精华内容
下载资源
问答
  • 笔者现在在做云计算的...Linux的网络虚拟化是LXC项目中的一个子项目,LXC包括文件系统虚拟化,进程空间虚拟化,用户虚拟化,网络虚拟化,等等 LXC内核命门空间 " class="footnote">[1],这里使用LXC的网络虚拟化来模

    转载:https://blog.kghost.info/2013/03/01/linux-network-emulator/


    笔者现在在做云计算的网络设计,涉及到上百台服务器与交换机,在实测前必须进行原型测试,但是我只有一个工作用开发机,本文介绍一种方法,使用这一台机器模拟数十台服务器以及路由器的网络环境。

    Linux的网络虚拟化是LXC项目中的一个子项目,LXC包括文件系统虚拟化,进程空间虚拟化,用户虚拟化,网络虚拟化,等等 [1],这里使用LXC的网络虚拟化来模拟多个网络环境。

    创建虚拟网络环境

    使用命令

    $ ip netns add net0

    可以创建一个完全隔离的新网络环境,这个环境包括一个独立的网卡空间,路由表,ARP表,ip地址表,iptables,ebtables,等等。总之,与网络有关的组件都是独立的。

    ip命令需要root权限的,但是由于本文大量使用ip命令,于是笔者给ip命令添加了capability,使普通用户也能使用ip命令

    使用命令

    $ ip netns list
    net0

    可以看到我们刚才创建的网络环境

    进入虚拟网络环境

    使用命令

    $ ip netns exec net0 `command`

    我们可以在 net0 虚拟环境中运行任何命令

    $ ip netns exec net0 bash
    $ ip ad
    1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    这样我们可以在新的网络环境中打开一个shell,可以看到,新的网络环境里面只有一个lo设备,并且这个lo设备与外面的lo设备是不同的,之间不能互相通讯。

    连接两个网络环境

    新的网络环境里面没有任何网络设备,并且也无法和外部通讯,就是一个孤岛,通过下面介绍的这个方法可以把两个网络环境连起来,简单的说,就是在两个网络环境之间拉一根网线

    $ ip netns add net1

    先创建另一个网络环境net1,我们的目标是把net0与net1连起来

    $ ip link add type veth
    $ ip ad
    1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    81: veth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
        link/ether 12:39:09:81:3a:dd brd ff:ff:ff:ff:ff:ff
    82: veth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
        link/ether 32:4f:fd:cc:79:1b brd ff:ff:ff:ff:ff:ff

    这里创建连一对veth虚拟网卡,类似pipe,发给veth0的数据包veth1那边会收到,发给veth1的数据包veth0会收到。就相当于给机器安装了两个网卡,并且之间用网线连接起来了

    $ ip link set veth0 netns net0
    $ ip link set veth1 netns net1

    这两条命令的意思就是把veth0移动到net0环境里面,把veth1移动到net1环境里面,我们看看结果

    $ ip ad
    1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    $ ip netns exec net0 ip ad
    1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    81: veth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
        link/ether 12:39:09:81:3a:dd brd ff:ff:ff:ff:ff:ff
    $ ip netns exec net1 ip ad
    1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    82: veth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
        link/ether 32:4f:fd:cc:79:1b brd ff:ff:ff:ff:ff:ff

    veth0 veth1已经在我们的环境里面消失了,并且分别出现在net0与net1里面。下面我们简单测试一下net0与net1的联通性

    $ ip netns exec net0 ip link set veth0 up
    $ ip netns exec net0 ip address add 10.0.1.1/24 dev veth0
    $ ip netns exec net1 ip link set veth1 up
    $ ip netns exec net1 ip address add 10.0.1.2/24 dev veth1

    分别配置好两个设备,然后用ping测试一下联通性:

    $ ip netns exec net0 ping -c 3 10.0.1.2
    PING 10.0.1.2 (10.0.1.2) 56(84) bytes of data.
    64 bytes from 10.0.1.2: icmp_req=1 ttl=64 time=0.101 ms
    64 bytes from 10.0.1.2: icmp_req=2 ttl=64 time=0.057 ms
    64 bytes from 10.0.1.2: icmp_req=3 ttl=64 time=0.048 ms
    
    --- 10.0.1.2 ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 1999ms
    rtt min/avg/max/mdev = 0.048/0.068/0.101/0.025 ms

    一个稍微复杂的网络环境

    2013-02-29-linux-network-emulator__1.png

    创建虚拟网络环境并且连接网线

    ip netns add net0
    ip netns add net1
    ip netns add bridge
    ip link add type veth
    ip link set dev veth0 name net0-bridge netns net0
    ip link set dev veth1 name bridge-net0 netns bridge
    ip link add type veth
    ip link set dev veth0 name net1-bridge netns net1
    ip link set dev veth1 name bridge-net1 netns bridge

    在bridge中创建并且设置br设备

    ip netns exec bridge brctl addbr br
    ip netns exec bridge ip link set dev br up
    ip netns exec bridge ip link set dev bridge-net0 up
    ip netns exec bridge ip link set dev bridge-net1 up
    ip netns exec bridge brctl addif br bridge-net0
    ip netns exec bridge brctl addif br bridge-net1

    然后配置两个虚拟环境的网卡

    ip netns exec net0 ip link set dev net0-bridge up
    ip netns exec net0 ip address add 10.0.1.1/24 dev net0-bridge
    ip netns exec net1 ip link set dev net1-bridge up
    ip netns exec net1 ip address add 10.0.1.2/24 dev net1-bridge

    测试

    $ ip netns exec net0 ping -c 3 10.0.1.2
    PING 10.0.1.2 (10.0.1.2) 56(84) bytes of data.
    64 bytes from 10.0.1.2: icmp_req=1 ttl=64 time=0.121 ms
    64 bytes from 10.0.1.2: icmp_req=2 ttl=64 time=0.072 ms
    64 bytes from 10.0.1.2: icmp_req=3 ttl=64 time=0.069 ms
    
    --- 10.0.1.2 ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 1999ms
    rtt min/avg/max/mdev = 0.069/0.087/0.121/0.025 ms

