傳統的資料中心都是用物理網路來分隔不同的業務系統,這就需要管理員預先規劃好資料中心的網路拓撲結構,劃分好 vlan,以確保各個業務系統之間是相互隔離的;並且在防火牆上配置上百條規則,針對每乙個應用關閉不需要的網路埠,以降低黑客攻擊的風險。這是乙個費時費力的工作,一旦某個業務系統需要增加一些新的功能,或者不同的業務系統之間需要互相訪問,就需要對資料中心內的網路做出相應的調整,這個過程不但費時,而且需要非常小心,避免任何乙個錯誤的配置而導致網路中斷。
傳統資料中心:各個業務系統在硬體上相互隔離
nsx 為虛機提供了虛擬化的網路,把虛機和物理網路相隔離,做到了網路服務與具體的物理網路裝置無關,使得使用者在網路裝置的選擇和採購上有著更大的靈活性。nsx 在虛擬網路上可以提供幾乎所有的網路服務,如:路由器、負載均衡、防火牆等。除了這些常規的功能,nsx 還能夠提供一些傳統物理網路無法實現或實現代價很高的功能:
東西向防火牆:通常我們把資料中心內部的網路流量稱之為東西向流量,資料中心內部和外部的流量稱之為南北向流量。資料中心一般只在對外的網路邊界上設定防火牆,因為原則上認為入侵風險來自於外部,資料中心內部是相對安全的。如果使用硬體防火牆的話,就需要在所有的業務系統之間設定防火牆,且不說這是一筆很大的硬體投資,就是防火牆規則的設定和維護也是乙個巨大的工作量,所以沒有資料中心會這麼做。但是 nsx 可以很容易地通過軟體實現這一功能,把來自於資料中心內部的入侵風險降到最低,即使黑客能夠攻陷某乙個應用,他也無法訪問到資料中心內部其他的系統。
網路微分段:傳統的物理網路是用物理網段或 vlan 來隔離不同網路的,而且只能隔離到物理伺服器(同一伺服器上的虛機之間還是沒有隔離的),當需要對網段進行調整時,需要調整物理網路或 vlan,這可不是一件輕鬆的工作。微分段 (micro-segmentation) 是通過分布式防火牆實現的功能,每個虛機都有一台防火牆,自然可以很輕鬆地隔離微分段之外的虛機。
軟體定義資料中心:
各個業務系統在 nsx 虛擬網路平台上相互隔離,但共用同乙個物理網路
nsx 所提供的虛擬化網路平台不再要求各業務系統的網路物理隔離,只需要標準化的交換機或路由器把整個資料中心聯成一張大網,nsx 會在虛擬網路層上根據業務需求提供隔離(使用微分段技術)。資料中心網路的規劃和管理大大簡化,既可以降低網路裝置的採購成本,也可以有效降低網路的運營管理成本。
在 nsx 虛擬網路上,傳統網路中由硬體提供的路由 (rt – routing) 、交換 (sw – switching)、負載均衡 (lb – load balancing) 和防火牆 (fw – firewall) 功能都改由軟體來實現了,具有更大的靈活性。
nsx 主要有三大應用場景:
資料中心網路安全:如上所述,分布式軟體防火牆和微分段大大簡化了資料中心的網路安全管理,相比物理網路環境能夠實現更高等級的安全防護。
it 自動化:虛擬網路的功能都是由軟體來實現的,所以能夠使用命令來動態地建立網路裝置,調整網路配置和安全策略引數,實現資料中心的 it 自動化。
業務持續性:虛機的網路環境都是由虛擬網路所提供的,當發生故障轉移 (failover) 時,虛機不用改變包括 ip 位址在內的任何網路引數,nsx 會負責把虛機所依賴的整個虛擬網路環境以及對應的網路安全策略遷移到新的伺服器上執行,從而保證業務的持續性。
文章節選自vmware中文部落格:
網路虛擬化SDN
網路虛擬化sdn 交換機和路由器怎麼分配資源呢?what is sdn?what is openflow?網路交換裝置的瓶頸在 封閉的網路架構,路由器改不了。長期受限。使用者被locked out 網路缺少控制層面的抽象,作業系統使軟體硬體分離。如何打破枷鎖?讓網路出現作業系統。路由器內部的作業系統...
網路虛擬化之FlowVisor 網路虛擬層(下)
在前面兩篇文章 網路虛擬化之flowvisor 網路虛擬層 上 和網路虛擬化之flowvisor 網路虛擬層 中 中分別介紹了flowvisor的特性和實現,三 的最後一篇介紹虛擬網路的隔離機制。虛擬化的乙個重要元素是切片之間的隔離,因為不同資源的隔離機制是不相同的,接下來將分別描述。1.頻寬隔離 ...
網路虛擬化之FlowVisor 網路虛擬層(上)
概念解釋 切片 虛擬網路的乙個例項 一.網路虛擬化 虛擬網路 人類社會的發展在很大方面得益於自然界,飛機受益於鳥,雷達受益於蝙蝠等等,所以專門有個學科為仿生學就是研究和模仿生物的特殊本質,利用生物的結構和功能原理來研製機械或各種新技術的科學技術。而人類社會已經發展了這麼多年,沉澱了很多可以和自然界相...