王 磊

（云南廣播電視臺(tái)，云南 昆明 650500）

0 引 言

網(wǎng)絡(luò)虛擬化、計(jì)算虛擬化及存儲(chǔ)虛擬化3 種技術(shù)共同構(gòu)成了計(jì)算機(jī)虛擬化技術(shù)。隨著云計(jì)算數(shù)據(jù)中心的大量應(yīng)用，發(fā)展相對(duì)滯后的網(wǎng)絡(luò)虛擬化成為必須解決的技術(shù)瓶頸。通過(guò)網(wǎng)絡(luò)虛擬化將網(wǎng)絡(luò)的數(shù)據(jù)平面、控制平面以及管理平面相分離，使得物理網(wǎng)絡(luò)和邏輯網(wǎng)絡(luò)完全解耦，最大限度地提高網(wǎng)絡(luò)使用效率，為SDDC 的建設(shè)創(chuàng)建一個(gè)基礎(chǔ)IT 環(huán)境?；诖?，重點(diǎn)介紹網(wǎng)絡(luò)虛擬化的概念、實(shí)現(xiàn)原理、當(dāng)前最成功的解決方案VMware NSX 及其在廣電領(lǐng)域的應(yīng)用。

1 網(wǎng)絡(luò)虛擬化概述

網(wǎng)絡(luò)虛擬化是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種新型業(yè)務(wù)部署模式，目標(biāo)是要讓網(wǎng)絡(luò)變得簡(jiǎn)單，提高網(wǎng)絡(luò)使用效率。目前，它從簡(jiǎn)單的VPN、VLAN等應(yīng)用方式，已經(jīng)發(fā)展成為系統(tǒng)的解決方案。網(wǎng)絡(luò)虛擬化始終圍繞“水平”和“垂直”兩條主線進(jìn)行，如圖1 所示［1］?！八健笔侵竿ㄟ^(guò)虛擬隧道實(shí)現(xiàn)孤立網(wǎng)絡(luò)的互聯(lián)，組成更大規(guī)模的網(wǎng)絡(luò)，如互聯(lián)網(wǎng)；“垂直”模式類似于服務(wù)器虛擬化，可以在一個(gè)共享的物理網(wǎng)絡(luò)上創(chuàng)建出多個(gè)獨(dú)立的邏輯網(wǎng)絡(luò)。

2 云數(shù)據(jù)中心環(huán)境下的網(wǎng)絡(luò)虛擬化

在硬件方面，云數(shù)據(jù)中心可以部署Cisco Nexus交換機(jī)。它不僅性能優(yōu)越，而且實(shí)現(xiàn)了存儲(chǔ)網(wǎng)和以太網(wǎng)的統(tǒng)一部署，同時(shí)支持完全虛擬化，非常適合云數(shù)據(jù)中心環(huán)境。全部物理服務(wù)器連接到N2K 交換機(jī)，N2K 上連到N5K 交換機(jī)。N2K 交換機(jī)相當(dāng)于N5K 交換機(jī)的一塊接口板，全部配置只需在N5K上完成。

圖1 計(jì)算與網(wǎng)絡(luò)虛擬化類比

VMware vSphere 是業(yè)界領(lǐng)先的虛擬化平臺(tái)。它的網(wǎng)絡(luò)虛擬化功能起初只包括標(biāo)準(zhǔn)交換機(jī)vSS 和分布式交換機(jī)vDS，但這兩種交換機(jī)均不能很好地適應(yīng)云數(shù)據(jù)中心環(huán)境。例如，在實(shí)現(xiàn)vMotion 遷移、服務(wù)器和網(wǎng)絡(luò)管理分離等方面并不理想。為了突破這些局限，引入Cisco Nexus 1000V 虛擬交換機(jī)。它主要由VEM虛擬以太網(wǎng)模塊和VSM 虛擬管理模塊構(gòu)成。

3 VMware NSX 解決方案

3.1 NSX-V 基礎(chǔ)架構(gòu)原理

NSX 借鑒服務(wù)器虛擬化原理，將物理網(wǎng)絡(luò)視為提供傳輸帶寬的基礎(chǔ)設(shè)施，并且可以根據(jù)需求靈活分配給虛擬網(wǎng)絡(luò)。網(wǎng)絡(luò)的交換、路由、QoS 及安全防護(hù)等高級(jí)功能全部在服務(wù)器內(nèi)部通過(guò)軟件實(shí)現(xiàn)。NSX 能夠部署在任何物理IP 網(wǎng)絡(luò)上，且無(wú)需對(duì)底層網(wǎng)絡(luò)進(jìn)行改動(dòng)［2］，實(shí)現(xiàn)了數(shù)據(jù)平面、控制平面及管理平面的完全分離，分別由分布式NSX網(wǎng)關(guān)服務(wù)、NSX Controller 及NSX Manager 實(shí)現(xiàn)相關(guān)的功能。

