VMware网络虚拟化介绍（之一）

2014年5月，在我加入VMware三个月之后，我涂鸦了一篇《扒一扒SDN的那些事儿》，当时放言如果阅读量过百就写续篇。后来果然阅读量没过百，也就80多的样子，其中好几份还是我自恋地进去查看阅读量时贡献的，估计也有几份是老婆大人这类完全不懂IT的粉丝以示支持贡献的。阅读量没过百，我也就心安理得地不需要有什么动作了，直到有一天，我遇到了Peter Ye。这位大哥真是蛮拼的，他转发了这篇文章，结果阅读量飙升，然后他就笑眯眯地对我说，你该履行诺言，写续篇了。我虽然答应了他，但一拖再拖，他倒好，也不急不恼，一催再催。我是得写点东西了，为了回报Peter的这份执着。

【编者按】我得意的笑……

---Begin---

我当初是被NSX这款产品打动而加入VMware的，当时就认定它是一款SDN的产品。但随着对产品理解的深入，我发现我当初仍然失之浅薄。然后我才能理解Rick Chen一直在讲的，我们并不是SDN或者NFV，我们只是网络虚拟化。如果您碰巧是第一次看到NSX这几个字，且随我来浮光掠影地认识一下它吧。

在服务器虚拟化之前，服务器和网络相安无事，每个PoD里的服务器都是支撑同一个应用的。然后，服务器开始了虚拟化，如果按每个虚拟机就是一台Server的话，Server的数量比原来物理机时代提升了10~20倍，原来的一个PoD，现在可以支撑更多应用了，原来单纯的南北向流量，现在增加了很多的东西向流量。

这时候，网络唯一做出的变化就是开始应对资源池延伸的需求，提供大二层支持。做网络的人都知道，二层网络不能设计的过大，不是你的设计技术的问题，也不是网络设备性能的问题，而是同一个广播域里超过100台服务器时，由于以太网的技术特性会导致传播效率开始大幅下降。

当应用部分再一次申请虚拟机资源时，很可能原来的二层域里的资源已经分配殆尽，只能在其他二层域分配，这时需要大二层技术在跨三层的网络上层叠出一个二层网络来。这个层叠过程抑制了很多广播包，兼顾了传输效率和延伸范围。但当今网络界几大枭雄，任两家的大二层技术都不能互通，无论选择谁，都只能被厂商绑定。

然后，NSX出现了。它的理念非常简单，把整个网络分为两层：底层的物理网络提供所有的服务器之间的IP传输，上层的虚拟化网络提供租户间的隔离，以及租户内的连接。底层网络的交换机变得非常简单，不需要那些高逼格的Features，只需要提供IP和OSPF多路径即可，而这些，只是网络厂商的入门券技术。上层的虚拟化网络，就是NSX要做的事情了。

首先，它在底层的IP网络之上再做一层VXLAN封装，将同一租户的几个VXLAN之间路由起来，不同租户的VXLAN是互相看不到的，这就做到了多租户之间的天然隔离。其次，在同一租户内部，它使用的分布式防火墙，在每个虚拟机的虚网卡上生效，即使做同一网段内部的二层隔离，它也游刃有余。

NSX在VMware被称为下一个vSphere，是有足够资本的。vSphere 6.0推出了跨vCenter的vMotion，NSX立马推出了跨vCenter的虚拟网络。从现在开始，一个集群要设计多大，一个vCenter要设计多大？您不要拿这些话题来烦恼自己了，因为这无!所!谓！无论您如何设计，大了还是小了，我们可以跨集群、跨vCenter来分配资源，并且把这些跨域的资源分配给同一个租户，互相访问、往来迁移，全都妥妥的。

系统和网络，从来就是一对爱恨交织的兄弟，从前一起加班，一起共用变更窗口。打从服务器虚拟化起，系统的兄弟不加班了，这让网络的兄弟艳羡的很。系统做变更，竟然大白天就大剌剌地把虚机迁走，机器大卸八块来修，下班前把修好的服务器再加电，虚机迁回来，业务不用停，人却撅着个腚飞了。

