為了對數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化有個初步的認(rèn)識，本文將對當(dāng)前比較主流的幾款商業(yè)平臺進(jìn)行介紹，包括VMware公司的網(wǎng)絡(luò)虛擬化技術(shù)，IBM公司的Dove及開源的OpenDove平臺， NEC公司的virtual-network-platform和VTN平臺,以及Cisco公司的Nexus虛擬化平臺。

1.Vmware公司的網(wǎng)絡(luò)虛擬化技術(shù)

VMware在虛擬化領(lǐng)域的領(lǐng)導(dǎo)地位使得我們必須首先介紹一下他們的網(wǎng)絡(luò)虛擬化技術(shù)NSX。然而需要說明的是，網(wǎng)絡(luò)上有關(guān)NSX的技術(shù)資料（廣告除外）并不多，因此在很多技術(shù)細(xì)節(jié)上我們也無能為力。我們首先關(guān)注到VMware公司云計算架構(gòu)工程師Steve Flanders寫的一篇技術(shù)博客[1]，其主要內(nèi)容是介紹VMware公司網(wǎng)絡(luò)虛擬化技術(shù)的發(fā)展歷史，相信這對于大家了解技術(shù)的發(fā)展有很大的幫助。然而這篇博客的問題在于幾乎沒有技術(shù)細(xì)節(jié)，從而使得讀者對技術(shù)的理解不夠深入。為了彌補(bǔ)這個缺陷，本文將在Steve文章的基礎(chǔ)之上進(jìn)行必要的擴(kuò)充，盡量使得大家能夠?qū)Mware的網(wǎng)絡(luò)虛擬化技術(shù)有更深刻的理解。VMware公司的網(wǎng)絡(luò)虛擬化技術(shù)經(jīng)歷了vSwitch,VDS,vCNS,收購NVP,到最終演變?yōu)镹SX。根據(jù)每種技術(shù)的不同側(cè)重點，早期的vSwtich和VDS（虛擬交換機(jī)）是構(gòu)建虛擬網(wǎng)絡(luò)的基礎(chǔ)，vCNS和NVP實際上是VMware和Nicira公司各自的虛擬網(wǎng)絡(luò)平臺，而NSX則是在收購Nicira之后VMware推出的統(tǒng)一平臺并被寄予厚望。本節(jié)的后續(xù)部分將按照這種歷史順序進(jìn)行介紹。

1.1.虛擬交換機(jī)

最初的虛擬化技術(shù)大多關(guān)注于主機(jī)端，從而實現(xiàn)對處理器、內(nèi)存等物理資源的共享。隨著虛擬化技術(shù)的發(fā)展，虛擬機(jī)之間以及虛擬機(jī)與外部如何通信的問題獲得了更多的重視。為了解決這些問題，VMware首先推出了vSwitch技術(shù)。顧名思義，vSwitch就是一個虛擬交換機(jī)，其主要功能就是實現(xiàn)數(shù)據(jù)包的交換。換句話說，當(dāng)網(wǎng)卡接收到數(shù)據(jù)包時，vSwitch將負(fù)責(zé)將數(shù)據(jù)包轉(zhuǎn)發(fā)給正確的虛擬機(jī)。vSwitch可以簡單的認(rèn)為是一臺交換機(jī)，因此當(dāng)系統(tǒng)規(guī)模擴(kuò)大后，如何實現(xiàn)對數(shù)萬乃至數(shù)十萬臺vSwitch的高效管理成為一個必須解決的問題。