    配置lldpd检查线路链接情况

    随着虚拟网络环境增加,环境中网卡数量也在不断增加,经常会忘记环境中哪些网卡连接到哪里,通过 lldp [2] 协议,我们可以清楚看到每个网卡连接到了哪些环境中的哪个网卡。

    github 上有一个 lldp 在 linux 下的开源实现 [3],通过在每个环境中起一个 lldp daemon,我们就可以实时查看每个网卡的连接情况

    Bridge 上 lldp 的数据

    $ lldpcli show neighbors
    
    LLDP neighbors:
    
    Interface:    bridge-net0, via: LLDP, RID: 2, Time: 0 day, 00:06:53
      Chassis:
        ChassisID:    mac 82:be:2a:ec:70:69
        SysName:      localhost
        SysDescr:     net0
        Capability:   Bridge, off
        Capability:   Router, off
        Capability:   Wlan, off
      Port:
        PortID:       mac 82:be:2a:ec:70:69
        PortDescr:    net0-bridge
    
    Interface:    bridge-net1, via: LLDP, RID: 1, Time: 0 day, 00:06:53
      Chassis:
        ChassisID:    mac b2:34:28:b1:be:49
        SysName:      localhost
        SysDescr:     net1
        Capability:   Bridge, off
        Capability:   Router, off
        Capability:   Wlan, off
      Port:
        PortID:       mac b2:34:28:b1:be:49
        PortDescr:    net1-bridge
    展开全文
  • 网络虚拟化

    千次阅读 2019-03-23 15:32:43
    网络虚拟化(一):简介 目前,软件定义的数据中心是一大热门技术,VMware作为全球最大的虚拟化厂商实现了通过软件可以定义应用及其所需的所有资源,包括服务器、存储、网络和安全功能都会实现虚拟化,然后组合...

    • 网络虚拟化(一):简介
    目前,软件定义的数据中心是一大热门技术,VMware作为全球最大的虚拟化厂商实现了通过软件可以定义应用及其所需的所有资源,包括服务器、存储、网络和安全功能都会实现虚拟化,然后组合所有元素以创建一个软件定义的数据中心。通过虚拟化可以减少服务器部署的时间和成本,可以实现灵活性和资源利用率的最大化,可以在调配虚拟机时对环境进行自定义,在软件定义的数据中心里虚拟机可以跨越物理子网边界。
      传统的网络在第2层利用VLAN来实现广播隔离,在以太网数据帧中使用12位的VLAN ID将第二层网络划分成多个广播域,VLAN数量需少于4094个。但随着虚拟化的普及,4094个的数值上限面临着巨大压力。此外,由于生成树协议(STP)的限制,极大的限制了可以使用的VLAN 数量。基于VXLAN的网络虚拟化解决了传统物理网络面临的诸多难题。
      网络虚拟化可将网络抽象化为一个广义的网络容量池。因此便可以将统一网络容量池以最佳的方式分割成多个逻辑网络。您可以创建跨越物理边界的逻辑网络,从而实现跨集群和单位的计算资源优化。不同于传统体系架构,逻辑网络无需重新配置底层物理硬件即可实现扩展。VMware网络虚拟化是通过虚拟可扩展局域网(VXLAN)技术,创建叠加在物理网络基础架构之上的逻辑网络。
      VMware网络虚拟化解决方案满足了数据中心的以下几大需求:
    • 提高计算利用率
    • 实现集群的扩展
    • 跨数据中心内多个机架利用容量
    • 解决IP寻址难题
    • 避免大型环境中VLAN数量剧增问题
    • 实现大规模多租户

    在这里插入图片描述
    通过采用网络虚拟化,可以有效的解决这些问题并实现业务优势:
    • 加快网络和服务的调配速度,实现业务敏捷性。
    • 将逻辑网络与物理网络分离,提供充分的灵活性。
    • 大规模隔离网络流量并将其分段。
    • 自动执行可重复的网络和服务调配工作流。
    在这里插入图片描述
    虚拟交换机
    虚拟交换机在许多方面都与物理以太网交换机相似。每个虚拟交换机都是互相隔离的,拥有自己的转发表,因此交换机查找的每个目的地只能与发出帧的同一虚拟交换机上的端口匹配。它可以在数据链路层转发数据帧,然后通过以太网适配器出口连接到外部网络。虚拟交换机能够将多个以太网适配器绑定在一起,类似于传统服务器上的网卡绑定,从而为使用虚拟交换机提供更高的可用性和带宽。它还支持端口级别的VLAN分段,因此可以将每个端口配置为访问端口或中继端口,从而提供对单个或多个VLAN的访问。
      但是与物理交换机不同,虚拟交换机不需要生成树协议,因为它强制使用单层网络连接拓扑。多个虚拟交换机无法进行互连,在同一台主机内,网络通信流量无法在虚拟交换机之间直连流动。虚拟交换机通过一个交换机提供用户需要的所有端口。虚拟交换机无需进行串联,因为它们不共享物理以太网适配器。
    虚拟交换机可提供二种与主机和虚拟机相连接的类型:
      • 将虚拟机连接到物理网络。
      • 将VMkernel服务连接到物理网络。VMkernel服务包括访问IP存储(如:NFS或iSCSI)、执行vMotion迁移以及访问管理网络。
    设计网络连接环境时,您可以通过VMware vSphere将所有网络都置于一个虚拟交换机中。或者,您也可以选择多个虚拟交换机,每个虚拟交换机具有一个单独的网络。具体作何选择在某种程度上取决于物理网络的布局。例如:您可能没有足够的网络适配器,无法为每个网络创建一个单独的虚拟交换机。因此,您可能会将这些网络适配器绑定在一个虚拟交换机上,然后使用VLAN来隔离这些网络。
    虚拟网络支持二种类型的虚拟交换机:
    • 虚拟网络标准交换机:主机级别的虚拟交换机配置。
    标准交换机可以将多个虚拟机连接起来,并使它们彼此可以进行通信。每个标准交换机最多有4088个虚拟交换机端口,而每台主机最多有4096个虚拟交换机端口。下图显示了几个标准交换机的不同用途。这些交换机从左到右依次为:

    1. 配置绑定网卡的标准交换机。绑定的网卡可自动分发数据包以及执行故障切换。
      
    2. 仅限内部使用的标准交换机,允许单个ESXi主机内的虚拟机直接与其他连接到同一标准交换机的虚拟机进行通信。VM1和VM2可使用此交换机互相通信。
      
    3. 配置一个出站适配器的标准交换机。该交换机提供VM3使用。
      
    4. VMkernel用来实现远程管理功能的标准交换机。
      
    5. 在这里插入图片描述
    6. 虚拟网络分布式交换机:虚拟网络分布式交换机是一款数据中心级交换机。标准交换机基于主机工作,交换机配置保存在ESXi主机上面。而数据中心交换机能够独立于物理结构实现统一虚拟化管理。虚拟网络分布式交换机配置通过vCenterServer管理,并且所有虚拟网络配置的详细信息都存储在vCenter Server数据库中。VXLAN网络可在一个或多个vSphereDistributed Switch上进行配置。
        另外,vNetwork分布式交换机具有以下特征:
    7. 独立于物理结构的统一网络虚拟化管理。
    8. 针对整个数据中心管理一台交换机与针对每台主机管理若干标准虚拟交换机。
    9. 支持VMware vSpherevMotion,因此统计数据和策略可随虚拟机一同转移。
    10. 独立的管理界面。
    11. 高级流量管理功能。
    12. 监控和故障排除功能,如NetFlow和端口镜像。
    13. 主机级别的数据包捕获工具(tcpdump)
    14. 在这里插入图片描述
    15. VXLAN虚拟可扩展局域网(上)
    16. 2011年的VMworld大会上,VMware提出了VXLAN(virtual Extensible LAN虚拟可扩展局域网)技术。VXLAN技术是VMware、CISCO、Arista、Broadcom、Citrix和Redhat等厂商共同开发用于虚拟网络的技术,与之抗衡的有Microsoft联合Intel、HP和Dell开发的NVGRE标准(Network Virtualization using Generic Routing Encapsulation)。本文将重点介绍VXLAN的优势、VMware的VXLAN组件和应用案例分析。
      VXLAN逻辑网络有以下几项优于传统物理网络的明显优势:
      1、突破了传统VLAN的数量限制。
      物理网络使用VLAN来限制和隔离第2层广播域,VLAN的数量上限为4094个。随着主机虚拟化技术的兴起,4094个VLAN数已经远不能满足云数据中心的需求。不同于VLAN的4094限制,VXLAN网络可以支持多达1600万个VLAN标识符。
      2、突破了传统的物理界限,满足多租户环境和规模扩展的需求。
      VXLAN网络是一个创建叠加在物理网络基础架构之上的逻辑网络,实现了在底层硬件上的独立配置。VXLAN网络大大减少了数据中心网络管理和配置所花费的时间,它提供的多层次网络拓扑结构和企业级安全服务,可将部署、调配时间从几周减少到数小时。同时,在VXLAN网络部署的虚拟机可以实现跨物理机迁移,例如:北京数据中心的虚拟机可以和上海的数据中心的虚拟机在二层网络上进行通信,打破了传统的二层网络的界限。
      3、解决STP(生成树协议)高负荷
      VXLAN 中使用了新技术替代STP(生成树协议), 因此解决了汇聚层交换机由于STP高负荷导致的压力过大问题。
      在这里插入图片描述
      在vSphere 5.5版本中,VXLAN实现组件包括:
      • vShield Manager
        vShield Manager是vShield的集中式网络管理组件,可作为虚拟设备安装在vCenter Server 环境中的任意ESX主机上。vShieldManager可在与安装vShield代理不同的ESX主机上运行。使用 vShield Manager用户界面或vSphere Client插件,管理员可以安装、配置和维护vShield组件。vShield Manager可以定义并管理VXLAN网络,包括:定义VXLAN网络的延展范围、配置vSphere承载VXLAN网络的VDS和配置VTEP等。
      • vSphere分布式交换机
        在VXLAN网络中vSphere分布式交换机用于连接主机和互连。
      • vSphere主机
        在VXLAN网络中每台vSphere主机上需要配置虚拟安全加密链路端点(VETP)模块,每个主机VEP会分配到一个唯一的IP地址,在vmknic虚拟适配器上进行配置,用于建立主机之间的通信安全加密链路并承载VXLAN流量。VTEP由以下三个模块组成:
        1). vmkernel模块
        此模块负责VXLAN数据路径处理,其中包括转发表的维护以及数据包的封装和拆封。
        2)、vmknic虚拟适配器
        此模块用于承载VXLAN控制流量,其中包括对多播接入、DHCP和ARP请求的响应。
        3)、VXLAN端口组
        此端口组包括物理网卡、VLAN信息、绑定策略等。端口组参数规定了VXLAN流量如何通过物理网卡进出主机VTEP。
      创建VXLAN虚拟网络案例演示
      此方案的情形如下:在数据中心的两个群集上有多个 ESX 主机。工程部门和财务部门都在Cluster1 上。市场部门在Cluster2 上。两个群集都由单个vCenter Server 5.5进行 管理。
      在这里插入图片描述
      Cluster1 上的计算空间不足,而 Cluster2 未充分利用。老板要求IT管理员将工程部门的虚拟机扩展到 Cluster2上,实现工程部门的虚拟机位于两个群集中,并且能够彼此通信。如果 IT管理员使用传统方法解决此问题,他需要以特殊方式连接单独的 VLAN 以便使两个群集处于同一二层域中。这可能需要购买新的物理设备以分离流量,并可能导致诸如 VLAN 散乱、网络循环以及系统和管理开销等问题。
      通过 VXLAN技术,IT管理员可以通过跨dvSwitch1 和 dvSwitch2 构建VXLAN 虚拟网络,在不添加物理设备的情况下达到要求。
      在这里插入图片描述
      VXLAN虚拟可扩展局域网(下)
      VXLAN传输数据包
      VXLAN虚拟可扩展局域网是一种overlay的网络技术,使用MAC in UDP的方法进行封装,在封装包中间添加了一层共50字节的VXLAN Header,然后以IP数据包的形式通过3层网络进行传输。位于VXLAN安全加密链路任何一端的虚拟机不知道这个封装包。同时,物理网络中的设备也不知道虚拟机的源或目的MAC或IP地址。VXLAN的封装结构如下图所示:
      在这里插入图片描述
    17. VXLAN Header:
        共计8个字节,目前被使用的是Flags中的一个标识位和24bit的VXLAN Network Identifier,其余的部分没有定义,但是在使用的时候必须设置为0×0000。
    18. 外层的UDP报头:
        目的端口使用4789,但是可以根据需要进行修改。同时UDP的校验和必须设置成全0。
    19. IP报文头:
        目的IP地址可以是单播地址,也可以是多播地址。
        单播情况下,目的IP地址是VXLAN Tunnel End Point(VTEP)的IP地址。
        在多播情况下引入VXLAN管理层,利用VNI和IP多播组的映射来确定VTEPs。
      从封装的结构上来看,VXLAN提供了将二层网络overlay在三层网络上的能力,VXLAN Header中的VNI有24个bit,数量远远大于4096,并且UDP的封装可以穿越三层网络,因此比的VLAN更好的可扩展性。
      VXLAN协议网络工作原理
      (1)、网络初始化
      在VXLAN协议工作前需要进行网络初始化配置。网络初始化就是让虚拟网络中的主机加入到该VXLAN网络所关联的多播组。例如:VM1和VM2连接到VXLAN网络,那么二台VXLAN主机(ESXi1和ESXi2)就需要先加入IP多播组239.119.1.1。VXLAN的网络标识符(VNI)就是网络ID。
      在这里插入图片描述
      2)、ARP查询
      下图描述了VXLAN协议中二个连接到逻辑2层网络的虚拟机(VM1和VM2)ARP查询流程。
    20. VM1以广播形式发送ARP请求;
      
