VMware 軟件定義的數(shù)據(jù)中心（SDDC）愿景采用了一系列核心數(shù)據(jù)中心虛擬化技術(shù)，借助可充分利用并擴展現(xiàn)有計算、網(wǎng)絡和存儲基礎架構(gòu)投資的自動化及無中斷部署，能夠大幅提高數(shù)據(jù)中心的經(jīng)濟效益和業(yè)務敏捷性。當前，企業(yè)數(shù)據(jù)中心極大地受益于服務器和存儲虛擬化解決方案，它們借此整合了基礎架構(gòu)資源并調(diào)整了用途、降低了運維復雜性，并且根據(jù)業(yè)務優(yōu)先事項動態(tài)調(diào)整和擴展了應用基礎架構(gòu)。但是，數(shù)據(jù)中心網(wǎng)絡卻未能跟上這一步伐，仍存在僵化、復雜、專有和拒絕創(chuàng)新等問題，這是實現(xiàn)虛擬化和 SDDC 全部潛能的一大障礙。

　　VMware NSX 網(wǎng)絡虛擬化平臺的推出，為 VMware 軟件定義的數(shù)據(jù)中心（SDDC）體系結(jié)構(gòu)提供了第三個重要支柱。NSX 網(wǎng)絡虛擬化使網(wǎng)絡連接也能享有 VMware 已經(jīng)為計算和存儲提供的服務。與服務器虛擬化允許操作員以編程方式按需創(chuàng)建、拍攝快照、刪除和還原基于軟件的虛擬機（VM）的方式大致相同，NSX 支持按需創(chuàng)建、保存、刪除和還原虛擬網(wǎng)絡，而無需對物理網(wǎng)絡進行任何重新配置。結(jié)果是從根本上轉(zhuǎn)變數(shù)據(jù)中心網(wǎng)絡的運維模式，將網(wǎng)絡調(diào)配時間從數(shù)天或數(shù)周縮短至數(shù)分鐘，極大簡化了網(wǎng)絡操作。

　　NSX 是一款可部署在任何 IP 網(wǎng)絡中的無中斷解決方案，包括現(xiàn)有的數(shù)據(jù)中心網(wǎng)絡設計，以及任何網(wǎng)絡連接供應商提供的新一代結(jié)構(gòu)架構(gòu)。只需采用 NSX，您就擁有了交付軟件定義的數(shù)據(jù)中心所需的物理網(wǎng)絡基礎架構(gòu)。

　　傳統(tǒng)的網(wǎng)絡連接方法不僅妨礙當今組織實現(xiàn)軟件定義的數(shù)據(jù)中心的全部承諾，也使他們面臨靈活性受限和運維方面的挑戰(zhàn)。

　　服務器和存儲虛擬化解決方案極大地轉(zhuǎn)變了數(shù)據(jù)中心，其優(yōu)勢在于通過自動化大幅節(jié)省了運維成本，通過整合與硬件獨立性節(jié)約了資金，以及通過按需進行的自助調(diào)配方法提高了敏捷性。然而，盡管這些收獲十分可觀，但這些解決方案仍有大量潛能尚未得到開發(fā)。更確切地說，過時的網(wǎng)絡運維模式使得這些企業(yè)的發(fā)展受到阻礙。

　　網(wǎng)絡連接和網(wǎng)絡服務一直拘泥現(xiàn)狀，無法跟上服務器和存儲解決方案的發(fā)展步伐。盡管這些解決方案可以快速調(diào)配，但由于網(wǎng)絡連接服務仍需手動調(diào)配且受限于供應商特定的硬件和拓撲，因此受到制約。這直接影響了應用部署時間，因為應用同時需要計算和網(wǎng)絡連接資源。

