【​观察】软件定义网络的新时代 VMware NSX的进化与迭代

毫无疑问，过去两年随着云计算的不断深入落地，传统数据中心加速云化已成为大势所趋。作为推动这一变革的重要力量，VMware这家公司也加快了重塑和重新定义基础设施市场的脚步。

其中，在数据中心网络市场，VMware NSX通过自我的不断创新和迭代，帮助了众多行业客户彻底摆脱了既不灵活、也不安全的传统网络架构体系，真正加速了数据中心网络的价值向虚拟化和软件定义的方向转移。

不仅如此，随着越来越多开发者使用容器，而且在公有云中运行的工作负载比例也不断攀升，VMware NSX 也正在进行扩展，以便在这些环境中以原生的方式提供全方位的网络和安全服务。

正如VMware首席执行官帕特·基辛格所言：“VMware NSX是软件定义数据中心的实际网络，以及VMware Cloud Foundation、VMware Cloud on AWS和多项VMware Cloud服务的关键组成部分。”

由此可见，VMware NSX不但肩负着VMware向全面云化转型的重任，同时也担当着打破传统网络旧时代，迎接软件定义网络新时代的新使命。

软件定义网络的新时代

众所周知，在不断演进而且越来越复杂的数据中心和云的构建和管理方面，我们都希望在网络层能够“抽丝剥茧”解决相应的问题，让数据中心网络真正实现敏捷、智能及安全，并能配合软件应用持续迭代、快速发展，从而应对当前和未来未知的挑战。

在SDxCentral此前发布的《2017年度网络虚拟化报告》中，可以看到客户对数据中心网络提出了越来越高的要求，我们可以从三个层面来做观察：

首先，从客户需求看，数据中心网络的可扩展性高居第一，然后依次是开放性/互操作性、易实现、性能，此外，云管平台的集成、丰富的L2/L3特性以及支持特殊Hypervisor、丰富的L4/L7特性成为了新的需求。

换句话说，用户希望从接入层的虚拟化乃至全网的虚拟化，都能有效的实现网络资源的池化，从而消除硬件层面带来的差异性，真正让不同网络产品的数据中心相互打通，从而实现灾备、多活数据中心或混合云的构建。

其次，从安全角度看，传统数据中心网络安全手段往往存在不少的问题，比如过于强调网关设备的安全，将安全和网络分离，单纯通过网关的保护来保护网络;网络里部署的多台安全设备，都是单点作战，没有形成联动，整体安全防御能力较差等等。

因此，将网络安全的功能、接入模式、部署方式进行解耦，底层抽象为安全资源池中的资源，顶层统一通过软件编程方式进行智能化、自动化的编排和管理，实现业务和应用驱动，以适应复杂网络的安全防护也是势在必行。

最后，从发展趋势看，容器和云给数据中心网络也带来了越来越多的新挑战。所以，公有云与私有虚拟网络的一体化集成，以及容器架构下的网络虚拟化，正在成为整个数据中心网络未来的发展趋势。

眼下，市场上出现了很多的容器技术，如Kubernetes、Mesos以及OpenShift等等，他们都希望网络能一如既往地满足其对速度需求。也就是说，容器技术的出现，使得数据中心网络必须进一步完成升级和迭代，以适应新的应用交付新模式。

不难看出，数据中心网络市场正随时代不断演变，这就要求供应商必须提供更有创造力的产品和方案，同时必须紧紧围绕用户最有价值的资产不断创新，以迎接网络虚拟化新时代的真正到来。

六大维度创新引领变革

正是看到这种变化趋势，从2012年开始，VMware NSX就以“独僻蹊径”的方式向数据中心网络市场提供了全软件网络虚拟化的解决方案，从此让客户可以不受网络硬件的限制，并拥有了更大的灵活性和成本优势，进而也引领了整个数据中心网络市场的创新之路。

第一，真正定义了网络虚拟化的落地方式。VMware NSX为虚机提供了虚拟化的网络，把虚机和物理网络相隔离，做到了网络服务与具体的物理网络设备无关，使得用户在网络设备的选择和采购上有着更大的灵活性。

如今，NSX 在虚拟网络上可以提供几乎所有的网络服务，如：路由器、负载均衡、防火墙等，除了这些常规的功能，NSX 还能够提供一些传统物理网络无法实现或实现代价很高的功能，可谓开创了网络虚拟化的新时代。

第二，改变了数据中心网络防火墙的部署方式。VMware NSX通过分布式防火墙来管理数据中心网络中的东西向流量，它的优点是，完全基于软件的虚拟防火墙，可以做到每一台虚机都配备一台防火墙。

此外，虽然VMware NSX的防火墙是分布式的，但是它们的管理是集中的，通过统一的管理界面来管理所有的虚拟防火墙，集中配置所有防火墙的安全规则，所以管理上也很简便。

