六問六答:網(wǎng)絡(luò)虛擬化優(yōu)勢及挑戰(zhàn) |
發(fā)布時(shí)間: 2012/9/19 19:55:12 |
網(wǎng)絡(luò)虛擬化不只是管理虛擬環(huán)境中的網(wǎng)絡(luò),它實(shí)際上是對(duì)物理網(wǎng)絡(luò)及其組件比如交換機(jī)、端口以及路由器進(jìn)行抽象。 采用網(wǎng)絡(luò)虛擬化,你可以將多個(gè)物理網(wǎng)絡(luò)抽象為一個(gè)虛擬網(wǎng)絡(luò),或者將一個(gè)物理網(wǎng)絡(luò)分割為多個(gè)邏輯網(wǎng)絡(luò)。當(dāng)然,網(wǎng)絡(luò)虛擬化也帶來了一些挑戰(zhàn),包括虛擬交換機(jī)管理、安全問題以及虛擬網(wǎng)絡(luò)的流量監(jiān)控。 專家Stephen Bigelow回答了如下問題:網(wǎng)絡(luò)虛擬化,內(nèi)部虛擬網(wǎng)絡(luò)和外部虛擬網(wǎng)絡(luò)的區(qū)別,以及就資源使用、安全以及管理而言,虛擬網(wǎng)絡(luò)存在的優(yōu)勢及不足。 什么是網(wǎng)絡(luò)虛擬化? Stephen Bigelow:網(wǎng)絡(luò)虛擬化是使用基于軟件的抽象從物理網(wǎng)絡(luò)元素中分離網(wǎng)絡(luò)流量的一種方式。網(wǎng)絡(luò)虛擬化與其他形式的虛擬化有很多共同之處。 例如,存儲(chǔ)虛擬化允許組織將組織內(nèi)部的所有存儲(chǔ)資源整合到一個(gè)存儲(chǔ)池中,然后再從存儲(chǔ)池中分配存儲(chǔ)容量。存儲(chǔ)虛擬化與企業(yè)所使用的存儲(chǔ)類型、存儲(chǔ)的物理位置無關(guān)。 對(duì)網(wǎng)絡(luò)虛擬化來說,抽象隔離了網(wǎng)絡(luò)中的交換機(jī)、網(wǎng)絡(luò)端口、路由器以及其他物理元素的網(wǎng)絡(luò)流量。每個(gè)物理元素被網(wǎng)絡(luò)元素的虛擬表示形式所取代。管理員能夠?qū)μ摂M網(wǎng)絡(luò)元素進(jìn)行配置以滿足其獨(dú)特的需求。網(wǎng)絡(luò)虛擬化在此處的主要優(yōu)勢是將多個(gè)物理網(wǎng)絡(luò)整合進(jìn)更大的邏輯網(wǎng)絡(luò)中。反之,一個(gè)物理網(wǎng)絡(luò)也可以被劃分為多個(gè)邏輯網(wǎng)絡(luò)。 既然網(wǎng)絡(luò)虛擬化的抽象有效地消除了流量與物理網(wǎng)絡(luò)組件之間的任何聯(lián)系,那么就有必要采用綜合管理工具對(duì)虛擬網(wǎng)絡(luò)進(jìn)行追蹤并監(jiān)控。 內(nèi)部網(wǎng)絡(luò)虛擬化和外部網(wǎng)絡(luò)虛擬化的區(qū)別 Stephen Bigelow:外部網(wǎng)絡(luò)虛擬化應(yīng)用于適當(dāng)?shù)木W(wǎng)絡(luò)中,影響了物理網(wǎng)絡(luò)中的諸多元素,比如布線、網(wǎng)絡(luò)適配器、交換機(jī)、路由器等等。外部網(wǎng)絡(luò)虛擬化將多個(gè)物理網(wǎng)絡(luò)整合為更大的邏輯網(wǎng)絡(luò),或者將單個(gè)物理網(wǎng)絡(luò)劃分為多個(gè)邏輯網(wǎng)絡(luò)。 內(nèi)部網(wǎng)絡(luò)虛擬化通過在虛擬服務(wù)器內(nèi)部定義邏輯交換機(jī)以及網(wǎng)絡(luò)適配器,創(chuàng)建了一個(gè)或多個(gè)邏輯網(wǎng)絡(luò)。內(nèi)部虛擬化網(wǎng)絡(luò)能夠連接運(yùn)行在一臺(tái)服務(wù)器上的兩個(gè)或多個(gè)虛擬機(jī),而且虛擬機(jī)之間的網(wǎng)絡(luò)流量不會(huì)經(jīng)過物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施。