不止如此，最近的KPI会议上，系统部也是领导眼里的红人，他们上了自服务门户，除了领导审批，其他的流程，象虚机申请、虚机交付，都是自动化脚本一气呵成，号称五分钟交付。然后就幸灾乐祸地把应用团队指到网络这边来了，没办法，谁让网络是公共平台呢，得先申请变更窗口吧，最快得一周吧。五分钟和七天一比，这日子没法过了。

关键时刻，又是NSX挺身而出，偶也是软件的，偶也是容器来的，伦家也可以被编程调用的。自此，自服务门户上，用户选了虚机选网络，最后把安全策略也捎上。交付时，虚机交付多快，网络就交付多快。相互隔离的多租户网络，在增加、修改或删除一个租户/应用的网络时，对其他租户毫无影响。和变更窗口说拜拜，晚上有时间约妹子了，哈哈。

从前从Unix转到虚拟化时，说人家是烟囱式应用，但由于缺乏有效的隔离机制，我们的虚拟化资源池其实也是一小块一小块的，中间用物理防火墙隔离。

这样看来，也只是大烟囱变小烟囱，五十步笑百步而已。NSX的出现，让一个统一的大资源池成为可能。这个统一的资源池，上面可以运行互相不允许访问的几块业务，如开发、测试和生产。

 

NSX可以让共享资源的颗粒度小到虚拟机为单位，而不是传统上的以Host为单位。NSX可以让资源池中甚至任意两个虚拟机之间都互不信任，而不使用一台物理防火墙。可以说，从虚拟化到云计算，网络虚拟化是关键的一步。

NSX只要能传输IP的底层网络，已经让传统的网络厂商大为恼火了（我那些Features卖给谁去？高大上和下里巴还怎么区别？），更别提底层网络设备可以多厂商、多型号组网，这颠覆了以前数据中心组网的特定厂商、特定型号的惯例。更要命的是，传统网络厂商孜孜以求的网络感知虚机，这是NSX的DNA中就自带的，网络虚拟化融合在服务器虚拟化的内核中，这个可是传统网络厂商艳羡也没办法的呀。

下一篇，仍然是大白话，介绍NSX的工作原理。

---End---

【编者按】

如果NSX部署到vSphere环境里，可以无缝地与云管理vRealize Automation集成。除此之外，NSX也能部署到其他Hypervisor环境里，如Xen Server、KVM等，成为其他云管理解决方案，如OpenStack和CloudStack的选择。

OpenStack的核心项目Netron，原名Quantum，是与虚拟网络有关的项目。其技术主管便是VMware NSX的Dan Wendlandt。

细心的读者会发现，实际上VMware软件定义存储的理念SPBM(Storage Policy Based Management)与软件定义网络NSX非常类似，将服务器虚拟化的理念渗透到存储虚拟化和网络虚拟化，在提高灵活性、可扩展性的同时，还确保了安全性(隔离)。

VMware SPBM可以让VSAN提供的共享存储资源，以虚机甚至以vmdk的颗粒度来分配，而不是传统上的以存储上的Lun(逻辑卷)为单位。这其实也是一种悄然发生的颠覆性的变化，使得用户原来围绕着以硬件为中心，从下至上的使用存储的习惯，变革为，围绕着以应用(或虚机)为中心，从上至下的，更加简便，自动化更高的使用方式。

其实，还不止如此，VMware还提供了丰富的API，供前端应用/虚机或者Hypervisor或者云管理平台灵活调用。这正是VMware软件定义数据中心的整体战略目标：数据中心由软件来自动控制。也是VMware在与其他软件定义方案的竞争中，独一无二的优势。只有全部的IT基础架构，都是实现并能很好的配合其他组件，才能更好地响应云计算、大数据时代对于IAAS资源的要求：灵活性和敏捷性。

封面图片Cross-Cloud vMotion备注：在2015年9月初举办的VMworld 2015大会上，VMware存储与可用性部门副总裁暨总经理李严冰基于目前的技术预览版本，现场展示了新的vMotion功能。她和工作团队们通过在vSphereWeb Client页面执行的几个设定步骤，即可将VM从用户的私有云环境，以不停机的状态迁移到vCloudAir公有云服务，也可反向操作。正在运作的工作负载能被在线迁移，当中即是运用了基于vMotion的迁移方式，而VMware将这种作法，称为可跨越不同云环境的vMotion（Cross-Cloud vMotion）。其中，NSX功不可没！