    21. VTEP1封装报文。本例中,VXLAN 100关联在IP多播组239.119.1.1中,VNI为100;
      
    22. VTEP1通过多播组将数据包发送给VTEP2;
      
    23. VTEP2接收到多播包。VTEP2将验证VXLAN网段ID,拆封数据包,然后将通过2层广播包的形式其转发到虚拟机VM2;
      
    24. VM2收到广播包后发送ARP响应。
      
    25. 在这里插入图片描述
    26. 注意:VTEP1只会在VTEP转发表中没有虚拟机MAC与该MAC地址的VTEP IP之间的映射时,才会生成多播包。在广播数据包时,如果MAC转发表中没有与帧目的MAC地址相匹配的条目,2层交换机会执行ARP查询操作。在发现虚拟机MAC地址与VTEP IP地址的映射条目并将其更新到转发表中后,任何与该特定虚拟机通信的请求都将通过点到点安全加密链路传输。
      (3)、ARP应答
      ARP应答处理流程类似于ARP请求,不同之处在于VM2将通过单播包进行ARP响应。因为VTEP2已经获得了VM1的MAC地址、IP地址以及VTEP1的信息。VTEP2将建立一个转发条目,以后交换数据包操作会使用该转发条目。
      在这里插入图片描述
      (4)、VXLAN网关
      如果需要VXLAN网络和非VXLAN网络连接,必须使用VXLAN网关才能把VXLAN网络和外部网络进行连接。下图描述了VXLAN网关的工作原理:
    27. VM2通过网关MAC地址向网关发送数据包;
      
    28. VTEP2封装数据包,通过多播(第一次)发送给VTEP1;
      
    29. VTEP1拆封数据包,并发送到网关;
      
    30. 网关将IP数据包路由到Internet。
      

    31.在这里插入图片描述
    案例(一)
    当二台虚拟机在同一逻辑2层网络中时,如果二个虚拟机都在同一台vSphere主机上,那么数据包无需封装。如果二个虚拟机在不同vSphere主机上,一台vSphere主机上的源VTEP将虚拟机数据包封装到一个新UDP标头中,并通过外部IP网络将其发送到另一台vSphere主机上的目标VTEP。
    在这里插入图片描述
    案例(二)
    图中显示了二个虚拟网络VXLAN-A和VXLAN-B。二个网络分别属于192.168.1.0/24网段和192.168.2.0/24网段,二个网络通过VXLAN网关进行连接。以下是可能情况:
    (1)、当所有虚拟机和VXLAN网关位于同一vSphere主机上时。虚拟机将流量导向各自逻辑网络子网的网关IP地址,VXLAN会根据防火墙规则在二个不同接口之间进行路由。
    (2)、当所有虚拟机不在同一台vSphere主机上,而VXLAN网关部署在其中一台vSphere主机时。虚拟机的流量将被封装到数据包,然后进过物理网络传送到VXLAN网关,之后将由网关将数据包路由到正确的目标。
    (3)、当所有虚拟机和VXLAN网关不在同一台vSphere时。数据包传输将类似于情况2。
    在这里插入图片描述
    2.4.5 通过划Zone来提高虚拟网络的安全性
      虚拟环境面临的最常见威胁是不安全的接口和网络、过高的权限、错误配置或不当管理,以及未打补丁的组件。由于虚拟机是直接安装在服务器硬件上的,因此许多常规安全漏洞并不存在太大的安全威胁。在vSphere环境中,必须保护好以下基本组件:
    • 物理网络和虚拟网络
    • 基于IP的存储和光纤通道
    • 物理和虚拟应用服务器以及应用客户端
    • 托管虚拟机的所有ESXi系统
    • 数据中心内的所有虚拟机
    • 虚拟机上运行的应用程序
    划Zone是保护物理网络和虚拟网络的一种有效方法。Zone定义了一个网段,在网段中的数据流入和流出都将受到严格的控制。在虚拟网络中,常见的划Zone方式有以下三种:
    1)、通过物理设备实现分离
    在这种配置中,每个区域都采用单独的ESXi物理主机或集群,区域隔离是通过服务器的物理隔离和物理网络安全设定来实现的。这种配置方法较为简单,复杂度较低,不需要对物理环境进行调整,是一种将虚拟技术引入网络的好办法。但是,这种配置方法会制约虚拟化提供的优势,资源整合率和利用率较低,使用成本较高。
    在这里插入图片描述

    2)、通过虚拟技术实现分离
    在这种配置中,通过使用虚拟交换机可以将虚拟服务器连接到相应的区域,在同一台ESXi主机上设置不同信任级别的虚拟服务器,这种区域是在虚拟化层中实施的。虽然这种方法可以实现在物理机和虚拟领域实施不同的安全设定,但是仍然需要通过物理硬件来确保区域之间的网络安全。虽然在每个区域中都显示了不同的虚拟交换机,但是用户仍然可以使用VLAN以及单个虚拟交换机上不同的端口组实现相同的目的。
    这种方法较好的整合了物理资源,能较好地利用虚拟化优势,成本较低。然而,与采用物理设备实现分离相比,这种配置较为复杂,必须明确配置人员,需要定期审核配置。

