王 磊

（云南廣播電視臺，云南 昆明 650500）

0 引 言

網(wǎng)絡(luò)虛擬化、計算虛擬化及存儲虛擬化3 種技術(shù)共同構(gòu)成了計算機虛擬化技術(shù)。隨著云計算數(shù)據(jù)中心的大量應(yīng)用，發(fā)展相對滯后的網(wǎng)絡(luò)虛擬化成為必須解決的技術(shù)瓶頸。通過網(wǎng)絡(luò)虛擬化將網(wǎng)絡(luò)的數(shù)據(jù)平面、控制平面以及管理平面相分離，使得物理網(wǎng)絡(luò)和邏輯網(wǎng)絡(luò)完全解耦，最大限度地提高網(wǎng)絡(luò)使用效率，為SDDC 的建設(shè)創(chuàng)建一個基礎(chǔ)IT 環(huán)境?；诖?，重點介紹網(wǎng)絡(luò)虛擬化的概念、實現(xiàn)原理、當(dāng)前最成功的解決方案VMware NSX 及其在廣電領(lǐng)域的應(yīng)用。

1 網(wǎng)絡(luò)虛擬化概述

網(wǎng)絡(luò)虛擬化是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種新型業(yè)務(wù)部署模式，目標(biāo)是要讓網(wǎng)絡(luò)變得簡單，提高網(wǎng)絡(luò)使用效率。目前，它從簡單的VPN、VLAN等應(yīng)用方式，已經(jīng)發(fā)展成為系統(tǒng)的解決方案。網(wǎng)絡(luò)虛擬化始終圍繞“水平”和“垂直”兩條主線進(jìn)行，如圖1 所示［1］?！八健笔侵竿ㄟ^虛擬隧道實現(xiàn)孤立網(wǎng)絡(luò)的互聯(lián)，組成更大規(guī)模的網(wǎng)絡(luò)，如互聯(lián)網(wǎng)；“垂直”模式類似于服務(wù)器虛擬化，可以在一個共享的物理網(wǎng)絡(luò)上創(chuàng)建出多個獨立的邏輯網(wǎng)絡(luò)。

2 云數(shù)據(jù)中心環(huán)境下的網(wǎng)絡(luò)虛擬化

在硬件方面，云數(shù)據(jù)中心可以部署Cisco Nexus交換機。它不僅性能優(yōu)越，而且實現(xiàn)了存儲網(wǎng)和以太網(wǎng)的統(tǒng)一部署，同時支持完全虛擬化，非常適合云數(shù)據(jù)中心環(huán)境。全部物理服務(wù)器連接到N2K 交換機，N2K 上連到N5K 交換機。N2K 交換機相當(dāng)于N5K 交換機的一塊接口板，全部配置只需在N5K上完成。

圖1 計算與網(wǎng)絡(luò)虛擬化類比

VMware vSphere 是業(yè)界領(lǐng)先的虛擬化平臺。它的網(wǎng)絡(luò)虛擬化功能起初只包括標(biāo)準(zhǔn)交換機vSS 和分布式交換機vDS，但這兩種交換機均不能很好地適應(yīng)云數(shù)據(jù)中心環(huán)境。例如，在實現(xiàn)vMotion 遷移、服務(wù)器和網(wǎng)絡(luò)管理分離等方面并不理想。為了突破這些局限，引入Cisco Nexus 1000V 虛擬交換機。它主要由VEM虛擬以太網(wǎng)模塊和VSM 虛擬管理模塊構(gòu)成。

3 VMware NSX 解決方案

3.1 NSX-V 基礎(chǔ)架構(gòu)原理

NSX 借鑒服務(wù)器虛擬化原理，將物理網(wǎng)絡(luò)視為提供傳輸帶寬的基礎(chǔ)設(shè)施，并且可以根據(jù)需求靈活分配給虛擬網(wǎng)絡(luò)。網(wǎng)絡(luò)的交換、路由、QoS 及安全防護等高級功能全部在服務(wù)器內(nèi)部通過軟件實現(xiàn)。NSX 能夠部署在任何物理IP 網(wǎng)絡(luò)上，且無需對底層網(wǎng)絡(luò)進(jìn)行改動［2］，實現(xiàn)了數(shù)據(jù)平面、控制平面及管理平面的完全分離，分別由分布式NSX網(wǎng)關(guān)服務(wù)、NSX Controller 及NSX Manager 實現(xiàn)相關(guān)的功能。

