各種規(guī)模和類型的企業(yè)和組織都處于幾場(chǎng)網(wǎng)絡(luò)革命的陣痛之中，而網(wǎng)絡(luò)虛擬化是所有這些革命的核心。

　　勒索軟件和其他惡意軟件的日益流行使企業(yè)重新考慮網(wǎng)絡(luò)安全，包括在數(shù)據(jù)中心的網(wǎng)絡(luò)安全。這種增長(zhǎng)有助于激發(fā)人們對(duì)零信任架構(gòu)的興趣。DevOps及其衍生后代(即NetOps、DevSecOps、SecDevOps和DevNetSecOps)的持續(xù)興起，將基礎(chǔ)設(shè)施即代碼(IaC)的理念帶到了最前沿。

　　那么，這些舉措如何適應(yīng)網(wǎng)絡(luò)虛擬化呢?

　　數(shù)據(jù)中心的虛擬網(wǎng)絡(luò)并不新鮮

　　虛擬網(wǎng)絡(luò)是一個(gè)經(jīng)常被重新發(fā)現(xiàn)或重新創(chuàng)建的概念。從本質(zhì)上說(shuō)，虛擬網(wǎng)絡(luò)系統(tǒng)使IT團(tuán)隊(duì)能夠在共享物理網(wǎng)絡(luò)上覆蓋多個(gè)邏輯網(wǎng)絡(luò)。IT團(tuán)隊(duì)可能會(huì)實(shí)施虛擬網(wǎng)絡(luò)來(lái)隔離端點(diǎn)的子集，以出于安全原因或滿足特定協(xié)議或應(yīng)用程序的需求。

　　網(wǎng)絡(luò)虛擬化技術(shù)至少可以追溯到上世紀(jì)80年代，包括以太網(wǎng)虛擬LAN(VLAN)和MPLS。

　　數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的前進(jìn)道路在于從人工管理的VLAN到策略驅(qū)動(dòng)的虛擬化的過(guò)渡。

　　典型的數(shù)據(jù)中心在虛擬網(wǎng)絡(luò)中暢游。幾十年來(lái)，VLAN一直是數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)的標(biāo)準(zhǔn)功能。服務(wù)器虛擬化也變得司空見慣，用于在主機(jī)服務(wù)器內(nèi)和主機(jī)服務(wù)器之間創(chuàng)建新的虛擬化層。

　　采用SDN策略

　　軟件定義網(wǎng)絡(luò)(SDN)的理念是網(wǎng)絡(luò)控制器和網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)(實(shí)際移動(dòng)數(shù)據(jù)包的部分)應(yīng)該彼此分離，從而實(shí)現(xiàn)對(duì)分布式網(wǎng)絡(luò)行為的集中控制。

　　SDN與簡(jiǎn)單地集中管理網(wǎng)絡(luò)交換機(jī)配置不同，因?yàn)樗俣〝?shù)據(jù)平臺(tái)設(shè)備的自主性是有限的，而不是協(xié)調(diào)管理。SDN的理念是，任何網(wǎng)絡(luò)都可以支持大量的覆蓋，并且應(yīng)該能夠靈活、動(dòng)態(tài)地控制端口如何映射到虛擬網(wǎng)絡(luò)，以及通過(guò)虛擬網(wǎng)絡(luò)提供哪些服務(wù)。

　　SDN在最初被認(rèn)為是一種開源策略，用于企業(yè)在數(shù)據(jù)中心和LAN上獲得更多對(duì)網(wǎng)絡(luò)的控制。其目標(biāo)是通過(guò)使網(wǎng)絡(luò)架構(gòu)獨(dú)立于任何一個(gè)供應(yīng)商的架構(gòu)和功能集，在網(wǎng)絡(luò)供應(yīng)商的嚴(yán)密控制下獲得對(duì)網(wǎng)絡(luò)架構(gòu)的控制。