　　當前運維模式下，為支持應用部署而調(diào)配網(wǎng)絡服務時，該過程速度緩慢、需要手動操作且易于 出錯。網(wǎng)絡操作員依賴終端、鍵盤、編寫腳本和 CLI 來操作眾多 VLAN、防火墻規(guī)則、負載均衡器以及 ACL、QoS、 VRF 和 MAC/IP 表。由于需要確保對某個應用的網(wǎng)絡更改不會對其他應用造成不利影響，因此進一步加大了復雜性和風險。鑒于這一情況的復雜性，也就不難理解為何近期有多項研究都指出，60% 以上的網(wǎng)絡停機和 / 或安全違規(guī)是由手動配置錯誤引起的。結(jié)果就是，除了頻繁出現(xiàn)難以避免的配置錯誤，IT 對新業(yè)務要求的響應速度也過于緩慢，因為計算和存儲基礎架構(gòu)快速調(diào)整用途后須等待網(wǎng)絡跟上步伐才能正常運行。

　　當前由于采用以設備為中心的網(wǎng)絡連接方法，工作負載的移動范圍限制在各個物理子網(wǎng)和可用性區(qū)域內(nèi)。為獲得數(shù)據(jù)中心的可用計算資源，網(wǎng)絡操作員不得不按部就班地手動配置 VLAN、ACL、 防火墻規(guī)則等。此流程不僅緩慢、復雜，而且最終將達到配置上限（例如，總計 4096 個 VLAN）。組織通常會選擇 以高昂成本為每個應用 / 網(wǎng)絡連接單元超額調(diào)配服務器容量，這就導致資源閑置和資源利用率不佳。

　　其他數(shù)據(jù)中心網(wǎng)絡連接挑戰(zhàn) 數(shù)據(jù)中心網(wǎng)絡連接團隊在傳統(tǒng)網(wǎng)絡連接方法上面臨的相關挑戰(zhàn)包括 :

　　應對這些挑戰(zhàn)的解決辦法就是對網(wǎng)絡進行虛擬化，即針對網(wǎng)絡連接執(zhí)行已對計算和存儲執(zhí)行的相同操作。事實上，網(wǎng)絡虛擬化在概念上與服務器虛擬化極其相似（參見圖 1）。

　　借助服務器虛擬化，軟件抽象層（服務器 hypervisor）將在軟件中重現(xiàn)熟悉的 x86 物理服務器屬性（如 CPU、RAM、磁盤、 網(wǎng)卡），允許它們以編程方式組建為任意組合，從而在數(shù)秒內(nèi)生成唯一的虛擬機（VM）。

　　借助網(wǎng)絡虛擬化，與“網(wǎng)絡 hypervisor”對等的功能可在軟件中重現(xiàn)第 2 至 7 層的全套網(wǎng)絡連接服務（如交換、路由、 訪問控制、防火墻、服務質(zhì)量和負載均衡）。因此，這些服務也能夠通過編程方式組成任意組合，只不過在這種情況下，能夠在幾秒鐘內(nèi)生成的是唯一虛擬網(wǎng)絡。

　　毫無疑問，這也會產(chǎn)生類似的優(yōu)勢。例如，正如虛擬機獨立于底層 x86 平臺并允許 IT 將物理主機視為計算容量池，虛擬網(wǎng)絡也獨立于底層 IP 網(wǎng)絡硬件，并允許 IT 將物理網(wǎng)絡視為一個可以按需使用和調(diào)整用途的容量傳輸池。

　　更重要的是，網(wǎng)絡虛擬化提供了堅實的基礎，可幫助解決阻礙當今組織實現(xiàn)軟件定義的數(shù)據(jù)中心的全部潛能的網(wǎng)絡連接挑戰(zhàn)。

　　相比新興的硬件定義的數(shù)據(jù)中心（HDDC）替代方法，采用軟件定義的數(shù)據(jù)中心 （SDDC）方法來構(gòu)建新一代數(shù)據(jù)中心具有多項極具吸引力的優(yōu)勢。首先，SDDC 是經(jīng)過驗證的方法。實際上，該方法將基于軟件的高級智能內(nèi)置于應用和平臺中，Google 和 Amazon 正是借此才得以提供當今世界最大、最敏捷且最高效的數(shù)據(jù)中心。 SDDC 的另一個主要優(yōu)勢是，它會按照軟件發(fā)布的速度進行創(chuàng)新，而不是遵循 3 至 5 年（或更久）的 ASIC 和硬件升級周期。此外，采用新的創(chuàng)新成果時，無需再對硬件進行徹底升級。最重要的是，軟件定義的數(shù)據(jù)中心可與現(xiàn)有物理基礎架構(gòu)協(xié)同工作，并且能夠按照組織選擇的任意節(jié)奏隨現(xiàn)有配置進行無中斷部署。

