网络虚拟化实用功能综述
来源:用户上传
作者:
摘 要 随着虚拟化技术的进步,不仅计算和存储可以实现虚拟化,同样网络也可以实现虚拟化。物理网络存在管理不够灵活,管理不独立,技术受限较多等问题,而网络虚拟化提供的功能正好可以弥补物理网络的不足。虚拟化网络能够部署在任何IP网络上,且无须对数据中心的底层网络进行重构。网络虚拟化可以提供几乎所有的网络服务,如:路由器、负载均衡、防火墙等。除了这些常规功能,网络虚拟化还能够提供一些更加实用的功能,如:微分段、分布式软件防火墙、动态迁移增强、网络自动化等。
关键词 网络虚拟化;微分段;分布式防火墙
随着虚拟化技术的进步,不仅计算和存储可以实现虚拟化,同样网络也可以实现虚拟化,而整个数据中心的物理基础架构可以通过虚拟化的方式重新构建,网络虚拟化就是其中的一个重要组成部分。物理网络存在管理不够灵活,管理不独立,技术受限较多等问题,而网络虚拟化提供的功能正好可以弥补物理网络的不足[1]。就像服务器虚拟化可以通过软件方式创建、删除和还原虚机以及拍摄快照一样,网络虚拟化也可以通过软件方式对虚拟网络实现同样的功能。通过网络虚拟化构建的虚拟化网络能够部署在任何IP网络上,且无须对数据中心的底层网络进行重构。
在软件定义数据中心中,不同的应用被安装在独立的虚机中,我们通过虚拟化网络将各个虚机的网络都连接在一个分布式交换机上,所有虚机的网络通信都是通过这个分布式交换机实现的。网络虚拟化通过分布式交换机把虚机和物理网络隔离开,做到了网络服务与实际的物理网络设备分离,使我们在网络设备的选择和采购上有着更大的灵活性[2]。网络虚拟化可以提供几乎所有的网络服务,如:路由器、负载均衡、防火墙等。除了这些常规的功能,网络虚拟化还能够提供一些更实用的功能,如:微分段、分布式软件防火墙、动态迁移增强、网络自动化等。
1 微分段
网络虚拟化中的微分段是一种基于零信任架构的高效网络安全解决方案,主要用于解决当前以边界为中心的网络安全所存在的问题。它可以将不相关的网络完全隔离,进而实现高效可靠的安全防护与访问控制。
我们可以用微分段在数据中心内部对虚机进行隔离,把不同业务部门的虚机分隔在不同的安全组里。管理员可以根据虚机名、虚机的操作系统、虚机属性来定义安全组,在虚拟化网络上,跨安全组的访问是不可能发生的[3]。只有同一安全组的虚机才可以相互访问,这些虚机就好像连接在同一個物理网段上。实际上,这些虚机可能是分布在不同物理服务器上的,这些物理服务器可能位于不同的物理网段,微分段在虚拟网络上把这些虚机与其他网络相隔离。在同一安全组内部,我们还可以根据业务需要在虚机之间设立防火墙,确保虚机之间只进行必需的网络通信。
2 分布式软件防火墙
通常我们把数据中心内部和外部的流量称之为南北向流量,数据中心内部的网络流量称之为东西向流量。边界防火墙虽然能够很好地控制南北向流量,减轻来自于外部的攻击风险,但是对于数据中心内部却没有任何的防范措施。
同样基于零信任架构,使用网络虚拟化提供的分布式软件防火墙可以更方便的管理东西向流量。因为是完全基于软件的虚拟防火墙,可以做到每台虚机都配备一个防火墙。虽然防火墙是分布式的,但是管理方式是集中管理,通过统一的管理界面来控制所有的虚拟防火墙,并集中配置安全规则,因此这种方式在管理上更加简便。
分布式防火墙对于东西向流量的管理也更为高效。处于同一台物理服务器上的虚机,它们之间的网络通信就可以就近由虚拟防火墙来处理,网络数据包甚至都不需要出物理服务器,就可以直接通过虚拟交换机传送到目的地。位于不同物理服务器的虚机之间,网络数据包也可以通过机柜内部的交换机和内部的虚拟防火墙来传输,这样可以明显减少网络路由的跳数,使网络传输效率大大提高,同时也有效降低了边界防火墙的工作负载。
3 动态迁移增强
动态迁移技术可以让虚机在不中断的情况下从一台物理服务器迁移到另一台物理服务器,但受制于二层网络的物理架构,局限性较大。通过网络虚拟化构建扩展的大二层网络,可以使虚机实现更大跨度的迁移,可以实现不改变网络配置的跨数据中心的动态迁移[4]。
网络虚拟化配合数据中心的管理系统为虚机提供在不改变IP地址的前提下进行迁移的功能。在虚拟化网络环境中,可以把虚机所依赖的整个虚拟网络环境以及对应的网络安全策略迁移到新的服务器上运行,甚至虚机的运行状态和连接状态也会跟随着应用一起迁移到新的运行环境,从而保证业务的持续性。这就好比让虚机搬家,在搬家的时候,保证虚机上运行的业务不能中断一样。
4 网络自动化管理
网络虚拟化的功能都是由软件来实现的,所以使用网络虚拟化的管理程序能够动态地创建网络设备,调整网络配置和安全策略参数,实现数据中心的网络自动化管理。通过减少容易出错的手动任务,借助自动化实现更快部署。完整的应用生命周期自动化确保策略能够与工作负载同步调配、管理和停止使用,以消除应用生命周期中的运维瓶颈。
通过网络虚拟化的管理程序可以深入了解并监控物理及虚拟网络连接和安全基础架构,从而精简网络运维。其中容量规划和微分段规划流程已实现自动化,可以提高资源利用率,并确保精细应用的安全策略的准确性和有效性。故障排除也进行了精简,目前可实现自动检测问题并支持管理员快速确定问题,无须手动筛选错误日志或登录各个交换机和路由器。
网络虚拟化配合服务器虚拟化将分离的硬件服务器和网络设备全部转化为资源,并通过软件方式重新融合在一起,通过这种方式使网络与应用更加契合,使物理网络在管理上更加灵活简便。网络虚拟化是一种具有彻底革命性的架构,不仅显著提高了网络的敏捷性、可维护性、可扩展性,而且还能大大简化底层物理网络的运营模式。
参考文献
[1] 范恂毅,张晓和.新一代SDNVMwareNSX网络原理与实践[M].北京:人民邮电出版社,2016:35.
[2] 敖志刚.网络虚拟化技术完全指南[M].北京:电子工业出版社, 2015:41.
[3] [巴西]桑塔纳著,张其光,袁强,薛润忠译.数据中心虚拟化技术权威指南[M].北京:人民邮电出版社,2015:63.
[4] 何坤源.VMwarevSphere60虚拟化架构实战指南[M].北京:人民邮电出版社,2016:39-41.
作者简介
杨硕(1979-),男,天津市人;学历:本科,现就职单位:天津市市政公路巡查管理处信息技术科,研究方向:软件工程。
转载注明来源:https://www.xzbu.com/1/view-14944263.htm