企業未來想要管理擁有上萬虛擬機器規模的複雜資料中心,非得將網路虛擬化不可,其他作法都不可能實現。 ——軟體定義網路之父 Martin Casado

圖片來源: 

iThome

軟體定義網路SDN(Software Defined Networking)是近兩年來最夯的資料中心技術之一,這個概念源自2005年史丹福大學的一篇論文,由當時的博士班學生Martin Casado和他的老師Nick McKeown,所提出的一套虛擬網路系統架構。Martin Casado離開校園後,創立了網路虛擬化新創公司Nicira,就在2012年時,VMware以12.6億美元的高價,買下了這家成立只有5年的新創公司。

現在多數開源雲端平臺採用的開源虛擬交換器Open vSwitch,就是Martin Casado寫的第一版程式碼。他也是OpenStack計畫出現時就參與網路虛擬化套件的主導者之一。

現今要實現SDN網路的網路虛擬化關鍵技術——OpenFlow協定,就是Martin Casado博士論文的成果。他不只是OpenFlow技術的發明人,也可說是軟體定義網路之父。

VMware在去年推出了網路虛擬化平臺NSX,一手打造出NSX的關鍵人物,正是Martin Casado。今年8月,他更成為了VMware網路與資安事業部門資深副總裁,也是VMware網路虛擬化的負責人。以下是iThome在美國專訪Martin Casado的採訪內容。

 

Q:你認為網路虛擬化市場成熟了嗎?

 A  我在SDN領域已經10年了,每年我們總是說明年就是網路虛擬化元年,但是直到上一季,我們才第一次很肯定地說,網路虛擬化時代真的來了。這有兩個明顯的證據,第一,目前導入VMware網路虛擬化NSX產品的企業超過了150家,而且光是上一季就增加了80家。VMware這一年來在網路虛擬化的營收也達到1億美元規模。許多產業包括金融、政府、電信、製造、航空公司、飲料食品業等,都開始導入軟體定義網路,所以,現在終於可以肯定地說,網路虛擬化市場要進入成熟階段了。

企業使用網路虛擬化的原因也因為時間而有所調整,剛開始是追求敏捷性,希望大幅縮短網路建置和管理的時間,但有越來越多企業是為了追求安全性。

 

Q:網路虛擬化技術目前主要發展方向是什麼?

 A  接下來最關鍵的一步是安全。

 

Q:VMware會如何強化網路虛擬化的安全?

 A  現在企業在資安上的投資,高達80%大多是針對資料中心外部的硬體,然而,事實上網路流量真正離開資料中心的比例偏低,多數網路流量大多只在資料中心內流動,因此,資料中心內部安全更為重要。現在資料中心虛擬化已經這麼成熟了,但卻缺乏對內部大量網路流量的控制,所以VMware提出的微分區(Micro-segmentation)概念,可以將安全控制機制帶入資料中心,以提供保護。過往資料中心有一臺伺服器遭駭客入侵,企業將難以阻擋駭客入侵其他伺服器,但是現在可以透過微分區來限制那些受駭伺服器所能造成的危害。

 

Q:思科不是也提出了ACI架構來解決網路安全的問題,你怎麼看ACI?

 A  思科的ACI(Application Centric Infrastructure)是一個整套式的架構,而且需搭配新的硬體,而NSX則是純軟體產品。我認為NSX採取和I/O硬體相容的作法,可以做到以前所作不到的事情,例如可以建立分散式架構的邊界防火牆(Edge Firewall)。企業其實可以同時混用ACI和NSX,兩者可以平行存在。思科是VMware最大的合作夥伴之一,雖然和思科在網路市場方面有些重疊,但是VMware相信,兩者間的技術多半相容,而且由於VMware也沒有考慮進軍網路硬體市場,我相信,未來仍可以維持良好的合作關係。

 

Q:未來NSX發展計畫為何?

