使用网络虚拟化，我们在hypervisor内重建了抽象的物理网络。随之即来的问题是：目的是什么呢？

网络虚拟化的技术优势很多。网络虚拟化考虑了应用及工作负载的可移动性。2层域很轻松地扩展到了数据中心之间、平台之间比如公有云以及内部基础设施。然而大多数特性可以通过使用额外的网络技术实现。一个例外便是使用网络分割虚拟工作负载。

网络虚拟化优势最引人瞩目的技术用例之一一直是能够进行网络分割。网络分割在某些时候指的是微分割，这样企业就能够在工作负载之间创建细粒度的规则。与传统的基于IP分段创建规则的3层防火墙不同，网络分割允许在虚拟机这一层级过滤规则—与IP分段无关。虚拟机这一层级的分割考虑到了零信任策略的实施。

　　零信任安全性用例

零信任策略没有假定一个节点因为共享一个网络分段就接收隐式的信任关系。在网络层控制安全性需要一台能够检测所有2层流量的安全设备。使用物理设备进行上述过滤有些不切实际。由于虚拟交换机位于hypervisor内核内部，在hypervisor级进行过滤的CPU成本与使用物理设备执行相同检测的成本相比，几乎可以忽略不计。在虚拟网络中扩展零信任安全性符合实际情况。

当将网络控制器的概念与网络虚拟化结合在一起时，技术路线图将更加有趣。将控制面板以及数据面板从物理网络中抽象出来，企业就能够支持真正的敏捷环境。考虑到网络是一个叠加，它能够运行在任何网络之上，包括公有云供应商。

部署混合云存在的挑战之一是二层网络域及安全性的分离。例如，亚马逊AWS使用IP 表管理实例之间的零信任。管理员必须管理两个独立的防火墙策略才能够允许流量从内部计算机流向运行在AWS内的计算机。使用网络虚拟化，可以通过单个网络控制器管理策略，网络控制器从CMP或网络管理系统接收策略。

VMware的NSX是在网络以及x86虚拟堆栈之间提供令人兴奋的整合产品的示例。NSX防火墙能够管理基于虚拟机的零信任策略。由于防火墙规则以及虚拟机都是vCenter内的对象，所以策略能够与虚拟机共存亡。融合管理是一个功能强大的抽象化。

不得不忍受防火墙规则审计的企业将会对短暂的NSX防火墙规则感兴趣。例如，一个防火墙规则允许两台虚拟机之间通过HTTP流量。如果vCenter中的一台虚拟机被删除了，那么防火墙规则就被删除了。防火墙规则抽象简化了安全性审计。

多数企业还没有做好将整个基础设施转换为应用开发及基础设施管理组合模型的准备。网络虚拟化的优势之一是其允许逐步部署，而不仅仅是简单地直接交钥匙。

典型应用将是由云管理技术比如OpenStack运行的基础设施被隔离的部分。底层的技术设施可以是通过运行OpenDayLight的白盒交换机互联的所有hypervisor。当需要运行更多的应用时，可以增加其他的hypervisor或者通过公有云供应商扩展基础设施。对开发人员来说所有的都是虚拟基础设施，没有任何关系。

　　网络虚拟化的复杂性

网络虚拟化并非不存在挑战。尽管网络控制器技术已经改进，但管理虚拟网络仍旧是一个令人沮丧的命题。某些问题加剧源自网络控制器自身不成熟；某些问题源自物理网络与虚拟网络之间缺少可见性。

管理虚拟与物理网络并没有什么标准。如果你需要强大的数据管理功能，那么最好采用来自Cisco、Juniper或Brocade的集成管理工具。然而这违反了有一个网络层独立于物理网络的初衷。

第二个挑战是将虚拟网络的灵活性扩展至物理网络。诸如网络分割特性只有在流量流经hypervisor时才是有用的。如果通信发生在两台物理主机之间，那么零信任策略必须通过独立于虚拟网络的物理组件实现。这变得难以维护，而且与在内部以及公有云资源之间维护安全域的挑战相类似。

与服务器虚拟化的效果类似，网络虚拟化有显著改变数据中心网络的潜能。但采用SDN需要全新的思考，SDN被视作是破坏了传统的IT实践。对已经大部分实现了虚拟化并寻求部署云或Platform 3.0应用的组织来说，网络虚拟化具有重大价值。对传统的企业应用来说，除了针对虚拟机实现了网络分割，网络虚拟化的优势几乎可以忽略不计。

(责任编辑：安博涛)