　　開放和跨平臺(tái)戰(zhàn)略催生了無(wú)數(shù)的實(shí)現(xiàn)——OpenvSwitch、OpenDaylight、開放網(wǎng)絡(luò)操作系統(tǒng)等，并取得了足夠的進(jìn)展，迫使供應(yīng)商將基本的控制平臺(tái)-數(shù)據(jù)平臺(tái)模型投入通用。這些策略也讓初創(chuàng)公司接受了這種模式。

　　然而，企業(yè)首先采用SDN的地方不是數(shù)據(jù)中心，而是WAN。自從2015年以來(lái)，軟件定義的WAN已將SDN概念注入企業(yè)WAN戰(zhàn)略。

　　以下探索數(shù)據(jù)中心內(nèi)的三個(gè)網(wǎng)絡(luò)虛擬化計(jì)劃。

　　(1)基礎(chǔ)設(shè)施即代碼(IaC)：更多的虛擬化方式和手段

　　隨著Docker等軟件容器的普及，覆蓋概念現(xiàn)在已經(jīng)在基礎(chǔ)設(shè)施中深入了一層，為容器間通信創(chuàng)建了另一層網(wǎng)絡(luò)。DevOps的興起使基礎(chǔ)設(shè)施即代碼(IaC)的想法變得突出。

　　基礎(chǔ)設(shè)施即代碼(IaC)的想法是，部署軟件以控制容器和虛擬機(jī)之間的虛擬網(wǎng)絡(luò)團(tuán)隊(duì)?wèi)?yīng)該像管理環(huán)境中的其他代碼組件一樣管理它們。這帶來(lái)了一層與它們所服務(wù)的容器處于相同時(shí)間尺度的虛擬網(wǎng)絡(luò)。它還產(chǎn)生了用于管理這種虛擬化的新工具和概念，例如服務(wù)網(wǎng)格。

　　(2)零信任：虛擬化的最終狀態(tài)

　　在真正的零信任環(huán)境中，只有經(jīng)過(guò)批準(zhǔn)的通信才會(huì)在網(wǎng)絡(luò)上進(jìn)行。任何給定的應(yīng)用程序、用戶或端點(diǎn)只能與預(yù)先獲得許可的其他應(yīng)用程序、用戶和端點(diǎn)通信。因此，除非環(huán)境被告知允許特定對(duì)話，否則對(duì)話會(huì)被阻止。

　　在網(wǎng)絡(luò)層面，零信任可以轉(zhuǎn)化為稱為軟件定義邊界(SDP)的概念。使用軟件定義邊界(SDP)，如果端點(diǎn)A向端點(diǎn)B發(fā)送數(shù)據(jù)包，但沒有告知B接受來(lái)自A的數(shù)據(jù)包，則B忽略或丟棄這些數(shù)據(jù)包。對(duì)于節(jié)點(diǎn)A，節(jié)點(diǎn)B在網(wǎng)絡(luò)上不可見。如果允許B和A進(jìn)行通信，它們將通過(guò)加密隧道進(jìn)行。在這種情況下，每次通信都通過(guò)一個(gè)點(diǎn)對(duì)點(diǎn)虛擬網(wǎng)絡(luò)(一個(gè)雙節(jié)點(diǎn)VLAN)進(jìn)行。

　　(3)推進(jìn)數(shù)據(jù)中心發(fā)展的虛擬網(wǎng)絡(luò)

　　數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的前進(jìn)道路在于從人工管理的VLAN到策略驅(qū)動(dòng)的虛擬化的過(guò)渡。這種轉(zhuǎn)變將通過(guò)跨平臺(tái)的SDN控制器和自動(dòng)化工具實(shí)現(xiàn)(盡管可能來(lái)自供應(yīng)商而非開源)服務(wù)網(wǎng)格和基礎(chǔ)設(shè)施即代碼(IaC)。零信任的需求、向容器和微服務(wù)的轉(zhuǎn)變以及對(duì)網(wǎng)絡(luò)工程師的日益嚴(yán)格的時(shí)間限制，將使這種轉(zhuǎn)變成為必要。