　　VMware NSX 是 VMware 推出的市場領先的網(wǎng)絡虛擬化實施方案。NSX 提供了全新的網(wǎng)絡連接運維模式，可突破當前物理網(wǎng)絡障礙，使數(shù)據(jù)中心操作員得以將敏捷性、經(jīng)濟性和選擇性提高若干數(shù)量級。

　　借助 NSX，可以利用底層物理網(wǎng)絡作為簡單的數(shù)據(jù)包轉(zhuǎn)發(fā)底板，以編程方式創(chuàng)建、調(diào)配和管理虛擬網(wǎng)絡。以軟件形式提供的網(wǎng)絡和安全服務會按照針對各連接應用定義的網(wǎng)絡連接和安全策略，分發(fā)到 hypervisor 并“附加”至各臺虛擬機。當虛擬機移動到另一臺主機時，其網(wǎng)絡連接和安全服務也會隨之移動。此外，在創(chuàng)建新虛擬機以擴展應用時，必要策略也會動態(tài)應用于這些虛擬機。

　　最終結(jié)果是提供了一種革命性的數(shù)據(jù)中心網(wǎng)絡連接方法，該方法還可通過將服務交付時間從數(shù)周縮短至數(shù)秒來滿足當今企業(yè)的速度需求，而這只是其眾多優(yōu)勢之一。

　　以下幾張圖顯示了 NSX 的基本工作原理。 基于這些圖，還可以進一步了解 NSX 解決 方案所具有的技術(shù)特征、功能和價值主張。

　　圖 2：NSX 是一款多 hypervisor 解決方案，該方案會利用數(shù)據(jù)中心內(nèi)各服務器 hypervisor 中已存在的虛擬交換機。NSX 會協(xié)調(diào)這些虛擬交換機及推送給交換機的網(wǎng)絡服務，以便連接的虛擬機高效地提供一個用于創(chuàng)建虛擬網(wǎng)絡的平臺，即“網(wǎng)絡 hypervisor”。

　　與虛擬機充當軟件容器向應用提供邏輯計算服務的情況類似，虛擬網(wǎng)絡也可用作軟件容器向連接的工作負載提供邏輯網(wǎng)絡服務，如邏輯交換機、邏輯路由器、邏輯防火墻、邏輯負載均衡器、邏輯 VPN 等。這些網(wǎng)絡和安全服務以軟件形式提供，而且只需從底層物理網(wǎng)絡轉(zhuǎn)發(fā) IP 數(shù)據(jù)包。

　　圖 3：可利用云計算管理平臺（CMP）對虛擬網(wǎng)絡進行調(diào)配，該平臺使用 NSX Controller 公開的 RESTful API，請求針對相應工作負載將虛擬網(wǎng)絡和安全服務實例化

　�。ú襟E 1）。Controller 隨后會向相應的虛擬交換機分發(fā)必要的服務，并以邏輯方式將 這些服務附加至相應的工作負載（步驟 2）。

　　此方法不僅允許不同虛擬網(wǎng)同一 hypervisor 上的不同工作負載相關聯(lián)，還支持創(chuàng)建從基礎虛擬網(wǎng)絡（包含至少兩個節(jié)點）到極為高級的架構(gòu)（與用于交付多層應用的復雜多分段網(wǎng)絡拓撲匹配）的所有內(nèi)容。

　　圖 4a 和 4b：對于連接的工作負載而言，虛擬網(wǎng)絡在外觀和操作方面都與傳統(tǒng)物理網(wǎng)絡類似。工作負載會“看到”與傳統(tǒng)物理配置中相同的第 2 層、第 3 層及第 4-7 層網(wǎng)絡服務。只是這些網(wǎng)絡服務現(xiàn)為分布式軟件模塊（運行于本地主機上的 hypervisor）的邏輯實例，并應用于虛擬交換機的虛擬接口。

