IaaS關鍵實現技術之網路虛擬化

在面向公眾服務的IaaS中，網路虛擬化是必不可少的部分。IaaS網路虛擬化技術分為兩類：一類是以VPN、VLAN等為代表的傳統網路虛擬化技術，主要側重於網路側的虛擬化，例如將多個網路虛擬成一個大的網路（如VPN），或者將一個大的網路虛擬成多個小的網路（如VLAN）；另一類則是以虛擬網路卡和虛擬網橋為代表的、隨著雲端計算的興起而發展的網路虛擬化技術，主要側重於主機內部的網路虛擬化，例如將一塊網路卡虛擬成多塊物理網路卡。除此以外，隨著雲端計算的興起，網路裝置廠商也推出了具備虛擬化功能的網路裝置。

    網路虛擬化概述

網路虛擬化是將多個硬體或軟體網路資源及相關的網路功能整合到一個可用軟體中統一管控的過程，並且對於網路應用而言，該網路環境的實現方式是透明的。該網路環境稱為虛擬網路，形成該虛擬網路的過程稱為網路虛擬化。更具體的，如果一個網路不能透過軟體被統一管理，而需要透過改變物理組網結構才能完成網路環境的改變，則不能被稱作虛擬網路。

在不同的應用場景下，虛擬網路的架構是多種多樣的。例如，對於一個企業內部的私有云環境來說，虛擬機器的使用者一般是企業內部員工，可信度較高，因此對網路安全性的要求相對較低；同時，對虛擬機器的訪問往往是從企業內部網路發起的，虛擬機器也不需要為公網使用者提供服務，因此網路架構的設計可以不考慮或較少考慮公網IP地址的管理問題。相反，如果是為公網使用者提供資料中心業務，對這些問題都必須給予特別的重視。

不同的虛擬網路架構需要相應的技術作為支撐。當前，以VPN、VLAN等為代表的傳統網路虛擬化技術已經非常成熟，而隨著雲端計算的發展，很多新的問題不斷湧現，對網路虛擬化提出了更大的挑戰。對於IaaS服務而言，交付給使用者的不再是物理機而是虛擬機器。虛擬機器的優勢在於其更加靈活、可配置性更好，可以滿足使用者更加動態的需求。因此，網路虛擬化技術也必須跟隨這一腳步，滿足使用者對更加靈活、更加動態的網路結構的需求，同時還必須保證這一靈活性的加入不會降低網路的安全性。

以一個實際應用場景為例：使用者從“雲”中租用了3臺虛擬機器，其中一臺虛擬機器作為前端Web伺服器，另外兩臺虛擬機器作為後端資料庫伺服器；前端Web伺服器擁有兩個IP地址，分別是用於被公網訪客訪問的公網IP地址和用於與後端資料庫伺服器通訊的內網IP地址。因為虛擬機器所在物理機的物理網路配置是相對固定的，所以如何根據使用者需求在這3臺虛擬機器之間構建靈活的虛擬區域網是一個關鍵問題。另外，這3臺虛擬機器可能會和其他虛擬機器共同部署在同一物理機上，如何保證資料不被竊聽、不被偽造成為對網路虛擬化技術提出的新需求。

因此，在雲端計算環境下，網路虛擬化技術需要解決如下問題。

（1）如何實現物理機內部的虛擬網路？

（2）外部網路如何動態調整以適應虛擬機器對網路不斷變化的要求？

（3）如何確保虛擬網路環境的安全性？如何對物理機內、外部的虛擬網路進行統一管理？

這些問題都是在雲端計算環境下產生的新問題，需要在主機網路虛擬化技術、網路交換裝置虛擬化技術和IaaS服務實際運營等各個關鍵技術環節著手解決。