VMware-NSX網(wǎng)絡(luò)虛擬化概覽

VMwareNSX網(wǎng)絡(luò)虛擬化概覽目錄序言 21.VMwareNSX網(wǎng)絡(luò)虛擬化解決方案簡介 21.1VMware服務(wù)器虛擬化的前世今生 21.2服務(wù)器虛擬化的優(yōu)勢移植到了網(wǎng)絡(luò)虛擬化 81.3NSX解決方案概覽 101.4NSX網(wǎng)絡(luò)虛擬化應(yīng)用場景 142．當(dāng)前主流的Overlay隧道技術(shù) 162.1VXLAN技術(shù) 162.2NVGRE技術(shù) 182.3STT技術(shù) 182.4三種Overlay技術(shù)的對比和應(yīng)用場景 192.5下一代Overlay技術(shù)——Geneve 203．各廠商的網(wǎng)絡(luò)虛擬化解決方案 223.1CiscoACI解決方案 223.2在MicrosoftHyper-V中實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化 243.3JuniperContrail解決方案 253.4各廠商網(wǎng)絡(luò)虛擬化解決方案的比較 264．與VMwareNSX相關(guān)的認(rèn)證 284.1VMware認(rèn)證體系簡介 284.2與NSX相關(guān)的VMware認(rèn)證與考試 30總結(jié) 31序言網(wǎng)絡(luò)虛擬化技術(shù)誕生后，有不少廠商都推出了所謂的網(wǎng)絡(luò)虛擬化解決方案。這些廠商實(shí)現(xiàn)“網(wǎng)絡(luò)虛擬化”的方式各異，有些是自己研發(fā)的項(xiàng)目，有些是通過收購，有些是利用開源項(xiàng)目進(jìn)行再開發(fā)。而VMwareNSX網(wǎng)絡(luò)虛擬化平臺(tái)的基本架構(gòu)到底是怎樣的，它與別的廠家有哪些不同？這些問題會(huì)在本章進(jìn)行探討。1.VMwareNSX網(wǎng)絡(luò)虛擬化解決方案簡介盡管VMwareNSX網(wǎng)絡(luò)虛擬化平臺(tái)是通過收購Nicira而獲得的，但是在收購一年多時(shí)間之后，NSX才正式發(fā)布。在這一年多時(shí)間里，VMware的研發(fā)人員與前Nicira的極客們一起通力合作，將VMware服務(wù)器虛擬化平臺(tái)與Nicira網(wǎng)絡(luò)虛擬化平臺(tái)進(jìn)行了融合，我們現(xiàn)在會(huì)發(fā)現(xiàn)NSX架構(gòu)和技術(shù)細(xì)節(jié)（尤其是用于vSphere平臺(tái)的NSX-V），其實(shí)與早期的NiciraNVP平臺(tái)還是有很大區(qū)別，它增加了很多VMware的基因在里面。本節(jié)在介紹VMwareNSX的一些功能和特性之前，還簡單介紹了虛擬化技術(shù)以及VMware公司誕生和發(fā)展的歷史，這些都是值得去了解的故事。IT行業(yè)已經(jīng)直接從服務(wù)器虛擬化中獲得了顯著好處。服務(wù)器虛擬化解決方案降低了物理硬件的復(fù)雜性，提高了運(yùn)營效率，帶來了更好的安全性和冗余性，并且能夠動(dòng)態(tài)地重新調(diào)整底層資源的用途，以便以最佳方式快速滿足日益動(dòng)態(tài)化的業(yè)務(wù)應(yīng)用需求。除此之外，服務(wù)器虛擬化還能節(jié)省機(jī)房空間，節(jié)省用電和制冷成本。VMwareNSX網(wǎng)絡(luò)虛擬化技術(shù)與VMware一直致力推動(dòng)的服務(wù)器虛擬化技術(shù)，究竟有什么聯(lián)系，有哪些類似的地方？讀者可以在這一節(jié)找到答案。本節(jié)會(huì)介紹NSX基本架構(gòu)和基本組件。1.1VMware服務(wù)器虛擬化的前世今生介紹VMware網(wǎng)絡(luò)虛擬化之前，不得不先提VMware服務(wù)器虛擬化的發(fā)展歷史和一些功能特性，因?yàn)镹SX的很多設(shè)計(jì)思路和理念，都像極了已經(jīng)深入人心的服務(wù)器虛擬化解決方案。有很多讀者可能近幾年才接觸到服務(wù)器虛擬化，其實(shí)早在1959年，計(jì)算機(jī)科學(xué)家克里斯托弗·斯特雷奇（ChristopherStrachey）就發(fā)表了一篇名為TimeSharinginLargeFastComputers（大型高速計(jì)算機(jī)中的時(shí)間共享）的學(xué)術(shù)報(bào)告。在該報(bào)告中，他第一次提出了虛擬化的概念，即使用“時(shí)間共享”技術(shù)，使多操作系統(tǒng)可以運(yùn)行在一臺(tái)計(jì)算機(jī)之上。但是在當(dāng)時(shí)，他的思想太超前了，計(jì)算機(jī)也完全沒有普及，實(shí)現(xiàn)其想法也就困難重重。在相當(dāng)長的時(shí)間內(nèi)，虛擬化只能作為一個(gè)概念存在于新興的計(jì)算機(jī)學(xué)世界里。隨著科技的發(fā)展，大型機(jī)出現(xiàn)了，但是它的價(jià)格非常昂貴，如何有效利用之成了一個(gè)難題。偉大的IT公司IBM基于斯特雷奇的理論，開發(fā)了最早的虛擬機(jī)技術(shù)，允許在一臺(tái)IBM大型機(jī)上運(yùn)行多個(gè)操作系統(tǒng)，讓用戶盡可能地充分利用和共享昂貴的大型機(jī)資源。20世紀(jì)七、八十年代，虛擬化技術(shù)進(jìn)入低谷期——因?yàn)殡S著大規(guī)模集成電路的出現(xiàn)，計(jì)算機(jī)硬件變得越來越便宜，需要增加操作系統(tǒng)時(shí)，人們往往選擇再購買一臺(tái)計(jì)算機(jī)。當(dāng)初為了共享昂貴的大型機(jī)資源而設(shè)計(jì)的虛擬化技術(shù)就無人問津了。虛擬化技術(shù)在20世紀(jì)90年代末期迎來復(fù)興。隨著x86計(jì)算機(jī)的普及、CPU的處理能力越來越強(qiáng)、內(nèi)存容量越來越大，新的基于x86平臺(tái)的虛擬化技術(shù)誕生了，其主要目的是充分利用x86計(jì)算機(jī)的閑置資源。1998年成立的VMware公司于1999年最早正式發(fā)布了基于x86計(jì)算機(jī)的虛擬化軟件，雖然VMware虛擬化技術(shù)在剛剛推出時(shí)并沒有引起轟動(dòng)，但是為之后的IT變革埋下了伏筆——基于x86計(jì)算機(jī)的虛擬化技術(shù)的飛速發(fā)展，使得計(jì)算資源可以實(shí)現(xiàn)池化，進(jìn)而催生了之后的云計(jì)算。1997年，斯坦福大學(xué)的蒙德爾·羅森布洛姆（MendelRosenblum）、艾德瓦德·巴格寧（EdouardBugnion）和斯科特·迪瓦恩（ScottDevine）三人，在ACMSOSP（SymposiumonOperatingSystemsPrinciples，計(jì)算機(jī)操作系統(tǒng)研究領(lǐng)域的旗艦會(huì)議）上發(fā)表了著名論文Disco:

RunningCommodityOperatingSystemsonScalableMultiprocessors。Disco其實(shí)就是他們在斯坦福大學(xué)里的一項(xiàng)科研課題，即在x86計(jì)算機(jī)之上同時(shí)運(yùn)行多個(gè)多操作系統(tǒng)，這也是現(xiàn)代虛擬化技術(shù)的開山之作。一年之后，羅森布洛姆在加州大學(xué)伯克利分校求學(xué)時(shí)相識(shí)的妻子戴安娜·格林（DianeGreene）也加入了他們的團(tuán)隊(duì)（夫婦倆的照片見圖2.1），加上一名華裔青年愛德華·王（EdwardWang），他們五人在美國加州的PaloAlto市創(chuàng)立了這家之后在IT界揚(yáng)名立萬的VMware公司。VMware公司的名字是VirtualMachineSoftware的縮寫，公司名字彰顯了它從成立之初就一直在堅(jiān)持的事情——致力于推動(dòng)虛擬機(jī)軟件的發(fā)展。如今，羅森布洛姆夫婦分別是斯坦福大學(xué)教授和Google董事會(huì)成員。值得一提的是，巴格寧后來還成為了CiscoUCS之父。圖2.1戴安娜·格林與蒙德爾·羅森布洛姆1999年5月，具有劃時(shí)代意義的VMwareWorkstation產(chǎn)品被這群具有創(chuàng)新精神的年輕人研發(fā)出來了。這是業(yè)內(nèi)第一款基于x86平臺(tái)的虛擬化軟件，它允許在一臺(tái)x86計(jì)算機(jī)上同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，安裝環(huán)境是Windows98/NT4.0。2001年，專門用于x86服務(wù)器的虛擬化軟件VMwareESXServer正式發(fā)布，它無需Windows操作系統(tǒng)，而是直接運(yùn)行在計(jì)算機(jī)底層。ESX（現(xiàn)在叫做ESXi）這個(gè)一直沿用到今天的VMware服務(wù)器虛擬化軟件內(nèi)核程序（Hypervisor），是當(dāng)時(shí)VMware實(shí)驗(yàn)室里的研發(fā)代號(hào)ElasticSkyX的縮寫。2003年，vCenter發(fā)布，它允許多臺(tái)物理計(jì)算機(jī)上的所有虛擬機(jī)被同一個(gè)集中式的管理平面來管理，且可以利用同時(shí)發(fā)布的vMotion技術(shù)在不同物理機(jī)之間實(shí)現(xiàn)遷移。2004年，這家成立不到6年的年輕公司，被存儲(chǔ)巨頭EMC公司斥資6.35億美金收購。今天，VMware的市值較EMC收購時(shí)翻了近100倍，有人不禁感慨：如果晚幾年再賣掉，能賣多少錢？如果不賣，現(xiàn)在的VMware又可能是什么樣子？在VMware被EMC收購后，EMC并沒有將其并入自己的一個(gè)業(yè)務(wù)部門，或融入自己的產(chǎn)品和解決方案中，而是任由其獨(dú)立發(fā)展，其目的可能是為了2007年的VMware拆分上市——一旦并入EMC的一個(gè)部門中，就無法上市了。就結(jié)果而言，VMware因?yàn)楠?dú)立發(fā)展，勢頭非常良好。隨著CPU和內(nèi)存的能力不斷提升、應(yīng)用越來越多，市場對虛擬化的需求量也越來越大——企業(yè)自然不希望閑置的CPU和內(nèi)存不能被有效利用，而且通過購買更少的服務(wù)器，安裝虛擬化軟件，還能有效節(jié)省物理服務(wù)器的采購成本，節(jié)省機(jī)房空間、用電和制冷成本。VMware將自己的虛擬化軟件以每個(gè)物理CPU需要一個(gè)license的形式賣給客戶，從中取了利潤，加上上市和融資，VMware有了更多資金，可以不斷完善自己解決方案中的功能。2008年，Microsoft公司和Citrix公司也開始推出自己的虛擬化軟件，其中Citrix公司通過收購得到了開源的Xen虛擬化系統(tǒng)的核心技術(shù)，而另外一款基于開源代碼的KVM虛擬化系統(tǒng)也開始興起。服務(wù)器虛擬化技術(shù)蓬勃發(fā)展，理念已深入人心，越來越多的企業(yè)近幾年運(yùn)用各種虛擬化解決方案來實(shí)現(xiàn)P2V，即將物理服務(wù)器遷移至虛擬化環(huán)境。有競爭對手的市場總比壟斷要好，競爭促使VMware公司研發(fā)新的解決方案。如今，VMware不斷更新服務(wù)器虛擬化的功能，在vSphere5.5版本中，VMware加入了存儲(chǔ)的DRS和存儲(chǔ)的I/O控制等功能；在vSphere6.0版本發(fā)布之后，跨越vCenter的vMotion、長距離vMotion的功能實(shí)現(xiàn)，F(xiàn)T也突破了一個(gè)vCPU的限制。此外，最近幾年，用來管理云環(huán)境的工具的功能也不斷完善，加上VSAN和NSX解決方案的提出，都與VMware傳統(tǒng)虛擬化解決方案一起成為了VMwareSDDC的拼圖。VMware公司還有能力通過桌面虛擬化（VDI）技術(shù)幫助企業(yè)打造虛擬桌面。VMwarevSphere解決方案的底層使用了ESXi（以前叫做ESX）的虛擬機(jī)管理程序，它不依賴于任何一個(gè)操作系統(tǒng)，可以被安裝到本地物理硬盤、外置SAN環(huán)境、閃存、USB驅(qū)動(dòng)器等地方，但必須能夠直接訪問物理服務(wù)器的底層，作為物理服務(wù)器的Hypervisor，知曉物理服務(wù)器所有信息。安裝了ESXi程序的物理服務(wù)器叫做ESXi主機(jī)。圖2.2闡述了VMwarevSphere的底層體系結(jié)構(gòu)。VMware服務(wù)器虛擬化解決方案的核心思想有以下幾點(diǎn)。在一臺(tái)物理服務(wù)器底層安裝虛擬化軟件，使得一臺(tái)物理服務(wù)器上可以運(yùn)行多個(gè)操作系統(tǒng)，安裝多個(gè)應(yīng)用。這些操作系統(tǒng)運(yùn)行在多虛擬機(jī)上，而且其上安裝的應(yīng)用與物理主機(jī)上實(shí)現(xiàn)的功能完全相同。就用戶端而言，每臺(tái)虛擬機(jī)看起來與物理服務(wù)器沒有任何區(qū)別。能夠快速并有效地更換虛擬機(jī)的虛擬硬件組件，如增加vCPU、增加內(nèi)存、增加虛擬網(wǎng)卡等?？缥锢矸?wù)器運(yùn)行的多個(gè)虛擬機(jī)可以通過統(tǒng)一的管理平臺(tái)進(jìn)行部署、維護(hù)。復(fù)制、增加、刪除虛擬機(jī)非常便捷。虛擬機(jī)能夠在不同物理機(jī)中進(jìn)行快速、安全的遷移，借此技術(shù)還能實(shí)現(xiàn)高可用性（HighAvailability，HA）和動(dòng)態(tài)資源分配（DistributedResourceScheduler，DRS）。圖2.2VMwarevSphere的底層體系結(jié)構(gòu)

VMware使用了vCenter系統(tǒng)來統(tǒng)一部署和管理安裝在跨多個(gè)物理服務(wù)器上的虛擬機(jī)。vCenter系統(tǒng)在一個(gè)統(tǒng)一的平臺(tái)管理多臺(tái)物理服務(wù)器上的虛擬機(jī)后，能夠?qū)崿F(xiàn)的其他主要功能如下。通過在線遷移（vMotion）技術(shù)，將正在運(yùn)行的虛擬機(jī)從一臺(tái)物理服務(wù)器遷移到其他物理服務(wù)器，而無需中斷。這是VMware最重要的技術(shù)之一，DRS、HA等高級功能都基于這個(gè)技術(shù)。動(dòng)態(tài)資源分配技術(shù)，使得多臺(tái)物理服務(wù)器中運(yùn)行的虛擬機(jī)可以實(shí)現(xiàn)負(fù)載均衡。DRS利用了vMotion技術(shù)來實(shí)現(xiàn)這個(gè)功能——一旦檢測到負(fù)載升高到一定程度，就能通過vMotion技術(shù)進(jìn)行在線遷移。分布式電源管理（DistributedPowerManagement，DPM）可以結(jié)合DRS功能，將多個(gè)負(fù)載較低的虛擬機(jī)集中到少數(shù)物理服務(wù)器上，把無用的物理服務(wù)器關(guān)機(jī)，節(jié)省電力；而在虛擬機(jī)負(fù)載開始增多時(shí)，對沒有使用的物理服務(wù)器加電開機(jī)，再通過DRS實(shí)現(xiàn)負(fù)載均衡。存儲(chǔ)在線遷移（StoragevMotion）技術(shù)，允許正在運(yùn)行的虛擬機(jī)的硬盤資源從一個(gè)存儲(chǔ)設(shè)備遷移到另一個(gè)設(shè)備上。存儲(chǔ)的動(dòng)態(tài)資源分配技術(shù)（StorageDRS）功能，允許虛擬機(jī)從存儲(chǔ)的角度進(jìn)行負(fù)載均衡。數(shù)據(jù)保護(hù)（DataProtection）功能，可以備份虛擬機(jī)。高可用性，當(dāng)一臺(tái)物理服務(wù)器出現(xiàn)故障時(shí)，將虛擬機(jī)遷移到其他物理服務(wù)器上。遷移過程又是基于vMotion技術(shù)并遵循DRS的。容錯(cuò)（FaultTolerance，F(xiàn)T）功能，允許在不同物理服務(wù)器上運(yùn)行兩臺(tái)完全一模一樣的虛擬機(jī)，提供最高等級的冗余性，即使一臺(tái)物理服務(wù)器（或虛擬機(jī)）發(fā)生故障，業(yè)務(wù)也不會(huì)中斷運(yùn)行。值得注意的是，在vSphere5.5版本之前，F(xiàn)T功能僅能支持1個(gè)vCPU，這個(gè)限制在vSphere6.0版本進(jìn)行了極大的改進(jìn)，可以支持4個(gè)vCPU。企業(yè)可以對最核心的應(yīng)用部署FT，對一般應(yīng)用部署HA。復(fù)制（Replication），可以復(fù)制虛擬機(jī)的所有鏡像到到另一個(gè)站點(diǎn)（如災(zāi)備中心），進(jìn)行災(zāi)難恢復(fù)，保障數(shù)據(jù)安全。目前最新的VMwarevSphere軟件已走到了第六代，它有多個(gè)版本，分為基礎(chǔ)版（Essentials）、基礎(chǔ)加強(qiáng)版（EssentialsPlus）、標(biāo)準(zhǔn)版（Standard）、企業(yè)版（Enterprise）、企業(yè)加強(qiáng)版（EnterprisePlus）五種。不同的版本能實(shí)現(xiàn)的功能也不同，其價(jià)格是隨著其版本不同而不同。表2.1所示為每個(gè)版本能實(shí)現(xiàn)的功能概覽。

表2.1vSphere不同版本的功能比較值得注意的是，VMwarevSphere試用版本支持所有功能，但是使用期有60天的限制。此外，可以看到，只有企業(yè)加強(qiáng)版（EnterprisePlus）的license才能夠支持分布式交換機(jī)（VDS），而NSX-V網(wǎng)絡(luò)虛擬化平臺(tái)必須建立在分布式交換機(jī)之上。因此，搭建NSX-V網(wǎng)絡(luò)虛擬化平臺(tái)時(shí)，必須確保企業(yè)中vSphere的license是企業(yè)加強(qiáng)版。但是這個(gè)限制在NSX6.2版本發(fā)布之后已經(jīng)消除——NSX6.2licence自帶VDS功能，這意味著現(xiàn)在低版本的vSphere同樣可以支持NSX-V網(wǎng)絡(luò)虛擬化環(huán)境。

