博通收購VMware後調整商業策略,改變原有的授權模式,全球企業正面臨虛擬化基礎設施的剛性成本重構。Gartner不僅認為這將使服務器虛擬化市場面臨數十年來最大的變革,而且預測到2028年,成本問題將促使70%的企業級VMware客户遷移50%的虛擬工作負載。
但是VMware早已構建起緊耦合的護城河,形成 “計算(vSphere)+ 存儲(vSAN)+ 網絡(NSX)+ 運營(Aria)+ 容器(Tanzu)” 的體系,對單一產品替代≠替代成功。且實施訂閲模式之後,通過VVF,VCF等訂閲包形式,進一步形成緊耦合關係。
Gartner在相關報告中也指出,對於大多數企業而言,vSphere沒有單⼀的替代方案,而是需要多種技術。因此這也決定了只有具備提供產品組合能力的企業,才能實現對VMware產品組合進行100%全場景替代。
雲軸科技ZStack可以提供虛擬化平台、企業雲平台、容器服務平台、超融合HCI等主流方案,針對不同場景實現對VMware100%核心場景替代,以及對VCF和停售的VVF、VVEP等訂閲包進行全面替代。
ZStack此前已經介紹過虛擬化平台ZStack ZSphere、容器服務平台Zaku、分佈式存儲ZStack SDS替代VMware相關產品,下面重點介紹ZStack Cloud對比VMware NSX二層三層網絡替代能力。
在大型的雲數據中心,網絡扮演着極其重要的角色,是實現雲計算服務的關鍵基礎設施之一,從數據傳輸、資源分配、服務可用性與可靠性、安全性到用户體驗,無不依賴於穩定高效的網絡架構和全面豐富的網絡服務。
VMware NSX作為VMware的核心組件之一,通過在軟件層面構建了一個封閉集成的網絡架構,為用户提供網絡管理解決方案。
ZStack Cloud作為國產自主可控的雲平台,憑藉高性價比、硬件利舊、靈活擴展能力為核心優勢,構建起雲網絡模塊並對VMware NSX 二層(數據鏈路層)、三層(網絡層)網絡核心功能替代。
考慮到VMware NSX的功能多樣性,ZStack Cloud主要圍繞絕大多數用户關注的二層(數據鏈路層)、三層(網絡層)的功能與場景落地進行與VMware NSX的對比區別介紹。
一、架構理念與開放性的區別
VMware NSX的核心理念是軟件定義一切,與vSphere深度集成,打造封閉但高度一致的“一站式”體驗。在開放性方面,API主要服務於自身生態,與第三方硬件/開源工具鏈集成路徑複雜,存在供應商鎖定風險。
ZStack Cloud以解耦硬件、開放平台為根本,遵循“雲原生”思想,通過標準API與開源生態無縫融合,軟件定義網絡(SDN),網絡功能虛擬化(NFV),無需硬件支持,採用去中心化架構、分佈式網元更可靠、更高效。在開放性方面,提供標準化RESTful API,支持與Terraform、Ansible等主流DevOps工具及開源SDN控制器深度集成。
從長期影響看,這樣的架構在靈活性、TCO、自主可控等方面可以更好地適應用户未來多樣化的需求。
二、多類型網絡隔離模式的區別
隨着企業數字化轉型的深入和雲計算技術的普及,傳統網絡技術面臨嚴峻挑戰。在早期的扁平網絡中,所有設備處於同一廣播域(NoVLAN),存在嚴重的安全和性能隱患。隨後出現的VLAN技術通過邏輯隔離解決了廣播風暴問題,並在企業網中廣泛應用,但VLAN模式也存在一定的侷限性,其僅4094個的網絡數量上限和有限的跨三層網絡能力,已無法滿足大規模、多租户雲環境對海量虛擬網絡、靈活遷移和強大隔離的需求。為了突破這些限制,支持在IP網絡上構建大規模、 Overlay虛擬網絡的VXLAN技術應運而生,成為現代數據中心和雲平台的核心網絡基石。
