云網絡目錄網絡虛擬化云網絡的基本概念租戶網絡管理2（1）計算機網絡通俗地講，計算機網絡指的是為多個計算設備提供信息交換支持的系統(tǒng)。因此，它不僅包括底層的物理硬件、通信線路，同時也包括構建在這些硬件基礎設施之上的軟件驅動、協(xié)議抽象、控制與管理服務等。計算機網絡是一個極其復雜的系統(tǒng)，為了解決網絡中信息交換的穩(wěn)定性問題、一致性問題及性能問題，計算機科學家和網絡工程師們做出了巨大的努力。云網絡的基本概念3（2）覆蓋網絡覆蓋網絡（OverlayNetwork）是一種在原有網絡基礎上構建網絡連接抽象及管理的技術。覆蓋網絡中的節(jié)點可以被認為是通過虛擬或邏輯鏈接相連，其中每個鏈接對應一條路徑（Path）。節(jié)點之間也可能通過下、層網絡中的多個物理連接實現(xiàn)相連。例如P2P網絡或Client/Server應用這類分布式系統(tǒng)都可視為覆蓋網絡，因為它們的節(jié)點都運行在因特網之上。覆蓋網絡通常的實現(xiàn)方法是在原有網絡的基礎上構建隧道。目前常用于構建隧道的網絡協(xié)議有GRE、VLAN、VXLAN、NVGRE、IPSEC云網絡的基本概念4（2）覆蓋網絡1)GRE通用路由封裝協(xié)議（GRE）是一種對不同網絡層協(xié)議數(shù)據(jù)包進行封裝，通過IP路由的隧道協(xié)議，其標準定義于RFC2784中。GRE是作為隧道工具開發(fā)的，旨在通過IP網絡傳輸任意的OSI模型第3層協(xié)議。GRE的實質是創(chuàng)建一個類似于虛擬專用網絡（VPN）的專用點對點網絡連接。云網絡的基本概念5（2）覆蓋網絡1)GREGRE隧道的優(yōu)勢有以下幾點。GRE隧道通過單協(xié)議骨干網封裝多種協(xié)議；GRE隧道為有限跳數(shù)的網絡提供解決法；GRE隧道連接不連續(xù)的子網絡；GRE隧道允許跨越廣域網（WAN）的VPN。雖然GRE提供了無狀態(tài)的專用連接，但它并不是一個安全協(xié)議，因為它不使用RFC2406定義的IPsec協(xié)議封裝加密有效負載（ESP）等加密技術。云網絡的基本概念6（2）覆蓋網絡2)VLAN通用虛擬局域網（VLAN）是一種對局域網（LAN）進行抽象隔離的隧道協(xié)議。VLAN可能包含單個交換機上的端口子集或多個交換機上的端口子集。默認情況下，一個VLAN上的系統(tǒng)不會看到與同一網絡中其他VLAN上的系統(tǒng)關聯(lián)的流量。VLAN允許網絡管理員對其網絡進行分區(qū)，以匹配其系統(tǒng)的功能和安全要求，而無須運行新電纜或對當前網絡基礎架構進行重大更改。IEEE802.1Q是定義VLAN的標準，VLAN標識符或標簽由以太網幀中的12位組成，在局域網上創(chuàng)建了4096個VLAN的固有限制。云網絡的基本概念7（2）覆蓋網絡3)VXLAN虛擬可擴展局域網（VXLAN）是一種封裝協(xié)議。它的提出是為了用于在現(xiàn)有的OSI3層網絡基礎架構上構建覆蓋網絡。VXLAN可以使網絡工程師更輕松地擴展云計算環(huán)境，同時在邏輯上隔離云應用和租戶。對于一個多租戶的網絡環(huán)境，每個租戶都需要自己的邏輯網絡，而這又需要自己的網絡標識。傳統(tǒng)上，網絡工程師使用虛擬局域網（VLAN）在云計算環(huán)境中隔離應用程序和租戶，但VLAN規(guī)范只允許在任何給定時間分配多達4096個網絡ID，這可能不足以滿足大型云計算環(huán)境。云網絡的基本概念8（2）覆蓋網絡4)NVGRE使用通用路由封裝的網絡虛擬化（NVGRE）是一種網絡虛擬化方法，它使用封裝和隧道為子網創(chuàng)建大量虛擬LAN（VLAN），這些子網可以跨分散的數(shù)據(jù)中心和第2層（數(shù)據(jù)鏈路層）和第3層（網絡層）。其目的是啟用可在本地和云環(huán)境中共享的多租戶和負載平衡網絡。云網絡的基本概念9（2）覆蓋網絡4)NVGRENVGRE標準的主要功能包括識別用于解決與多租戶網絡相關問題的24位租戶網絡標識符（TNI），并使用通用路由封裝（GRE）創(chuàng)建可能被限制隔離的虛擬第2層網絡，到單個物理第2層網絡或跨越子網邊界。NVGRE還通過在GRE報頭中插入TNI說明符來隔離各個TNI。云網絡的基本概念10（2）覆蓋網絡5)IPSECIPsec是用于網絡或網絡通信的分組處理層的一組安全協(xié)議的框架，通常和VPN等隧道技術結合進行報文的隱私保護。早期的安全方法已經在通信模型的應用層插入了安全性。