当前位置:文档之家 › NSX网络与安全解决方案简介

NSX网络与安全解决方案简介

  • 格式:ppt
  • 大小:4.93 MB
  • 文档页数:1

下载文档原格式

  / 1

合集下载

NSX软件定义的网络与安全解决方案

NSX软件定义的网络与安全解决方案

私有云和混合云管理-vRealize Suite/vCloud Suite
一朵云
混合云
私有
可管理
公有
您的数据中心
计算虚拟化-vSphere/vSOM
自主构建
网络与安全虚拟化-NSX
软件定义的数据中心
融合架构
存储虚拟化-VSAN
超融合架构
双活数据中心/ 容灾/运维 可扩展性
9
客户数据中心的变革:对网络管理和安全意味着什么?
的服务采用云架构。包括 公有云、私有云或混合云 架构。
4
什么是软件定义的数据中心 (SDDC)?
软件 硬件
数据中心虚拟化层
计智算能、在网软硬络件和存储资源池化,独立于厂商, 最数专佳据用性中芯价心片比虚、架机品构的牌,操 绑配作定置模的和式架管:构理自简动单配置和管理 手工配置和管理
构建软件定义的数据中心
• 每分钟新出现
236 •
个新的威胁
(接近每秒钟4个)
• 对新业务部署上线支持缓慢 • 核心链路和节点带宽被大量发夹流量
消耗 • 难以实现网络及安全的L2-L7层自动

数据丢失的平均每分钟的成本 : $7900 — 比2010年上升了41% 5
10
网络已经成为通往云计算之路的壁垒
虚拟化挑战传统网络设计和运行
管理
监控
自动化
软件定义网络 虚拟化主机与存储
基础架构云
应用服务云
VMware 为客户打造面向未来的软件定义的数据中心和新型IT体系架构
任意设备 任何应用
终端用户计算和企业移动化管理-Horizon 7,Airwatch,WorkSpace ONE
传统应用
业务移动性: 应用 | 设备 | 内容

VMware NSX网络虚拟化 - 解决方案-微分段无比强大且易于添加的七个原因_Intel

VMware NSX网络虚拟化 - 解决方案-微分段无比强大且易于添加的七个原因_Intel

普遍性、精确度和动态安全必须融入数据中心的 DNA 中VMware NSX® 网络虚拟化平台可提供诸多突破性益处,微分段便是其中之一。

NSX 可创建一个独立于底层 IP 网络硬件的虚拟网络。

管理员能够以编程方式对复杂网络执行创建、调配、拍摄快照、删除和还原操作,而且这一切都能以软件方式实现。

VMware 将微分段描述为一种“将安全机制植入网络的 DNA 中”的能力。

就好比在分子或细胞级别对植物进行工程设计,使之有能力抵御病虫害。

因为 hypervisor 已在数据中心内广泛分布,所以您可以通过 VMware NSX 在任意位置创建策略来保护任意数据,让安全真正无所不在。

从某种意义上说,物理安全就像戴上手套来防范细菌。

这是外在的、有限的保护措施(如果有人对着您的脸打喷嚏,您可能还是会感冒或染上流感)。

微分段就像是强化数据中心的免疫系统:让“细菌”(即恶意软件)对它无能为力。

或者,如果有漏网之鱼,该系统会在该恶意软件开始扩散之前就将其关闭。

策略绑定到虚拟机,执行效力可向下延伸至虚拟网卡 (NIC),这种精确度是传统的硬件设备无法比拟的。

您也可以使用灵活的参数来定义安全策略,例如虚拟机名称、工作负载类型和客户操作系统类型。

微分段无比强大且易于添加的七个原因1. 无需更换您目前拥有的设施,亦不会对其造成不利影响VMware NSX 可在任意网络硬件上运行,因此您无需购买或更换任何设备。

