【TechTarget中国原创】一般情况下，网络团队对于服务器物理网络连接的管理包括从交换机到所有NIC链路。但是虚拟化改变了这种情况，它将网络扩展到服务器内，并使网络脱离了网络管理员的控制。这样便引起了一系列的新问题，包括服务器内部缺乏可见性，以及虚拟网络交换机缺乏可管理性。

　　虚拟网络交换机有效地将网络从一个VMware ESX主机中的NIC扩展到由ESX服务器所管理的虚拟交换机并且将虚拟机连接到虚拟交换机的虚拟NIC上。这个虚拟交换机通常是由虚拟化管理员所管理的，而非网络管理员，这可能会使这两个团队产生一定的意见和摩擦，因为网络管理员不再能够控制和管理虚拟宿主内部的网络了。

　　虚拟网络交换机的作用

　　虚拟交换机是ESX和ESXi主机上的核心网络组件。虚拟交换机是被创建并存在于一台宿主的RAM内的，它将宿主服务器中的物理NIC（称为上行链路）连接到虚拟机中的虚拟NIC。虚拟交换机（vSwitches）能够模拟传统Ethernet交换机的许多特性，并且能够执行许多相同的功能，如在数据链路层和VLAN分片中转发帧，同时它们也支持将数据包复制到镜像端口以供嗅探器或IDS系统使用。在VMware VI3中，只有一种类型的vSwitch；而在vSphere中，现在有三种不同类型的vSwitch可供您使用：标准vSwitch、新的分布式vSwitch和第三方vSwitch（Cisco Nexus 1000v）。通过异常强大的Nexus 1000v，您甚至能够在一台主机上使用配置多个vSwitch，但是一个物理NIC只能够被分配到一个vSwitch上。

　　虚拟化网络的挑战：盲点和缺少控制

　　vSwitch所面临的其中一个问题是同一台宿主的VM之间的大量流量是从不离开这个宿主的，所以它不会进入物理网络。结果，物理网络上的网络设备，如IDS/IPS系统，就无法监控或管理这些流量。总而言之，如果VM连接到相同vSwitch和这个vSwitch的相同端口组时，就会出现这种情况。实际的情况是这些VM之间的所有网络流量都停留在宿主的内存子系统中，因为vNIC和vSwitch都是驻留在宿主内存中的。

　　这在性能方面是非常令人满意的，因为在宿主内存中传输数据要远远快于通过网络传输数据。但是在网络方面则相反，因为这时数据是不通过物理网络的，因而也无法被那些用在网络层上保护服务器的网络设备所监控，如防火墙、QoS、ACL和IDS/IPS系统。

　　虚拟交换机的另一个问题是不管是标准vSwitch还是分布式vSwitch，它们的功能都是有限的，而且基本上都是无声息和不受管理的交换机。因此，vSwitch的内部工作是很难控制的，而且vSwitch和物理交换机也很难整合。

　　虚拟交换机所面临的最后一个问题出现在向网络添加设备的时候。大多数网络管理员都喜欢控制连接他们网络的所有设备。他们一般会禁用那些不使用的端口，并且在所有端口上实施安全性，这样如果有其它不同NIC接入，他们就会接收到警报，然后禁用这个端口。而在使用vSwitch时，他们就无法控制这一切了，因为他们只能够控制来自宿主物理NIC的上行链路端口，而无法控制vSwitch上的许多虚拟机端口。

　　支持虚拟化网络管理的新工具

　　这些问题都会引起网络流量可见性和控制的缺失，从而造成环境安全性不足、网络流量分析不完整和网络管理不顺畅等问题。解决这些问题的一个方法是使用专门为虚拟环境设计的网络管理产品。

　　这些工具一般都支持对宿主上的所有虚拟网络流量实施安全性、监控和控制。这些产品一般都是以虚拟设备的方式部署到宿主上，或者与一个受保护的vSwitch中的VM进行联机部署，或者使用vSphere中新的VMsafe技术，它可以在不与VM联机的情况下保护VM。一些常见的此类产品包括支持监控的SolarWinds Network Performance Monitor (NPM)、Reflex System的Virtual Management Center、Altor Networks Virtual Firewall和Catbird's vSecurity。