1.2服務(wù)器虛擬化的優(yōu)勢移植到了網(wǎng)絡(luò)虛擬化以前的大二層技術(shù)一般是在物理網(wǎng)絡(luò)底層使用IS-IS路由技術(shù)，再在此基礎(chǔ)之上實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)的二層擴(kuò)展，如公有的TRILL、SPB技術(shù)和Cisco私有的OTV、FabricPath技術(shù)。前沿一些的網(wǎng)絡(luò)虛擬化技術(shù)使用了VXLAN、NVGRE等協(xié)議，突破VLAN和MAC的限制，將數(shù)據(jù)中心的大二層網(wǎng)絡(luò)擴(kuò)展得更大（這些在第1章都做了闡述）。而使用VMwareNSX，則更進(jìn)一步——可以對網(wǎng)絡(luò)提供與對計(jì)算和存儲(chǔ)實(shí)現(xiàn)的類似的虛擬化功能。就像服務(wù)器虛擬化可以通過編程方式創(chuàng)建、刪除和還原基于軟件的虛擬機(jī)以及拍攝其快照一樣，在NSX網(wǎng)絡(luò)虛擬化平臺(tái)中，也可以對基于軟件的虛擬網(wǎng)絡(luò)實(shí)現(xiàn)這些同樣的功能。這是一種具有徹底革命性的架構(gòu)，不僅數(shù)據(jù)中心能夠大大提高系統(tǒng)的敏捷性、可維護(hù)性、可擴(kuò)展性，而且還能大大簡化底層物理網(wǎng)絡(luò)的運(yùn)營模式。NSX能夠部署在任何IP網(wǎng)絡(luò)上，包括所有的傳統(tǒng)網(wǎng)絡(luò)模型以及任何供應(yīng)商提供的新一代體系結(jié)構(gòu)，無需對底層網(wǎng)絡(luò)進(jìn)行重構(gòu)，只需要注意將底層物理網(wǎng)絡(luò)的MTU值設(shè)置為1600即可，這是因?yàn)閂XLAN封裝之后的IP報(bào)文會(huì)增加一個(gè)頭部。不難看出，VMwareNSX的核心思想其實(shí)就是將VMware多年致力發(fā)展的服務(wù)器虛擬化技術(shù)移植到了網(wǎng)絡(luò)架構(gòu)中，如圖2.3所示。圖2.3服務(wù)器虛擬化邏輯架構(gòu)與網(wǎng)絡(luò)虛擬化邏輯架構(gòu)

實(shí)現(xiàn)服務(wù)器虛擬化后，軟件抽象層（服務(wù)器虛擬化管理程序Hypervisor）可在軟件中重現(xiàn)人們所熟悉的x86物理服務(wù)器屬性，例如CPU、內(nèi)存、磁盤、網(wǎng)卡，從而可通過編程方式以任意組合來組裝這些屬性，只需短短數(shù)秒，即可生成一臺(tái)獨(dú)一無二的虛擬機(jī)。而實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化后，與Hypervisor類似的“網(wǎng)絡(luò)虛擬化管理程序”可在軟件中重現(xiàn)二到七層的整套網(wǎng)絡(luò)服務(wù)，例如交換、路由、訪問控制、防火墻、QoS、負(fù)載均衡。因此，與服務(wù)器虛擬化的理念相同，可以通過編程的方式以任意組合來部署這些服務(wù)，只需短短數(shù)秒，即可生成獨(dú)一無二的虛擬網(wǎng)絡(luò)（邏輯網(wǎng)絡(luò)）。除此之外，基于NSX的網(wǎng)絡(luò)虛擬化方案還能提供更多的功能和優(yōu)勢。例如，就像虛擬機(jī)獨(dú)立于底層x86平臺(tái)并允許將物理服務(wù)器視為計(jì)算容量池一樣，虛擬網(wǎng)絡(luò)也獨(dú)立于底層網(wǎng)絡(luò)硬件平臺(tái)并允許將物理網(wǎng)絡(luò)視為可以按需（如按使用量和用途）進(jìn)行自動(dòng)服務(wù)的傳輸容量池。對于第1章中提到的業(yè)務(wù)或應(yīng)用的激增和激退的情形，數(shù)據(jù)中心就實(shí)現(xiàn)了網(wǎng)絡(luò)資源的快速分配。與傳統(tǒng)體系結(jié)構(gòu)不同，NSX可以通過編程方式調(diào)配、更改、存儲(chǔ)、刪除和還原虛擬網(wǎng)絡(luò)，而無需重新配置底層物理硬件或改變拓?fù)?。這種革命性的組網(wǎng)方式與企業(yè)已經(jīng)非常熟悉的服務(wù)器虛擬化解決方案有著異曲同工之妙。由于使用了NSX解決方案后的邏輯網(wǎng)絡(luò)架構(gòu)產(chǎn)生了質(zhì)的變化，以NSX網(wǎng)絡(luò)平臺(tái)搭建的數(shù)據(jù)中心最終達(dá)到的效果就是：無論系統(tǒng)規(guī)模多大，無論物理服務(wù)器、虛擬機(jī)有多少臺(tái)，無論底層網(wǎng)絡(luò)多么復(fù)雜，無論多站點(diǎn)數(shù)據(jù)中心跨越多少地域，在NSX網(wǎng)絡(luò)虛擬化解決方案的幫助下，對于IT管理人員和用戶來說，這些運(yùn)行在多站點(diǎn)數(shù)據(jù)中心復(fù)雜網(wǎng)絡(luò)之上的成千上萬臺(tái)的虛擬機(jī)，就好像是連接在同一臺(tái)物理交換機(jī)上一樣。有了VMwareNSX，就有可以部署新一代軟件定義的數(shù)據(jù)中心所需的邏輯網(wǎng)絡(luò)。之前討論過NSX無需關(guān)心底層物理網(wǎng)絡(luò)，那么它是否一定要部署在VMware的虛擬化環(huán)境中？答案也是否定的。NSX可以部署在VMwarevSphere、KVM、Xen等諸多虛擬化環(huán)境中，這也是NiciraNVP平臺(tái)本來就具備的功能。

1.3NSX解決方案概覽NSX網(wǎng)絡(luò)虛擬化分為vSphere環(huán)境下的NSX（NSX-V）和多虛擬化環(huán)境下的NSX（NSX-MH）。它們是不同的軟件，最新版本（2016年3月3日更新）分別是6.2.2和4.2.5。這點(diǎn)在部署之前就需要了解，以避免錯(cuò)誤部署。之后會(huì)分別詳細(xì)討論這兩種不同環(huán)境下部署的NSX網(wǎng)絡(luò)虛擬化平臺(tái)。無論使用NSX-V還是NSX-MH，其基本邏輯架構(gòu)都是相同的，不同點(diǎn)僅體現(xiàn)在安裝軟件和部署方式、配置界面，以及數(shù)據(jù)平面中的一些組件上（NSX-V中的虛擬交換機(jī)為vSphere分布式交換機(jī)，而NSX-MH中的虛擬交換機(jī)為OVS）。圖2.4是NSX網(wǎng)絡(luò)虛擬化架構(gòu)的基本示意圖，它分為數(shù)據(jù)平面、控制平面（這兩個(gè)平臺(tái)的分離，與第1章提到的SDN架構(gòu)完全吻合）、管理平面。其中數(shù)據(jù)平面中，又分分布式服務(wù)（包括邏輯交換機(jī)、邏輯路由器、邏輯防火墻）和NSX網(wǎng)關(guān)服務(wù)?？刂破矫娴闹饕M件是NSXController（還會(huì)包含DLRControlVM），而管理平面的主要組件是NSXManager（還會(huì)包含vCenter）。圖2.4NSX邏輯架構(gòu)

下面簡單說明一下各個(gè)組件（后續(xù)章節(jié)會(huì)進(jìn)行更具體的分析）。NSX數(shù)據(jù)平面主要由NSX虛擬交換機(jī)組成。虛擬機(jī)交換機(jī)基于vSphere中的分布式交換機(jī)（VDS），或基于非VMware虛擬化環(huán)境中的OVS（OpenvSwitch）。通過將內(nèi)核模塊（VIB）安裝在Hypervisor之上，實(shí)現(xiàn)VXLAN、分布式路由、分布式防火墻等服務(wù)。這里的NSX虛擬交換機(jī)可以對物理網(wǎng)絡(luò)進(jìn)行抽象化處理并直接在Hypervisor層之上提供交換、路由、防火墻功能。這樣能獲得哪些好處呢？首先，NSX虛擬交換機(jī)有了一個(gè)統(tǒng)一的配置界面。此外，NSX虛擬交換機(jī)利用VXLAN或STT協(xié)議實(shí)現(xiàn)Overlay功能，在現(xiàn)有物理網(wǎng)絡(luò)之上創(chuàng)建一個(gè)與之解耦的獨(dú)立虛擬網(wǎng)絡(luò)，容易部署和維護(hù)。而這個(gè)虛擬網(wǎng)絡(luò)和以前我們所熟悉的網(wǎng)絡(luò)架構(gòu)并不一樣——傳統(tǒng)的網(wǎng)絡(luò)，不同VLAN之間地址是不能重復(fù)、沖突的，而運(yùn)行在Overlay之上的虛擬網(wǎng)絡(luò)，允許不同租戶使用相同的網(wǎng)關(guān)或IP地址，同時(shí)保持隔離。NSX虛擬交換機(jī)連接的虛擬機(jī)是獨(dú)立于虛擬網(wǎng)絡(luò)的，并且就像連接到物理網(wǎng)絡(luò)一樣運(yùn)行，新創(chuàng)建的虛擬交換機(jī)可以有效進(jìn)行配置備份和還原，而它在連接虛擬機(jī)時(shí)還能實(shí)現(xiàn)QoS和鏈路聚合等諸多功能。NSX虛擬交換機(jī)還有利于實(shí)現(xiàn)大規(guī)模擴(kuò)展，而端口鏡像、NetFlow、網(wǎng)絡(luò)運(yùn)行狀況檢查等多種功能可以在虛擬網(wǎng)絡(luò)內(nèi)進(jìn)行全面的流量管理、監(jiān)控和故障排除。數(shù)據(jù)平面還包含邊界網(wǎng)關(guān)設(shè)備，它可以作為虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)進(jìn)行通信的網(wǎng)關(guān)。這種設(shè)備通常是NSXEdge（NSX-V中）或二/三層網(wǎng)關(guān)（NSX-MH中），它以虛擬服務(wù)的形式注冊到NSXManager，在虛擬網(wǎng)絡(luò)與外界通信時(shí)，VXLAN到VLAN的轉(zhuǎn)換無論發(fā)生在二層網(wǎng)絡(luò)（橋接時(shí)）還是三層網(wǎng)絡(luò)（路由），都可以由邊界網(wǎng)關(guān)來進(jìn)行處理。Edge、二/三層網(wǎng)關(guān)除了處理南北向流量外，也提供了類似NFV的一些功能，如實(shí)現(xiàn)NAT、VPN、負(fù)載均衡等。NSX控制平面中的主要組件是NSXController。它仍然是以虛擬機(jī)的形式安裝，并以虛擬服務(wù)的形式與NSXManager集成。NSXController在虛擬網(wǎng)絡(luò)內(nèi)部，可以看作是數(shù)據(jù)平面的控制單元。它與數(shù)據(jù)平面之間不會(huì)有任何數(shù)據(jù)流量的傳遞，只會(huì)將信令發(fā)布給數(shù)據(jù)平面，再由數(shù)據(jù)平面進(jìn)行工作。因此NSXController發(fā)生任何故障都不會(huì)對數(shù)據(jù)平面的流量造成影響（其實(shí)這種故障也不常見，因?yàn)镹SXController一般都是冗余部署的）。而對外（物理網(wǎng)絡(luò)），NSXController可以使用OVSDB和OpenFlow協(xié)議，作為物理網(wǎng)絡(luò)的SDN控制器，但是VMware尚未針對這個(gè)功能提供官方的圖形化配置界面，因此要實(shí)現(xiàn)這個(gè)功能，需要開發(fā)人員在API之上通過編程來實(shí)現(xiàn)。目前AristaNetworks和Brocade兩家物理硬件網(wǎng)絡(luò)廠商的研發(fā)人員通過再開發(fā)，實(shí)現(xiàn)了其網(wǎng)絡(luò)設(shè)備可以交由NSXController控制。除了NSXController，控制平面中的其他組件還包括DLRControllerVM，用來處理三層路由協(xié)議的控制。NSX管理平面中的主要組件是NSXManager，可以通過NSXManager提供的Web界面配置和管理整個(gè)NSX網(wǎng)絡(luò)虛擬化環(huán)境的所有組件。NSXManager提供的RESTAPI可以為VMware高級云管理平臺(tái)或第三方云管理平臺(tái)（CMS/CMP）提供接口。OpenStack同樣可以在這里與NSXManager集成，使得NSX與OpenStack實(shí)現(xiàn)融合。有了這些組件，我們不難看出，NSX可以提供如下網(wǎng)絡(luò)服務(wù)（見圖2.5）。圖2.5NSX網(wǎng)絡(luò)虛擬化平臺(tái)能夠提供的服務(wù)

交換：在物理網(wǎng)絡(luò)中的任何位置實(shí)現(xiàn)大二層交換網(wǎng)絡(luò)的擴(kuò)展，而無需關(guān)心底層物理網(wǎng)絡(luò)架構(gòu)。路由：IP子網(wǎng)之間的路由，可以完全在邏輯網(wǎng)絡(luò)中完成。由于三層網(wǎng)關(guān)由NSXController控制并下發(fā)至所有Hypervisor，因此流量無需經(jīng)過物理路由器或三層交換機(jī)。NSX網(wǎng)絡(luò)虛擬化環(huán)境中的路由是在Hypervisor層通過分布式的方式執(zhí)行的，每臺(tái)ESXi主機(jī)的CPU消耗很小，可為虛擬網(wǎng)絡(luò)架構(gòu)內(nèi)的路由表提供最佳路徑。防火墻：安全防護(hù)可以在Hypervisor層以及虛擬網(wǎng)卡層面執(zhí)行。它使用可擴(kuò)展的方式實(shí)施防火墻規(guī)則，而不會(huì)像傳統(tǒng)部署中在物理防火墻設(shè)備上形成流量的瓶頸。NSX防火墻分布式基于Hypervisor內(nèi)核，只產(chǎn)生極少的CPU開銷，并且能夠線速執(zhí)行。邏輯負(fù)載均衡：支持四到七層的負(fù)載均衡服務(wù)。VPN服務(wù)：可實(shí)現(xiàn)二、三層VPN服務(wù)和SSLVPN。物理網(wǎng)絡(luò)連接：NSXEdge（或網(wǎng)關(guān)）提供虛擬網(wǎng)絡(luò)到物理網(wǎng)絡(luò)的二層橋接或三層路由功能。

有了NSX網(wǎng)絡(luò)虛擬化解決方案，VMware進(jìn)一步完善了軟件定義數(shù)據(jù)中心（SoftwareDefinedDataCenter，SDDC）解決方案，即在數(shù)據(jù)中心中同時(shí)滿足軟件定義網(wǎng)絡(luò)、軟件定義計(jì)算、軟件定義存儲(chǔ)，并實(shí)現(xiàn)應(yīng)用交付的自動(dòng)化、新舊應(yīng)用的快速創(chuàng)建和刪除，如圖2.6所示。SDDC解決方案的核心是讓客戶以更小的代價(jià)來獲得更靈活的、快速的業(yè)務(wù)部署、運(yùn)維和管理。圖2.6VMware的完整SDDC解決方案架構(gòu)