此外,NSX 不会给您的计算机和网络基础架构或应用造成中断。

2. 降低不断攀升的硬件成本为处理数据中心内日益增多的工作负载量而部署更多物理设备的成本过于高昂。

仅从资金开销的角度衡量,VMware NSX 可以让企业组织的实际开销节省 68%1。

这一节省比例基于以下估算,即 IT 管理员要实现接近微分段的控制力需要多大的物理防火墙开销。

3. 遏制防火墙规则剧增状况数量激增的防火墙规则是安全管理领域里的一个大问题。

年复一年,管理员积攒了不少不必要的和多余的规则,而且无法使用简单的方法来找出哪些规则是不再需要的。

NSX-T体系技术架构概述

NSX-T体系技术架构概述
Subnet B
Logical View
IP N.1 VM1
VM2 IP N.2
Logical Switch
VM (vnic) Location Mac VM1 TEP A.1 Mac VM2 TEP B.3
TEP: Tunnel End Point
仅对物理基础结构的要求:
• IP连接 • 160 0 字节的MTU(最小,建
仅对物理基础结构的要求:
IP连接 160 0 字节的MTU(最小,建议
使用巨型帧)
任何供应商:
• 任何单一供应商 • 供应商组合 • 不同设备世代的混合
13
完整的网络可以随虚拟化展开
rack1
rack2
host1 N-VDS TEP A.1
host2 N-VDS TEP A.2
host3 N-VDS TEP A.3
rack2
VM1
VDS
host1
VDS
host2
VM2 host3 VDS
Subnet A
VDS
host4
VDS
host5
VDS
host6
Subnet B
Logical View
IP N.1 VM1
VM2 IP N.2
Logical Switch
VM (vnic) Location Mac VM1 TEP A.1 Mac VM2 TEP A.3
Subnet A
Logical View
IP A.1 VM1 Subnet A
IP A.1 VM1 Subnet A
VM2 IPA.2 VM2 IPA.2
如何: 部署并执行基于物理设备的服 务? 根据需要提供物理服务? 通过物理设备引导流量? 处理同一环境的多个服务?

VMware_网络虚拟化平台NSX及其实现

VMware_网络虚拟化平台NSX及其实现

好处
• • • • • 在Hypervisor层实现分布式路由 动态的, 基于API的配置 动态路由– OSPF, BGP, IS-IS Logical Router 支持多租户 支持与物理路由器之间跑动态路由
分布式路由– 灵活实现多租户网络
15
分布式逻辑路由网络
Overview
VM
VM
• 虚拟网络之间实现三层路由互联
Physical or Virtual
逻辑交换网络 分布式交换
优化东西向流量
逻辑路由器
集成于kernal 25,000 CPS 2.5 million Sessions
FW, LB, VPN
分布式防火墙 分布式路由 虚拟网络
Edge Services
VMware NSX Software
软件 硬件
Hypervisor
运维模式
独立于硬件
Create, Delete, Grow, Shrink
应用透明 可编程监控 可扩展
向操作虚机一样管理网络…
6
介绍VMware NSX
L2 Switch
L3 Router
Firewall
Load Balancer
借助NSX实现网络虚拟化
像管理虚机一样管 理网络
软件 硬件
7
网络虚拟化 需求
任意网络硬件
自动化及运营管理
• • • •
本节偏重逻辑交换及路由功能 合作厂商可 扩展性 简单介绍4-7层服 务

NetX(VMware Network Extensibility Program )高级集成
32
NSX vSphere优化版组件
使用
CMP

VMware NSX网络虚拟化平台

VMware NSX网络虚拟化平台

产品介绍/1VMware NSX™ 是提供虚拟机网络操作模式的领先网络虚拟化平台。

与虚拟机的计算模式相似,虚拟网络以编程方式进行调配和管理,与底层硬件无关。

NSX 可以在软件中重现整个网络模型,使任何网络拓扑(从简单的网络到复杂的多层网络),都可以在数秒钟内创建和调配。

它支持一系列逻辑网络元素和服务,例如逻辑交换机、路由器、防火墙、负载平衡器、VPN 和工作负载安全性。

用户可以通过这些功能的自定义组合来创建隔离的虚拟网络。

• 网络调配时间从数天缩减至数秒• 通过自动化功能提高运营效率• 可独立于物理拓扑分配和移动工作负载• 可以部署在任何虚拟化管理程序上并通过任何云计算管理平台使用• 可通过标准 API 实现与第三方网络和安全解决方案的集成• 通过现有的物理网络或下一代拓扑实现无中断部署数据中心网络连接难题当前网络和安全解决方案极不灵活并且十分复杂,通常是由某个特定供应商提供。