    在这里插入图片描述
    3)、完全合并再分离
    这是一种建立在完全虚拟前提下的隔离。用户可以将不同安全级别的虚拟机置于不同物理服务器上,并将网络安全设备引入虚拟基础架构。通过虚拟网络设备实现管理和保护虚拟信任域之间的通行。例如:通过VMware的vShield组件,可以为不同区域建立通信,同时监控通信。
    这种配置中,所有的服务器和安全设备都进行了虚拟化,用户可以隔离虚拟服务器和网络,使用虚拟安全设备管理不同区域之间的通信。这是配置能够充分利用资源,减低成本,通过单个管理工作站管理整个网络,但是配置和管理最为复杂,出错几率较高。在这里插入图片描述

    展开全文
  • 网络虚拟化技术

    千次阅读 2014-06-02 15:47:14
    网络虚拟化似于服务器虚拟化,可以在一个物理网络上创建多个虚拟网络。网络虚拟化出现的时间并不长,是随着IaaS的出现而出现。 IaaS中的核心技术是虚拟化,包括服务器虚拟化,存储虚拟化和网络虚拟化。其中服务器...
    网络虚拟化似于服务器虚拟化,可以在一个物理网络上创建多个虚拟网络。网络虚拟化出现的时间并不长,是随着IaaS的出现而出现。

    IaaS中的核心技术是虚拟化,包括服务器虚拟化,存储虚拟化和网络虚拟化。其中服务器虚拟化和存储虚拟化出现的时间远远早于IaaS的概念,可以说非常成熟,有很多产品。成熟的关键标识就是行业巨头(们)的出现,行业巨头一般会占据绝大多数的市场份额。有一个结论是,在IT行业,行业的前两名会占据80%以上的市场份额。

    网络虚拟化出现的时间并不长,市场没有出现行业巨头。另外目前网络虚拟化的市场应该还处在开发阶段,应该还没有很多用户开始在自己的IT基础设置中施行网络虚拟化。不过随着IaaS的逐渐推广,网络虚拟化也会随之普及。当前的网络虚拟化处于一个群雄并起的阶段,最终谁能赢得战争犹未可知。

    目前的网络虚拟化技术主要有这么几种:
    VEB技术,代表产品是OpenvSwitch,背后是VMware
    VEPA技术,背后是HP,Juniper,brocade等
    vn-tag技术,背后是Cisco

    二层(L2)网络拓扑结构
    本文讨论的网络指二层网络,L2网络拓扑主要有flat和vlan两种:
    flat:
    平坦结构。所有接入网络的节点(node)都处于单一的地址空间中,网络节点之间可以互相通信。一个节点可以和网络中的任意节点通信。
    vlan:
    网络被划分为若干个地址空间,每个地址空间形成一个vlan。vlan形成了一个二维地址空间,(vlan id, mac address)。只有出于一个vlan中的节点才能互相通信,vlan实现了一定程度的网络隔离。vlan的上限是4094个,对于私有云来说是足够的,但对于公有云则不足。业界又有了vxlan,gre等技术来克服vlan的数量限制。

    网络虚拟技术所解决的问题
    一个是虚拟接入:
    将虚拟机接入到接入交换机中,并且交换机可以识别虚拟机。目标是交换机能够像管理物理机一样管理虚拟机,包括配置网络策略,监控虚拟机流量等。传统交换机对物理机的管理,都可以应用到虚拟机上。目前的交换机中是无法实现对虚拟机的管理的。关键问题是数据帧不能发往收到改数据帧的端口。这个限制是STP协议的主要规则,而传统交换机都是采用STP协议工作的。虚拟环境中,一个交换机端口(port)上可以接入多个虚拟机(传统方式中,一个端口只能接入一台物理机,端口和物理机一一对应),当这些虚拟机之间需要通信的话,导致该端口接受的数据帧被发往该端口,违背了STP原则。后面会介绍目前的 技术方案如何解决这个问题。

    虚拟通道
    解决如何让虚拟机连到物理接入交换机上。虚拟机无法直接连接到接入交换机。目前的多种虚拟化结束中,都 采用一种叫做虚拟交换机(VEB,virtual ethernet bridging)的方式来实现虚拟机到接入交换机的连接。VEB可以通过软件或硬件方式来实现。
    软件VEB
    软件VEB可以直接实现在Hypervisor中,也可以独立于Hypervisor独立实现。前者如Vmware exsi, MS hypervisor等,后者如linux bridge,open vswitch等。系统上的所有虚拟机接入虚拟交换机,虚拟交换机通过本机网卡接入交换机。一个系统中可以存在多个虚拟交换机,虚拟机也可以接入不同的虚拟交换机来实现不同的网络拓扑结构和网络隔离。
    硬件VEB
    有些虚拟软件中支持bypass with Harware 功能,这个就是指硬件VEB。硬件VEB通常在网卡上实现(SR-IOV(Single Root I/O Virtualization)技术),虚拟机直接接入网卡提供的端口。
    硬件VEB比软件VEB有更好的转发效率和转发延迟,同时有更低的CPU占用率。

    下面谈谈主流的网络虚拟化技术:
    VEB技术:
    VEB技术解决了前面所说的虚拟通道问题,但没有解决虚拟接入问题。采用VEB技术,传统的接入交换机还是无法对虚拟机进行管理,识别虚拟机流量。VEB技术不在使用传统交换机进行虚拟机管理,而是完全采用虚拟交换机取代传统交换机的角色,传统交换机只用来承载流量。这种方案采用虚拟交换机解决虚拟接入问题,采用VEB解决虚拟通道问题。

    VEB根据数据帧目的地址决定如何处理:
    该目的地址是该节点上的另一台虚拟机,直接转发;
    是其他节点上的虚拟机,通过物理网卡转发L2网络上,这个虚拟机所在节点的VEB会接受该数据包并转给虚拟机。

    VEB技术的代表是Open vswitch。Open vswitch中完全采用虚拟交换机(open vswtich)对虚拟交换机进行管理和流量控制,传统的物理交换机只用来连接个网络节点。物理交换机的角色类似于传统的集线器(Hub),其上不在进行任何网络配置(这导致了VEB无法和已有的L2网络配置兼容)。Open vswitch本身提供了强大的功能来替代传统的物理交换,支持多种管理界面包括远程管理等,支持openflow协议。可以参考Open vswitch官网网站。