數(shù)據(jù)平面的分布式服務(wù)集成于ESXi 主機(jī)的Hypervisor，主要負(fù)責(zé)虛擬網(wǎng)絡(luò)中東西向流量的轉(zhuǎn)發(fā)。NSX Edge 可以完成虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)之間的橋接和路由。為了提高網(wǎng)絡(luò)的可靠性和冗余性，控制平面NSX Controller 一般部署成集群模式，其中存儲(chǔ)了整個(gè)網(wǎng)絡(luò)運(yùn)行所需的全部信息。控制平面通過(guò)這些信息來(lái)指導(dǎo)數(shù)據(jù)平面完成數(shù)據(jù)的交換和路由。NSX Manager 的任務(wù)是管理整個(gè)虛擬網(wǎng)絡(luò)，可以創(chuàng)建、刪除及配置虛擬網(wǎng)絡(luò)。它就像服務(wù)器虛擬化中對(duì)虛擬機(jī)的操作一樣，根據(jù)自己的需求創(chuàng)建虛擬網(wǎng)絡(luò)，不需要關(guān)心物理網(wǎng)絡(luò)的結(jié)構(gòu)。同時(shí)，它還是分布式防火墻的管理平面和控制平面。

3.2 虛擬交換與路由

NSX 邏輯交換機(jī)和路由器通過(guò)軟件在ESXi 主機(jī)內(nèi)部模擬出相應(yīng)的實(shí)體網(wǎng)絡(luò)設(shè)備，進(jìn)而實(shí)現(xiàn)二層交換和三層路由。邏輯交換機(jī)使用VXLAN 技術(shù)實(shí)現(xiàn)虛擬化環(huán)境中的二層交換，克服了vDS 使用VLAN 協(xié)議帶來(lái)的缺陷。邏輯路由器分為分布式邏輯路由器和Edge 路由器，分別用來(lái)處理數(shù)據(jù)中心內(nèi)的橫向和縱向三層流量。控制平面有一個(gè)專門(mén)的虛擬機(jī)DLR Control VM，用于獲取并發(fā)布路由信息，實(shí)現(xiàn)對(duì)分布式邏輯路由的控制。只要相互通信的兩臺(tái)虛擬機(jī)在同一臺(tái)物理服務(wù)器內(nèi)，流量就可以在服務(wù)器內(nèi)部完成交換和路由，不需要經(jīng)過(guò)物理網(wǎng)絡(luò)。如果兩臺(tái)虛擬機(jī)處于不同的物理服務(wù)器內(nèi)，三層路由流量只需要通過(guò)二層物理交換機(jī)就可以完成子網(wǎng)間的路由，不需要經(jīng)過(guò)三層交換機(jī)或者物理路由器。因此，NSX 虛擬交換和路由大大減輕了物理網(wǎng)絡(luò)的壓力。

3.3 虛擬安全實(shí)現(xiàn)

NSX 安全設(shè)施包括分布式防火墻和Edge 防火墻，分別對(duì)東西向流量和南北向流量進(jìn)行安全防護(hù)。Edge 防火墻取代了傳統(tǒng)硬件防火墻，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)和數(shù)據(jù)中心與外部的邊界安全控制。分布式防火墻部署在ESXi 主機(jī)的Hypervisor 上，應(yīng)用微分段技術(shù)關(guān)聯(lián)到每一臺(tái)虛擬機(jī)，解決了數(shù)據(jù)中心內(nèi)部安全防護(hù)的難題。虛擬機(jī)之間的流量在進(jìn)出虛擬機(jī)的時(shí)候完成安檢，不需要經(jīng)過(guò)物理防火墻，大大減輕了物理網(wǎng)絡(luò)的壓力。NSX 防火墻不僅具有便于管理、擴(kuò)展性好的優(yōu)勢(shì)，而且不會(huì)造成流量瓶頸，非常適合橫向流量遠(yuǎn)大于縱向流量的網(wǎng)絡(luò)環(huán)境。另外，它還具有很強(qiáng)的兼容性，通過(guò)集成第三方設(shè)施可以實(shí)現(xiàn)網(wǎng)絡(luò)5 ～7 層的安全控制。

3.4 物理網(wǎng)絡(luò)結(jié)構(gòu)