这使实现软件定义数据中心的完全敏捷性成本极为昂贵。

在当前运营模型中,网络调配很慢,并且工作负载分配和移动受物理拓扑和手动调配的限制。

物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上,人为地阻碍了网络体系结构和容量利用率的优化。

手动调配和杂乱无章的管理界面降低了效率,限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。

VMware NSXVMware NSX 通过提供全新的网络运营模型,解决了这些数据中心难题。

该模型突破了当前物理网络障碍并且允许数据中心操作员将敏捷性和经济性提高若干数量级。

VMware NSX 提供了一整套简化的逻辑网络连接元素和服务,包括逻辑交换机、路由器、防火墙、负载平衡器、VPN 、服务质量、监控和安全保护。

这些服务可以在虚拟网络中通过基于 NSX API 的任何云计算管理平台进行调配,并且可以安排在任何隔离和多租户拓扑中。

虚拟网络可以通过任何现有的网络进行无中断部署,并且可以部署在任何虚拟化管理程序上。

网络安全nsx

网络安全nsx

网络安全nsx网络安全(Network Security)是指在网络通信中保护计算机网络基础设施免遭未授权访问、非法传输、破坏或篡改的一系列措施和技术。

随着互联网的发展,网络安全问题也日益成为人们关注的焦点,因此在网络中保障信息的安全以及防止网络攻击已经成为每个人的责任。

首先,网络安全的威胁主要分为两大类别:内部威胁和外部威胁。

内部威胁是指来自网络内部的威胁,如员工故意或不经意的破坏行为、员工的密码泄露等。

外部威胁则是指来自网络外部的威胁,如黑客攻击、病毒、木马、钓鱼等。

针对这些威胁,网络安全需要采取一系列的技术手段来进行防御和保护。

其次,网络安全的技术手段主要包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、加密技术等。

防火墙是网络安全的第一道防线,通过限制外部网络和内部网络之间的通信,保护内部网络不受到攻击。

入侵检测系统通过监控网络流量、系统日志等来检测异常的行为并报警。

入侵防御系统可以在检测到入侵行为时自动对其进行防御并封堵漏洞。

加密技术可以对数据进行加密传输,防止信息被窃取和篡改。

此外,用户个人也需要采取一些措施来保护自己的网络安全。

首先,要使用强密码,并定期更换密码。

其次,不要随便点击陌生的链接或下载未知的软件,以免中毒或遭受钓鱼攻击。

再次,定期更新操作系统和常用软件的补丁,以及安装杀毒软件和防火墙,确保自己的设备始终处于最新的安全状态。

最后,保护好自己的个人隐私,不要随意泄露个人信息,尤其是银行卡号、密码等重要信息。

总结起来,网络安全是每个人都需要关注和重视的问题。

无论是个人用户还是企业组织,都需要采取相应的措施和技术手段来保障网络的安全性。

只有充分认识到网络安全的重要性,并采取有效的防护措施,我们才能更好地享受网络所带来的便利和快捷。

在NSX上集成第三方高级安全服务

在NSX上集成第三方高级安全服务一、为什么要集成第三方服务?(1)利用现有网络资源,延续用户使用习惯。

企业的网络环境中经常会存在不同的安全交付厂商的设备或服务,并且已经有了使用习惯和良好的体验。

这时候VMware NSX就需要能够很好的去集成第三方服务,以便于充分利用现有网络资源且延续用户使用习惯。

(2)借助第三方高级安全服务,加强数据中心安全。

NSX网络虚拟化平台在虚拟网络之中只提供了二到四层的防火墙功能。

但是在一些环境中,应用需要更高级别的网络安全策略来保护。

在这种情况下,用户可以利用NSX平台,在其上集成第三方安全厂商的五到七层安全服务,提供更全面更充分的基于应用的解决方案。

二、NetX架构要使用第三方的服务,需要想办法将网络流量重定向给这些服务,同时又要尽量不影响网络性能。