為此，VMware提出了vSwitch的替代方案，即VDS（vNetwork Distributed Switch）。簡單來說，如果vSwitch是一個交換機(jī)，那么我們可以將VDS看作是一整套網(wǎng)絡(luò)解決方案，包括交換機(jī)和管理系統(tǒng)。如圖 1所示，VDS包括數(shù)據(jù)平面和管理平面。數(shù)據(jù)平面負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)和相關(guān)操作，而控制平面則負(fù)責(zé)制定數(shù)據(jù)平面的規(guī)則，這一點與SDN的思想是一致的。特別的是，VDS通過增加一個抽象層可以將整個網(wǎng)絡(luò)抽象為一個聚合資源來處理。例如，我們可以將一個租戶的虛擬機(jī)連接到一個虛擬分布式交換機(jī)上。從而，對該租戶的所有網(wǎng)絡(luò)配置都可以通過對這一臺分布式交換機(jī)的配置來完成。假如一個租戶有500臺虛擬機(jī)，并且不幸的是這500臺虛擬機(jī)分布在500臺物理機(jī)上。那么，如果采用vSwitch方案，管理員需要分別配置500臺虛擬交換機(jī)。然而使用VDS方案，這500臺虛擬機(jī)交換機(jī)可以被一臺虛擬的分布式交換機(jī)所取代，此時管理員只需要配置一臺交換機(jī)就可以了，這對降低管理復(fù)雜度起到了非常重要的作用。另外，VDS為了方便管理員監(jiān)控和調(diào)試網(wǎng)絡(luò)，提供了對NetFlow和SNMP等傳統(tǒng)手段的支持，這大大平滑了網(wǎng)絡(luò)管理員的學(xué)習(xí)曲線。然而VDS也存在一些局限性，即VDS主要集中于底層的配置，例如VLAN，虛擬端口以及端口的流量策略等等。對于上層的網(wǎng)絡(luò)應(yīng)用，例如流量均衡和防火墻，則沒有太多的支持。為了解決這個問題，VMware又推出了vCNS。

圖1 VMware VDS架構(gòu)圖[2]

1.2 vCNS

vCNS（vCloud Network and Security）,顧名思義其主要解決的是云環(huán)境中的網(wǎng)絡(luò)和安全問題，其可提供的服務(wù)包括虛擬防火墻、VPN、負(fù)載均衡和基于VXLAN的虛擬網(wǎng)絡(luò)擴(kuò)展等等。如圖 2所示，vCNS可以實現(xiàn)為不同的租戶構(gòu)建虛擬數(shù)據(jù)中心（VDC），并且不同的VDC可以采用完全定制化的網(wǎng)絡(luò)和安全策略。簡單來說，vCNS是由一個個虛擬裝置（appliance）構(gòu)成，例如虛擬防火墻、虛擬DNS服務(wù)器等等。為了實現(xiàn)VDC的定制化管理，管理員可以通過配置，實現(xiàn)網(wǎng)絡(luò)負(fù)載流經(jīng)不同的虛擬裝置。在vCNS中存在兩種基本的虛擬裝置，邊緣網(wǎng)關(guān)裝置（Edge Gateway）和應(yīng)用防火墻（App Firewall）。其中，邊緣網(wǎng)關(guān)裝置為進(jìn)入和離開VDC的數(shù)據(jù)流建立一個網(wǎng)關(guān)，并且提供防火墻、IPsec VPN、NAT、靜態(tài)路由、DHCP和DNS等服務(wù)；應(yīng)用防火墻則直接為某個負(fù)載（workload），例如虛擬機(jī)，提供保護(hù)。vCNS提供兩種虛擬裝置類型，大大提高了系統(tǒng)配置的靈活性。例如，當(dāng)只需要對某個負(fù)載進(jìn)行保護(hù)時，應(yīng)用防火墻可以快速的為這個負(fù)載建立起保護(hù)。此時，管理員并不需要關(guān)心數(shù)據(jù)來自哪里。當(dāng)需要對某個虛擬域進(jìn)行管理時，則可以使用虛擬邊緣網(wǎng)管設(shè)備，從而對進(jìn)出該域的數(shù)據(jù)進(jìn)行管理，而對域內(nèi)的數(shù)據(jù)流動不做任何限制。另外，vCNS還支持通過REST API接口來集成第三方的服務(wù)，因此具有較好的靈活性。如果大家對NFV的服務(wù)鏈比較了解就可以發(fā)現(xiàn)，vCNS實際上已經(jīng)具備了構(gòu)建NFV服務(wù)鏈的能力。

圖2 VMware vCNS架構(gòu)圖[3]

