網絡虛擬化的發展歷程及其在廣電領域的應用

王 磊

（云南廣播電視臺，云南 昆明 650500）

0 引 言

網絡虛擬化、計算虛擬化及存儲虛擬化3 種技術共同構成了計算機虛擬化技術。隨著云計算數據中心的大量應用，發展相對滯后的網絡虛擬化成為必須解決的技術瓶頸。通過網絡虛擬化將網絡的數據平面、控制平面以及管理平面相分離，使得物理網絡和邏輯網絡完全解耦，最大限度地提高網絡使用效率，為SDDC 的建設創建一個基礎IT 環境。基于此，重點介紹網絡虛擬化的概念、實現原理、當前最成功的解決方案VMware NSX 及其在廣電領域的應用。

1 網絡虛擬化概述

網絡虛擬化是建立在物理網絡基礎上的一種新型業務部署模式，目標是要讓網絡變得簡單，提高網絡使用效率。目前，它從簡單的VPN、VLAN等應用方式，已經發展成為系統的解決方案。網絡虛擬化始終圍繞“水平”和“垂直”兩條主線進行，如圖1 所示［1］。“水平”是指通過虛擬隧道實現孤立網絡的互聯，組成更大規模的網絡，如互聯網；“垂直”模式類似于服務器虛擬化，可以在一個共享的物理網絡上創建出多個獨立的邏輯網絡。

2 云數據中心環境下的網絡虛擬化

在硬件方面，云數據中心可以部署Cisco Nexus交換機。它不僅性能優越，而且實現了存儲網和以太網的統一部署，同時支持完全虛擬化，非常適合云數據中心環境。全部物理服務器連接到N2K 交換機，N2K 上連到N5K 交換機。N2K 交換機相當于N5K 交換機的一塊接口板，全部配置只需在N5K上完成。

圖1 計算與網絡虛擬化類比

VMware vSphere 是業界領先的虛擬化平臺。它的網絡虛擬化功能起初只包括標準交換機vSS 和分布式交換機vDS，但這兩種交換機均不能很好地適應云數據中心環境。例如，在實現vMotion 遷移、服務器和網絡管理分離等方面并不理想。為了突破這些局限，引入Cisco Nexus 1000V 虛擬交換機。它主要由VEM虛擬以太網模塊和VSM 虛擬管理模塊構成。

3 VMware NSX 解決方案

3.1 NSX-V 基礎架構原理

NSX 借鑒服務器虛擬化原理，將物理網絡視為提供傳輸帶寬的基礎設施，并且可以根據需求靈活分配給虛擬網絡。網絡的交換、路由、QoS 及安全防護等高級功能全部在服務器內部通過軟件實現。NSX 能夠部署在任何物理IP 網絡上，且無需對底層網絡進行改動［2］，實現了數據平面、控制平面及管理平面的完全分離，分別由分布式NSX網關服務、NSX Controller 及NSX Manager 實現相關的功能。

數據平面的分布式服務集成于ESXi 主機的Hypervisor，主要負責虛擬網絡中東西向流量的轉發。NSX Edge 可以完成虛擬網絡和物理網絡之間的橋接和路由。為了提高網絡的可靠性和冗余性，控制平面NSX Controller 一般部署成集群模式，其中存儲了整個網絡運行所需的全部信息。控制平面通過這些信息來指導數據平面完成數據的交換和路由。NSX Manager 的任務是管理整個虛擬網絡，可以創建、刪除及配置虛擬網絡。它就像服務器虛擬化中對虛擬機的操作一樣，根據自己的需求創建虛擬網絡，不需要關心物理網絡的結構。同時，它還是分布式防火墻的管理平面和控制平面。

3.2 虛擬交換與路由

NSX 邏輯交換機和路由器通過軟件在ESXi 主機內部模擬出相應的實體網絡設備，進而實現二層交換和三層路由。邏輯交換機使用VXLAN 技術實現虛擬化環境中的二層交換，克服了vDS 使用VLAN 協議帶來的缺陷。邏輯路由器分為分布式邏輯路由器和Edge 路由器，分別用來處理數據中心內的橫向和縱向三層流量。控制平面有一個專門的虛擬機DLR Control VM，用于獲取并發布路由信息，實現對分布式邏輯路由的控制。只要相互通信的兩臺虛擬機在同一臺物理服務器內，流量就可以在服務器內部完成交換和路由，不需要經過物理網絡。如果兩臺虛擬機處于不同的物理服務器內，三層路由流量只需要通過二層物理交換機就可以完成子網間的路由，不需要經過三層交換機或者物理路由器。因此，NSX 虛擬交換和路由大大減輕了物理網絡的壓力。