內(nèi)部網(wǎng)絡(luò)虛擬化最小化了物理網(wǎng)絡(luò)上的網(wǎng)絡(luò)流量,是讓服務(wù)器內(nèi)部相關(guān)的工作負(fù)載進(jìn)行網(wǎng)絡(luò)通信的一種更快和更有效的方式。 然而,內(nèi)部網(wǎng)絡(luò)虛擬化也引起了更多的網(wǎng)絡(luò)負(fù)載均衡以及遷移問題。一般來說,工作負(fù)載能夠遷移至具有足夠計(jì)算資源的任一物理服務(wù)器上。當(dāng)工作負(fù)載連接至內(nèi)部虛擬網(wǎng)絡(luò)時(shí),這些工作負(fù)載可能需要一同遷移至同一臺(tái)服務(wù)器上。否則,它們需要將數(shù)據(jù)傳輸至外部網(wǎng)絡(luò),這可能導(dǎo)致不可預(yù)料以及難以承受的網(wǎng)絡(luò)流量峰值,可能會(huì)對(duì)其他網(wǎng)絡(luò)流量造成破壞。 虛擬網(wǎng)絡(luò)軟件使用什么技術(shù)過程對(duì)網(wǎng)絡(luò)進(jìn)行虛擬化? Stephen Bigelow:虛擬網(wǎng)絡(luò)軟件對(duì)網(wǎng)絡(luò)進(jìn)行虛擬化的過程概述如下:虛擬網(wǎng)絡(luò)軟件的構(gòu)想是采用軟件引入一個(gè)抽象層,該抽象層將流量從物理網(wǎng)絡(luò)元素中分離出來。與此同時(shí),網(wǎng)絡(luò)虛擬化還將創(chuàng)建虛擬組件,比如虛擬網(wǎng)絡(luò)適配器以及虛擬網(wǎng)絡(luò)交換機(jī)。管理員幾乎能夠以任何方式整合這些虛擬網(wǎng)絡(luò)元素,為組織構(gòu)建規(guī)模任意的網(wǎng)絡(luò)或者創(chuàng)建共享同一物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的多個(gè)網(wǎng)絡(luò)。 網(wǎng)絡(luò)虛擬化依賴每個(gè)虛擬服務(wù)器上的網(wǎng)絡(luò)虛擬化軟件、內(nèi)部的交換機(jī)(比如智能交換機(jī))以及支持網(wǎng)絡(luò)虛擬化的其他網(wǎng)絡(luò)設(shè)備。當(dāng)你考慮組合可能需要被虛擬化的多種設(shè)備時(shí),有必要對(duì)需要協(xié)同工作以支持網(wǎng)絡(luò)虛擬化的硬件和軟件資源進(jìn)行整合。舉例來說,Citrix和Vyatta提供了虛擬化網(wǎng)絡(luò)軟件產(chǎn)品,能夠?yàn)榻M織機(jī)構(gòu)創(chuàng)建完整的虛擬化網(wǎng)絡(luò)堆棧。 網(wǎng)絡(luò)虛擬化如何改進(jìn)網(wǎng)絡(luò)資源的使用? Stephen Bigelow:網(wǎng)絡(luò)虛擬化是為了充分利用組織現(xiàn)有的資源。我們先從內(nèi)部虛擬網(wǎng)絡(luò)講起,因?yàn)楹屯獠刻摂M網(wǎng)絡(luò)相比,內(nèi)部虛擬網(wǎng)絡(luò)容易理解。 內(nèi)部虛擬網(wǎng)絡(luò)借助基于軟件的虛擬交換機(jī)和虛擬網(wǎng)絡(luò)端口,使各種網(wǎng)絡(luò)負(fù)載能夠與同一物理服務(wù)器上的其他網(wǎng)絡(luò)負(fù)載共存。當(dāng)同一臺(tái)物理服務(wù)器上的兩臺(tái)虛擬機(jī)交換數(shù)據(jù)時(shí),網(wǎng)絡(luò)流量并不會(huì)經(jīng)過外部網(wǎng)絡(luò)。工作負(fù)載只在物理服務(wù)器的內(nèi)存中交換數(shù)據(jù)。對(duì)工作負(fù)載之間的數(shù)據(jù)傳輸來說,這提供了極其快速的性能。因?yàn)閿?shù)據(jù)不需要流經(jīng)外部網(wǎng)絡(luò),解放了網(wǎng)絡(luò)中其他服務(wù)器及任務(wù)所需要的帶寬。 