在過去，數據中心內流量轉發很簡單。某個IP會和另外的IP通信。IP地址屬于結點主機或虛擬機，結點之間互相交換信息。IP地址間的通道就是數據中心交換機，以及路由表和橋接表中的條目。

如果工程師需要解決兩個IP結點之間性能低下或奇怪的現象，好的出發點是通過檢查這些表中構建的兩者間路徑。等開銷多路徑和多機鏈路聚合增加了過程的復雜性，但總的來說，運營商可以找出任何數據中心會話經過的確切路徑。

端點之間的流量非常簡單。網絡地址轉換、加密或隧道都很少出現。這類功能往往位于數據中心邊界，與可信的邊界外設備進行通信。需求簡單的時代，業務也很簡單。

現代數據中心

隨著業務需求的改變，現代數據中心看起來有所不同。曾經相對簡單的數據中心現在已成為應用程序運行的統一基礎架構平臺。數據中心作為一個整體運行;它成為了應用程序交付的引擎。

越來越多基礎架構對開發人員和應用程序是透明的。理想的現代基礎設施是開發人員在其上布置應用程序的抽象。資源池是按需分配的，開發人員不用擔心基礎設施。相反基礎設施需要關注應用程序。

現代數據中心同樣還負責以分布式處理方式的安全性，結合協調動態增加與移除工作負載。流量不再被推送到中央物理防火墻來實施安全策略。相反，構建中央安全策略，并將策略管理器安裝到受策略影響的部分主機、虛擬機或容器上。沒有基礎設施檢查點，也沒有某些神秘的路由要求來增強此類策略。

在更高層，我們一直在描述私有云架構。以這種方式抽象物理基礎設施，為更簡單的與公有云協作。因此，混合云架構越來越受歡迎，期望公有云的工作負載與私有云一樣擁有相同的安全性和連接性。

層級

隨著混合云架構成為新的標準，需要著重關注這些趨勢對網絡的影響。數據中心不再像一個IP地址與另一個IP地址通信那樣簡單，路由表和橋接表在出現故障時沒有太大的作用。

提供現代數據中心靈活性的基礎設施機制依賴于復雜的網絡。推動這種復雜性的是工作負載隔離的需求，服務策略實施與安全需求。因此，現代數據中心看起來更像一個多層蛋糕，而不是大量IP地址。

在蛋糕的底部是底層網絡。這個網絡是所有其他網絡的基礎。同樣也是普通網絡工程師看起來最普遍的網絡。當他們查看路由和橋接表，就等于看到了底層網絡——數據中心的基礎。

然而，底層本身不能提供混合云所需的一切。一個日益增長的需求是隔離，稱為多租戶。租戶可以是應用程序、業務單位或客戶。

租戶的流量通過虛擬可擴展LAN(VXLAN)封裝技術與其他流量隔離。來自某個段的流量被封裝在VXLAN包中，在該包裝器通過網絡遞送，并在另一側被解封裝。 VXLAN是第二層——覆蓋在我們的基礎底層之上。

VXLAN不僅提供流量隔離，而且也可以用于路由通過網絡上的特定路徑的流量。假設數據中心需要通過特定防火墻和負載均衡器轉發流量。在現代網絡中，防火墻和負載平衡器可能作為虛擬化網絡功能存在，可能駐留在數據中心的任何地方。要將流量精確地路由到需要去的地方，VXLAN封裝可用于將流量流從設備到設備進行隧道傳輸，直到遍歷所有必需的設備。

防火墻規則在我們的疊加層和底層蛋糕中形成另一層。中央策略管理器給每一臺主機寫入防火墻規則。每個主機最終都有自己的一組規則集，用于控制進出設備的轉發。這被稱為微分段，這是確保可擴展數據中心安全的實用方法。

增加網絡復雜性的另一個問題是容器。容器網絡是一種新興的技術，由命名空間、代理服務器和網絡地址轉換來控制，以使容器能夠相互通信以及與外部負載(另一層)通信。

運營商的煩惱

這種復雜性對網絡運營商是潛在的問題。大多數網絡問題都與連接或性能有關。兩個端點理論上可以連接，但不能是一種問題。而兩個端點能連接，但不能按預期快速通信，是不同的問題。

使用數據包漫步方法排除連接問題。從一個網絡設備到另一個網絡設備，遵循數據包到達其目的地所經的路徑。當實際IP端點(底層)是已知的時，結果是可以直接判斷的。

在現代數據中心中，底層用于傳輸VXLAN或其他覆蓋包。最重要的是，我們添加了防火墻規則，然后也可能添加網絡地址轉換或代理服務;數據包行走變得更加困難并充滿細微差別。為診斷連接問題，運營商需要知道分組容器、虛擬機或裸機主機的源和目的地——管理該分組的防火墻策略、分組封裝與要遵循的服務鏈。

假設運營人員了解應用程序流程，并在平坦、無孤立的IT組織中工作，這并不是那么糟糕。但是，現實并不容易。在橋接和路由表中查找介質訪問控制和IP地址只是更精細的故障排除過程的一部分。事實是，現代基礎設施通常是新興的，運營商可以解決在早前的問題，但無法重現。

性能挑戰更難以診斷。某個指定的會話關聯網絡設備的絕對數量可能涉及虛擬操作系統、軟交換管理程序、虛擬防火墻，機架頂部交換機、核心交換機，然后一直到另一端點。

當某些工作負載在公共云中時，問題變得更加復雜。將基礎設施或平臺作為服務，意味著在故障排除方程式中增加了高延遲與額外隧道，提高了排查難度。

行業反應

我們受限于IP。在受限于IP的同時還需要額外功能，疊加層就出現了。疊加層能夠讓我們引導和隔離流量，而且該功能很重要。有了它，可以將基礎設施作為資源池，隨意添加和減少容量。這也成為我們添加到環境中的又一網絡復雜性問題。

網絡行業以幾種方式承擔了這種復雜性挑戰。第一是接受。如果我們同意復雜性在這里留下來，將提供工具，讓我們發現或可視化網絡上發生了什么。例如，Cisco為運營商提供增強的工具，以解決基于應用為中心的基礎設施端到端連接問題。 VMware最近收購了Arkin，一款可視化工具，它將工作負載與防火墻策略、VXLAN分段關聯，并提供與自然語言搜索引擎配合使用的GUI。

有效故障排除和可視化工具，是現代數據中心平臺中越來越重要的優勢。然而，一些人已經通過創建轉發方案盡可能避免疊加層的出現，來對該復雜性做出反應。

例如，Romana.io開源項目依賴于分層IP尋址方案，結合基于主機的防火墻規則來創建分段和中央安全策略。開源項目Calico類似。 Romana.io和Project Calico都關注于提供可擴展到大型數據中心的轉發方案，同時仍然可以處理安全和分段需求，而且它們沒有疊加。

最大的問題也許不是如何處理網絡的復雜性，而是關于人們支持的哪種解決方案。有一個觀點，自動化將減少IT員工的數量。作為一名二十年IT基礎設施老兵，我不這樣看。復雜性越大，支持的要求力度也越大。組織不會希望在搞出事情時去抱著供應商的大腿。他們希望有專業人士知道系統哪里除了問題，并隨時準備進行修復。