VMware支持VLAN和VxLAN技術,其中VLAN主要有三種模式:VST(Virtual Switch Tagging)、EST(External Switch Tagging)以及VGT(Virtual Guest Tagging)。在VMware環境中,VST是標準、推薦的通用模式,但要注意它的靈活性較低,虛擬機的VLAN歸屬由其連接的端口組決定,一台虛擬機不能直接屬於多個VLAN(需多個網卡)。EST已因為毫無隔離性,基本被淘汰。VGT是滿足特定需求的專家模式,如虛擬防火牆設置、某些集羣應用,具有靈活性高的特徵,但也要注意這是管理最複雜、對物理網絡要求高的模式。VMware NSX源自傳統虛擬化,因此需要兼容並管理VST/EST/VGT這些歷史模式,這種複雜性是其與物理網絡深度綁定歷史的體現。
ZStack Cloud將雲網絡模型抽象為二層網絡與三層網絡,其中二層網絡對應於二層廣播域,與VMware相對應,提供了多類型的二層隔離方式,包括扁平網絡NoVLAN(物理交換機配置VLAN Access模式)、VLAN(物理交換機配置VLAN Trunk模式)、VxlanNetwork(基於軟件VXLAN的解決方案)、HardwareVxlanNetwork(對接第三方硬件SDN的解決方案)等四種二層網絡轉發模式。
在下邊這幅圖中可以清晰看到ZStack Cloud的雲網絡模型中NoVLAN、VLAN、VXLAN的工作層次和擴展性等特性。
- NoVLAN適用於簡單、無需隔離的網絡,內部高度信任的小型環境、對極致性能有要求的計算集羣。比如在開發測試環境中,為小型研發團隊或單一項目組提供快速部署的沙箱,所有云服務器處於同一廣播域,便於服務發現與通信,簡化網絡配置。此外也適用於數十人規模、內部信任度高的辦公室網絡中,用於部署共享打印機、內部文件服務器等通用服務。
- VLAN是中小型企業私有云中實現部門隔離、提升安全性的主流選擇,也是經典的隔離技術,尤其需要基礎部門隔離與安全邊界的中小企業、多項目開發測試環境非常適合。例如在私有云中,為財務、研發、行政等不同部門劃分獨立的VLAN,有效隔離廣播域,防止部門間網絡干擾與基礎性數據窺探,從而進行有效的部門網絡隔離;此外也適合多業務先測試環境和分支機構的安全接入。
- VXLAN則是為大規模集團的雲計算和數據中心設計的,它能突破VLAN的4094個網絡數量限制,並實現虛擬機在跨三層網絡的物理服務器之間無縫遷移。
三、多類型網絡轉發模式的區別
多類型網絡轉發模式指的是雲平台或虛擬化環境為滿足不同業務場景,所提供的多種底層數據包處理和交換的技術路徑,在網絡7層協議中屬於第2層。
VMware通過多個核心組件構建起深度集成的轉發路徑,例如將NSX Manager、虛擬分佈式交換機(N-VDS)、分佈式防火牆(DFW)、分佈式邏輯路由器(DLR)等功能融合,實現分佈式的三層轉發。
ZStack Cloud提供Linux Bridge和OVS-DPDK兩種轉發模式。
隨着網絡速度從千兆、萬兆向25G、100G甚至更高速率邁進,以及NFV(網絡功能虛擬化)等對性能與延遲極其敏感的場景的出現,傳統內核態網絡方案的瓶頸日益凸顯。數據包在內核協議棧中的多次拷貝、上下文切換以及中斷處理帶來的開銷,使得Linux Bridge在高速數據轉發時面臨巨大的CPU瓶頸和延遲波動,難以滿足高性能、低延遲應用(如在線交易場景)的嚴苛要求。
正是為了突破這一性能壁壘,OVS-DPDK 技術棧應運而生。它代表了另一種設計哲學:通過數據平面開發工具包(DPDK) 這類用户態I/O技術,將整個數據包處理過程從內核“旁路”到用户空間應用程序中。這種方法通過輪詢、大頁內存和親和性綁定等技術,極大地減少了處理開銷,實現了接近線速的高吞吐量和穩定的低延遲。因此,Linux Bridge 和 OVS-DPDK 是虛擬化網絡發展不同階段和針對不同需求的代表性技術產物。
ZStack Cloud支持Linux Bridge和OVS-DPDK兩種交換機類型,Linux Bridge適用於小規模、低負載的網絡環境,比如通用的企業應用、Web服務、開發測試環境等對網絡性能無特殊要求的傳統業務。如果業務吞吐量在10Gbps以下,且對延遲不敏感,Linux Bridge通常是更經濟、更明智的選擇。