SDDC是相對于傳統(tǒng)的硬件定義數(shù)據(jù)中心（HDDC）提出的。由于沒有任何一家IT廠商可以提供底層網(wǎng)絡(luò)、存儲(chǔ)、x86服務(wù)器平臺(tái)與虛擬化軟件的全套產(chǎn)品，對不同廠商的產(chǎn)品，也沒有一個(gè)統(tǒng)一的管理界面，因此傳統(tǒng)的HDDC解決方案的效率比較差——IT管理人員需要一一登錄到不同設(shè)備中進(jìn)行特殊的、差異化的配置。這樣的模式不僅部署和運(yùn)維的效率較低，而且根本無法實(shí)現(xiàn)自動(dòng)化。而SDDC的核心理念就是通過一套單一的數(shù)據(jù)中心管理軟件，可以在任何x86平臺(tái)、存儲(chǔ)平臺(tái)、網(wǎng)絡(luò)平臺(tái)之上，實(shí)現(xiàn)高效地部署和運(yùn)維，最終實(shí)現(xiàn)數(shù)據(jù)中心自動(dòng)化。盡管VMware并不生產(chǎn)物理硬件，但對于數(shù)據(jù)中心的底層功能而言，其在SDDC擁有全套解決方案——軟件定義網(wǎng)絡(luò)（NSX）、軟件定義計(jì)算（vSphere）、軟件定義存儲(chǔ)（VSAN）。該解決方案無需綁定任何物理硬件廠商設(shè)備，即可實(shí)現(xiàn)數(shù)據(jù)中心自動(dòng)化。VMware還有針對SDDC統(tǒng)一部署和管理的云管理平臺(tái)。1.4NSX網(wǎng)絡(luò)虛擬化應(yīng)用場景NSX網(wǎng)絡(luò)虛擬化平臺(tái)，適用于所有不同類型的行業(yè)中的各種客戶。對于政府和國企用戶，由于其網(wǎng)絡(luò)設(shè)備購買方式往往是集中采購，導(dǎo)致每年不同項(xiàng)目的網(wǎng)絡(luò)設(shè)備的品牌可能都不相同，而IT管理人員也希望這些不同品牌的網(wǎng)絡(luò)設(shè)備搭建的復(fù)雜的大規(guī)模網(wǎng)絡(luò)能夠易于維護(hù)。NSX網(wǎng)絡(luò)虛擬化平臺(tái)獨(dú)立于物理網(wǎng)絡(luò)之上，提供了一套邏輯網(wǎng)絡(luò)，它不關(guān)心底層架構(gòu)，只要底層網(wǎng)絡(luò)互通，IT管理人員就可以針對不同應(yīng)用便捷地創(chuàng)建和刪除邏輯網(wǎng)絡(luò)，使得IT底層架構(gòu)更加靈活。對于醫(yī)療和教育行業(yè)，它們的數(shù)據(jù)中心往往會(huì)分布在不同院區(qū)或校區(qū)，NSX網(wǎng)絡(luò)虛擬化平臺(tái)可以跨越不同數(shù)據(jù)中心實(shí)現(xiàn)一套單一的邏輯網(wǎng)絡(luò)。對于金融和證券行業(yè)，它們同樣有異地?cái)?shù)據(jù)中心的需求。此外，它們對安全的要求會(huì)更高。NSX基于微分段的分布式防火墻可以幫助這些對安全有著更高要求的用戶實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部不同應(yīng)用和業(yè)務(wù)資源池的精細(xì)化安全控制。該行業(yè)客戶都需要滿足各自上級的合規(guī)性監(jiān)管要求，需要可追溯和審計(jì)，甚至實(shí)時(shí)把控其流量和交易的具體信息。該行業(yè)的一些應(yīng)用，如在線交易系統(tǒng)，對流量的延遲、抖動(dòng)都非常敏感。NSX網(wǎng)絡(luò)虛擬化平臺(tái)通過Hypervisor之上的分布式路由、防火墻、負(fù)載均衡服務(wù)，可以大幅優(yōu)化流量路徑，有效解決了延遲、抖動(dòng)等問題。對于電信運(yùn)營商，除了異地?cái)?shù)據(jù)中心的需求和需要實(shí)現(xiàn)高靈活性、高可擴(kuò)展性外，往往還需要實(shí)現(xiàn)多租戶。NSX基于主機(jī)的Overlay技術(shù)，可以創(chuàng)建多個(gè)獨(dú)立的邏輯網(wǎng)絡(luò)，有效解決了多租戶問題。對于OTT和互聯(lián)網(wǎng)行業(yè)，業(yè)務(wù)需要極快的上線、下線速度。NSX網(wǎng)絡(luò)虛擬化平臺(tái)可以像在vSphere中創(chuàng)建和刪除虛擬機(jī)一樣，針對新舊業(yè)務(wù)快速創(chuàng)建和刪除邏輯網(wǎng)絡(luò)，實(shí)現(xiàn)完全自動(dòng)化的計(jì)算資源池。此外，該行業(yè)對異地?cái)?shù)據(jù)中心、安全性和可擴(kuò)展性也有很高的要求，而這些都是NSX網(wǎng)絡(luò)虛擬化平臺(tái)所擅長的。對于制造業(yè)或設(shè)計(jì)公司，為了安全起見，其研發(fā)、測試、生產(chǎn)環(huán)境往往需要在物理上進(jìn)行隔離，而研發(fā)并成功通過測試的產(chǎn)品，需要快速投放到生產(chǎn)網(wǎng)絡(luò)中。在以往，這些研發(fā)和測試往往需要在獨(dú)立的網(wǎng)絡(luò)中進(jìn)行，導(dǎo)致將產(chǎn)品遷移到生產(chǎn)環(huán)境的過程繁瑣而漫長。NSX網(wǎng)絡(luò)虛擬化平臺(tái)可以創(chuàng)建完全隔離的邏輯網(wǎng)絡(luò)供研發(fā)和測試使用，并在研發(fā)和測試成功后，通過去除微分段的安全策略和重新關(guān)聯(lián)子網(wǎng)，無縫切換到生產(chǎn)環(huán)境。此外，設(shè)計(jì)公司往往會(huì)使用桌面虛擬化解決方案，而在以往，虛擬桌面之間（尤其是同一網(wǎng)段內(nèi)的虛擬桌面）可能并沒有有效的安全防護(hù)措施。NSX基于微分段技術(shù)的分布式防火墻可以完美地解決這個(gè)問題。對于一般企業(yè)，還可能產(chǎn)生公司并購、合并的問題，而合并后的公司網(wǎng)絡(luò)由于合并之前存在架構(gòu)差異，就算路由可以互通，也可能產(chǎn)生流量不優(yōu)化的問題。NSX網(wǎng)絡(luò)虛擬化平臺(tái)獨(dú)立于物理網(wǎng)絡(luò)，可以幫助這種類型的公司解決物理網(wǎng)絡(luò)的路由難題。此外，一般的企業(yè)都會(huì)面臨靈活性、安全性等問題，NSX網(wǎng)絡(luò)虛擬化平臺(tái)都可以幫助這些企業(yè)解決這些難題。2．當(dāng)前主流的Overlay隧道技術(shù)目前，市面上除了VMware外，Cisco和Microsoft等公司都能提供網(wǎng)絡(luò)虛擬化解決方案。在介紹其網(wǎng)絡(luò)虛擬化解決方案并進(jìn)行對比之前，需要先討論一下現(xiàn)在的網(wǎng)絡(luò)虛擬化使用的Overlay技術(shù)分為哪幾種。經(jīng)各大廠商努力，已經(jīng)有三種Overlay技術(shù)成形，即VXLAN、NVGRE、STT。2.1VXLAN技術(shù)首先討論VXLAN。VXLAN是VirtalExtensibleLAN（虛擬可擴(kuò)展局域網(wǎng)）的縮寫。它是為了解決前文提到的數(shù)據(jù)中心的三個(gè)問題，由Cisco、VMware、Broadcom這幾家行業(yè)內(nèi)的巨頭，外加快速竄紅的新興網(wǎng)絡(luò)設(shè)備公司AristaNetworks聯(lián)合向IETF提出的。它能將通過OTV、TRILL、FabricPath等技術(shù)實(shí)現(xiàn)的二層網(wǎng)絡(luò)擴(kuò)展得更大。VXLAN的核心技術(shù)理念是對現(xiàn)有標(biāo)簽技術(shù)進(jìn)行徹底的改變，以優(yōu)化VLAN的缺陷。其實(shí)Cisco之前提出的OTV協(xié)議已經(jīng)使用了類似的技術(shù)——通過隧道機(jī)制，在使用了IS-IS協(xié)議的三層網(wǎng)絡(luò)之上，疊加一個(gè)二層的虛擬網(wǎng)絡(luò)，從而繞過VLAN標(biāo)簽的限制。而VXLAN則更進(jìn)一步，它是將以太網(wǎng)報(bào)文封裝在UDP傳輸層上的一種隧道轉(zhuǎn)發(fā)模式。VXLAN定義了一個(gè)名為VTEP（VXLANTunnelEndPoint，VXLAN隧道終結(jié)點(diǎn)）的實(shí)體。VTEP對數(shù)據(jù)包的封裝可以在虛擬交換機(jī)上完成，也可以在物理交換機(jī)上完成。它會(huì)將數(shù)據(jù)在出服務(wù)器（主要是虛擬機(jī)，其實(shí)也可以是物理服務(wù)器）時(shí)封裝到UDP中再發(fā)送到網(wǎng)絡(luò)，在傳輸過程中這臺(tái)服務(wù)器的MAC地址、IP地址、VLAN信息等，都不會(huì)再作為轉(zhuǎn)發(fā)依據(jù)。如果VTEP功能直接集成到虛擬機(jī)的Hypervisor內(nèi)，那么所有虛擬機(jī)流量在進(jìn)入物理交換機(jī)之前，就可以在虛擬交換機(jī)所在的Hypervisor之上打上VXLAN標(biāo)簽和UDP包頭，相當(dāng)于在任意兩點(diǎn)間建立了隧道。因此，VXLAN技術(shù)更適合虛擬化環(huán)境，且更應(yīng)該把VTEP功能集成到服務(wù)器的虛擬交換系統(tǒng)內(nèi)——如果VTEP在物理交換機(jī)上實(shí)現(xiàn)，那么物理交換機(jī)與虛擬交換機(jī)通信時(shí)，需要執(zhí)行一次VXLAN-VLAN的轉(zhuǎn)換，這樣效率并不高。由于虛擬機(jī)本身的VLAN信息對外已不可見，VXLAN添加了一個(gè)新的標(biāo)簽VNI（VXLANNetworkIdentifier，VXLAN標(biāo)識(shí)符）。VNI取代VLAN用來標(biāo)識(shí)VXLAN的網(wǎng)段，只有擁有相同的VNI，即在同一個(gè)VXLAN里的虛擬機(jī)才能實(shí)現(xiàn)二層通信，它類似于VLANID的作用。VNI是一個(gè)24比特的二進(jìn)制標(biāo)識(shí)符，把VLAN的4096（2的12次方）做了一個(gè)級數(shù)級別的擴(kuò)展，達(dá)到了16777216（2的24次方）個(gè)網(wǎng)段，就目前超大規(guī)模數(shù)據(jù)中心而言，暫時(shí)是綽綽有余了。新的UDP包頭意味著VNI有新的幀結(jié)構(gòu)。VTEP收到數(shù)據(jù)包時(shí)，會(huì)在這個(gè)數(shù)據(jù)包上增加4個(gè)部分，以形成新的幀頭。如圖2.7所示，這個(gè)新的幀頭從內(nèi)而外分別是VXLAN頭部、UDP頭部、外部三層IP頭部、外部二層MAC頭部。圖2.7VXLAN幀結(jié)構(gòu)VXLAN頭部的作用是攜帶VTEP分配的VNI標(biāo)識(shí)符。UDP頭部是一個(gè)標(biāo)準(zhǔn)的UDP頭部，包含了源目端口號(hào)，其中源端口號(hào)是VXLAN通過將原始以太網(wǎng)數(shù)據(jù)頭部（MAC、IP、四層端口號(hào)等）進(jìn)行哈希后得出的值，這樣就能提供更好的負(fù)載均衡、更好的等價(jià)多路徑；而目的端口尚未從IANA申請固定端口號(hào)。外部三層IP頭部已不再是虛擬機(jī)的通信地址，而是隧道兩端VTEP的通信地址——如果虛擬機(jī)的Hypervisor直接承擔(dān)VTEP的工作，那么這個(gè)地址就是兩臺(tái)服務(wù)器的物理網(wǎng)卡IP地址。外部二層MAC頭部與虛擬機(jī)原本自帶的MAC地址已經(jīng)沒有任何關(guān)系了。有了新的幀頭，VTEP就可以依照VNI來決定流量走向，在整網(wǎng)的物理交換環(huán)境內(nèi)完成數(shù)據(jù)轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā)過程中，新的包頭只有到達(dá)了目的地才會(huì)被對端的VTEP終結(jié)掉，這就意味著，VXLAN數(shù)據(jù)包在轉(zhuǎn)發(fā)過程中保持了內(nèi)部數(shù)據(jù)的完整性。這種數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制叫做隧道機(jī)制——即鏈路兩端有一對用于隧道封裝的設(shè)備，類似IPSecVPN，其好處是可以減少對現(xiàn)網(wǎng)拓?fù)涞母膭?dòng)，且方便網(wǎng)絡(luò)在改動(dòng)時(shí)實(shí)現(xiàn)快速收斂。2.2NVGRE技術(shù)介紹完了VXLAN，再來討論NVGRE。NVGRE是NetworkVirtualizationusingGenericRoutingEncapsulation的縮寫，是將以太網(wǎng)報(bào)文封裝在GRE內(nèi)的一種隧道轉(zhuǎn)發(fā)模式，最初由Microsoft提出，并聯(lián)合了Intel、HP、DELL等公司，向IETF提出。其實(shí)與VXLAN相比，它除了將MAC封裝在GRE內(nèi)（與VXLAN將MAC封裝在UDP內(nèi)不同）外，其他功能幾乎完全相同。比如，NVGRE定義了一個(gè)類似VNI的TNI（TenantNetworkIdentifier），長度同樣是24比特，同樣可以擴(kuò)展到16777216（2的24次方）個(gè)網(wǎng)段（NVGRE里面叫做租戶）。硬說兩者有什么區(qū)別的話，就是VXLAN新的UDP頭部中包含了對原始二層幀頭的哈希結(jié)果，容易實(shí)現(xiàn)基于等價(jià)多路徑的負(fù)載均衡，而GRE的頭部實(shí)現(xiàn)負(fù)載均衡要困難些——很多網(wǎng)絡(luò)設(shè)備不支持用GRE的Key來做負(fù)載均衡的哈希計(jì)算。VXLAN和NVGRE技術(shù)有驚人的相似之處，或許兩者都無法最終成為行業(yè)標(biāo)準(zhǔn)，只能在圍繞著Cisco、VMware、Microsoft的戰(zhàn)略聯(lián)盟（Ecosystem）內(nèi)部進(jìn)行標(biāo)準(zhǔn)化。2.3STT技術(shù)再來討論另一種隧道技術(shù)STT（StatelessTransportTunneling，無狀態(tài)傳輸隧道），它是Nicira的私有協(xié)議。STT利用MACoverIP的機(jī)制，與VXLAN、NVGRE類似，把二層的幀封裝在一個(gè)IP報(bào)文之上。STT協(xié)議很聰明地在STT頭部前面增加了一個(gè)TCP頭部，把自己偽裝成一個(gè)TCP包。但和TCP協(xié)議不同的是，這只是一個(gè)偽裝的TCP包，利用了TCP的數(shù)據(jù)封裝形式，但改造了TCP的傳輸機(jī)制——數(shù)據(jù)傳輸不遵循TCP狀態(tài)機(jī)，而是全新定義的無狀態(tài)機(jī)制，將TCP各字段的意義重新定義，無需三次握手建立TCP連接，也沒有用到TCP那些擁塞控制、丟包重傳機(jī)制，因此STT被Nicira稱為無狀態(tài)TCP。STT技術(shù)除了用于隧道封裝，還可以用于欺騙網(wǎng)卡——數(shù)據(jù)中心內(nèi)部的TCP報(bào)文往往非常大，在發(fā)出去之前經(jīng)常需要分片，但分片以前往往需要CPU處理，從而影響CPU性能，因此現(xiàn)在絕大多數(shù)服務(wù)器網(wǎng)卡支持報(bào)文分片，不由CPU來處理，也就減輕了CPU的負(fù)擔(dān)。然而通過網(wǎng)卡進(jìn)行分片只能針對TCP報(bào)文，通過VXLAN或者NVGRE協(xié)議封裝的原始TCP報(bào)文到達(dá)網(wǎng)卡后，網(wǎng)卡認(rèn)為它們不是TCP報(bào)文，就無法分片了，這就還是需要CPU來進(jìn)行分片工作，也就增加了CPU負(fù)擔(dān)，降低了服務(wù)器性能（最新推出的一些網(wǎng)卡聲稱可以對VXLAN進(jìn)行分片，但其技術(shù)上不成熟）。而STT的頭部是TCP格式，這樣網(wǎng)卡就會(huì)認(rèn)為它是TCP，從而對大包進(jìn)行分片。但實(shí)際上它不是TCP，也無需三次握手，因此提高了CPU的效率。STT技術(shù)在Nicira被VMware收購前只能用于NiciraNVP平臺(tái)之上，被收購后主要用在部署了多Hypervisor的NSX網(wǎng)絡(luò)虛擬化環(huán)境，即NSX-MH架構(gòu)中。2.4三種Overlay技術(shù)的對比和應(yīng)用場景介紹完三種Overlay隧道技術(shù)，我們將其做一個(gè)對比，如表2.2所示。VMware的NSX-V網(wǎng)絡(luò)虛擬化解決方案在Overlay層使用VXLAN技術(shù)，為虛擬網(wǎng)絡(luò)提供服務(wù)——利用VMware的NSX環(huán)境中支持VXLAN的分布式邏輯交換機(jī)對數(shù)據(jù)包進(jìn)行封裝和解封裝，從而實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化，而其中間的物理網(wǎng)絡(luò)變得就不重要了。VXLAN甚至可以在多數(shù)據(jù)中心之間進(jìn)行擴(kuò)展，因?yàn)闊o論數(shù)據(jù)中心之間的運(yùn)營商鏈路、路由協(xié)議多么復(fù)雜，只要打通了隧道，就可以看作一個(gè)簡單的二層鏈路。VMwareNSX利用這個(gè)技術(shù)，在三層網(wǎng)絡(luò)之實(shí)現(xiàn)了大二層擴(kuò)展和多租戶環(huán)境。其他物理硬件廠商近幾年新推出的交換機(jī)，大多都支持VXLAN，可以由連接服務(wù)器的ToR交換機(jī)對VXLAN流量進(jìn)行封裝和解封裝。當(dāng)然這種解決方案不是基于主機(jī)的Overlay，也沒有實(shí)現(xiàn)控制平面和轉(zhuǎn)發(fā)平面的分離。而STT作為先前的Nicira私有協(xié)議，在其被VMware收購后，主要運(yùn)用在NSX-MH網(wǎng)絡(luò)虛擬化架構(gòu)中，是NSX-MH中的默認(rèn)隧道協(xié)議。這是因?yàn)镾TT有其絕佳的優(yōu)勢——可以減輕服務(wù)器CPU的負(fù)擔(dān)。當(dāng)然NSX-MH同樣也支持GRE和VXLAN。而NVGRE目前已廣泛用于以MicrosoftHyper-V搭建的虛擬化環(huán)境中，但主要應(yīng)用在Azure公有云，而沒有在企業(yè)級的虛擬化環(huán)境中廣泛部署。它與VMware的Overlay方案非常類似——在Hyper-V的Hypervisor之上給數(shù)據(jù)包打上Tag（標(biāo)簽），封裝進(jìn)GRE隧道，到達(dá)目的Hypervisor時(shí)解封裝。未來Overlay技術(shù)究竟走向何方，這就要看幾大IT巨頭如何斗法了。這些巨頭們身邊都有戰(zhàn)略合作伙伴，都打造了一個(gè)屬于自己的生態(tài)圈。2.5下一代Overlay技術(shù)——Geneve最后來介紹另一種未來會(huì)出現(xiàn)的Overlay技術(shù)。誠然，Overlay解決了一些問題，但其封裝頭格式固定，不利于修改和擴(kuò)展——畢竟一些特殊應(yīng)用的數(shù)據(jù)包需要在封裝過程中添加一些額外的信息。比如在端口鏡像的報(bào)文附加邏輯交換機(jī)目的端口信息，用于目的端口不能在隧道終點(diǎn)被可視化的情況；比如在報(bào)文附加邏輯交換機(jī)源端口信息或應(yīng)用及服務(wù)的上下文，以指導(dǎo)隧道終端的轉(zhuǎn)發(fā)決策或服務(wù)策略實(shí)施；比如標(biāo)識(shí)Traceflow報(bào)文，用于抓包或整網(wǎng)健康狀況的可視化。因此，VMware、Microsoft、RedHat、Intel幾家公司正在聯(lián)合研發(fā)Geneve（GenericNetworkVirtualizationEncapsulation）協(xié)議來解決這些問題。它的報(bào)文格式其實(shí)也使用了UDP進(jìn)行封裝，也有24比特的網(wǎng)段級別，但是它在報(bào)文中增加了一個(gè)可選字段（Option），允許虛擬化應(yīng)用實(shí)現(xiàn)擴(kuò)展。Geneve設(shè)想的報(bào)文如圖2.8所示。圖2.8Geneve設(shè)想的報(bào)文結(jié)構(gòu)