第三，首次提出了安全“微分段”的新理念，让虚拟网络的安全性得以大大提高。

通过VMware NSX微分段，在数据中心内部对虚机进行隔离，可以把不同业务部门的虚拟服务器分隔在不同的微分段里，在虚拟网络层面上，跨微分段的访问是绝对不可能发生的。此外，在同一微分段内部，VMware NSX还可以根据业务需要在虚机之间设立防火墙，确保虚机之间只有进行必须的网络通信，从而最大限度地提高了虚拟服务器的安全性。

第四，强化了DMZ（Demilitarized Zone，非军事区）的管理能力。通过VMware NSX的分布式防火墙，可以让DMZ 隔离区的配置变得非常灵活。

特别是网络管理员，可以灵活地根据业务需要配置 DMZ 隔离区，DMZ 隔离区也不再需要部署在数据中心防火墙之外，而是可以在数据中心的任何一台安装了 NSX 的服务器上，这就是NSX带来的网络安全另一大便利，真正让“DMZ Anywhere”。

第五、实现了数据中心网络的自动化管理能力。通过部署VMware NSX，所有的网络设备如交换机、路由器、防火墙都可以变成软件定义，只需要调用一条命令来创建一个交换机，或者是修改某个路由器的路由表，而在项目结束之后还可以删除不再需要的网络设备。

更重要的是，上述所做的修改都只是在软件层面上的，而没有对物理设备做出任何改动，完全可以由一个命令脚本来自动完成。除此之外，通过VMware提供的其他自动化工具，如vRealize Automation等，进而也可以实现软件定义数据中心的落地。

第六、降低了数据中心的灾备方案的成本。通过搭建基于 SRM（Site Recovery Manager）和NSX的灾备方案，行业用户可以为受保护的应用提供独立的IP地址空间，应用的IP地址空间可以跟随着应用走，应用迁移到备份站点上，NSX也会自动为应用虚机重建它所运行的IP地址空间。更重要的是，所有的网络配置也会跟随着应用一起迁移到新的网络运行环境中，由此让灾备变得轻松和简单。

综上所述，通过VMware NSX的创新和引领，VMware为客户今后通往软件定义网络的道路，应对数字化转型浪潮，提供更多了的驱动力和想象力。

VMware NSX的进化与迭代

为了应对全面云化以及容器时代的来临，VMware NSX还通过不断的进化与迭代，让云原生应用的网络环境得以进一步向虚拟化和软件定义完成迁移。

这个新的“杀手锏”就是VMware NSX-T，可以说NSX-T是一个可以够为ESXi、KVM、裸机、公有云和容器等众多计算新节点提供网络和安全性虚拟化的平台。

值得一提的是，随着全新的NSX-T 2.1的即将发布，VMware还进一步深化了支持更多应用框架和架构理念的落地。此外，NSX-T 2.1也将能够跨这些新兴应用架构提供与传统3层应用交付的同等高级网络和安全性。

不仅如此，VMware在日前还宣布已签订收购 VeloCloud Networks公司的的最终协议。这是一家面向企业与服务提供商云端交付软件定义广域网（SD-WAN）技术提供商。

可以预期，收购正式完成后，VeloCloud将进一步助力VMware NSX进一步向前迈进，进一步扩展其网络产品组合，以实现从数据中心到云端直至网路边缘的端到端自动化、应用连续性、分支转型与安全性。

数据显示，VMware NSX产品在全球已有2500个用户在使用，其中850个用户将NSX应用于生产环境，此外，在2016年四季度甚至还出现了1000万美金的纯NSX订单。目前，NSX软件的年销售额已经突破了10亿美元，根据业绩增速，NSX未来的销售额或许将远超市场预期。

除此之外，过去三年VMware NSX备受外界认可，其中在2015年SDx central发布的报告中，显示VMware NSX在全球企业部署中排名第一；2016年CRN把VMware NSX评选为年度十个最酷的软件定义网络技术之一；2017年，VMwaer更首次在Gartner 2017年数据中心网络魔力象限报告“远见者”象限中实现登顶。

总的来看，网络正在告别旧时代，正在迎接软件定义的新时代，而借助NSX的生猛发展势头，VMware这一次无疑站在了网络虚拟化变革之路的最前沿。在我看来，在软件定义网络的创新之路上，VMware既是早期的探索者，也是落地的实践者，更是未来的推动者。

申耀的科技观察，由跨界科技媒体人申耀（微信号：shenyao）创办、拥有中美两地10万公里公路自驾经验老斯基，在各大自媒体平台拥有专栏，致力于科技行业的观察和思考，在这里读懂科技行业，知趋势，赢未来！