云计算与大数据技术 课件 第4章 网络虚拟化

网络虚拟化--网络虚拟化概述网络虚拟化网络虚拟化网络虚拟化主要用在提供云服务的网络中。在大规模的云计算环境，集群中物理服务器上运行多个虚拟机，每个虚拟机都有自己的独立虚拟网卡，需要通过网络虚拟化解决虚拟机之间的通信、虚拟机和外网的通信等问题。网络虚拟化网络虚拟化同时集群中的大规模虚拟机迁移是常见事情，通过虚拟机迁移提高资源利用率和容错性、Overlay技术是在网络层实现二层网络，多个物理机之间只要网络层可达就能组建虚拟的局域网，Overlay为虚拟机在数据中心任意网络位置之间无感知迁移迁移提供了非常好的基础。网络虚拟化常见的网络虚拟化

（1）VLAN（VirtualLocalAreaNetwork-虚拟局域网）是一种将局域网内的设备从逻辑上划分成一个个网段，从而实现虚拟工作组的数据交换技术。划分的逻辑组与物理位置无关，这些逻辑组具有某些共同需求。网络虚拟化VLAN（VirtualLocalAreaNetwork-虚拟局域网）网络虚拟化SDN（软件定义网络）

软件定义网络（Software Defined Network，SDN）是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构，是网络虚拟化的一种实现方式。

其核心技术OpenFlow通过将网络设备的控制面与数据转发面分离开来，从而实现了网络流量的灵活控制，进一步对网络进行抽象，摆脱了传统局域网的局限性，拥有更好的网络扩展性，为核心网络及应用的创新提供了良好的平台。网络虚拟化虚拟化中物理网络网络虚拟化虚拟化中的虚拟网络虚拟网络架构网络虚拟化虚拟交换机网络虚拟化虚拟交换机实现方式

基于服务器CPU虚拟交换机网络虚拟化基于物理网卡虚拟交换机网络虚拟化基于物理交换机某些物理交换机可通过特殊协议，感知虚拟机的存在，在交换机层实现虚拟交换。网络虚拟化开源虚拟交换机OpenvSwitch（简称OvS）是一款开源的、高质量的、支持多层协议的虚拟交换机，广泛应用在云计算行业，为网络管理员提供虚拟云主机之间和之内的流量可见性与可控性。网络虚拟化OpenvSwitch集群网络网络虚拟化分布式虚拟交换机分布式虚拟交换机分布在不同的物理主机上，通过虚拟化管理工具，可以对分布式虚拟交换机进行统一地配置。虚拟机能够进行热迁移的条件之一就是要有分布式虚拟交换机。网络虚拟化分布式虚拟交换机网络虚拟化—云计算与网络虚拟化云计算与网络虚拟化云计算与网络虚拟化云计算就是通过网络虚拟化技术为每个租户提供一个甚至多个虚拟网络，不局限于物理数据中心网络拓扑，在虚拟网络中还有虚拟防火墙、虚拟负载均衡、虚拟路由等。云计算与网络虚拟化网络虚拟化云计算与网络虚拟化软件定义网络（SoftwareDefinedNetwork，缩写为SDN）网络功能虚拟化（NetworkFunctionVirtualization，缩写为NFV）Overlay（叠加网络、覆盖网络）技术云计算与网络虚拟化云计算就是通过网络虚拟化技术为每个租户提供一个至多个虚拟网络，不局限于物理数据中心网络拓扑，在虚拟网络中还有虚拟防火墙、虚拟负载均衡、虚拟路由等等。网络虚拟化是一种网络技术，可以在物理拓扑上创建虚拟网络。基于SDN的网络架构可以更容易地实现网络虚拟化。云计算与网络虚拟化网络功能虚拟化（NFV）

网络功能虚拟化（NetworkFunctionVirtualization，缩写为NFV）就是将网络中的专用设备的软硬件功能转移到虚拟主机(VM，VirtualMachines)上，提供了一种设计、部署和管理网络服务的全新方式，NFV将网络功能如网络地址转换（NAT）、防火墙、入侵检测、域名服务和缓存等功能从专有硬件中分离出来，并通过软件加以实现。云计算与网络虚拟化Overlay

Overlay（叠加网络、覆盖网络）是通过在现有网络上叠加一个虚拟的逻辑网络，让原有网络尽量不做改造，通过定义的逻辑网络来实现业务逻辑，解决原有数据中心的网络问题。

云计算与网络虚拟化SDN与NFV的关系

SDN与NFV的结合可为用户提供最优的解决方案。昂贵的专业设备被通用硬件和高级软件替代，软件控制平面被转移到了更优化的位置，数据平面的控制则被从专有设备上提取出来并标准化，让网络与应用的革新无需升级网络硬件设备。