3.3 虛擬安全實現

NSX 安全設施包括分布式防火墻和Edge 防火墻，分別對東西向流量和南北向流量進行安全防護。Edge 防火墻取代了傳統硬件防火墻，實現虛擬網絡與物理網絡和數據中心與外部的邊界安全控制。分布式防火墻部署在ESXi 主機的Hypervisor 上，應用微分段技術關聯到每一臺虛擬機，解決了數據中心內部安全防護的難題。虛擬機之間的流量在進出虛擬機的時候完成安檢，不需要經過物理防火墻，大大減輕了物理網絡的壓力。NSX 防火墻不僅具有便于管理、擴展性好的優勢，而且不會造成流量瓶頸，非常適合橫向流量遠大于縱向流量的網絡環境。另外，它還具有很強的兼容性，通過集成第三方設施可以實現網絡5 ～7 層的安全控制。

3.4 物理網絡結構

為了更好地支持NSX 邏輯網絡，底層物理網絡設計為“骨干”“枝葉”節點結構。這樣的扁平化架構不僅適合數據中心內部橫向流量遠多于縱向流量的特點，而且也便于后續的系統擴容。NSX 虛擬化除了對基礎網絡架構有要求外，還需要網絡具備簡單性、可擴展性、高帶寬、容錯和QoS 特性。NSX 要求底層物理網絡配置簡單化，且所有的高級配置和安全特性全部在虛擬化邏輯網絡中實現。對于“骨干”“枝葉”節點結構的物理網絡，只要選用合適的交換設備，即可輕松滿足可擴展性、高帶寬和容錯等方面的需求。QoS 配置的簡化本身就是NSX 具有的優勢，對物理網絡沒有特殊的要求。

4 廣電系統NSX 應用切入點

近年來，融媒體數據中心得到了飛速發展。它往往采用云架構的方式部署，因此網絡虛擬化技術的應用顯得格外重要。大量虛擬機的數據交換、非編、技審及轉碼等業務會產生可觀的東西向流量，如果沒有網絡虛擬化，很容易給核心網絡帶來巨大壓力。省級融媒體中心不僅入駐有大批的市縣級融媒體機構，而且有多種應用系統，需要建立多個獨立的邏輯網絡，確保這些邏輯網絡的安全隔離。全臺網［3］已經成為廣播電視臺信息化發展的趨勢，同樣需要在共享的物理網絡上創建多個邏輯網絡來實現各種業務需求。不論是全臺網還是融媒體建設，NSX 虛擬化都是理想的解決方案。NSX Edge 上可以實現多種NFV 功能且擴展性好，如負載均衡、邊界防火墻及NAT，可以利用普通服務器實現這些原本需要專用設備才能完成的功能，大大節約了建網成本。在安全防護方面，NSX 分布式防火墻解決了網絡內部面臨的安全問題，而在NSX Edge 上部署的防火墻實現了內網和外網、邏輯網和物理網之間的安全隔離。安全播出是廣電行業的生命線。在節目播出和傳輸IP 化的情形下，可以利用網絡虛擬化的FT 特性，提高安全播出能力，實現不間斷播出。由于NSX Edge 可以無縫連接虛擬網和物理網絡，因此硬盤播出系統仍然可以做到物理隔離，實現最高級別的安全防護。此外，業務系統從物理網絡遷移到虛擬網絡的過程也可以循序漸進，不會出現業務服務的斷點。虛擬桌面是全臺網和融媒體云都會運用的一種業務部署方式，而NSX 對虛擬桌面的流量優化和安全防護表現出色。可見，VMware NSX完全適合廣播電視臺的業務需求，是廣電行業實現網絡虛擬化的理想選擇。

5 結 語

網絡虛擬化充分發掘了網絡的潛力并簡化了管理，使得邏輯網絡可以根據業務需求靈活改變，是一種高效的應用部署模式。因此，在設計數據中心時需要重視網絡虛擬化。只有實現徹底的網絡虛擬化，才能在真正意義上建設現代數據中心。