數(shù)據(jù)平面的分布式服務(wù)集成于ESXi 主機的Hypervisor，主要負(fù)責(zé)虛擬網(wǎng)絡(luò)中東西向流量的轉(zhuǎn)發(fā)。NSX Edge 可以完成虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)之間的橋接和路由。為了提高網(wǎng)絡(luò)的可靠性和冗余性，控制平面NSX Controller 一般部署成集群模式，其中存儲了整個網(wǎng)絡(luò)運行所需的全部信息?？刂破矫嫱ㄟ^這些信息來指導(dǎo)數(shù)據(jù)平面完成數(shù)據(jù)的交換和路由。NSX Manager 的任務(wù)是管理整個虛擬網(wǎng)絡(luò)，可以創(chuàng)建、刪除及配置虛擬網(wǎng)絡(luò)。它就像服務(wù)器虛擬化中對虛擬機的操作一樣，根據(jù)自己的需求創(chuàng)建虛擬網(wǎng)絡(luò)，不需要關(guān)心物理網(wǎng)絡(luò)的結(jié)構(gòu)。同時，它還是分布式防火墻的管理平面和控制平面。

3.2 虛擬交換與路由

NSX 邏輯交換機和路由器通過軟件在ESXi 主機內(nèi)部模擬出相應(yīng)的實體網(wǎng)絡(luò)設(shè)備，進(jìn)而實現(xiàn)二層交換和三層路由。邏輯交換機使用VXLAN 技術(shù)實現(xiàn)虛擬化環(huán)境中的二層交換，克服了vDS 使用VLAN 協(xié)議帶來的缺陷。邏輯路由器分為分布式邏輯路由器和Edge 路由器，分別用來處理數(shù)據(jù)中心內(nèi)的橫向和縱向三層流量。控制平面有一個專門的虛擬機DLR Control VM，用于獲取并發(fā)布路由信息，實現(xiàn)對分布式邏輯路由的控制。只要相互通信的兩臺虛擬機在同一臺物理服務(wù)器內(nèi)，流量就可以在服務(wù)器內(nèi)部完成交換和路由，不需要經(jīng)過物理網(wǎng)絡(luò)。如果兩臺虛擬機處于不同的物理服務(wù)器內(nèi)，三層路由流量只需要通過二層物理交換機就可以完成子網(wǎng)間的路由，不需要經(jīng)過三層交換機或者物理路由器。因此，NSX 虛擬交換和路由大大減輕了物理網(wǎng)絡(luò)的壓力。

3.3 虛擬安全實現(xiàn)

NSX 安全設(shè)施包括分布式防火墻和Edge 防火墻，分別對東西向流量和南北向流量進(jìn)行安全防護。Edge 防火墻取代了傳統(tǒng)硬件防火墻，實現(xiàn)虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)和數(shù)據(jù)中心與外部的邊界安全控制。分布式防火墻部署在ESXi 主機的Hypervisor 上，應(yīng)用微分段技術(shù)關(guān)聯(lián)到每一臺虛擬機，解決了數(shù)據(jù)中心內(nèi)部安全防護的難題。虛擬機之間的流量在進(jìn)出虛擬機的時候完成安檢，不需要經(jīng)過物理防火墻，大大減輕了物理網(wǎng)絡(luò)的壓力。NSX 防火墻不僅具有便于管理、擴展性好的優(yōu)勢，而且不會造成流量瓶頸，非常適合橫向流量遠(yuǎn)大于縱向流量的網(wǎng)絡(luò)環(huán)境。另外，它還具有很強的兼容性，通過集成第三方設(shè)施可以實現(xiàn)網(wǎng)絡(luò)5 ～7 層的安全控制。

3.4 物理網(wǎng)絡(luò)結(jié)構(gòu)