1.3.NVP

上面的這些技術(shù)都是針對于VMware自身平臺。實際上，最近幾年OpenStack項目非?；钴S。VMware顯然對于這個巨大的市場也很感興趣，因此斥資12億美元收購了由Martin Casado、Nick McKeown和Scott Shenker聯(lián)合創(chuàng)辦的Nicira公司，而該公司的主要產(chǎn)品即是NVP（Network Virtualization Platform）。NVP的主要目的是實現(xiàn)“租戶的工作負(fù)載無需經(jīng)過修改就可以遷到多租戶數(shù)據(jù)中心”的愿景。首先，NVP使用隧道技術(shù)，在服務(wù)器的hypervisor間建隧道，這樣做有兩個目的：一方面是為了加速虛擬機(jī)的遷移，包括實現(xiàn)從原企業(yè)網(wǎng)向云端的無縫遷移和數(shù)據(jù)中心內(nèi)部不同子網(wǎng)之間自由遷移；另一方面，使用隧道技術(shù)亦有助于減少網(wǎng)絡(luò)設(shè)備需維護(hù)的網(wǎng)絡(luò)狀態(tài)（如與虛擬機(jī)MAC、IP相關(guān)的信息）。其中，隧道的創(chuàng)建和管理由中央控制器集群——NVP控制集群（NVP Controller Cluster）負(fù)責(zé)。其次，NVP采用軟件實現(xiàn)的虛擬交換機(jī)將虛擬機(jī)接入網(wǎng)絡(luò)。NVP平臺最終實現(xiàn)的效果是在物理網(wǎng)絡(luò)上構(gòu)建虛擬網(wǎng)絡(luò)，且虛擬網(wǎng)絡(luò)對物理網(wǎng)絡(luò)透明，物理網(wǎng)絡(luò)中設(shè)備所見到的不過是物理服務(wù)器之間普通的網(wǎng)絡(luò)流量而已。

如圖 3所示，NVP的架構(gòu)包括兩大部分：NVP控制集群和傳輸節(jié)點（Transport Nodes）。NVP控制器邏輯上可分為：OpenFlow控制器（OpenFlow Controller）和配置管理器（Configuration Manager）。

圖3 NVP架構(gòu)[6]

其中，OpenFlow控制器通過OpenFlow協(xié)議實現(xiàn)對虛擬交換機(jī)內(nèi)數(shù)據(jù)轉(zhuǎn)發(fā)的管理。由于NVP平臺采用Open vSwitch作為虛擬交換機(jī)，因此與OpenFlow控制器進(jìn)行通信的實際上是ovs-vswitchd（OVS守護(hù)進(jìn)程），NVP與Open vSwitch間的交互如圖4所示。配置管理器則通過OVSDB管理協(xié)議（Open vSwitch Database Management Protocol）來實現(xiàn)對數(shù)據(jù)庫ovsdb的管理。Ovsdb主要用于存儲虛擬網(wǎng)絡(luò)的配置信息，例如虛擬機(jī)與hypervisor的對應(yīng)關(guān)系和隧道等相關(guān)信息。傳輸節(jié)點包括三種類型：網(wǎng)關(guān)節(jié)點（Gateway Nodes）、服務(wù)節(jié)點（Service Nodes）和虛擬交換機(jī)。其中，網(wǎng)關(guān)節(jié)點指數(shù)據(jù)中心內(nèi)虛擬網(wǎng)絡(luò)與外界通信的連接點，可位于數(shù)據(jù)中心或遠(yuǎn)程的企業(yè)網(wǎng)中。服務(wù)節(jié)點是可選的，其主要用于為虛擬網(wǎng)絡(luò)提供多播和廣播服務(wù)。首先由需要進(jìn)行多播和廣播的主機(jī)將數(shù)據(jù)包發(fā)給服務(wù)節(jié)點，然后由服務(wù)節(jié)點進(jìn)行復(fù)制并發(fā)給對應(yīng)的目的主機(jī)。虛擬交換機(jī)（位于Hypervisor內(nèi)）為虛擬機(jī)提供網(wǎng)絡(luò)接入，并構(gòu)成網(wǎng)絡(luò)邊緣層（Network Edge）。目前，NVP只控制網(wǎng)絡(luò)邊緣，而核心的物理網(wǎng)絡(luò)則由專用的物理交換機(jī)構(gòu)成。

圖4 NVP與Open vSwitch交互圖

NVP采用STT技術(shù)（Stateless Transport Tunneling Protocol，無狀態(tài)傳輸隧道協(xié)議）來構(gòu)建隧道。一般來說，選擇隧道技術(shù)時，我們希望它的開銷盡可能小。由于STT技術(shù)支持一些網(wǎng)卡加速技術(shù)（NIC offload），如CKO（Checksum Offloading）和TSO（TCP segmentation offloading），故而基于STT構(gòu)建隧道一般具有較好的性能?；贜VP技術(shù)，建立虛擬網(wǎng)絡(luò)包括以下三個步驟：

1）hypervisor和網(wǎng)關(guān)節(jié)點通過OVSDB管理協(xié)議為NVP控制集群提供虛擬網(wǎng)卡的位置信息，并當(dāng)虛擬機(jī)發(fā)生遷移時更新這一信息。

