六問六答：網(wǎng)絡虛擬化優(yōu)勢及挑戰(zhàn)

網(wǎng)絡虛擬化不只是管理虛擬環(huán)境中的網(wǎng)絡，它實際上是對物理網(wǎng)絡及其組件比如交換機、端口以及路由器進行抽象。

采用網(wǎng)絡虛擬化，你可以將多個物理網(wǎng)絡抽象為一個虛擬網(wǎng)絡，或者將一個物理網(wǎng)絡分割為多個邏輯網(wǎng)絡。當然，網(wǎng)絡虛擬化也帶來了一些挑戰(zhàn)，包括虛擬交換機管理、安全問題以及虛擬網(wǎng)絡的流量監(jiān)控。

專家Stephen Bigelow回答了如下問題：網(wǎng)絡虛擬化，內(nèi)部虛擬網(wǎng)絡和外部虛擬網(wǎng)絡的區(qū)別，以及就資源使用、安全以及管理而言，虛擬網(wǎng)絡存在的優(yōu)勢及不足。

什么是網(wǎng)絡虛擬化?

Stephen Bigelow：網(wǎng)絡虛擬化是使用基于軟件的抽象從物理網(wǎng)絡元素中分離網(wǎng)絡流量的一種方式。網(wǎng)絡虛擬化與其他形式的虛擬化有很多共同之處。

例如，存儲虛擬化允許組織將組織內(nèi)部的所有存儲資源整合到一個存儲池中，然后再從存儲池中分配存儲容量。存儲虛擬化與企業(yè)所使用的存儲類型、存儲的物理位置無關(guān)。

對網(wǎng)絡虛擬化來說，抽象隔離了網(wǎng)絡中的交換機、網(wǎng)絡端口、路由器以及其他物理元素的網(wǎng)絡流量。每個物理元素被網(wǎng)絡元素的虛擬表示形式所取代。管理員能夠?qū)μ摂M網(wǎng)絡元素進行配置以滿足其獨特的需求。網(wǎng)絡虛擬化在此處的主要優(yōu)勢是將多個物理網(wǎng)絡整合進更大的邏輯網(wǎng)絡中。反之，一個物理網(wǎng)絡也可以被劃分為多個邏輯網(wǎng)絡。

既然網(wǎng)絡虛擬化的抽象有效地消除了流量與物理網(wǎng)絡組件之間的任何聯(lián)系，那么就有必要采用綜合管理工具對虛擬網(wǎng)絡進行追蹤并監(jiān)控。

內(nèi)部網(wǎng)絡虛擬化和外部網(wǎng)絡虛擬化的區(qū)別

Stephen Bigelow：外部網(wǎng)絡虛擬化應用于適當?shù)木W(wǎng)絡中，影響了物理網(wǎng)絡中的諸多元素，比如布線、網(wǎng)絡適配器、交換機、路由器等等。外部網(wǎng)絡虛擬化將多個物理網(wǎng)絡整合為更大的邏輯網(wǎng)絡，或者將單個物理網(wǎng)絡劃分為多個邏輯網(wǎng)絡。

內(nèi)部網(wǎng)絡虛擬化通過在虛擬服務器內(nèi)部定義邏輯交換機以及網(wǎng)絡適配器，創(chuàng)建了一個或多個邏輯網(wǎng)絡。內(nèi)部虛擬化網(wǎng)絡能夠連接運行在一臺服務器上的兩個或多個虛擬機，而且虛擬機之間的網(wǎng)絡流量不會經(jīng)過物理網(wǎng)絡基礎設施。內(nèi)部網(wǎng)絡虛擬化最小化了物理網(wǎng)絡上的網(wǎng)絡流量，是讓服務器內(nèi)部相關(guān)的工作負載進行網(wǎng)絡通信的一種更快和更有效的方式。

然而，內(nèi)部網(wǎng)絡虛擬化也引起了更多的網(wǎng)絡負載均衡以及遷移問題。一般來說，工作負載能夠遷移至具有足夠計算資源的任一物理服務器上。當工作負載連接至內(nèi)部虛擬網(wǎng)絡時，這些工作負載可能需要一同遷移至同一臺服務器上。否則，它們需要將數(shù)據(jù)傳輸至外部網(wǎng)絡，這可能導致不可預料以及難以承受的網(wǎng)絡流量峰值，可能會對其他網(wǎng)絡流量造成破壞。

虛擬網(wǎng)絡軟件使用什么技術(shù)過程對網(wǎng)絡進行虛擬化?

Stephen Bigelow：虛擬網(wǎng)絡軟件對網(wǎng)絡進行虛擬化的過程概述如下：虛擬網(wǎng)絡軟件的構(gòu)想是采用軟件引入一個抽象層，該抽象層將流量從物理網(wǎng)絡元素中分離出來。與此同時，網(wǎng)絡虛擬化還將創(chuàng)建虛擬組件，比如虛擬網(wǎng)絡適配器以及虛擬網(wǎng)絡交換機。管理員幾乎能夠以任何方式整合這些虛擬網(wǎng)絡元素，為組織構(gòu)建規(guī)模任意的網(wǎng)絡或者創(chuàng)建共享同一物理網(wǎng)絡基礎設施的多個網(wǎng)絡。

網(wǎng)絡虛擬化依賴每個虛擬服務器上的網(wǎng)絡虛擬化軟件、內(nèi)部的交換機(比如智能交換機)以及支持網(wǎng)絡虛擬化的其他網(wǎng)絡設備。當你考慮組合可能需要被虛擬化的多種設備時，有必要對需要協(xié)同工作以支持網(wǎng)絡虛擬化的硬件和軟件資源進行整合。舉例來說，Citrix和Vyatta提供了虛擬化網(wǎng)絡軟件產(chǎn)品，能夠為組織機構(gòu)創(chuàng)建完整的虛擬化網(wǎng)絡堆棧。

網(wǎng)絡虛擬化如何改進網(wǎng)絡資源的使用?

