之間的網絡流量只停留在物理服務器內部并不會流經物理網絡，那么并沒有實際可用的方法來監控或管理內部的虛擬網絡流量。這導致了監管的缺失。數據并不會被物理網絡識別到，因此也不會被網絡防火墻，服務工具，訪問控制列表(ACL)以及用于在網絡層保護服務器的IDS/IPS系統所識別到。管理員通常并不能獲得重要的網絡性能及安全信息。

對虛擬交換機進行管理還可能缺乏功能及細粒度控制。虛擬交換機通常只包括很少的(如果有的話)強大功能。因此與對物理交換機進行監控的能力相比，對虛擬交換機的監控還沒有達到管理員的預期。控制與能見度的缺失很可能會削弱網絡的安全性。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]