NFV是将网络设备上的各类功能“通用化”。

云计算与网络虚拟化SDN与NFV的关系云计算与网络虚拟化Overlay技术

Overlay技术通过在现有物理网络（Underlay网络）上叠加一个虚拟的逻辑网络，让原有网络尽量不做改造，通过定义的逻辑网络来实现业务逻辑，解决原有数据中心的网络问题。只要网络支持IP路由可达就可以部署Overlay网络。采用Overlay技术后，不用改变原有Underlay网络架构即可用于支撑数据中心新的云计算业务，轻松支撑新型网络架构部署。

云计算与网络虚拟化Overlay技术云计算与网络虚拟化常见的网络虚拟化

网络虚拟化VLAN（VirtualLocalAreaNetwork-虚拟局域网）网络虚拟化—云计算与网络虚拟化软件定义网络（SDN）SDN（SoftwareDefinedNetwork,SDN）通过将传统封闭的网络设备中的数据平面与控制平面分离，实现网络硬件与控制软件（设置系统）分离，制定开放的标准接口，允许网络软件开发者与网络管理员通过编程控制网络，将传统的专用网络设备变为可通过编程定义的标准化通用网络设备。SDN的系统架构

SDN系统架构软件定义网络（SDN）SDN系统架构在数据转发平面，主要集中在交换机处理流程设计与实现、转发规则对交换机流表的高效利用、交换机流表的正确性验证与流表优化等方面。在控制平面，主要集中在单点控制器设计、集群控制器架构、控制器接口标准、控制器部署、分布式控制器系统特性等方面。​在应用平面，主要集中在QoS、负载均衡、流量工程、各种应用场景，以及SDN网络安全性等方面。软件定义网络（SDN）SDN特点（1）控制面和数据转发平面分离（2）控制平面集中化（3）数据转发平面通用化（4）控制器软件可编程OpenFlow协议OpenFlow

OpenFlow是一种网络通信协议，应用于SDN架构中控制器和转发器之间的通信。属于数据链路层，能够控制网上交换器或路由器的数据转发平面（ForwardingPlane），借此改变网上数据包所经过的网上路径。OpenFlow协议OpenFlow协议

软件定义网络SDN的一个核心思想就是“转发、控制分离”，要实现转、控分离，就需要在控制器与转发器之间建立一个通信接口标准，允许控制器直接访问和控制转发器的转发平面。OpenFlow协议OpenFlow协议OpenFlow协议架构OpenFlow协议架构

整个OpenFlow协议架构由控制器（Controller）、OpenFlow交换机（OpenFlowSwitch）、以及安全通道（SecureChannel）组成。OpenFlow协议架构OpenFlow协议架构OpenFlow控制器（OpenFlowController）位于SDN架构中的控制层，是SDN的“中枢”。Controller上运行的各种网络应用，均被转换成OpenFlow“指令集”下发，从而易于实现标准化的模式。OpenFlow交换机（OpenFlowSwitch)由硬件平面上的FlowTable和软件平面上的安全通道组成。OpenFlow协议架构OpenFlow协议架构流表（FlowTable）为OpenFlow的关键组成部分，所有的流表指令均被定义成标准规范，通过Controller与代理之间的加密协议可靠传递。FlowTable本身的生成、维护、下发完全由外置的Controller来实现，实现控制平面对转发平面的控制。安全通道（SecureChannel）就是连接OpenFlow交换机与控制器的信道，负责在OpenFlow交换机和控制器之间建立安全链接。控制器通过这个通道来控制和管理交换机，同时接收来自交换机的反馈。网络虚拟化—网络功能虚拟化网络功能虚拟化网络功能虚拟化

网络功能虚拟化（NetworkFunctionVirtualization，缩写为NFV）就是将网络中的专用设备的软硬件功能转移到虚拟主机(VM，VirtualMachines)上，提供了一种设计、部署和管理网络服务的全新方式，NFV将网络功能如网络地址转换（NAT）、防火墙、入侵检测、域名服务和缓存等功能从专有硬件中分离出来，并通过软件加以实现。网络功能虚拟化网络功能虚拟化

随着设备的控制平面与数据平面（具体物理设备）的分离，不同设备的控制平面基于虚拟机，虚拟机基于云操作系统，这样当企业需要部署新业务时只需要在开放的虚拟机平台上创建相应的虚机，然后在虚拟机上安装相应功能的软件包即可，这种方式就叫做网络功能虚拟化。网络功能虚拟化网络功能虚拟化架构VNF（VirtualizationNetworkFunction）通常是指路由器、防火墙、负载均衡等网络设备的软件化。网络功能虚拟化网络功能虚拟化架构（1）虚拟网络功能（VNF）是提供网络功能（例如文件共享、目录服务和IP配置）的软件应用。（2）网络功能虚拟化基础架构（NFVI）包含了平台上的基础架构组件（计算、存储、联网），从而支持运行网络应用所需的软件（例如像KVM这样的虚拟机监控程序）或容器管理平台。（3）管理自动化和网络编排（MANO）提供了用于管理NFV基础架构和置备新VNF的框架。网络功能虚拟化网络功能虚拟化管理和编排由于NFV需要大量的虚拟化资源，因此需要高度的软件管理，业界称之为编排。NFVMANO（网络功能虚拟化管理和编排）是用于管理和协调虚拟化网络功能（VNF）和其他软件组件的架构框架。NFVMANO有三个主要功能块：NFV编排器，VNF管理器和虚拟基础设施管理器（VIM）网络虚拟化—Overlay技术Overlay技术Overlay