為了更好地支持NSX 邏輯網(wǎng)絡(luò)，底層物理網(wǎng)絡(luò)設(shè)計為“骨干”“枝葉”節(jié)點結(jié)構(gòu)。這樣的扁平化架構(gòu)不僅適合數(shù)據(jù)中心內(nèi)部橫向流量遠(yuǎn)多于縱向流量的特點，而且也便于后續(xù)的系統(tǒng)擴容。NSX 虛擬化除了對基礎(chǔ)網(wǎng)絡(luò)架構(gòu)有要求外，還需要網(wǎng)絡(luò)具備簡單性、可擴展性、高帶寬、容錯和QoS 特性。NSX 要求底層物理網(wǎng)絡(luò)配置簡單化，且所有的高級配置和安全特性全部在虛擬化邏輯網(wǎng)絡(luò)中實現(xiàn)。對于“骨干”“枝葉”節(jié)點結(jié)構(gòu)的物理網(wǎng)絡(luò)，只要選用合適的交換設(shè)備，即可輕松滿足可擴展性、高帶寬和容錯等方面的需求。QoS 配置的簡化本身就是NSX 具有的優(yōu)勢，對物理網(wǎng)絡(luò)沒有特殊的要求。

4 廣電系統(tǒng)NSX 應(yīng)用切入點

近年來，融媒體數(shù)據(jù)中心得到了飛速發(fā)展。它往往采用云架構(gòu)的方式部署，因此網(wǎng)絡(luò)虛擬化技術(shù)的應(yīng)用顯得格外重要。大量虛擬機的數(shù)據(jù)交換、非編、技審及轉(zhuǎn)碼等業(yè)務(wù)會產(chǎn)生可觀的東西向流量，如果沒有網(wǎng)絡(luò)虛擬化，很容易給核心網(wǎng)絡(luò)帶來巨大壓力。省級融媒體中心不僅入駐有大批的市縣級融媒體機構(gòu)，而且有多種應(yīng)用系統(tǒng)，需要建立多個獨立的邏輯網(wǎng)絡(luò)，確保這些邏輯網(wǎng)絡(luò)的安全隔離。全臺網(wǎng)［3］已經(jīng)成為廣播電視臺信息化發(fā)展的趨勢，同樣需要在共享的物理網(wǎng)絡(luò)上創(chuàng)建多個邏輯網(wǎng)絡(luò)來實現(xiàn)各種業(yè)務(wù)需求。不論是全臺網(wǎng)還是融媒體建設(shè)，NSX 虛擬化都是理想的解決方案。NSX Edge 上可以實現(xiàn)多種NFV 功能且擴展性好，如負(fù)載均衡、邊界防火墻及NAT，可以利用普通服務(wù)器實現(xiàn)這些原本需要專用設(shè)備才能完成的功能，大大節(jié)約了建網(wǎng)成本。在安全防護方面，NSX 分布式防火墻解決了網(wǎng)絡(luò)內(nèi)部面臨的安全問題，而在NSX Edge 上部署的防火墻實現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)、邏輯網(wǎng)和物理網(wǎng)之間的安全隔離。安全播出是廣電行業(yè)的生命線。在節(jié)目播出和傳輸IP 化的情形下，可以利用網(wǎng)絡(luò)虛擬化的FT 特性，提高安全播出能力，實現(xiàn)不間斷播出。由于NSX Edge 可以無縫連接虛擬網(wǎng)和物理網(wǎng)絡(luò)，因此硬盤播出系統(tǒng)仍然可以做到物理隔離，實現(xiàn)最高級別的安全防護。此外，業(yè)務(wù)系統(tǒng)從物理網(wǎng)絡(luò)遷移到虛擬網(wǎng)絡(luò)的過程也可以循序漸進(jìn)，不會出現(xiàn)業(yè)務(wù)服務(wù)的斷點。虛擬桌面是全臺網(wǎng)和融媒體云都會運用的一種業(yè)務(wù)部署方式，而NSX 對虛擬桌面的流量優(yōu)化和安全防護表現(xiàn)出色。可見，VMware NSX完全適合廣播電視臺的業(yè)務(wù)需求，是廣電行業(yè)實現(xiàn)網(wǎng)絡(luò)虛擬化的理想選擇。

5 結(jié) 語

網(wǎng)絡(luò)虛擬化充分發(fā)掘了網(wǎng)絡(luò)的潛力并簡化了管理，使得邏輯網(wǎng)絡(luò)可以根據(jù)業(yè)務(wù)需求靈活改變，是一種高效的應(yīng)用部署模式。因此，在設(shè)計數(shù)據(jù)中心時需要重視網(wǎng)絡(luò)虛擬化。只有實現(xiàn)徹底的網(wǎng)絡(luò)虛擬化，才能在真正意義上建設(shè)現(xiàn)代數(shù)據(jù)中心。