虛擬化改變網絡結構

當企業將自己數據中心中的服務器、存儲以及個人電腦進行了虛擬化以後，由此帶來的網絡環境的改變卻並沒能引起IT主管們的足夠重視。然而，當虛擬資源在數據中心開始運轉以後，網絡問題就會逐漸凸顯出來，甚至會成爲決定企業應用虛擬化成敗的關鍵。可以說，網絡結構在未來的虛擬化環境中扮演着至關重要的角色。
當然，這並不是說網絡虛擬化是一個全新的概念，只是VLAN(Virtual LAN)、MPLS ×××等使得多個虛擬化連接共享一條網絡帶寬成爲了可能。並且，在企業逐步將更多硬件和應用軟件虛擬化的過程中，網絡部署的規則也在因虛擬化而發生改變，IT主管們正在積極地準備着網絡虛擬化的新階段。
Forrester Research的分析師Robert Whiteley認爲: “十年以來，虛擬化技術與網絡技術一直在相互影響中發展。虛擬化是一個高度依賴網絡的計算結構，這就意味着網絡架構必須與服務器、存儲以及桌面系統一起進步。過去，網絡只不過是連通衆多硬件設備的管道; 而現在，網絡已經變成了新的基礎設施。”
匹茲堡的土木工程公司Michael Baker的CIO Jeremy Gill也同意上述觀點。“當我們計劃在大型企業數據中心或是複雜的IT環境中實施虛擬化時，在網絡層面要做的工作會越來越多，當然，在管理層面的獲益也會越來越多。VMware曾經讓虛擬化技術應用到了x86服務器平臺上，這讓虛擬化的應用向前邁出了很大一步，而現在是在網絡層面應用虛擬化技術的時候了。”
被壓平了的網絡
有業內專家認爲，爲了能夠讓網絡更好地適應虛擬化環境，某些重要的網絡部署準則正在發生改變。首先，虛擬服務器資源對靈活性和便捷性的要求使得傳統的三層網絡結構（邊緣層、分佈層和核心層）需要轉化爲一種平面的結構，這樣就可以在網絡上隨意地分配和重新分配虛擬機。Nemertes Research的分析師Andreas Antonopoulos也認爲: “服務器虛擬化的應用在很大程度上模糊了網絡與服務器之間的界限。”
比如，在虛擬服務器環境中佈置VLAN，IT管理員一般會使用Layer 2 VLAN，在不改變子網的情況下在數據中心隨意創建虛擬機。因爲Layer 2的路由是本地路由，而Layer 3一般是從一個子網到另一個子網。“以往在網絡部署中的規則已經被改變了，並且用傳統的準則還無法解釋這種改變。”Antonopoulos說。
實施服務器和存儲虛擬化迫使位於加州的The First American公司也不得不重新設計自己的網絡結構，這家公司的IT架構師Jake Seitz表示: “舉個例子，在物理世界中，我們需要依靠大量的VLAN來實現段間通信; 但在虛擬世界中，交換機只需要較少的VLAN，這無疑給網絡設計帶來了挑戰。在同一硬件上虛擬化整合了很多服務，這在減少了VLAN數量的同時，卻也增加了VLAN的重要性。”
“過去，網絡設備幾乎都是獨立分開的，其中一個出現了故障並不會影響到其他網絡。但在虛擬環境中，則是‘牽一髮而動全身’。”Seitz解釋說，“因爲所有的應用程序都在一個公共的線路上運行; 並且，當在這條公共線路上運行太多應用程序時，顯然其重要性就會更加凸顯，特別是當出現故障或是遇到問題的時候。”
Seitz介紹說: “爲了保證萬無一失，First American重新設計了數據中心的網絡結構，並改變了企業的整個IT基礎架構。這一變化涉及服務器、存儲、網絡等硬件基礎設施以及相應的管理團隊，爲的就是保證在應用虛擬化而‘網絡被壓平’以後實現零錯誤和零損失。”
“現在，網絡結構的改變還沒能成爲企業虛擬化工作中的重要議題，是因爲大部分企業還沒有進入大規模部署虛擬化的階段。”Forrester Research的分析師Whiteley說，“服務器、存儲及個人電腦的小規模虛擬化還不會對網絡造成很大的壓力，但是當企業應用虛擬化的規模擴大以後，就會遇到一個改造網絡環境的臨界點，也就是說，到那個時候，虛擬化應用會高度依靠網絡，系統瓶頸也會隨之而來。”