IPsec對于實現(xiàn)虛擬專用網絡和通過撥號連接到專用網絡的遠程用戶訪問很有用。IPsec的一大優(yōu)勢是可以在不需要更改個人用戶計算機的情況下處理安全性安排。思科一直是提議IPsec作為標準（或標準和技術的組合）的領導者，并且在其網絡路由器中包含對IPsec的支持。云網絡的基本概念11（2）覆蓋網絡5)IPSECIPsec提供了兩種安全服務選擇：基本上允許數(shù)據(jù)發(fā)送者認證的認證報頭（AH），支持發(fā)送者認證和數(shù)據(jù)加密的封裝安全有效負載（ESP）。IPsec與這些服務中的每一個相關聯(lián)的特定信息被插入IP包頭后的頭中的包中，可以選擇單獨的密鑰協(xié)議，例如ISAKMP/Oakley協(xié)議。云網絡的基本概念12（3）大二層網絡大型IT企業(yè)（如微軟、谷歌、亞馬遜以及百度、阿里、騰訊等）為了滿足各自的業(yè)務需求，都需要在全球范圍的不同地理位置建立數(shù)據(jù)中心來管理它們的計算設備。為了便于管理和進行企業(yè)內部網絡的流量調度，這些分布于不同地理位置的數(shù)據(jù)中心之間往往需要在同一個二層網絡之下，保證它們的流量可以在網絡層以下進行多路徑路由，以及負載均衡等控制。因此，需要在原有數(shù)據(jù)中心網絡互連的基礎上，構建一張可以允許二層協(xié)議通信的覆蓋網絡。在數(shù)據(jù)中心互連領域，通常將這樣的覆蓋網絡稱為大二層網絡。云網絡的基本概念13（4）租戶網絡在云計算服務的供應關系中，接受云服務供應商直接提供服務的客戶被稱為租戶（Tenant）。租戶向云服務供應商租用相應的虛擬化資源，并利用這些虛擬化資源來構建自己的軟件服務，完成自身的業(yè)務需求。這些虛擬化資源除了包括傳統(tǒng)的虛擬機實例作為計算資源，以及網絡磁盤作為存儲資源外，通常也會包括虛擬化的網絡系統(tǒng)，來管理和調度不同虛擬設備之間的通信。這一虛擬化的網絡系統(tǒng)被稱為租戶網絡（TenantNetwork）。云網絡的基本概念14（1）靈活控制：軟件定義網絡（SDN）構成網絡的核心是交換機、路由器以及諸多的網絡中間盒。而這些設備的制造規(guī)范大多為Cisco、Broadcom等通信廠商所壟斷，并不具有開放性與擴展性。因此，長期以來，網絡設備的硬件規(guī)范和軟件規(guī)范都十分閉塞。尤其是對于路由協(xié)議等標準的支持，用戶并沒有主導權。對于新的網絡控制協(xié)議的支持，需要通過用戶與廠商溝通之后，經過長期的生產線流程，才能形成最終可用的產品。盡管對于網絡的自動化管理，已有SNMP等規(guī)范化的協(xié)議來定義，但這些網絡管理協(xié)議并不能直接對網絡設備的行為，尤其是路由轉發(fā)策略等進行控制。為了能夠更快速地改變網絡的行為，軟件定義網絡的理念便應運而生。網絡虛擬化15（2）快速部署：網絡功能虛擬化（NVF）SDN并不會為網絡引入新的網絡功能，SDN的主要功能是解決如何讓網絡的控制邏輯更好地控制網絡中交換機和路由器的行為。而事實上，大多數(shù)企業(yè)網絡的關鍵卻在于豐富而日益增長的網絡功能。傳統(tǒng)的網絡功能，如防火墻、深度包檢測、流量負載局衡器等，在各種類型的服務器操作系統(tǒng)上也都帶有相關軟件實現(xiàn)。然而，為了使其性能足夠適用于大規(guī)模的企業(yè)網絡或軟件/內容服務提供商的網絡，大多采用的是定制的高性能網絡設備進行硬件實現(xiàn)，而非軟件實現(xiàn)。這些提供各種網絡功能的專有硬件便是我們常說的網絡中間盒。網絡虛擬化16（1）網絡功能即服務云計算的核心觀念是將所有資源以服務的形式進行抽象，網絡也不例外，也就是網絡功能即服務（NetworkFunctionasaService）。云服務提供商可以將自身的網絡資源虛擬化，并允許租戶對它們按需進行租用。租戶網絡管理17（2）OpenStackNeutronOpenStackNeutron是一個專注于在虛擬計算環(huán)境中提供網絡即服務（NaaS）的SDN網絡項目。它的前身是OpenStack中原有的定義網絡模塊管理接口的Quanntum項目。Neutron目前已經在OpenStack中的Quantum里提供原有網絡應用的接口（API）。Neutron旨在解決在云環(huán)境中已知傳統(tǒng)網絡技術的缺陷。傳統(tǒng)網絡管理在多租戶環(huán)境中租戶缺乏對網絡拓撲和尋址控制，使得租戶難以部署高級網絡服務。租戶網絡管理18（3）Group-BasedPolicy基于組的策略（