网络虚拟化不只是管理虚拟环境中的网络,它实际上是对物理网络及其组件比如交换机、端口以及路由器进行抽象。
采用网络虚拟化,你可以将多个物理网络抽象为一个虚拟网络,或者将一个物理网络分割为多个逻辑网络。当然,网络虚拟化也带来了一些挑战,包括虚拟交换机管理、安全问题以及虚拟网络的流量监控。
专家Stephen Bigelow回答了如下问题:网络虚拟化,内部虚拟网络和外部虚拟网络的区别,以及就资源使用、安全以及管理而言,虚拟网络存在的优势及不足。
什么是网络虚拟化?
Stephen Bigelow:网络虚拟化是使用基于软件的抽象从物理网络元素中分离网络流量的一种方式。网络虚拟化与其他形式的虚拟化有很多共同之处。
例如,存储虚拟化允许组织将组织内部的所有存储资源整合到一个存储池中,然后再从存储池中分配存储容量。存储虚拟化与企业所使用的存储类型、存储的物理位置无关。
对网络虚拟化来说,抽象隔离了网络中的交换机、网络端口、路由器以及其他物理元素的网络流量。每个物理元素被网络元素的虚拟表示形式所取代。管理员能够对虚拟网络元素进行配置以满足其独特的需求。网络虚拟化在此处的主要优势是将多个物理网络整合进更大的逻辑网络中。反之,一个物理网络也可以被划分为多个逻辑网络。
既然网络虚拟化的抽象有效地消除了流量与物理网络组件之间的任何联系,那么就有必要采用综合管理工具对虚拟网络进行追踪并监控。
内部网络虚拟化和外部网络虚拟化的区别
Stephen Bigelow:外部网络虚拟化应用于适当的网络中,影响了物理网络中的诸多元素,比如布线、网络适配器、交换机、路由器等等。外部网络虚拟化将多个物理网络整合为更大的逻辑网络,或者将单个物理网络划分为多个逻辑网络。
内部网络虚拟化通过在虚拟服务器内部定义逻辑交换机以及网络适配器,创建了一个或多个逻辑网络。内部虚拟化网络能够连接运行在一台服务器上的两个或多个虚拟机,而且虚拟机之间的网络流量不会经过物理网络基础设施。内部网络虚拟化最小化了物理网络上的网络流量,是让服务器内部相关的工作负载进行网络通信的一种更快和更有效的方式。
然而,内部网络虚拟化也引起了更多的网络负载均衡以及迁移问题。一般来说,工作负载能够迁移至具有足够计算资源的任一物理服务器上。当工作负载连接至内部虚拟网络时,这些工作负载可能需要一同迁移至同一台服务器上。否则,它们需要将数据传输至外部网络,这可能导致不可预料以及难以承受的网络流量峰值,可能会对其他网络流量造成破坏。
虚拟网络软件使用什么技术过程对网络进行虚拟化?
Stephen Bigelow:虚拟网络软件对网络进行虚拟化的过程概述如下:虚拟网络软件的构想是采用软件引入一个抽象层,该抽象层将流量从物理网络元素中分离出来。与此同时,网络虚拟化还将创建虚拟组件,比如虚拟网络适配器以及虚拟网络交换机。管理员几乎能够以任何方式整合这些虚拟网络元素,为组织构建规模任意的网络或者创建共享同一物理网络基础设施的多个网络。
网络虚拟化依赖每个虚拟服务器上的网络虚拟化软件、内部的交换机(比如智能交换机)以及支持网络虚拟化的其他网络设备。当你考虑组合可能需要被虚拟化的多种设备时,有必要对需要协同工作以支持网络虚拟化的硬件和软件资源进行整合。举例来说,Citrix和Vyatta提供了虚拟化网络软件产品,能够为组织机构创建完整的虚拟化网络堆栈。
网络虚拟化如何改进网络资源的使用?
Stephen Bigelow:网络虚拟化是为了充分利用组织现有的资源。我们先从内部虚拟网络讲起,因为和外部虚拟网络相比,内部虚拟网络容易理解。
内部虚拟网络借助基于软件的虚拟交换机和虚拟网络端口,使各种网络负载能够与同一物理服务器上的其他网络负载共存。当同一台物理服务器上的两台虚拟机交换数据时,网络流量并不会经过外部网络。工作负载只在物理服务器的内存中交换数据。对工作负载之间的数据传输来说,这提供了极其快速的性能。因为数据不需要流经外部网络,解放了网络中其他服务器及任务所需要的带宽。
外部网络虚拟化分割并隔离网络,改进网络流量并增加安全性的方式与内部网络虚拟化有一些不同之处。外部网络虚拟化没有为存储和公司的各部门创建多个网络,不用构建多个物理网络,外部网络虚拟化就能够调整网络大小以适应每个组或用例的需要。举个简单的例子,网络虚拟化能够隔离公司的人力资源数据、生产数据以及应付账款数据,但是所有的部门仍旧在使用相同的物理网络。
外部网络虚拟化只需要维护、管理单个物理网络,因为对每个网络进行管理不需要多个工具集,因此其管理效率更高。
网络虚拟化如何改进安全?
Stephen Bigelow:基本的理论是使用网络虚拟化限制哪些类型的网络流量能够流经物理网络。既然只有配置为给定虚拟网络一部分的网络节点才能够在虚拟网络中发送或接收数据,那么网络流量应该更加安全。但是需要指出的是网络虚拟化本身并不保证安全,但是网络虚拟化组织并限制网络流量的能力能够为阻止非授权节点访问敏感数据提供帮助。例如,你可能创建一个虚拟网络来处理VoIP数据,而且只有被授权使用VoIP的用户才能能够访问那个虚拟网络。
管理虚拟交换机存在哪些挑战?
Stephen Bigelow:网络虚拟化及虚拟交换机存在一些需要注意的挑战。当在服务器内部创建虚拟网络组件时,一个主要的问题就是网络管理员与服务器管理员之间存在的潜在的冲突。创建并管理虚拟网络元素的主要任务通常被分配给服务器管理员,而网络管理员并不能管理甚至查看网络中的某些组件。
另外,既然内部虚拟机之间的网络流量只停留在物理服务器内部并不会流经物理网络,那么并没有实际可用的方法来监控或管理内部的虚拟网络流量。这导致了监管的缺失。数据并不会被物理网络识别到,因此也不会被网络防火墙,服务工具,访问控制列表(ACL)以及用于在网络层保护服务器的IDS/IPS系统所识别到。管理员通常并不能获得重要的网络性能及安全信息。
对虚拟交换机进行管理还可能缺乏功能及细粒度控制。虚拟交换机通常只包括很少的(如果有的话)强大功能。因此与对物理交换机进行监控的能力相比,对虚拟交换机的监控还没有达到管理员的预期。控制与能见度的缺失很可能会削弱网络的安全性。