　　圖 5a 和 5b：在虛擬交換機虛擬接口應用 / 強制實施安全服務的能力還可消除“發(fā)夾式”傳輸，這是傳統(tǒng)物理網(wǎng)絡體系結(jié)構(gòu)中一項令人失望的“功能”，在該體系結(jié)構(gòu)中，東西向通信流量（例如，位于同一 hypervisor，但位于不同子網(wǎng)的兩臺虛擬機之間的流量）需要流經(jīng)網(wǎng)絡才能到達路由、防火墻等基本服務。借助 NSX，此類效率低下的流量模式（往往會導致核心鏈接超額訂購）將不復存在。

　　NSX 能夠同時向 IT 和大規(guī)模業(yè)務提供價值，這要得益于多項主要的功能和特征。其中就包括與現(xiàn)有網(wǎng)絡基礎架構(gòu)配合使用、支持逐步采用網(wǎng)絡虛擬化，以及顯著降低網(wǎng)絡復雜性的能力。

　　簡單而言，NSX 可與以下各項配合使用 :

　　NSX 網(wǎng)絡虛擬化并非一種“無所不能抑或一無是處”的方案。因為使用 NSX 虛擬網(wǎng)絡無需對底層物理網(wǎng)絡的配置進行更改（只需允許封裝數(shù)據(jù)包通過現(xiàn)有防火墻），它們能夠以透明方式與當前物理網(wǎng)絡上的現(xiàn)有應用部署共存。IT 部門可以靈活地對網(wǎng)絡的各個部分進行虛擬化，只需向 NSX 平臺添加 hypervisor 節(jié)點。此外，對于能夠?qū)崿F(xiàn)虛擬網(wǎng)絡與物理網(wǎng)絡無縫互連的網(wǎng)關而言，您可以從 VMware 獲得軟件式網(wǎng)關，也可以從多家 NSX 合作伙伴的架頂式交換機硬件獲得硬件網(wǎng)關。例如，可使用這些網(wǎng)關來支持連接到虛擬網(wǎng)絡的工作負載進行 Internet 訪問，或者將舊式 VLAN 和裸機工作負載直接連接到虛擬網(wǎng)絡。

　　NSX 將虛擬網(wǎng)絡從底層物理網(wǎng)絡抽取出來，從而提高了自動化水平。操作員無需與物理網(wǎng)絡進行交互，因而避免了各個平臺之間的不一致問題。操作員也無需處理 VLAN、ACL、生成樹、一系列復雜的防火墻規(guī)則以及復雜的“發(fā)夾式”流量傳輸模式，因為對網(wǎng)絡進行虛擬化后就無需再使用這些內(nèi)容。NSX 網(wǎng)絡虛擬化并非一種“無所不能抑或一無是處”的方案。隨著各個組織逐步擴大對 NSX 虛擬網(wǎng)絡的采用，他們可以不斷精簡物理網(wǎng)絡的配置和設計。局限于一家供應商的情況已不復存在，因為物理網(wǎng)絡只需提供可靠的高速數(shù)據(jù)包轉(zhuǎn)發(fā)，然后就可以混搭來自不同產(chǎn)品線和供應商的硬件。

　　默認情況下，每個虛擬網(wǎng)絡在自己的地址空間內(nèi)運行，因此它在本質(zhì)上與所有其他虛擬網(wǎng)絡和底層物理網(wǎng)絡相隔離。此方法有效實現(xiàn)了“權(quán)限盡可能少”原則，且無需物理子網(wǎng)、 VLAN、ACL 或防火墻規(guī)則。借助這種方法，還可以讓單獨的開發(fā)、測試和生產(chǎn)虛擬網(wǎng)絡（每個網(wǎng)絡使用不同的應用版本，但使用同一個 IP 地址）在同一底層物理基礎架構(gòu)上同時運行。此外，NSX 虛擬網(wǎng)絡可輕松支持多層網(wǎng)絡環(huán)境。 例如，多個第 2 層網(wǎng)段、第 3 層網(wǎng)段和 / 或單個第 2 層網(wǎng)段上的微分段（使用分布式防火墻規(guī)則）可以按任意組合實施，以對 n 層 Web 應用的不同組件之間的流量進行有效分段。