在將來，Geneve協(xié)議會(huì)非常適用于服務(wù)鏈的場景。例如，NSX可以創(chuàng)建一個(gè)服務(wù)的邏輯連接（如圖2.9所示，它可以為VPN服務(wù)、防火墻服務(wù)、第三方服務(wù)之間的關(guān)系創(chuàng)建成一個(gè)邏輯關(guān)系），而這些邏輯鏈的節(jié)點(diǎn)之間需要傳遞元數(shù)據(jù)。有了Geneve協(xié)議，頭部可以進(jìn)行變更和擴(kuò)展后，就可以指示報(bào)文的下一個(gè)鏈節(jié)點(diǎn)，并將報(bào)文分類（Classification）的結(jié)果傳遞到一個(gè)服務(wù)。圖2.9服務(wù)鏈的邏輯關(guān)系

Geneve協(xié)議不僅支持將IPv4封裝在UDP里，還支持IPv6。該研發(fā)項(xiàng)目已提交IETF。或許在不久的將來，我們就可以看到這種技術(shù)被標(biāo)準(zhǔn)化，并廣泛用于數(shù)據(jù)中心內(nèi)部。3．各廠商的網(wǎng)絡(luò)虛擬化解決方案介紹完幾種Overlay技術(shù)之后，我們就需要對比一下幾大廠商基于Overlay技術(shù)的網(wǎng)絡(luò)虛擬化解決方案了。各家廠商的解決方案各有千秋，各有利弊。在這里介紹它們的網(wǎng)絡(luò)虛擬化解決方案，目的是讓讀者對整個(gè)行業(yè)的趨勢有一個(gè)了解，也讓讀者了解VMwareNSX網(wǎng)絡(luò)虛擬化解決方案在行業(yè)中所處的地位。3.1CiscoACI解決方案CiscoACI是Cisco公司提出的SDN和網(wǎng)絡(luò)虛擬化解決方案，它的主要組件有應(yīng)用策略基礎(chǔ)設(shè)施控制器（APIC）和ACI交換矩陣，其邏輯架構(gòu)如圖2.10所示。圖2.10CiscoACI解決方案邏輯架構(gòu)