Overlay（叠加网络、覆盖网络）技术指的是一种网络架构上叠加的虚拟化技术模式，是通过在现有物理网络（Underlay网络）上叠加一个虚拟的逻辑网络，让原有网络尽量不做改造，通过定义的逻辑网络来实现业务逻辑，解决原有数据中心的网络问题。Overlay技术

OverlayOverlay技术Overlay

Overlay是一种隧道封装技术，将二层网络封装在三层/四层报文中进行传递，提供了一种解决数据平面转发和多租户隔离的技术手段。

相当于直接在源网络和目标网络之间直接拉了一根“光纤”。不过，现有的这些隧道技术都是点到点的隧道协议，只能点对点建立隧道。隧道是一种机制，可以通过不兼容的传送网络传输有效载荷（Payload）。Overlay网络Overlay网络

一个Overlay网络主要由三部分组成：边缘设备、控制平面和转发平面。

边缘设备是指与虚拟机直接相连的设备，控制平面主要负责虚拟隧道的建立维护以及主机可达性信息的通告，转发平面是承载Overlay报文的物理网络。Overlay构建Overlay构建

Overlay网络可以分为网络Overlay，主机Overlay和混合式Overlay三大技术。采用三大Overlay技术，可实现数据中心上云计算应用大规模部署，是新一代数据中心网络发展的主要方向。网络Overlay网络Overlay

网络Overlay指的是隧道封装在物理交换机上完成，通过控制协议对边缘的网络设备完成网络构建和扩展。网络Overlay的技术标准是VXLAN。主机Overlay主机Overlay

主机Overlay指的是隧道封装在服务器的vSwitch上完成，不用增加新的网络设备即可完成Overlay部署，可以支持虚拟化的服务器之间组网互通。混合Overlay混合Overlay混合Overlay指的是采用网络Overlay和主机Overlay的混合组网，可以支持物理服务器和虚拟服务器之间的组网互通。

Overlay主要技术标准Overlay主要技术标准当前主流的Overlay技术标准主要有VXLAN，NVGRE和STT，这三种二层Overlay技术，整体思路均是将以太网报文承载到某种隧道层面，不同地方在于选择和构造隧道的不同，而底层均是IP转发。VXLANVXLAN

VXLAN（VirtualeXtensibleLAN）是将以太网报文封装在UDP传输层上的一种隧道转发模式。它利用现有通用的UDP传输，对传输层无修改，使用标准的UDP传输流量（STT需要修改TCP）。VXLANVXLAN

VXLANVXLAN

VXLAN标准应用于数据中心内部，使虚拟机可以在互相连通的三层网络范围内迁移，而不需要改变IP地址和MAC地址，保证业务的连续性。VXLANVXLAN

VXLAN采用24bit的网络标识，使用户可以创建16M（2^24)相互隔离的虚拟网络，突破了目前广泛采用的VLAN所能表示的4K（4094）个隔离网络的限制，这使得大规模多租户的云环境中具有了充足的虚拟网络分区资源。VXLANVXLAN

VXLAN还支持隔离，每个租户一个VNID(VXLANNetworkIdentifier，虚拟可扩展局域网网络标识符)，属于不同VNID的虚拟机之间不能直接进行二层通信。VNID是24位的，这比VLAN的12位扩展了很多，它能提供一个跨数据中心的大二层。

VXLANVXLAN

网络虚拟化—网络切片网络切片网络切片

网络切片（NetworkSlicing）是将一个物理网络切割成（划分）为多个逻辑独立的虚拟网络，每个虚拟网络具备不同的功能特点，可以灵活的应对不同的需求和服务，这些虚拟网络相互隔离，逻辑独立，任何一个虚拟网络发生故障都不会影响到其它虚拟网络。。网络切片的应用网络切片的应用

网络切片是一种新型网络架构，在同一个共享的网络基础设施上提供多个逻辑网络，每一个虚拟网络对应不同的应用场景，从而满足不同的需求。每个网络切片都可以灵活定义自己的逻辑拓扑、SLA需求、可靠性和安全等级，以满足不同业务、行业或用户的差异化需求。网络切片网络切片网络切片网络切片运营商网