　　最終結(jié)果是，在真實的生產(chǎn) NSX 部署中，單個控制器集群能提供 10,000 多個虛擬網(wǎng)絡，為超過 100,000 臺虛擬機提供支持。

　　采用傳統(tǒng)網(wǎng)絡連接方法的情況下，配置和轉(zhuǎn)發(fā)狀態(tài)信息會分布于大量不同的網(wǎng)絡設備。此情形往往會影響可見性，并且可能會影響相關故障排除工作。相比之下，NSX 在一個位置提供所有網(wǎng)絡連接和服務的一切配置和狀態(tài)信息�？梢暂p松訪問所有 NSX 組件和虛擬網(wǎng)絡要素（邏輯交換機、路由器等）的連接狀態(tài)和日志，以及虛擬網(wǎng)絡拓撲和底層物理網(wǎng)絡之間的對應關系。此外，網(wǎng)絡管理員還可以繼續(xù)利用他們一直使用的所有熟悉的監(jiān)控、管理和分析工具。

　　NSX 極其靈活、高度可延展且受到廣泛支持。借助強大的流量引導功能，可以針對每個應用工作負載，將網(wǎng)絡和安全服務的任意組合按應用策略定義的任意順序鏈接在一起。這種高度的靈活性不僅適用于本機 NSX 服務，也適用于多種兼容的第三方解決方案，包括新一代防火墻、應用交付控制器和防入侵系統(tǒng)的虛擬和物理實例。借助 NSX，網(wǎng)絡和安全團隊能夠在虛擬網(wǎng)絡環(huán)境內(nèi)利用熟悉的產(chǎn)品和技術(shù)，從而提高運維效率并確保服務交付的一致性，同時讓組織可以從對基于硬件的網(wǎng)絡連接和安全解決方案的現(xiàn)有投資中獲得最大價值。合作伙伴推出了一系列與 NSX 兼容的產(chǎn)品，這也表明了業(yè)界對 NSX 的廣泛認可，以及 NSX 網(wǎng)絡虛擬化實現(xiàn)的對新運維模式的支持。

　　現(xiàn)在，多家全球頂級規(guī)模的服務提供商、全球金融和企業(yè)數(shù)據(jù)中心已將 NSX 大規(guī)模部署到整個生產(chǎn)環(huán)境中。AT&T、NTT、Rackspace、eBay 和 PayPal 只是已利用 NSX 對其網(wǎng)絡進行虛擬化的一小部分公司，現(xiàn)已受益于這款變革性解決方案提供的速度和運維效率。典型使用情形包括：

　　最重要的是，NSX 可以將網(wǎng)絡和安全調(diào)配與計算 / 存儲調(diào)配協(xié)調(diào)一致，從而使組織能夠以前所未有的速度開發(fā)、測試和部署新應用。對于許多 NSX 客戶而言，縮短銷售就緒時間帶來了切實的競爭優(yōu)勢，并增加了總收入。

　　傳統(tǒng)網(wǎng)絡過于僵化，其功能的發(fā)展速度也過于緩慢。相比之下，NSX 虛擬網(wǎng)絡可以實時進行重新配置，而且可以在新服務推出后根據(jù)需要插入，而無論服務是虛擬還是物理形式。此外，網(wǎng)絡連接功能現(xiàn)在能夠以軟件發(fā)布周期的速度（數(shù)月）發(fā)展，而不是遵循硬件發(fā)布周期及更新 / 升級速度（數(shù)年）。 該解決方案的其他方面提供了大的靈活性。例如，NSX 虛擬網(wǎng)絡能夠適應重疊的 IP 地址并在分散于各地的數(shù)據(jù)中心之間提供第 2 層鄰接關系，使得組織能夠極其輕松地利用混合云配置（例如，針對云分流 / 突發(fā)）。利用 NSX 網(wǎng)絡虛擬化的軟件定義的數(shù)據(jù)中心體系結(jié)構(gòu)還可讓內(nèi)外部數(shù)據(jù)中心具備不同的物理網(wǎng)絡硬件。這不僅支持輕松集成以進行數(shù)據(jù)中心合并和收購，還支持最廣泛的外部服務提供商選擇。相比之下，HDDC 體系結(jié)構(gòu)需要所有數(shù)據(jù)中心（內(nèi)部或外部）具備相同版本的物理硬件才能交付一致的服務。