1．Cisco應(yīng)用策略基礎(chǔ)設(shè)施控制器（APIC）APIC是CiscoACI解決方案的主要組件。它是CiscoACI解決方案中實(shí)現(xiàn)交換矩陣、策略實(shí)施、健康狀態(tài)監(jiān)控、自動(dòng)化和進(jìn)行中央管理的統(tǒng)一平面。目前，APIC一般是以軟件形式安裝在CiscoUCS服務(wù)器中，一般建議購買3臺(tái)以上從而實(shí)現(xiàn)集群和冗余。CiscoAPIC負(fù)責(zé)的任務(wù)包括交換矩陣激活、交換機(jī)固件維護(hù)、網(wǎng)絡(luò)策略配置和實(shí)例化。CiscoAPIC完全與數(shù)據(jù)轉(zhuǎn)發(fā)無關(guān)，對數(shù)據(jù)平面只有分發(fā)指令功能。這意味著即使與APIC的通信中斷，交換矩陣也仍然可以轉(zhuǎn)發(fā)流量。CiscoAPIC通過提供CLI和GUI來管理交換矩陣。APIC還提供開放的API，使得APIC可以管理其他廠家的設(shè)備。2．CiscoACI交換矩陣Cisco在推出ACI解決方案的同時(shí)，還推出了CiscoNexus9000系列交換機(jī)。Nexus9500為機(jī)箱式的核心交換機(jī)（骨干節(jié)點(diǎn)交換機(jī)），Nexus9300為2U或3U高度的非機(jī)箱式匯聚/接入交換機(jī)（枝葉節(jié)點(diǎn)交換機(jī)）。CiscoNexus9000系列交換機(jī)可以部署在ACI環(huán)境下，也可以獨(dú)立部署。如果是獨(dú)立部署，以后也可以升級到ACI環(huán)境，但需要其軟件和板卡支持ACI才行。這些Nexus9000系列交換機(jī)實(shí)現(xiàn)了ACI環(huán)境下的底層物理網(wǎng)絡(luò)，在這套物理網(wǎng)絡(luò)之上，可以非常便捷地通過VXLAN實(shí)現(xiàn)虛擬網(wǎng)絡(luò)。除了物理交換機(jī)外，ACI解決方案還可以在虛擬化環(huán)境中安裝CiscoAVS（CiscoApplicationVirtualSwitch），作為虛擬交換機(jī)。Cisco在Nexus9000交換機(jī)中混用了商用芯片和自主研發(fā)的芯片——商用芯片處理普通流量，而自主研發(fā)的芯片處理ACI流量，即SDN和網(wǎng)絡(luò)虛擬化中的流量。APIC控制器直接將指令發(fā)布給Nexus9000中的自主研發(fā)芯片，再由芯片分布式地處理數(shù)據(jù)流量。換言之，ACI環(huán)境中真正的控制平面是Nexus9000交換機(jī)中的自主研發(fā)芯片。這樣設(shè)計(jì)的好處是，數(shù)據(jù)控制和轉(zhuǎn)發(fā)都與軟件無關(guān)，而是聽命于芯片，消除了軟件控制可能帶來的瓶頸。因此Cisco的ACI解決方案與SDN反其道而行之，其實(shí)是一種HDN（H為Hardware）。對于傳統(tǒng)SDN集中了網(wǎng)絡(luò)復(fù)雜性的問題，CiscoACI解決方案中引入了一個(gè)完全與IP地址無關(guān)的策略模型。這個(gè)模型是一種基于承諾理論的面向?qū)ο蟮膶?dǎo)向模型。承諾理論基于可擴(kuò)展的智能對象控制，而不是那種管理系統(tǒng)中自上而下的傳統(tǒng)命令式的模型。在這個(gè)管理系統(tǒng)中，控制平面必須知曉底層對象的配置命令及其當(dāng)前狀態(tài)。相反，承諾理論依賴于底層對象處理，由控制平面自身引發(fā)的配置狀態(tài)變化作為“理想的狀態(tài)變化”，然后對象作出響應(yīng)，將異?；蚬收蟼鬟f回控制平面。這種方法減少了控制平面的負(fù)擔(dān)和復(fù)雜性，并可以實(shí)現(xiàn)更大規(guī)模的擴(kuò)展。這套模型通過允許底層對象使用其他底層對象和較低級別對象的請求狀態(tài)變化的方法來進(jìn)行進(jìn)一步擴(kuò)展。3.2在MicrosoftHyper-V中實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化Microsoft也提供了基于Hyper-V虛擬化平臺(tái)的網(wǎng)絡(luò)虛擬化產(chǎn)品，由于它不像NSX、ACI那樣有完整的解決方案，因此目前還沒有被正式命名，一般被稱為HNV（Hyper-VNetworkVirtualization），它以WindowsServer2012中的網(wǎng)絡(luò)附加組件形式加載在Hyper-V的虛擬化平臺(tái)之上。MicrosoftHNV的研發(fā)代碼是通過Scratch編寫的，且只支持Hyper-V一款Hypervisor，沒有進(jìn)行公開化。也就是說，這種網(wǎng)絡(luò)虛擬化平臺(tái)只能部署在純Hyper-V環(huán)境。部署HNV所需的最低Hyper-V版本為3.0，它在WindowsServer2012（包括R2）操作系統(tǒng)中以角色的方式提供給Hyper-V，作為服務(wù)模塊加載。在HNV中，使用的是NVGRE協(xié)議實(shí)現(xiàn)Overlay（之前已闡述）。為了將流量從物理環(huán)境遷移到虛擬環(huán)境，或者將虛擬網(wǎng)段遷移到其他虛擬網(wǎng)段，需要部署WindowsServer2012R2InboxGateway或者第三方網(wǎng)關(guān)設(shè)備。Microsoft使用Hyper-V可擴(kuò)展交換API對HNV進(jìn)行了擴(kuò)展，我們可以使用PowerShellcmdlets對API進(jìn)行再編程，最終實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化的自動(dòng)化部署，進(jìn)而實(shí)現(xiàn)整個(gè)數(shù)據(jù)中心的自動(dòng)化。HNV可以通過以下兩種方式進(jìn)行部署：SystemCenterVirtualMmachineManager（SCVMM）和HNVPowerShellcmdlets。SCVMM其實(shí)也是在后臺(tái)使用HNVPowerShellcmdlets，在Hyper-V平臺(tái)上配置HNV組件，有一個(gè)統(tǒng)一的圖形化界面。在管理上，SCVMM提供了跨越部署Hyper-V的物理服務(wù)器之間的HNV配置管理。同時(shí)，SCVMM是一款服務(wù)器虛擬化與網(wǎng)絡(luò)虛擬化一體化的管理工具。但是，由于Microsoft的網(wǎng)絡(luò)虛擬化平臺(tái)并沒有基于SDN的理論基礎(chǔ)實(shí)現(xiàn)，且只能支持Hyper-V平臺(tái)，很多高級的網(wǎng)絡(luò)功能也是缺失的，因此它不能算完整的網(wǎng)絡(luò)虛擬化解決方案。當(dāng)然，當(dāng)Hyper-V結(jié)合其SystemCenter產(chǎn)品的時(shí)候，還是能達(dá)到較高的用戶使用體驗(yàn)——SystemCenter可以為數(shù)據(jù)中心從基礎(chǔ)架構(gòu)到上層應(yīng)用的絕大部分角色提供統(tǒng)一、便捷的管理。3.3JuniperContrail解決方案2012年初，Cisco、Google、Juniper和Aruba公司的幾名前高管創(chuàng)立了Contrail公司，專注于SDN解決方案。12月，這家公司以1.76億美元被Juniper公司收購，其產(chǎn)品和解決方案融入Juniper，Contrail也成為Juniper的SDN和網(wǎng)絡(luò)虛擬化解決方案的代名詞。Juniper認(rèn)為，當(dāng)今數(shù)據(jù)中心逐漸采用基于OpenFlow的SDN控制器來對物理交換機(jī)進(jìn)行編程，以實(shí)現(xiàn)自動(dòng)化。然而，這種方法具有與基于VLAN的多租戶虛擬化方法相似的缺陷，即存在可擴(kuò)展性、成本和可管理性的缺陷。OpenFlow是基于流表轉(zhuǎn)發(fā)的，數(shù)據(jù)中心內(nèi)存在數(shù)以千計(jì)的虛擬機(jī)，更有數(shù)百種數(shù)據(jù)流，因此在現(xiàn)今的低成本物理交換硬件中進(jìn)行流編程是一項(xiàng)艱巨的任務(wù)和挑戰(zhàn)，或是僅能通過支持流管理的昂貴交換設(shè)備加以緩解。此外，這種方法會(huì)降低管理基礎(chǔ)結(jié)構(gòu)的能力，因?yàn)樽鈶?應(yīng)用程序的狀態(tài)編程在底層硬件之中，一個(gè)租戶/應(yīng)用程序的問題會(huì)影響到其他租戶/應(yīng)用程序。Juniper認(rèn)為它們的Contrail解決方案通過Overlay提供高級網(wǎng)絡(luò)特性，從而解決了這些自動(dòng)化、成本、擴(kuò)展性和可管理性的問題。所有網(wǎng)絡(luò)特性（包括交換、路由、安全和負(fù)載均衡）都可從物理硬件基礎(chǔ)結(jié)構(gòu)轉(zhuǎn)移到Hyperisor中實(shí)現(xiàn)，并有統(tǒng)一的管理系統(tǒng)。它在支持系統(tǒng)擴(kuò)展的同時(shí)，還降低了物理交換基礎(chǔ)結(jié)構(gòu)的成本，因?yàn)榻粨Q硬件不貯存虛擬機(jī)或租戶/應(yīng)用程序的狀態(tài)，僅負(fù)責(zé)在服務(wù)器之間轉(zhuǎn)發(fā)流量。此外，Contrail系統(tǒng)還解決了敏捷性問題，因?yàn)樗峁┝巳勘匾淖詣?dòng)化功能，支持配置虛擬化網(wǎng)絡(luò)、聯(lián)網(wǎng)服務(wù)。Contrail是一種橫向擴(kuò)展的網(wǎng)絡(luò)堆棧，支持創(chuàng)建虛擬網(wǎng)絡(luò)，同時(shí)無縫集成現(xiàn)有物理路由器和交換機(jī)。它能支持跨公共云、私有云和混合云編排網(wǎng)絡(luò)，同時(shí)提供有助自動(dòng)化、可視化和診斷的高級分析功能。圖2.11是Contrail解決方案的架構(gòu)?？梢钥吹?，Contrail可以控制物理網(wǎng)絡(luò)，還可以通過XMPP協(xié)議管理虛擬化環(huán)境中的邏輯網(wǎng)絡(luò)，它支持的網(wǎng)絡(luò)功能包括交換、路由、負(fù)載均衡、安全、VPN、網(wǎng)關(guān)服務(wù)和高可用性，此外，它還提供面向虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的可視化和診斷功能，以及用于配置、操作和分析的RESTAPI，并能夠無縫集成到云編排系統(tǒng)（例如CloudStack或OpenStack）或服務(wù)提供商運(yùn)營和業(yè)務(wù)支持系統(tǒng)（OSS/BSS）。圖2.11JuniperContrail解決方案架構(gòu)