Stephen Bigelow：網(wǎng)絡虛擬化是為了充分利用組織現(xiàn)有的資源。我們先從內(nèi)部虛擬網(wǎng)絡講起，因為和外部虛擬網(wǎng)絡相比，內(nèi)部虛擬網(wǎng)絡容易理解。

內(nèi)部虛擬網(wǎng)絡借助基于軟件的虛擬交換機和虛擬網(wǎng)絡端口，使各種網(wǎng)絡負載能夠與同一物理服務器上的其他網(wǎng)絡負載共存。當同一臺物理服務器上的兩臺虛擬機交換數(shù)據(jù)時，網(wǎng)絡流量并不會經(jīng)過外部網(wǎng)絡。工作負載只在物理服務器的內(nèi)存中交換數(shù)據(jù)。對工作負載之間的數(shù)據(jù)傳輸來說，這提供了極其快速的性能。因為數(shù)據(jù)不需要流經(jīng)外部網(wǎng)絡，解放了網(wǎng)絡中其他服務器及任務所需要的帶寬。

外部網(wǎng)絡虛擬化分割并隔離網(wǎng)絡，改進網(wǎng)絡流量并增加安全性的方式與內(nèi)部網(wǎng)絡虛擬化有一些不同之處。外部網(wǎng)絡虛擬化沒有為存儲和公司的各部門創(chuàng)建多個網(wǎng)絡，不用構(gòu)建多個物理網(wǎng)絡，外部網(wǎng)絡虛擬化就能夠調(diào)整網(wǎng)絡大小以適應每個組或用例的需要。舉個簡單的例子，網(wǎng)絡虛擬化能夠隔離公司的人力資源數(shù)據(jù)、生產(chǎn)數(shù)據(jù)以及應付賬款數(shù)據(jù)，但是所有的部門仍舊在使用相同的物理網(wǎng)絡。

外部網(wǎng)絡虛擬化只需要維護、管理單個物理網(wǎng)絡，因為對每個網(wǎng)絡進行管理不需要多個工具集，因此其管理效率更高。

網(wǎng)絡虛擬化如何改進安全?

Stephen Bigelow：基本的理論是使用網(wǎng)絡虛擬化限制哪些類型的網(wǎng)絡流量能夠流經(jīng)物理網(wǎng)絡。既然只有配置為給定虛擬網(wǎng)絡一部分的網(wǎng)絡節(jié)點才能夠在虛擬網(wǎng)絡中發(fā)送或接收數(shù)據(jù)，那么網(wǎng)絡流量應該更加安全。但是需要指出的是網(wǎng)絡虛擬化本身并不保證安全，但是網(wǎng)絡虛擬化組織并限制網(wǎng)絡流量的能力能夠為阻止非授權(quán)節(jié)點訪問敏感數(shù)據(jù)提供幫助。例如，你可能創(chuàng)建一個虛擬網(wǎng)絡來處理VoIP數(shù)據(jù)，而且只有被授權(quán)使用VoIP的用戶才能能夠訪問那個虛擬網(wǎng)絡。

管理虛擬交換機存在哪些挑戰(zhàn)?

Stephen Bigelow：網(wǎng)絡虛擬化及虛擬交換機存在一些需要注意的挑戰(zhàn)。當在服務器內(nèi)部創(chuàng)建虛擬網(wǎng)絡組件時，一個主要的問題就是網(wǎng)絡管理員與服務器管理員之間存在的潛在的沖突。創(chuàng)建并管理虛擬網(wǎng)絡元素的主要任務通常被分配給服務器管理員，而網(wǎng)絡管理員并不能管理甚至查看網(wǎng)絡中的某些組件。

另外，既然內(nèi)部虛擬機之間的網(wǎng)絡流量只停留在物理服務器內(nèi)部并不會流經(jīng)物理網(wǎng)絡，那么并沒有實際可用的方法來監(jiān)控或管理內(nèi)部的虛擬網(wǎng)絡流量。這導致了監(jiān)管的缺失。數(shù)據(jù)并不會被物理網(wǎng)絡識別到，因此也不會被網(wǎng)絡防火墻，服務工具，訪問控制列表(ACL)以及用于在網(wǎng)絡層保護服務器的IDS/IPS系統(tǒng)所識別到。管理員通常并不能獲得重要的網(wǎng)絡性能及安全信息。

對虛擬交換機進行管理還可能缺乏功能及細粒度控制。虛擬交換機通常只包括很少的(如果有的話)強大功能。因此與對物理交換機進行監(jiān)控的能力相比，對虛擬交換機的監(jiān)控還沒有達到管理員的預期�？刂婆c能見度的缺失很可能會削弱網(wǎng)絡的安全性。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]