　　借助 NSX，工作負載可以在各子網(wǎng)和可用性區(qū)域之間自由移動（或 “vMotion”），而且工作負載的安置也不依賴于指定位置的物理拓撲及物理網(wǎng)絡服務的可用性。從網(wǎng)絡連接角度來看，無論虛擬機所處物理位置如何，它所需要的一切內(nèi)容均通過 NSX 提供。此功能的一項重要優(yōu)勢在于，再也無需在每個應用 / 網(wǎng)絡單元中超額調(diào)配服務器容量。組織可以在任意位置利用可用資源，從而能夠顯著優(yōu)化資源利用率和整合率。

　　NSX 利用多種不同方式提高了網(wǎng)絡安全性。首先，可以更加精細地應用各個策略。規(guī)則并非主要（甚至僅僅）綁定到 IP 地址，而是可以根據(jù)虛擬容器、應用和 Active Directory 身份標識來應用規(guī)則，此外，通過利用虛擬機自檢功能，還支持更多規(guī)則。策略實施日趨動態(tài)化且分布更廣泛，這為網(wǎng)絡安全性方面帶來了另外兩項優(yōu)勢。

　　使用傳統(tǒng)網(wǎng)絡連接方法時，要利用備份站點進行災難恢復就需要在成本和功能之間取得平衡。相對在另一個位置按原樣重現(xiàn)網(wǎng)絡拓撲和服務，大多數(shù)組織都會選擇一款所謂“出色”的解決方案，往往會通過減少主要數(shù)據(jù)中心的功能的方式來折衷實現(xiàn)降低成本的目的。NSX 讓您無需妥協(xié)。借助隨組織的計算和存儲虛擬化解決方案一起運行的 NSX 網(wǎng)絡虛擬化，IT 可以為整個“應用體系結(jié)構(gòu)”創(chuàng)建快照，然后將副本發(fā)送至災難恢復站點，該站點已做好隨時在任何硬件上進行一鍵式恢復的準備，并且所有功能都齊備。

　　NSX 可降低網(wǎng)絡的總體擁有成本（TCO）。NSX 提供了大量降低與網(wǎng)絡連接相關的運營開銷和資金開銷的機會。例如，NSX 具有以下優(yōu)勢：

　　最終，企業(yè)和服務提供商均可在網(wǎng)絡方面節(jié)省一定的周期性和經(jīng)常性成本，即使沒有數(shù)百萬也有數(shù)千美元。

　　作為用于網(wǎng)絡虛擬化的平臺，VMware NSX 將網(wǎng)絡服務與數(shù)據(jù)中心網(wǎng)絡硬件分離，并在軟件中重現(xiàn)和提供這些服務，以便它們按任意組合在所需位置以編程方式進行配置，并且在配置過程中與所服務的工作負載保持同步。通過配合使用熟悉的服務器和存儲虛擬解決方案帶來的功能和優(yōu)勢，這種革命性的網(wǎng)絡連接方法能夠釋放軟件定義的數(shù)據(jù)中心的全部潛力，從而使數(shù)據(jù)中心管理人員能夠?qū)⒚艚菪�、�?jīng)濟性和選擇性提高若干數(shù)量級。此外，通過允許組織充分利用現(xiàn)有物理網(wǎng)絡基礎架構(gòu)和投資，NSX 能夠完成所有這些任務。借助 NSX，組織已擁有當今新一代數(shù)據(jù)中心所需的網(wǎng)絡。