OVS-DPDK適合高性能和低延遲要求的網絡環境(例如金融高頻交易、大型雲平台的虛擬網絡底座、科學計算等),其中 OVS-DPDK 網絡底層架構,可在平台內統一管理 SDN 控制器、實例、鏡像等資源,並基於控制器一鍵創建二層網絡,為雲服務器提供高性能、低延遲的網絡環境。基於OVS-DPDK網絡架構,已經支持了QoS、DHCP、安全組等網絡服務。
需要強調的是Linux Bridge和OVS-DPDK都是業界公認的開源標準組件,避免廠商鎖定,通過ZStack Cloud賦予用户更高的透明度、靈活性以及對異構硬件更廣泛的兼容性。
四、SR-IOV網卡熱遷移,保障用户網絡高性能與高可用
針對實時交易系統、低延時數據庫等關鍵業務場景,網絡性能需要獲得與物理設備性能媲美的I/O性能,行業普遍採用的是SR-IOV硬件虛擬化技術,目前VMware和ZStack Cloud都可以提供SR-IOV功能,在網絡7層協議中,SR-IOV介於優化1層(物理層)和2層(數據鏈路層)的訪問效率。
但是SR-IOV也有一個行業痛點,就是在傳統狀態下,VF(虛擬功能)與特定的物理網卡硬件深度綁定,虛擬機在遷移時無法帶着這塊“硬”網卡一起走。因此,傳統上啓用SR-IOV的虛擬機無法支持熱遷移,這成為了追求高性能時必須犧牲的代價。這個限制在VMware也體現了出來,不支持SR-IOV雲服務器熱遷移。這意味着當物理機出現了需要運維或者出現了宕機的情況,業務就必然會受到影響,這讓很多客户陷入了高性能與高可用的選擇題中。
ZStack Cloud網絡在支持SR-IOV功能的同時,支持了SR-IOV VF網卡的熱遷移功能,簡單來説,就是在遷移過程中,系統會自動保存網卡的所有狀態信息,包括網絡連接、配置參數等,然後在目標主機上完整恢復,整個過程對業務來説完全透明。確保了在遷移過程中業務連接的連續性,使得搭載SR-IOV網卡的虛擬機同樣能享受無縫的負載遷移和硬件維護能力。
這一特性,也顯示出ZStack Cloud不僅集成開源技術,更具備解決深層技術難題的能力。相較於傳統方案,它為用户提供了‘魚與熊掌兼得’的可能,將底層技術的複雜性轉化為對業務部門而言更簡單、更可靠的服務承諾。
五、三層組網模式詳解:靈活適配多場景需求
VMware NSX通過軟件定義的方式,在現代數據中心和多雲環境中實現了網絡的快速部署、靈活管理以及內在的高安全性,NSX為網絡功能(如交換、路由、防火牆、負載均衡等)帶來了同樣的敏捷性和自動化。
ZStack Cloud同樣原生支持了VPC網絡、NFV網絡功能,其中提供的三層網絡包括:扁平網絡、公有網絡、VPC網絡。
- 扁平網絡可給雲服務器分配私有網絡地址,同時雲服務器可通過分佈式彈性IP訪問公有網絡,適合部門單一、無強隔離需求的辦公網絡。
- 公有網絡通過分佈式彈性IP等技術,使傳統複雜的公網接入和NAT配置變得簡單可控,降低了安全風險和管理負擔,適合對外提供Web/API的服務,如官網前端服務器。
- VPC網絡作為由租户自定義的網絡空間,其目的是讓租户在雲平台上構建出一個隔離的、可自行管理配置及策略的虛擬網絡環境,從而進一步提升租户在雲環境中的資源安全性。適合企業多部門/多項目隔離,以及為滿足等級保護/合規要求的金融、政務等對網絡隔離有強制要求的業務提供邏輯隔離的專屬空間。
此外根據網絡模型不同,給雲服務器提供了DHCP、User Data、安全組、彈性IP、端口鏡像、DNS、SNAT、路由表、VPC防火牆、彈性IP、端口轉發、負載均衡、IPsec、Netflow、OSPF(動態路由)、組播路由等多樣的網絡服務,滿足不同業務場景對於網絡服務的多樣化需求。
總結
在大型的雲數據中心,網絡扮演着極其重要的角色,是實現雲計算服務的關鍵基礎設施之一,ZStack Cloud作為國產自主可控的雲平台,以高性價比、硬件利舊、靈活擴展能力為核心優勢,提供了完善的二層網絡與三層網絡服務,滿足包括關鍵業務、不同業務場景對網絡性能、網絡服務的差異化需求。