    VN-Tag技术:
    由cisco提出的技术方案,基本思想是在传统的以太网数据帧中加入一个新的标签(vn-tag)以便让物理交换机识别虚拟机并进行管理。这种方案中采用vn-tag技术解决虚拟接入问题,采用VEB解决虚拟通道问题。

    VEB对虚拟机发出的数据帧添加vn-tag,然后发送到接入交换机。接入交换机根据vn-tag决定数据转发目的地;目的地上的VEB根据vn-tag转发数据到相应的虚拟机上。这种方案中,需要通信的两台虚拟机即使都在一台物理机上,他们的数据交换也需要经过接入交换机处理。VEB可以通过软件或硬件方式实现。在vn-tag方案中,这个VEB被叫做port extender,只提供虚拟通道,不在处理路由寻址。

    这项技术主要包括如下设备:
    vn-tag网卡,用来实现VEB(port extender)。
    vn-tag交换机,管理虚拟机,识别虚拟机流量。
    支持vn-tag技术的hypervisor,将虚拟机虚拟网卡接入到vn-tag网卡中。目前vmware的产品可以支持vn-tag网卡。

    vn-tag对现有的数据帧做出了改变,所以这套技术和目前的L2网络无法兼容。目前的交换机不能识别vn-tag数据帧。cisco已经将这项技术提交成了技术标准802.1BR - Bridge Port Extension http://www.ieee802.org/1/pages/802.1br.html

    VEPA技术:
    由HP提出的技术方案,全称是virtual ethernet port aggregator。vepa包括了标准版和增强版。
    标准版
    标准版没有实现虚拟接入技术,交换机无法识别虚拟机。标准版允许接入同一个端口的虚拟机之间通过该端口实现数据交换,不在需要VEB实现数据交换。标准版通过改写STP协议,允许来自同一个端口的数据被转发回去,叫做发卡弯。
    标准版对现有的数据帧没有修改,只要升级VEB和交换机的软件,就可以实现。vepa不需要采购新的网络设备,只需要升级软件即可。

    增强版
    实现对虚拟机的管理和流量监控。vepa的思路也是利用在数据帧中加入标签还识别虚拟机,但是vepa利用了已有的技术标准,而不是引入新的标签。vepa采用了802.1ad标准在vlan标签外增加了S-Tag,以实现虚拟机识别。这个技术可以实现vn-tag的一切功能,有点还是不需要采购新的网络设别,只需要升级软件即可。

    为了使用vepa,也需要相应hypevisro的支持。linux中的macvtap驱动可以支持vepa技术,http://virt.kernelnewbies.org/MacVTap

    vepa也有相应的技术标准提交,802.1Qbg - Edge Virtual Bridging
    http://www.ieee802.org/1/pages/802.1bg.html
    除了HP,该阵营还有诸如juniper,brocade的支持。

    本文只是简要介绍了网络虚拟化技术,如需深入了解,还请查找相应资料。这几种技术之间的战争只是刚刚开始,尤其是vepa和vn-tag之间的交锋。


    参考书
    云计算和大数据时代网络技术揭秘 徐立冰著,文中的图片均来自此书。

    补充资源,大家可以看看这篇文章
    http://download.csdn.net/detail/zhengleiguo/7436301
    
    
    
    
    展开全文
  • 计算指CPU和内存,网络网络设备,存储即硬盘之类的。 内核是个大管家,想象你的机器上跑着很多的程序,有word,有excel,看着视频,听着音乐,每个程序都要使用CPU和内存,都要上网,都要存硬盘,如果没有一个...

    文章转载至网易云架构师刘超的个人微信号

    内核,是指的操作系统内核。

    所有的操作系统都有内核,无论是Windows还是Linux,都管理着三个重要的资源:计算,网络,存储。

    计算指CPU和内存,网络即网络设备,存储即硬盘之类的。
    这里写图片描述
    内核是个大管家,想象你的机器上跑着很多的程序,有word,有excel,看着视频,听着音乐,每个程序都要使用CPU和内存,都要上网,都要存硬盘,如果没有一个大管家管着,大家随便用,就乱了。所以需要管家来协调调度整个资源,谁先用,谁后用,谁用多少,谁放在这里,谁放在那里,都需要管家操心。

    所以在这个计算机大家庭里面,管家有着比普通的程序更高的权限,运行在内核态,而其他的普通程序运行在用户态,用户态的程序一旦要申请公共的资源,就需要向管家申请,管家帮它分配好,它才能用。

    为了区分内核态和用户态,CPU专门设置四个特权等级0,1,2,3 来做这个事情。

    这里写图片描述

    当时写Linux内核的时候,估计大牛们还不知道将来虚拟机会大放异彩,大牛们想,一共两级特权,一个内核态,一个用户态,却有四个等级,好奢侈,好富裕,就敞开了用,内核态运行在第0等级,用户态运行在第3等级,占了两头,太不会过日子了。

    大牛们在写Linux内核的时候,如果用户态程序做事情,就将扳手掰到第3等级,一旦要申请使用更多的资源,就需要申请将扳手掰到第0等级,内核才能在高权限访问这些资源,申请完资源,返回到用户态,扳手再掰回去。

    这个程序一直非常顺利的运行着,直到虚拟机的出现。

    如果大家用过Vmware桌面版,或者Virtualbox桌面版,你可以用这个虚拟化软件创建虚拟机,在虚拟机里面安装一个Linux或者windows,外面的操作系统也可以是Linux或者Windows。

    当你使用虚拟机软件的时候,和你的excel一样,都是在你的任务栏里面并排的放着,是一个普通的应用。

    当你进入虚拟机的时候,虚拟机里面的excel也是一个普通的应用。

    但是当你设身处地的站在虚拟机里面的内核的角度思考一下人生,你就困惑了,我到底个啥?

    在硬件上的操作系统来看,我是一个普通的应用,只能运行在用户态。可是大牛们生我的时候,我的每一行代码,都告诉我,我是个内核啊,应该运行在内核态,当虚拟机里面的excel要访问网络的时候,向我请求,我的代码就要努力的去操作网络资源,我努力,但是我做不到,我没有权限!