 A  我們有多項長期計畫,最近積極發展的則是資安方面的產品計畫,例如Log分析產品,可以將Guest OS的Log資料提供給外部來建立防火牆政策、進行控管或其他應用。因為VMware擁有Hypervisor,所以,可以更接近Guest主機,這是思科做不到的。在今天傳統的防火牆架構下,因為是由伺服器外去取得應用程式的運作情況,多半也只能猜測,甚至不知道虛擬機器正在執行哪一個應用程式。

如果透過Hypervisor層,就可以看到更多虛擬機器的運作狀況。例如監控虛擬機器的記憶體,可以很清楚地知道虛擬機器正在執行哪些應用程式、甚至有哪些Java物件正在執行。這些細部的資料就能提供給資安廠商,來分析可能發生的威脅,強化防火牆的安全性等等,有助於開發下一代的資安產品。

 

Q:除了資安之外,可以透露其他的研發計畫嗎?

 A  主要將聚焦於跨資料中心的相關技術,目標是讓企業能善用混和雲服務,包括是一家公司要管理多個資料中心,或是企業同時混用vCloudAir和VMware虛擬化平臺的混和雲應用模式。另外一個方向是政策管理,將推出高階政策管理系統,能夠更容易在網路管理政策中納入企業商業邏輯,來降低維運成本。

 

Q:目前網路虛擬化技術還有哪些不足?距離你理想中的技術,還差多遠?各家技術的限制在哪裡?

 A  就技術的角度來看,各方在網路虛擬化架構上已有共識,等於達到了當初設定的理想目標,不過,從個別產品研發速度來看,網路虛擬化產品還要3~4年才能達到成熟階段。但是,從市場接受度來說,還在非常早的階段,未來2至3年才會逐漸提高,這階段有助於廠商了解企業的需求,來修正產品研發方向。

進一步比較各廠商的產品,可分為3種不同的類型。第一種,以思科為代表,需搭配專屬硬體為基礎的網路虛擬化解決方案。但這種作法,企業需汰換舊有網路設備改用思科產品,而且升級時也只能使用思科專屬產品,這個作法有很高的限制。

另一種類則是像VMware這種以軟體為基礎的解決方案,將所有功能放入軟體,讓企業可自由選擇各家廠商的硬體,我發現這種方式的市場接受度最高。不過,因為VMware產品是透過Hypervisor層來運作,這種作法的限制是,無法處理還未虛擬化的工作量,例如像高頻率的金融交易需求,或是需要高運算效能需求的HPC應用,但這些都是特殊利基市場的需求。第三種作法是,將網路作為一種雲端服務(Network as a Service),像是亞馬遜(Amazon)在雲端的各種網路服務,但企業要將所有資料都放上雲端的侷限,我想大家都很清楚,因此,我建議企業還是使用混和雲的方式。

不過,儘管網路虛擬化技術還處於非常初期的階段,但NSX產品已經非常成熟了,可用於大規模建置的NSX產品(意指從Nicira時期開始計算)已經上市超過4年了,對於基礎使用需求,這個產品已經夠成熟了,但從產品技術演進角度來看,我們現有產品則是還處於非常早期的階段,未來還大有可為。

 

Q:如果考慮到數萬或數十萬個虛擬機器的未來管理情境,網路虛擬化在未來資料中心會扮演什麼樣的角色?

 A  網路是政策管理中最重要的一環。你可以用群組來管理虛擬機器、管理應用程式,並用來確保通過防火牆的所有資料。企業未來想要管理擁有上萬虛擬機器規模的複雜資料中心,非得將網路虛擬化不可,其他作法都不可能實現,因為真的太困難了。

 

Q:你對於VMware擁抱OpenStack,有何感想?

 A  我是OpenStack第一屆年會的主講講者,非常早也非常深入地參與了OpenStack計畫,包括了OpenStack網路層的設計,也和政策管理團隊密切合作。VMware全力支持OpenStack,這是非常好的戰略。結合了自製介面來提供VIO,這是VMware自己的OpenStack版本,是VMware非常重要的一步,我自己非常興奮。

相關報導請參考「VMware 2014 新戰略:立基軟體定義資料中心,邁向軟體定義企業」


Advertisement

更多 iThome相關內容