為了更好地支持NSX 邏輯網(wǎng)絡(luò)，底層物理網(wǎng)絡(luò)設(shè)計(jì)為“骨干”“枝葉”節(jié)點(diǎn)結(jié)構(gòu)。這樣的扁平化架構(gòu)不僅適合數(shù)據(jù)中心內(nèi)部橫向流量遠(yuǎn)多于縱向流量的特點(diǎn)，而且也便于后續(xù)的系統(tǒng)擴(kuò)容。NSX 虛擬化除了對(duì)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)有要求外，還需要網(wǎng)絡(luò)具備簡(jiǎn)單性、可擴(kuò)展性、高帶寬、容錯(cuò)和QoS 特性。NSX 要求底層物理網(wǎng)絡(luò)配置簡(jiǎn)單化，且所有的高級(jí)配置和安全特性全部在虛擬化邏輯網(wǎng)絡(luò)中實(shí)現(xiàn)。對(duì)于“骨干”“枝葉”節(jié)點(diǎn)結(jié)構(gòu)的物理網(wǎng)絡(luò)，只要選用合適的交換設(shè)備，即可輕松滿足可擴(kuò)展性、高帶寬和容錯(cuò)等方面的需求。QoS 配置的簡(jiǎn)化本身就是NSX 具有的優(yōu)勢(shì)，對(duì)物理網(wǎng)絡(luò)沒(méi)有特殊的要求。

4 廣電系統(tǒng)NSX 應(yīng)用切入點(diǎn)

近年來(lái)，融媒體數(shù)據(jù)中心得到了飛速發(fā)展。它往往采用云架構(gòu)的方式部署，因此網(wǎng)絡(luò)虛擬化技術(shù)的應(yīng)用顯得格外重要。大量虛擬機(jī)的數(shù)據(jù)交換、非編、技審及轉(zhuǎn)碼等業(yè)務(wù)會(huì)產(chǎn)生可觀的東西向流量，如果沒(méi)有網(wǎng)絡(luò)虛擬化，很容易給核心網(wǎng)絡(luò)帶來(lái)巨大壓力。省級(jí)融媒體中心不僅入駐有大批的市縣級(jí)融媒體機(jī)構(gòu)，而且有多種應(yīng)用系統(tǒng)，需要建立多個(gè)獨(dú)立的邏輯網(wǎng)絡(luò)，確保這些邏輯網(wǎng)絡(luò)的安全隔離。全臺(tái)網(wǎng)［3］已經(jīng)成為廣播電視臺(tái)信息化發(fā)展的趨勢(shì)，同樣需要在共享的物理網(wǎng)絡(luò)上創(chuàng)建多個(gè)邏輯網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)各種業(yè)務(wù)需求。不論是全臺(tái)網(wǎng)還是融媒體建設(shè)，NSX 虛擬化都是理想的解決方案。NSX Edge 上可以實(shí)現(xiàn)多種NFV 功能且擴(kuò)展性好，如負(fù)載均衡、邊界防火墻及NAT，可以利用普通服務(wù)器實(shí)現(xiàn)這些原本需要專用設(shè)備才能完成的功能，大大節(jié)約了建網(wǎng)成本。在安全防護(hù)方面，NSX 分布式防火墻解決了網(wǎng)絡(luò)內(nèi)部面臨的安全問(wèn)題，而在NSX Edge 上部署的防火墻實(shí)現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)、邏輯網(wǎng)和物理網(wǎng)之間的安全隔離。安全播出是廣電行業(yè)的生命線。在節(jié)目播出和傳輸IP 化的情形下，可以利用網(wǎng)絡(luò)虛擬化的FT 特性，提高安全播出能力，實(shí)現(xiàn)不間斷播出。由于NSX Edge 可以無(wú)縫連接虛擬網(wǎng)和物理網(wǎng)絡(luò)，因此硬盤(pán)播出系統(tǒng)仍然可以做到物理隔離，實(shí)現(xiàn)最高級(jí)別的安全防護(hù)。此外，業(yè)務(wù)系統(tǒng)從物理網(wǎng)絡(luò)遷移到虛擬網(wǎng)絡(luò)的過(guò)程也可以循序漸進(jìn)，不會(huì)出現(xiàn)業(yè)務(wù)服務(wù)的斷點(diǎn)。虛擬桌面是全臺(tái)網(wǎng)和融媒體云都會(huì)運(yùn)用的一種業(yè)務(wù)部署方式，而NSX 對(duì)虛擬桌面的流量?jī)?yōu)化和安全防護(hù)表現(xiàn)出色。可見(jiàn)，VMware NSX完全適合廣播電視臺(tái)的業(yè)務(wù)需求，是廣電行業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化的理想選擇。

5 結(jié) 語(yǔ)

網(wǎng)絡(luò)虛擬化充分發(fā)掘了網(wǎng)絡(luò)的潛力并簡(jiǎn)化了管理，使得邏輯網(wǎng)絡(luò)可以根據(jù)業(yè)務(wù)需求靈活改變，是一種高效的應(yīng)用部署模式。因此，在設(shè)計(jì)數(shù)據(jù)中心時(shí)需要重視網(wǎng)絡(luò)虛擬化。只有實(shí)現(xiàn)徹底的網(wǎng)絡(luò)虛擬化，才能在真正意義上建設(shè)現(xiàn)代數(shù)據(jù)中心。