作为一个hypervisor-integrated软件平台,NSX充分利用了hypervisor的集成能力,直接在hypervisor上集成第三方的安全服务。

NSX 采用NetX(Network Extensibility)框架,通过一个或多个服务虚拟机(SVM)来指定特定流量的重定向。

这些SVM不通过典型的网络堆栈接收网络流量,他们直接通过虚拟机hypersivor的消息传递通道进行消息传递。

可以在NSX Service Composer中以策略驱动的方式定义哪些流量被重定向到第三方服务。

用户使用NSX Manager创建服务配置文件,NSX Manager会将服务实例、服务配置文件和服务配置文件规则发送给VSFWD(RabbitMQ客户端,与NSX Manager通信)。

VSFWD进程将配置VSIP内核模块。

具体如下图所示:图1 NetX架构三、与第三方集成的方案NSX将第三方网络安全服务集成在虚拟网络中,通过逻辑的通道发布至vNIC接口(具体见NetX架构图示),使得在vNIC后端的应用可以使用这些服务。

这种形式的服务集成称为“嵌入、链接与导向”。

VMWare NSX 软件定义网络解决方案介绍

在没有使用网络虚拟化前,资源池整体利用率只有 60%
在使用网络虚拟化后,资源池利用率大大提升到 90%
9
2、传统数据中心的网络安全挑战
单纯的边界安全防护不足够,但是“微分段”在传统架构下很难实现
Internet Internet
边界内部无任何东西向 安全防护措施
昂贵&低效
不可运维
10
透过NSX Micro-Segmentaion分布式防火墙,管理者可以非常容易地做 到同网段安全防护,避免黑客的跳板攻击
是软件定义数据中心的核心 Non-Disrupting Deployment
虚拟数据中心 “Network hypervisor” 虚拟化层 网络, 存储, 计算
全分布式网络服务至Hypervisor Kernel
Routing Load Balancing
Switching
Firewalling/ACLs
通用X86服务器资源
– –
通用网络硬件


可移动性
虚拟网络为软件容器, 像虚拟机一样支持 snapshot, 备份与恢 复
SDN到网络虚拟化Network Virtualization
Manual Configuration
Distributed Forwarding
L2
Virtual Networks
Firewalling/ACLs
Native platform capability
虚拟化环境下传统的2层交换实现
传统三层路由的实现?
A Virtual Network?
A Virtual Network?
Network and security services now distributed in the hypervisor

NSX逻辑路由概览_新一代SDN——VMware NSX 网络原理与实践_[共2页]

5.1 NSX逻辑路由详解105●基于三层QoS选择流量的优先级;●将本地消息发送至传输层。

这些功能本应都由路由器来提供,而现在我们有了NSX平台,NSX的逻辑路由功能取代了物理路由器,将处于不同逻辑二层子网中的终端连接起来。

负责逻辑路由功能的NSX 组件称为NSX逻辑路由器,它分为分布式逻辑路由器和Edge路由器。

本节将对NSX逻辑路由器功能进行详细阐述,读者也可以与之前章节讲解的NSX分布式逻辑交换机进行对比,看看它们在处理流量转发的过程中,有什么区别。

5.1.1 NSX逻辑路由概览NSX逻辑路由器可以很容易将本该属于不同独立网络中的设备、终端连接起来,而通过将越来越多的独立网络连接到一起,网络规模将变得更大(参考运营商网络)。

由于NSX 网络虚拟化平台可以在这种超大规模的网络上实现一套独立的逻辑网络,因此NSX平台非常适合应用在超大规模数据中心或运营商网络中。

在NSX Manager中可以使用简化的UI来配置逻辑路由器,这非常便于配置和维护,在这里可以使用动态路由协议对NSX逻辑路由进行发现和宣告的操作,当然也可以使用静态路由。

