网络虚拟化的发展历程及其在广电领域的应用

2021-04-07 00:28
电视技术 2021年2期
关键词:交换机防火墙虚拟化

王 磊

(云南广播电视台,云南 昆明 650500)

0 引 言

网络虚拟化、计算虚拟化及存储虚拟化3 种技术共同构成了计算机虚拟化技术。随着云计算数据中心的大量应用,发展相对滞后的网络虚拟化成为必须解决的技术瓶颈。通过网络虚拟化将网络的数据平面、控制平面以及管理平面相分离,使得物理网络和逻辑网络完全解耦,最大限度地提高网络使用效率,为SDDC 的建设创建一个基础IT 环境。基于此,重点介绍网络虚拟化的概念、实现原理、当前最成功的解决方案VMware NSX 及其在广电领域的应用。

1 网络虚拟化概述

网络虚拟化是建立在物理网络基础上的一种新型业务部署模式,目标是要让网络变得简单,提高网络使用效率。目前,它从简单的VPN、VLAN等应用方式,已经发展成为系统的解决方案。网络虚拟化始终围绕“水平”和“垂直”两条主线进行,如图1 所示[1]。“水平”是指通过虚拟隧道实现孤立网络的互联,组成更大规模的网络,如互联网;“垂直”模式类似于服务器虚拟化,可以在一个共享的物理网络上创建出多个独立的逻辑网络。

2 云数据中心环境下的网络虚拟化

在硬件方面,云数据中心可以部署Cisco Nexus交换机。它不仅性能优越,而且实现了存储网和以太网的统一部署,同时支持完全虚拟化,非常适合云数据中心环境。全部物理服务器连接到N2K 交换机,N2K 上连到N5K 交换机。N2K 交换机相当于N5K 交换机的一块接口板,全部配置只需在N5K上完成。

图1 计算与网络虚拟化类比

VMware vSphere 是业界领先的虚拟化平台。它的网络虚拟化功能起初只包括标准交换机vSS 和分布式交换机vDS,但这两种交换机均不能很好地适应云数据中心环境。例如,在实现vMotion 迁移、服务器和网络管理分离等方面并不理想。为了突破这些局限,引入Cisco Nexus 1000V 虚拟交换机。它主要由VEM虚拟以太网模块和VSM 虚拟管理模块构成。

3 VMware NSX 解决方案

3.1 NSX-V 基础架构原理

NSX 借鉴服务器虚拟化原理,将物理网络视为提供传输带宽的基础设施,并且可以根据需求灵活分配给虚拟网络。网络的交换、路由、QoS 及安全防护等高级功能全部在服务器内部通过软件实现。NSX 能够部署在任何物理IP 网络上,且无需对底层网络进行改动[2],实现了数据平面、控制平面及管理平面的完全分离,分别由分布式NSX网关服务、NSX Controller 及NSX Manager 实现相关的功能。

数据平面的分布式服务集成于ESXi 主机的Hypervisor,主要负责虚拟网络中东西向流量的转发。NSX Edge 可以完成虚拟网络和物理网络之间的桥接和路由。为了提高网络的可靠性和冗余性,控制平面NSX Controller 一般部署成集群模式,其中存储了整个网络运行所需的全部信息。控制平面通过这些信息来指导数据平面完成数据的交换和路由。NSX Manager 的任务是管理整个虚拟网络,可以创建、删除及配置虚拟网络。它就像服务器虚拟化中对虚拟机的操作一样,根据自己的需求创建虚拟网络,不需要关心物理网络的结构。同时,它还是分布式防火墙的管理平面和控制平面。

3.2 虚拟交换与路由

NSX 逻辑交换机和路由器通过软件在ESXi 主机内部模拟出相应的实体网络设备,进而实现二层交换和三层路由。逻辑交换机使用VXLAN 技术实现虚拟化环境中的二层交换,克服了vDS 使用VLAN 协议带来的缺陷。逻辑路由器分为分布式逻辑路由器和Edge 路由器,分别用来处理数据中心内的横向和纵向三层流量。控制平面有一个专门的虚拟机DLR Control VM,用于获取并发布路由信息,实现对分布式逻辑路由的控制。只要相互通信的两台虚拟机在同一台物理服务器内,流量就可以在服务器内部完成交换和路由,不需要经过物理网络。如果两台虚拟机处于不同的物理服务器内,三层路由流量只需要通过二层物理交换机就可以完成子网间的路由,不需要经过三层交换机或者物理路由器。因此,NSX 虚拟交换和路由大大减轻了物理网络的压力。