Juniper的Contrail解決方案在Overlay層面其實(shí)并不是通過VXLAN或NVGRE協(xié)議來搭建的，它的架構(gòu)比較復(fù)雜。首先，它通過再編程，在KVM或Xen虛擬機(jī)上生成一個(gè)vRouter（VituralRouter，虛擬路由器），值得注意的是，vRouter不是虛擬交換機(jī)，而是虛擬路由器。Contrail控制器是通過XMPP協(xié)議控制vRouter，使得加載vRouter的KVM或Xen主機(jī)之間實(shí)現(xiàn)了基于MPLS技術(shù)的互連。而Contrail控制器在物理網(wǎng)絡(luò)層面使用BGP協(xié)議來互連和擴(kuò)展物理網(wǎng)絡(luò)。3.4各廠商網(wǎng)絡(luò)虛擬化解決方案的比較各個(gè)廠商的網(wǎng)絡(luò)虛擬化解決方案其實(shí)各有千秋，本節(jié)將對其進(jìn)行比較。NSX有如下優(yōu)勢：它無需關(guān)心底層物理網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)了真正的物理網(wǎng)絡(luò)和邏輯網(wǎng)絡(luò)的解耦，并將防火墻、負(fù)載均衡等功能集成到網(wǎng)絡(luò)虛擬化平臺(tái)中，無需特別加入第三方插件。NSX可以使用分布式的架構(gòu)部署多臺(tái)NSXController作為集群，消除基于軟件的SDN控制器帶來的瓶頸，且VMware的分布式交換機(jī)、分布式路由器有與自身服務(wù)器虛擬化的天然集成優(yōu)勢，能做到一致的策略，簡化復(fù)雜性，保證虛擬機(jī)在遷移時(shí)，各種網(wǎng)絡(luò)策略無需綁定其IP地址或端口。其私有的STT協(xié)議可以使用網(wǎng)卡進(jìn)行大包分片工作，也能在NSX-MH環(huán)境中大大減輕了服務(wù)器CPU的負(fù)擔(dān)。此外，由于NSX的前身是OpenFlow和OVS的發(fā)明者Nicira公司的NVP平臺(tái)，因此NSX對OpenFlow和OVS的支持非常好。NSX適用于幾乎所有行業(yè)和客戶的數(shù)據(jù)中心場景——現(xiàn)有數(shù)據(jù)中心的改造、數(shù)據(jù)中心新建、數(shù)據(jù)中心大規(guī)模擴(kuò)容、在多數(shù)據(jù)中心打通連接、多租戶數(shù)據(jù)中心、對東西向流量安全有需求的數(shù)據(jù)中心環(huán)境、大量部署虛擬桌面的數(shù)據(jù)中心環(huán)境，還能支持混合云，打通公有云和私有云間的隧道。Cisco認(rèn)為其ACI架構(gòu)是完全以應(yīng)用為中心的，并指責(zé)NSX解決方案是“以VMware為中心”的。其實(shí)，NSX解決方案支持所有主流開源虛擬化平臺(tái)和開源數(shù)據(jù)中心管理平臺(tái)，并無“以VMware為中心”一說。而NSX解決方案與F5等應(yīng)用交付解決方案提供商的軟件定義應(yīng)用服務(wù)（SoftwareDefinedApplicationService，SDAS）解決方案相結(jié)合，同樣可以構(gòu)筑一套以應(yīng)用為中心的架構(gòu)。其實(shí)CiscoACI本身也需要F5這樣的應(yīng)用交付廠商的支持，才能實(shí)現(xiàn)真正的以應(yīng)用為中心的架構(gòu)。就目前而言，ACI“以應(yīng)用為中心”的理念，其實(shí)看起來更像是“更好地實(shí)現(xiàn)了應(yīng)用的QoS”而已，而無法獨(dú)立地對應(yīng)用進(jìn)行自動(dòng)化的部署和運(yùn)維。ACI的優(yōu)勢在于可以更好地支持有物理服務(wù)器的數(shù)據(jù)中心環(huán)境，因?yàn)檫B接物理服務(wù)器的Nexus9000系列交換機(jī)可以直接作為VXLAN的VTEP終結(jié)點(diǎn)，并且其解決方案提出的承諾模型能夠有效地解決應(yīng)用的QoS配置難題。另外，物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)得到了APIC控制器的統(tǒng)一管理和一致的可視化視圖。然而，ACI解決方案最大的問題在于其物理網(wǎng)絡(luò)硬件的局限性——ACI架構(gòu)必須使用CiscoNexus9000系列交換機(jī)搭建底層物理網(wǎng)絡(luò)，且在Nexus9000上需要配置專門的支持ACI的板卡，其他任何網(wǎng)絡(luò)廠商的設(shè)備，甚至Cisco自己的其他型號(hào)交換機(jī)，都無法支持ACI。因?yàn)檫@個(gè)原因，ACI架構(gòu)無法適用于數(shù)據(jù)中心改造和擴(kuò)容項(xiàng)目，只能用于數(shù)據(jù)中心新建或重建。MicrosoftHNV網(wǎng)絡(luò)虛擬化解決方案的優(yōu)勢在于價(jià)格，因?yàn)槭褂肏NV解決方案不會(huì)產(chǎn)生任何額外的費(fèi)用，它只是Hyper-V的一個(gè)附加功能。實(shí)現(xiàn)NSX網(wǎng)絡(luò)虛擬化環(huán)境，需要在每臺(tái)安裝ESXi的物理服務(wù)器上按照CPU數(shù)量購買license，或根據(jù)部署KVM或Xen的物理服務(wù)器的CPU數(shù)量進(jìn)行收費(fèi)；而實(shí)現(xiàn)ACI，則需要將底層交換機(jī)全部換成Nexus9000系列及支持ACI的二層、三層板卡，且至少需要購買3臺(tái)物理APIC控制器。另外，對于Microsoft的應(yīng)用，如SharePoint、Exchange，其網(wǎng)絡(luò)虛擬化解決方案能達(dá)到最佳融合。Microsoft解決方案的劣勢在于不能安裝在非Hyper-V環(huán)境，NVGRE協(xié)議負(fù)載均衡較差，不能將物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)進(jìn)行融合，并且它的管理平臺(tái)也不是單一、集中的，而其底層的WindowsServer操作系統(tǒng)，也需要經(jīng)常停機(jī)維護(hù)并進(jìn)行打補(bǔ)丁和升級的工作——這是WindowsServer所有應(yīng)用的通病。根據(jù)前面的介紹可知，Juniper的Contrail解決方案其實(shí)存在不少問題。首先，它只能運(yùn)用在KVM和Xen環(huán)境，對于非開源的ESXi和Hyper-V無能為力。此外，它實(shí)現(xiàn)Overlay的方式極其復(fù)雜，是通過安裝vRouter并在vRouter之上實(shí)現(xiàn)基于MPLS的互聯(lián)，租戶之間的隔離則是使用傳統(tǒng)的VRF技術(shù)。最后，Contrail通過XMPP協(xié)議管理vRouter，對于物理網(wǎng)絡(luò)，用的又是BGP協(xié)議，整個(gè)架構(gòu)非常復(fù)雜，而且打造的也不是一個(gè)真正意義上的大二層網(wǎng)絡(luò)（可以看成是一個(gè)大三層網(wǎng)絡(luò)）。Juniper公司是一家以運(yùn)營商網(wǎng)絡(luò)和安全著稱的公司，因此在數(shù)據(jù)中心架構(gòu)的設(shè)想上，結(jié)合了大量運(yùn)營商的路由技術(shù)。雖然其在功能上有優(yōu)勢，但是由于實(shí)現(xiàn)復(fù)雜，流量不優(yōu)，不易實(shí)現(xiàn)大二層網(wǎng)絡(luò)，因此現(xiàn)在在市場推廣上阻力重重。4．與VMwareNSX相關(guān)的認(rèn)證資格認(rèn)證是IT行業(yè)的生命線，這些認(rèn)證可以標(biāo)識(shí)一名工程師或銷售人員對某具體領(lǐng)域的知識(shí)和能力掌握的特定級別。有一些認(rèn)證是通用的，不會(huì)具體到特定產(chǎn)品，如PMP、CISSP等。而幾乎每家IT廠商都會(huì)為自己的產(chǎn)品和解決方案設(shè)計(jì)特定的資格認(rèn)證，如Cisco、Microsoft、Oracle等。VMware自然也不會(huì)例外。本節(jié)會(huì)介紹VMware的認(rèn)證體系以及與NSX相關(guān)的認(rèn)證考試。4.1VMware認(rèn)證體系簡介VMware于2003年開始針對自己的服務(wù)器虛擬化產(chǎn)