外部網(wǎng)絡(luò)虛擬化分割并隔離網(wǎng)絡(luò),改進(jìn)網(wǎng)絡(luò)流量并增加安全性的方式與內(nèi)部網(wǎng)絡(luò)虛擬化有一些不同之處。外部網(wǎng)絡(luò)虛擬化沒有為存儲(chǔ)和公司的各部門創(chuàng)建多個(gè)網(wǎng)絡(luò),不用構(gòu)建多個(gè)物理網(wǎng)絡(luò),外部網(wǎng)絡(luò)虛擬化就能夠調(diào)整網(wǎng)絡(luò)大小以適應(yīng)每個(gè)組或用例的需要。舉個(gè)簡單的例子,網(wǎng)絡(luò)虛擬化能夠隔離公司的人力資源數(shù)據(jù)、生產(chǎn)數(shù)據(jù)以及應(yīng)付賬款數(shù)據(jù),但是所有的部門仍舊在使用相同的物理網(wǎng)絡(luò)。 外部網(wǎng)絡(luò)虛擬化只需要維護(hù)、管理單個(gè)物理網(wǎng)絡(luò),因?yàn)閷?duì)每個(gè)網(wǎng)絡(luò)進(jìn)行管理不需要多個(gè)工具集,因此其管理效率更高。 網(wǎng)絡(luò)虛擬化如何改進(jìn)安全? Stephen Bigelow:基本的理論是使用網(wǎng)絡(luò)虛擬化限制哪些類型的網(wǎng)絡(luò)流量能夠流經(jīng)物理網(wǎng)絡(luò)。既然只有配置為給定虛擬網(wǎng)絡(luò)一部分的網(wǎng)絡(luò)節(jié)點(diǎn)才能夠在虛擬網(wǎng)絡(luò)中發(fā)送或接收數(shù)據(jù),那么網(wǎng)絡(luò)流量應(yīng)該更加安全。但是需要指出的是網(wǎng)絡(luò)虛擬化本身并不保證安全,但是網(wǎng)絡(luò)虛擬化組織并限制網(wǎng)絡(luò)流量的能力能夠?yàn)樽柚狗鞘跈?quán)節(jié)點(diǎn)訪問敏感數(shù)據(jù)提供幫助。例如,你可能創(chuàng)建一個(gè)虛擬網(wǎng)絡(luò)來處理VoIP數(shù)據(jù),而且只有被授權(quán)使用VoIP的用戶才能能夠訪問那個(gè)虛擬網(wǎng)絡(luò)。 管理虛擬交換機(jī)存在哪些挑戰(zhàn)? Stephen Bigelow:網(wǎng)絡(luò)虛擬化及虛擬交換機(jī)存在一些需要注意的挑戰(zhàn)。當(dāng)在服務(wù)器內(nèi)部創(chuàng)建虛擬網(wǎng)絡(luò)組件時(shí),一個(gè)主要的問題就是網(wǎng)絡(luò)管理員與服務(wù)器管理員之間存在的潛在的沖突。創(chuàng)建并管理虛擬網(wǎng)絡(luò)元素的主要任務(wù)通常被分配給服務(wù)器管理員,而網(wǎng)絡(luò)管理員并不能管理甚至查看網(wǎng)絡(luò)中的某些組件。 另外,既然內(nèi)部虛擬機(jī)之間的網(wǎng)絡(luò)流量只停留在物理服務(wù)器內(nèi)部并不會(huì)流經(jīng)物理網(wǎng)絡(luò),那么并沒有實(shí)際可用的方法來監(jiān)控或管理內(nèi)部的虛擬網(wǎng)絡(luò)流量。這導(dǎo)致了監(jiān)管的缺失。數(shù)據(jù)并不會(huì)被物理網(wǎng)絡(luò)識(shí)別到,因此也不會(huì)被網(wǎng)絡(luò)防火墻,服務(wù)工具,訪問控制列表(ACL)以及用于在網(wǎng)絡(luò)層保護(hù)服務(wù)器的IDS/IPS系統(tǒng)所識(shí)別到。管理員通常并不能獲得重要的網(wǎng)絡(luò)性能及安全信息。 對(duì)虛擬交換機(jī)進(jìn)行管理還可能缺乏功能及細(xì)粒度控制。虛擬交換機(jī)通常只包括很少的(如果有的話)強(qiáng)大功能。因此與對(duì)物理交換機(jī)進(jìn)行監(jiān)控的能力相比,對(duì)虛擬交換機(jī)的監(jiān)控還沒有達(dá)到管理員的預(yù)期?刂婆c能見度的缺失很可能會(huì)削弱網(wǎng)絡(luò)的安全性。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |