服務器虛擬化改變了IT運營方式，隨著越來越多的網絡被虛擬化，現在數據中心正在面臨另一種變革技術。引入網絡功能虛擬化(NFV)，單個物理主機能夠承載一個多層應用，甚至沒有網絡流量穿越物理網絡。網絡功能虛擬化使虛擬化網絡設備或網絡功能成為了可能，用戶能夠因網絡虛擬化所具備的眾多優勢而獲益。

NFV的基礎是虛擬交換機，這和服務器虛擬化一樣古老，最基本的形式是為運行在單臺物理主機之上的虛擬機提供二層連接。經過幾年的發展，虛擬化廠商已經給虛擬交換機增加了新功能。

從邏輯角度看，虛擬交換機提供了許多與傳統架頂交換機相同的功能?，F在，一臺虛擬交換機配置幾個VLAN是很常見的。虛擬機通過虛擬交換機進行通信是網絡虛擬化的一個基本示例。

同時，VLAN之間的流量是通過虛擬交換機與物理網絡之間的trunk提供的。流量流經主機服務器的物理端口。物理服務器端口實際上是作為虛擬交換機的上聯端口。如果兩臺虛擬機在同一臺物理主機上運行，但位于不同的VLAN中，那么這兩臺虛擬機通信的話，流量需要經過物理網絡。這時，防火墻用于過濾兩臺主機之間的流量。

引入NFV使網絡虛擬化更上一層樓。一個簡單的例子就是虛擬防火墻。2層防火墻一直在標準的x86物理硬件上運行。和任何其他的x86工作負載一樣，防火墻可以作為一臺虛擬設備進行交付?，F在考慮剛才提到的位于不同VLAN中的兩臺虛擬機需要彼此通信，在每個VLAN中增加一個虛擬防火墻并連接一個虛擬端口使得虛擬機通信不需要借助物理主機成為了可能。。

流量仍舊位于物理主機內部，結果就是物理網絡無法感知虛擬機之間的通信。在單臺主機內，我們已經建立了一個虛擬網絡，該虛擬網絡同樣擴展到了物理主機。

大多數服務器虛擬化平臺引入了分布式交換機概念，分布式虛擬交換機是一個跨越多臺主機的虛擬交換機。集中控制器作為分布式交換機的控制與數據層。

在VMware中，控制器是vCenter。在KVM以及XenServer中，控制器是開放的vSwitch數據庫。在物理環境中，分布式交換機可與堆疊交換機架構相媲美。每臺物理主機上的交換模塊是集中管理的分布式虛擬交換機的一個組件。

物理網絡參與hypervisor之間的網絡流量交換。不需要物理網絡參加虛擬機之間的流量交換。分布式虛擬交換機在底層物理網絡之上形成了一個邏輯網絡層。獨立的NFV設備運行在網絡層之上。

以二層應用為例，虛擬防火墻能夠位于一臺主機之上而虛擬機能夠位于另一臺主機之上。虛擬機之間的路由及流量過濾實際上是底層主機之間的數據包交換。

使用網絡虛擬化，我們在hypervisor內重建了抽象的物理網絡。隨之即來的問題是：目的是什么呢?

網絡虛擬化的技術優勢很多。網絡虛擬化考慮了應用及工作負載的可移動性。2層域很輕松地擴展到了數據中心之間、平臺之間比如公有云以及內部基礎設施。然而大多數特性可以通過使用額外的網絡技術實現。一個例外便是使用網絡分割虛擬工作負載。

網絡虛擬化優勢最引人矚目的技術用例之一一直是能夠進行網絡分割。網絡分割在某些時候指的是微分割，這樣企業就能夠在工作負載之間創建細粒度的規則。與傳統的基于IP分段創建規則的3層防火墻不同，網絡分割允許在虛擬機這一層級過濾規則—與IP分段無關。虛擬機這一層級的分割考慮到了零信任策略的實施。

零信任安全性用例

零信任策略沒有假定一個節點因為共享一個網絡分段就接收隱式的信任關系。在網絡層控制安全性需要一臺能夠檢測所有2層流量的安全設備。使用物理設備進行上述過濾有些不切實際。由于虛擬交換機位于hypervisor內核內部，在hypervisor級進行過濾的CPU成本與使用物理設備執行相同檢測的成本相比，幾乎可以忽略不計。在虛擬網絡中擴展零信任安全性符合實際情況。

當將網絡控制器的概念與網絡虛擬化結合在一起時，技術路線圖將更加有趣。將控制面板以及數據面板從物理網絡中抽象出來，企業就能夠支持真正的敏捷環境。考慮到網絡是一個疊加，它能夠運行在任何網絡之上，包括公有云供應商。

部署混合云存在的挑戰之一是二層網絡域及安全性的分離。例如，亞馬遜AWS使用IP 表管理實例之間的零信任。管理員必須管理兩個獨立的防火墻策略才能夠允許流量從內部計算機流向運行在AWS內的計算機。使用網絡虛擬化，可以通過單個網絡控制器管理策略，網絡控制器從CMP或網絡管理系統接收策略。

VMware的NSX是在網絡以及x86虛擬堆棧之間提供令人興奮的整合產品的示例。NSX防火墻能夠管理基于虛擬機的零信任策略。由于防火墻規則以及虛擬機都是vCenter內的對象，所以策略能夠與虛擬機共存亡。融合管理是一個功能強大的抽象化。

不得不忍受防火墻規則審計的企業將會對短暫的NSX防火墻規則感興趣。例如，一個防火墻規則允許兩臺虛擬機之間通過HTTP流量。如果vCenter中的一臺虛擬機被刪除了，那么防火墻規則就被刪除了。防火墻規則抽象簡化了安全性審計。

多數企業還沒有做好將整個基礎設施轉換為應用開發及基礎設施管理組合模型的準備。網絡虛擬化的優勢之一是其允許逐步部署，而不僅僅是簡單地直接交鑰匙。

典型應用將是由云管理技術比如OpenStack運行的基礎設施被隔離的部分。底層的技術設施可以是通過運行OpenDayLight的白盒交換機互聯的所有hypervisor。當需要運行更多的應用時，可以增加其他的hypervisor或者通過公有云供應商擴展基礎設施。對開發人員來說所有的都是虛擬基礎設施，沒有任何關系。

網絡虛擬化的復雜性

網絡虛擬化并非不存在挑戰。盡管網絡控制器技術已經改進，但管理虛擬網絡仍舊是一個令人沮喪的命題。某些問題加劇源自網絡控制器自身不成熟;某些問題源自物理網絡與虛擬網絡之間缺少可見性。

管理虛擬與物理網絡并沒有什么標準。如果你需要強大的數據管理功能，那么最好采用來自Cisco、Juniper或Brocade的集成管理工具。然而這違反了有一個網絡層獨立于物理網絡的初衷。

第二個挑戰是將虛擬網絡的靈活性擴展至物理網絡。諸如網絡分割特性只有在流量流經hypervisor時才是有用的。如果通信發生在兩臺物理主機之間，那么零信任策略必須通過獨立于虛擬網絡的物理組件實現。這變得難以維護，而且與在內部以及公有云資源之間維護安全域的挑戰相類似。

與服務器虛擬化的效果類似，網絡虛擬化有顯著改變數據中心網絡的潛能。但采用SDN需要全新的思考，SDN被視作是破壞了傳統的IT實踐。對已經大部分實現了虛擬化并尋求部署云或Platform 3.0應用的組織來說，網絡虛擬化具有重大價值。對傳統的企業應用來說，除了針對虛擬機實現了網絡分割，網絡虛擬化的優勢幾乎可以忽略不計。