    我分裂了。

    虚拟化层,也就是Vmware或者Virtualbox需要帮我解决这个问题。

    第一种方式,完全虚拟化,其实就是骗我。虚拟化软件模拟假的CPU,内存,网络,硬盘给我,让我自我感觉良好,终于又像个内核了。

    真正的工作模式是这样的。

    虚拟机内核:我要在CPU上跑一个指令!
    虚拟化软件:没问题,你是内核嘛,可以跑
    虚拟化软件转过头去找物理机内核:报告管家,我管理的虚拟机里面的一个要执行一个CPU指令,帮忙来一小段时间空闲的CPU时间,让我代他跑个指令。
    物理机内核:你等着,另一个跑着呢。好嘞,他终于跑完了,该你了。
    虚拟化软件:我代他跑,终于跑完了,出来结果了
    虚拟化软件转头给虚拟机内核:哥们,跑完了,结果是这个,我说你是内核吧,绝对有权限,没问题,下次跑指令找我啊。
    虚拟机内核:看来我真的是内核呢。可是哥,好像这点指令跑的有点慢啊。
    虚拟化软件:这就不错啦,好几个排着队跑呢。

    内存的申请模式如下。

    虚拟机内核:我启动需要4G内存,我好分给我上面的应用。
    虚拟化软件:没问题,才4G,你是内核嘛,马上申请好。
    虚拟化软件转头给物理机内核:报告,管家,我启动了一个虚拟机,需要4G内存,给我4个房间呗。
    物理机内核:怎么又一个虚拟机啊,好吧,给你90,91,92,93四个房间。
    虚拟化软件转头给虚拟机内核:哥们,内存有了,0,1,2,3这个四个房间都是你的,你看,你是内核嘛,独占资源,从0编号的就是你的。
    虚拟机内核:看来我真的是内核啊,能从头开始用。那好,我就在房间2的第三个柜子里面放个东西吧。
    虚拟化软件:要放东西啊,没问题。心里想:我查查看,这个虚拟机是90号房间开头的,他要在房间2放东西,那就相当于在房间92放东西。
    虚拟化软件转头给物理机内核:报告,管家,我上面的虚拟机要在92号房间的第三个柜子里面放个东西。

    好了,说完了CPU和内存的例子,不细说网络和硬盘了,也是类似,都是虚拟化软件模拟一个给虚拟机内核看的,其实啥事儿都需要虚拟化软件转一遍。

    这种方式一个坏处,就是慢,往往慢到不能忍受。

    于是虚拟化软件想,我能不能不当传话筒,还是要让虚拟机内核正视自己的身份,别说你是内核,你还真喘上了,你不是物理机,你是虚拟机。

    但是怎么解决权限等级的问题呢?于是Intel的VT-x和AMD的AMD-V从硬件层面帮上了忙。当初谁让你们这些写内核的大牛用等级这么奢侈,用完了0,就是3,也不省着点用,没办法,只好另起炉灶弄一个新的标志位,表示当前是在虚拟机状态下,还是真正的物理机内核下。

    对于虚拟机内核来讲,只要将标志位设为虚拟机状态,则可以直接在CPU上执行大部分的指令,不需要虚拟化软件在中间转述,除非遇到特别敏感的指令,才需要将标志位设为物理机内核态运行,这样大大提高了效率。

    所以安装虚拟机的时候,务必要将物理CPU的这个标志位打开,是否打开对于Intel可以查看grep “vmx” /proc/cpuinfo,对于AMD可以查看grep “svm” /proc/cpuinfo

    这叫做硬件辅助虚拟化。

    另外就是访问网络或者硬盘的时候,为了取得更高的性能,也需要让虚拟机内核加载特殊的驱动,也是让虚拟机内核从代码层面就重新定位自己的身份,不能像访问物理机一样访问网络或者硬盘,而是用一种特殊的方式:我知道我不是物理机内核,我知道我是虚拟机,我没那么高的权限,我很可能和很多虚拟机共享物理资源,所以我要学会排队,我写硬盘其实写的是一个物理机上的文件,那我的写文件的缓存方式是不是可以变一下,我发送网络包,根本就不是发给真正的网络设备,而是给虚拟的设备,我可不可以直接在内存里面拷贝给他,等等等等。

    一旦我知道我不是物理机内核,痛定思痛,只好重新认识自己,反而能找出很多方式来优化我的资源访问。

    这叫做类虚拟化或者半虚拟化。

    展开全文
  • 虚拟化技术已经成为数据中心必备的技术之一,那什么叫虚拟化技术呢?虚拟化是一个广义的术语,在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。虚拟化技术可以扩大硬件的容量,简化软件的重新...
  • 云计算的那些事之网络虚拟化

    万次阅读 2017-04-22 13:56:18
    网络虚拟化是一种重要的网络技术,该技术可在物理网络上虚拟多个相互隔离的虚拟网络,从而使得不同用户之间使用独立的网络资源切片,从而提高网络资源利用率,实现弹性的网络。其实很早之前就有的一个网络隔离方法...
  • 目录 文章目录目录KVM 虚拟机应用 Linux Bridge + VLAN 实现网络隔离TSG: ...VLAN 实现网络隔离、跨主机互通并且与外网互通总结:KVM + LinuxBridge 的网络虚拟化方案 KVM 虚拟机应用 Linux Bridge + VLAN 实现网络隔离
  • 网络虚拟化—概念

    千次阅读 2019-03-06 16:04:42
    如果要实现软件定义数据中心的愿景,网络虚拟化将会是旅程中的最后一公里。IDC估计网络虚拟化市场会从2013年360 million美金增长到2016年的3.7 billion。众多巨头接连大手笔,而很多新创公司也纷纷瞄准了这个方向。...
  • 网络团队经常要处理铺天盖地的配置请求,这些配置请求可能需要数天或数周来处理,所幸的是,现在有几种方法可以帮助企业提高网络灵活性,主要包括网络虚拟化[注](NV)、网络功能虚拟化[注](NFV[注])和软件定义网络[注...
  • Cisco Nexus 7000系列虚拟化架构 通过多级虚拟化实现资源整合
  • FusionCompute网络虚拟化

    千次阅读 2020-03-03 20:48:05
    文章目录网络虚拟化相关概念及技术Linux Bridge(网桥)OVS(Open vSwitch)概述DVS(分布式虚拟交换机)概述EVS概述(待补充理解)华为分布式交换方案FC分布式交换机网络虚拟化功能特性华为虚拟交换模式网络安全...
  • KVM网络虚拟化(一)

