网络虚拟化不是玩具,得有章法
很多人以为把几台虚拟机跑起来,再用个虚拟交换机连上就叫网络虚拟化了。其实这就像在厨房里点了个煤气灶就说自己会开饭店一样。真正的网络虚拟化管理,讲究的是资源调度、安全隔离和性能可控。
规划先行,别让虚拟网络成了迷宫
上线前先画清楚逻辑拓扑。比如你公司有开发、测试、生产三套环境,别一股脑全塞进一个虚拟网络。用VLAN或VXLAN做隔离,配合命名规范,比如dev-net、prod-db-net,别人一看就知道用途。不然等机器一多,自己都搞不清哪个IP属于哪个系统。
常见的错误是随便分配子网,最后发现192.168.10.x被多个项目重复使用,一打通就冲突。建议统一由配置管理员维护一个子网分配表,哪怕只是个共享表格,也比没有强。
资源配额要设限,别让一台VM吃光带宽
虚拟机之间传大文件时,很容易占满宿主机的物理带宽。这时候应该在虚拟化平台设置QoS策略。以VMware vSphere为例,可以在端口组上限制平均、峰值和突发带宽:
<PortGroup>
<Name>web-tier-vpg</Name>
<TrafficShapingPolicy>
<Enabled>true</Enabled>
<AverageBandwidth>50 Mbps</AverageBandwidth>
<PeakBandwidth>100 Mbps</PeakBandwidth>
<BurstSize>200 KB</BurstSize>
</TrafficShapingPolicy>
</PortGroup>类似机制在KVM、Hyper-V中也能通过Linux TC或虚拟交换机策略实现。关键是要动起来,而不是等出事才救火。
安全策略不能抄物理网那一套
传统防火墙防的是外网攻击,但虚拟机之间的横向流量才是重灾区。比如一台被攻陷的Web服务器可能扫描内网数据库。这时候需要启用微隔离(Micro-segmentation)。
NSX、Calico这类工具可以基于标签动态定义访问规则。例如:只有打了“app: payment”标签的虚拟机才能访问“role: db”的实例,其他一律禁止。规则写好后自动下发到每个宿主机的分布式防火墙模块,不用额外部署硬件。
监控要能穿透虚拟层
普通Ping和netstat只能看到表面。你需要能查看虚拟交换机的流量统计,比如Open vSwitch的命令行工具:
ovs-ofctl dump-flows br-int
ovs-vsctl show这些输出能告诉你哪条流走了多少包,有没有被丢弃。结合Prometheus+Grafana,把关键指标可视化出来。某天突然发现某个租户的虚拟网络延迟飙升,图表一拉就能定位是不是广播风暴或者资源争抢。
备份和变更记录别偷懒
改了一条虚拟路由,没记日志,三天后出问题,谁还记得当初动过什么?建议把所有网络配置变更纳入版本控制。哪怕只是把导出的JSON配置提交到Git仓库,写一行注释说明原因。
备份也不只是存个快照。定期导出整个虚拟网络的配置模板,包括安全组、负载均衡规则、NAT映射。万一控制节点挂了,能快速重建。
网络虚拟化管得好,系统才跑得稳。它不是一次性工程,而是持续调整的过程。每天花十分钟看看告警、核对策略,比出事后通宵排查强得多。