而像防火牆和網絡隔離等網絡安全問題同樣也會因虛擬化而改變。很多時候，存取數據是在同一虛擬資源上實現的，這時，在一個區域內就分配了好幾個隔離區，這使得傳統意義上的“邊界”概念發生了改變。
“可以說，因虛擬化而產生的網絡安全問題還沒有得到CIO們的足夠重視，即便現在有很多企業採用了負載平衡、虛擬化安全服務等。”Lockheed Martin公司的Ian Rousom認爲: “不過，不可否認，網絡安全方面的諸多改變已經讓負責數據中心網絡的IT主管們感到非常棘手。”
“雖然現在很多網絡廠商開始提供虛擬化防火牆，這一功能通常是直接整合在其交換平臺上的。不過，與網絡虛擬化正好相反，安全虛擬化呈現出了這樣一種趨勢，那就是虛擬化會把企業的網絡安全級別降低。因此，企業必須認真地評估一下應用虛擬化後的安全級別，然後再比較一下這一程度的威脅給企業帶來的劣勢與減少物理設備帶來的收益究竟孰輕孰重，再做決定。”Rousom補充說。
網絡廠商的虛擬化運動
如果企業在成功實施虛擬化的過程中對網絡進行了很大的改進，那麼虛擬設備將會擁有更多的智能，因爲這些虛擬資源都連接在了一個強大的網絡上。這就意味着，未來網絡廠商所提供的設備至少要滿足虛擬化環境的要求，也就是說，交換機必須能夠識別虛擬資源以及這些資源的各種行爲。
事實上，網絡設備需要擁有對虛擬資源的識別能力，並能夠在物理上和虛擬上定位這些資源。對於任何一個服務，網絡工具基於原有的服務器、存儲和網絡資源的情況，應該能夠在虛擬和物理環境發生改變時準確地重新定位這些資源。此外，網絡工具還必須能夠與衆多計算資源互相通信。
“但是，由於網絡廠商對於企業計算領域的瞭解並不多，所以需要與服務器和存儲虛擬化的公司合作來保證虛擬環境發生改變時網絡架構能夠做出應對措施以確保信息的傳輸。”The Yankee Group的分析師Zeus Kerravala說: “應用虛擬化技術後，由於網絡變成了控制設備，因此也需要對應用程序的運行有所瞭解。”
爲了開發VMware APIs，並讓Cisco的網絡設備能夠應對虛擬化的環境，Cisco與VMware進行了緊密的合作。在VFrame Data Center中，Cisco提供了滿足虛擬化環境的一整套控制與管理工具，並且，Nexus 5000數據中心交換機全部支持虛擬機功能。
其他網絡廠商也在網絡虛擬化方面做了很多工作。比如，Nortel公司正在開發其Virtual Services Switch 5000（VSS 5000），預計在今年年底發佈。VSS 5000是一個集虛擬防火牆、應用程序交換和SSL加速服務的設備。Nortel公司宣稱，VSS 5000交換機在單一設備上整合了上述幾大功能。
3Com則與LineSider Technologies合作在MSR Series多服務路由器上添加了虛擬化支持功能。而3Com的目的在於讓用戶在虛擬化環境下，改進網絡環境和基礎服務。
在F5 Networks通過收購Acopia Networks獲得了文件虛擬化技術後，很多軟件加速廠商紛紛開始通過開發或併購將提供網絡服務的大量設備整合爲單一設備。比如，Riverbed Technology與Infoblox合作將Infoblox的核心網絡服務軟件的虛擬化實例整合到了Riverbed的操作系統中，而目的在於將DNS和RADIUS等核心網絡服務與本地分支服務連接起來。
同時，VMware等虛擬化廠商也同樣希望與網絡廠商進行深入合作，這樣可以使系統管理工具具有網絡識別功能。設想一個集成了虛擬化技術和網絡設備功能的本地工具將會給CIO帶來多大的方便。這會讓IT人員能夠監控到虛擬層的信息傳輸，以便更好地管理虛擬資源並防止性能下降。