    千次阅读 2017-03-01 16:39:25
    KVM与QEMU网络虚拟化属于IO虚拟化
  • 虚拟化是计算、存储、网络等资源的一种逻辑表示,并不拘泥于这些资源的实现方式、物理包装和物理位置等限制。 虚拟化包括: 1) 在一个单独的物理设备上创建多个虚拟资源; 2)管理许多虚拟资源就像管理一台服务器...
  • 目录 文章目录目录前文列表VirtIO为什么需要 VirtIO?VirtIO 的架构VirtIO 的网络实现virtio-net 驱动与设备vhost-net 处于内核态的后端vhost-user 使用 DPDK 加速的后端...《虚拟化技术实现 — KVM 的 CPU 虚拟化...
  • KVM网络虚拟化(二)

    千次阅读 2017-03-03 14:33:47
    KVM网络虚拟化(二) KVM网卡虚拟化除了全虚拟化、Virtio外,还可以利用网卡PCI透传技术,SR-IOV技术,提供更高性能的虚拟化网卡。
  • Linux网络虚拟化之桥接网络

    千次阅读 2018-03-08 19:49:00
    桥接网络本身不创建网络,它只是虚拟网络交换设备,然后与外部网络的交换机相连,相当于是扩大了外部网络的覆盖范围。下面演示如何用Linux Bridge实现桥接网络。1.桥接网络示意图 假设enp0s8这张网卡是与外部网络...
  • 文章目录目录前文列表网络虚拟化什么是网络虚拟化云计算环境下的网络虚拟化需要解决的问题服务器内部的网络虚拟化I/O 虚拟化虚拟接入(VN-Tag/VEPA)服务器和网络的连接之间的网络虚拟化上行链路带宽(vPC)...
  • 网络功能虚拟化NFV

    万次阅读 多人点赞 2019-05-07 21:21:07
    网络功能虚拟化(NFV)技术是为了解决现有专用通信设备的不足而产生的。通信行业为了追求设备的高可靠性、高性能,往往采用软件和硬件结合的专用设备来构建网络。比如专用的路由器、CDN、DPI、防火墙等设备,均为...
  • 摘要:为了应对传统数据中心网络对服务器虚拟化技术的限制,VXLAN技术应运而生。 1 概述 传统数据中心网络面临的问题 虚拟机规模受设备表项规格限制 在传统二层网络中,交换机通过查询MAC地址表来转发数据帧,...
  • KVM 虚拟化架构和实现原理

    万次阅读 2016-07-07 18:42:50
    KVM的虚拟化实现KVM虚拟化架构KVM是嵌入在Linux操作系统标准内核中的一个虚拟化模块,它能够将一个Linux标准内核转换成为一个VMM,嵌有KVM模块的Linux标准内核可以支持通过kvm tools来进行加载的GuestOS。...
  • 虚拟化的发展历程和实现方式

    万次阅读 多人点赞 2016-03-31 23:17:40
    目录目录 前言 虚拟化 虚拟机Virtual Machine 虚拟化的分类x86 CPU架构与虚拟化的关系 ...内存虚拟化的映射实现 总线虚拟化前言现在市场上最常见的虚拟化软件有VMWare workstation(VMWare)、VirtualBox(Oracle)、H
  • 浅谈网络虚拟化安全

    千次阅读 2019-09-05 09:43:19
    摘要:本文简要介绍了网络虚拟化的发展,分析了网络虚拟化方面的一些安全问题,并给出了一些可行的措施 关键字 网络虚拟化 安全 SDN OpenFlow 经过多年的技术准备和商业模式探索,云计算已然进入快速发展...
  • network namespace 是实现网络虚拟化的重要功能,它能创建多个隔离的网络空间,它们有独自的网络栈信息。不管是虚拟机还是容器,运行的时候仿佛自己就在独立的网络中。这篇文章介绍 network namespace 的基本概念和...
  • 数据中心网络虚拟化

    千次阅读 2017-07-11 17:49:12
    【连载-2】数据中心网络虚拟化 主流平台产品介绍 fbz_ict • 15-06-23 •4383 人围观 为了对数据中心网络虚拟化有个初步的认识,本文将对当前比较主流的几款商业平台进行介绍,包括VMware公司的网络虚拟...
  • 虚拟化(Virtualization)是资源的逻辑表示,它不受物理限制的约束。具体的,虚拟化技术的实现形式是在系统...虚拟化技术以各种形式存在已经有四十年之久了,目前出现了网络虚拟化、微处理器虚拟化、文件虚拟化和存...
  • 网络虚拟化技术发展及未来影响

    万次阅读 2016-11-21 09:38:17
    近几年,软件定义网络(Software Define Network,SDN)技术的发展与成熟,使得网络虚拟化可以不再基于物理网络设备实现,大大扩展了网络虚拟化的“边界”。需要强调的是,SDN 不等于网络虚拟化,只是SDN 这种技术...
  • 图解网络虚拟化之概念篇

    千次阅读 2013-04-14 19:24:46
    如果要实现软件定义数据中心的愿景,网络虚拟化将会是旅程中的最后一公里。IDC估计网络虚拟化市场会从2013年 360 million美金增长到2016年的 3.7 billion。众多巨头接连大手笔,而很多新创公司也纷纷瞄准了这个...
  • 什么是网络虚拟化

    千次阅读 2013-06-10 01:18:13
    什么是网络虚拟化? 数据中心存在的唯一目的就是部署应用。这些应用可以自动处理商务上的流程、更好地服务客户、进入新的市场等等的作用,这些都是应用做的事情。 应用是由计算机和网络资源组成的,缺一不可。...
  • 1. 为什么要网络虚拟化?个人认为,这里主要有两个需求:一个是数据中心的现有网络不能满足云计算的物理需求;另一个是数据中心的现有网络不能满足云计算的软件化即SDN要求。1.1 现有物理网络不能满足云计算的需求...
  • 网络虚拟化基础协议之Geneve

    千次阅读 2014-10-09 11:33:38
    网络虚拟化最基础的技术莫过于分层(Overlay、Underlay),要实现分层有两种手段,一个是映射(Mapping),一个是封装(Encapsulation)。 映射,主要思路是转发时替换报文语义,如何替换将需要设备进行查询。 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 291,932
精华内容 116,772
关键字:

网络虚拟化怎么实现