3.3 虚拟安全实现

NSX 安全设施包括分布式防火墙和Edge 防火墙,分别对东西向流量和南北向流量进行安全防护。Edge 防火墙取代了传统硬件防火墙,实现虚拟网络与物理网络和数据中心与外部的边界安全控制。分布式防火墙部署在ESXi 主机的Hypervisor 上,应用微分段技术关联到每一台虚拟机,解决了数据中心内部安全防护的难题。虚拟机之间的流量在进出虚拟机的时候完成安检,不需要经过物理防火墙,大大减轻了物理网络的压力。NSX 防火墙不仅具有便于管理、扩展性好的优势,而且不会造成流量瓶颈,非常适合横向流量远大于纵向流量的网络环境。另外,它还具有很强的兼容性,通过集成第三方设施可以实现网络5 ~7 层的安全控制。

3.4 物理网络结构

为了更好地支持NSX 逻辑网络,底层物理网络设计为“骨干”“枝叶”节点结构。这样的扁平化架构不仅适合数据中心内部横向流量远多于纵向流量的特点,而且也便于后续的系统扩容。NSX 虚拟化除了对基础网络架构有要求外,还需要网络具备简单性、可扩展性、高带宽、容错和QoS 特性。NSX 要求底层物理网络配置简单化,且所有的高级配置和安全特性全部在虚拟化逻辑网络中实现。对于“骨干”“枝叶”节点结构的物理网络,只要选用合适的交换设备,即可轻松满足可扩展性、高带宽和容错等方面的需求。QoS 配置的简化本身就是NSX 具有的优势,对物理网络没有特殊的要求。

4 广电系统NSX 应用切入点

近年来,融媒体数据中心得到了飞速发展。它往往采用云架构的方式部署,因此网络虚拟化技术的应用显得格外重要。大量虚拟机的数据交换、非编、技审及转码等业务会产生可观的东西向流量,如果没有网络虚拟化,很容易给核心网络带来巨大压力。省级融媒体中心不仅入驻有大批的市县级融媒体机构,而且有多种应用系统,需要建立多个独立的逻辑网络,确保这些逻辑网络的安全隔离。全台网[3]已经成为广播电视台信息化发展的趋势,同样需要在共享的物理网络上创建多个逻辑网络来实现各种业务需求。不论是全台网还是融媒体建设,NSX 虚拟化都是理想的解决方案。NSX Edge 上可以实现多种NFV 功能且扩展性好,如负载均衡、边界防火墙及NAT,可以利用普通服务器实现这些原本需要专用设备才能完成的功能,大大节约了建网成本。在安全防护方面,NSX 分布式防火墙解决了网络内部面临的安全问题,而在NSX Edge 上部署的防火墙实现了内网和外网、逻辑网和物理网之间的安全隔离。安全播出是广电行业的生命线。在节目播出和传输IP 化的情形下,可以利用网络虚拟化的FT 特性,提高安全播出能力,实现不间断播出。由于NSX Edge 可以无缝连接虚拟网和物理网络,因此硬盘播出系统仍然可以做到物理隔离,实现最高级别的安全防护。此外,业务系统从物理网络迁移到虚拟网络的过程也可以循序渐进,不会出现业务服务的断点。虚拟桌面是全台网和融媒体云都会运用的一种业务部署方式,而NSX 对虚拟桌面的流量优化和安全防护表现出色。可见,VMware NSX完全适合广播电视台的业务需求,是广电行业实现网络虚拟化的理想选择。

5 结 语

网络虚拟化充分发掘了网络的潜力并简化了管理,使得逻辑网络可以根据业务需求灵活改变,是一种高效的应用部署模式。因此,在设计数据中心时需要重视网络虚拟化。只有实现彻底的网络虚拟化,才能在真正意义上建设现代数据中心。

猜你喜欢
交换机防火墙虚拟化
构建防控金融风险“防火墙”
基于OpenStack虚拟化网络管理平台的设计与实现
修复损坏的交换机NOS
对基于Docker的虚拟化技术的几点探讨
使用链路聚合进行交换机互联
H3C CAS 云计算管理平台上虚拟化安全防护的实现
存储虚拟化还有优势吗?
在舌尖上筑牢抵御“僵尸肉”的防火墙
PoE交换机雷击浪涌防护设计
罗克韦尔自动化交换机Allen-Bradley ArmorStratix 5700