2）服務(wù)提供商通過NVP API配置系統(tǒng)。NVP提供了面向OpenStack的北向接口，可由Openstack提供對網(wǎng)絡(luò)的配置要求。當(dāng)有新租戶加入系統(tǒng)或已有租戶的配置發(fā)生改變，或者系統(tǒng)底層的物理配置發(fā)生變化，均會觸發(fā)步驟3）

3）控制器為OVS計算流表和數(shù)據(jù)庫表項（比如數(shù)據(jù)庫中和隧道相關(guān)的表項）。然后將計算所得的轉(zhuǎn)發(fā)狀態(tài)（即流表項和數(shù)據(jù)庫表項）通過OpenFlow協(xié)議和OVSDB管理協(xié)議送到傳輸節(jié)點上。

為了簡化上述過程，NVP提出一種新的計算模型，nlog。Nlog是一種聲明式語言，因此用戶只需告訴NVP要做什么（給出聲明），而如何實現(xiàn)則完全由nlog自動完成。Nlog直觀看來就是輸入到輸出的一個映射。輸入為配置目標(biāo)和位置信息，經(jīng)過nlog計算后得到輸出，即流表項和數(shù)據(jù)庫表項。Nlog的聲明實質(zhì)是數(shù)據(jù)記錄查詢，每個查詢就是對一些數(shù)據(jù)表的連接（join）操作，最終得到head表。Head表是nlog定義的一種特殊的表，它能將表項導(dǎo)出到nlog的運(yùn)行時引擎中進(jìn)行計算。nlog采用增量計算方式，即當(dāng)參與連接操作的表發(fā)生變化時，會對受影響的部分所在的表重新做連接操作。

1.4.NSX

NSX的核心思想是將網(wǎng)絡(luò)服務(wù)化。如圖 5所示，如果把虛擬機(jī)看作是一個計算服務(wù)的容器，NSX創(chuàng)建的虛擬網(wǎng)絡(luò)則是一個網(wǎng)絡(luò)服務(wù)的容器。這些以軟件形式存在的服務(wù)則可以是邏輯交換機(jī)、邏輯路由器和邏輯防火墻等等。為了構(gòu)建一個虛擬網(wǎng)絡(luò)，云管理平臺（CMP）首先通過NSX控制提供的RESTful接口發(fā)出服務(wù)請求；接受到請求之后，NSX控制器將抽象的網(wǎng)絡(luò)服務(wù)分解到相應(yīng)的虛擬交換機(jī)上，并且這些服務(wù)（虛擬交換機(jī)）與負(fù)載（虛擬機(jī)）進(jìn)行邏輯連接。為了與負(fù)載進(jìn)行連接，虛擬網(wǎng)絡(luò)與傳統(tǒng)的物理網(wǎng)絡(luò)工作原理是相同的，唯一的不同在于虛擬網(wǎng)絡(luò)中的網(wǎng)絡(luò)服務(wù)實際上是一個分布式軟件模塊的邏輯實例。這些實例可以直接運(yùn)行在hypervisor中，從而可以降低實施服務(wù)的開銷。

圖5 NSX網(wǎng)絡(luò)虛擬化示意圖[4]

NSX可以認(rèn)為是VMware收購Nicira之后將vCNS和NVP進(jìn)行整合之后的產(chǎn)物，因此NSX具有vCNS和NVP的大部分功能。對于這些重復(fù)的內(nèi)容，我們在這里就不再贅述了。相比較前面的產(chǎn)品而言，NSX一個顯著的特點在于它的兼容性。NSX提供了一個可擴(kuò)展的平臺,基于這個平臺可以運(yùn)行任何應(yīng)用、任何hypervisor、任何的網(wǎng)絡(luò)基礎(chǔ)設(shè)施以及任何的網(wǎng)絡(luò)管理平臺。對于用戶來說，抽象出來的虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)沒有什么不同，因此應(yīng)用不需要為使用虛擬網(wǎng)絡(luò)做任何修改。另外，NSX已經(jīng)實現(xiàn)了對Xen、KVM和VMware ESXi等hypervisor，以及CloudStack、OpenStack和VMware vCloud Automation Center的完美支持。因此，NSX是一個開放的平臺，并不會導(dǎo)致用戶被鎖定在VMware自身的平臺上，而這一點一般是客戶選購產(chǎn)品時非常關(guān)注的。