控制平面仍然运行在NSX Controller集群中,而数据平面交给ESXi主机的Hypervisor来处理。

换言之,在虚拟化平台内部就可以进行各种路由操作,包括路由算法、邻居发现、路径选择、收敛等,而无需离开虚拟化环境,在物理网络平台中进行处理。

有了NSX逻辑路由功能,就可以方便地在逻辑的三层网络中,为路由选择最佳路径。

此外,NSX逻辑路由还能更好地实现多租户环境,比如在虚拟网络中,不同的VNI中就算有相同的IP地址,也可以部署两个不同的分布式路由器实例,一个连接租户A,一个连接租户B,保证网络不会发生任何冲突。

NSX Manager首先配置了一个路由服务。

在配置过程中,NSX Manager部署了一个控制逻辑路由的虚拟机(DLR Control VM)。

它是NSX Controller的一个组件,支持OSPF与BGP协议,负责NSX-V控制平面中的路由工作,专门用来处理分布式路由。

NSX网络虚拟化简介


V M w are 软件定义数据中心架构:把系统所需求的功能与硬设备脱钩, 在软件内建立并执行
件 软 定义数据中心
业务系统
虚拟机
虚及拟网络 安全
数据中心虚拟化
虚拟储存
运算容量
网络容量
件 不限定采用硬 与布署位置
储存容量
V M w are N SX 将数据中心所需求的网络与安全功能直接于vSp h ere K ern el内提供
功可

于vSp h ere直接提供安全 能, 针对至 一虚拟机,提供完整的防火墙、网络与系
统防护
随需建立的网络服务虚拟机 (D C N FV )


依据业 需求,无额外成本地建立网及络服 虚拟机,提务 供路由器、防火墙、负载平
衡器、 V PN 等网络服
藉由V M w are N SX ,我们能够协助您的数据中心达成
定与扩充
In frastru ctu re 的自动化建立
负载平衡设备 的采购与设定
网络设备采购及 与组态设定
调整
安全设备的采 购与安全政策
设定
及 手动进行信息系统内网络 安全部署,延迟上线时间


自 :部署业 虚拟机
动变
各务
手 更:产出 业 机器
放置的网段 动变
手 更:路由设定、负载

及企
平衡 能、以 与 业环境
件 软
件 硬
功 网络与安全 能于vSp h ere
H yp erviso r内运作
Load Balancing
L3 Routing
L2 Switching
Firewalling
台 停留在实体网络与安全设定的硬件架构,已无法满足虚拟化与云平 内 的业务需求
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
逻辑负载均衡 – 利用软件实现的应用负 载均衡
逻辑VPN – 通过软件实现站点到站点以 及远程访问VPN服务
NSX API – 可与任何云管理平台相集成 的RESTful API
合作伙伴生态系统
NSX网络与安全解决方案简介
VMware NSX组件
消费者
管理 面板
CMP
NSX 管理器
• 自服务门户 • vCAC, vCD, Openstack,
1.1.1.0/24
L3 L2
Ingress
网络虚拟化
逻辑交换(L2)
软件定义的 虚拟网络
IDS Load Balancer 通用IP硬件
物理网络 NSX网络与安全解决方案简介
VMware NSX防火墙:高性能,可扩展
物理安全模型
用于SDDC的NSX防火墙
防火墙管理
VMware NSX
CMP
API
VMware NSX – 网络与安全功能
任何应用程序
(无需修改)
虚拟网络
任何云管理平台
VMware NSX 网络虚拟化平台
任何虚拟化层
任何网络硬件
逻辑交换– 运行于三层网络之上的二层网 络,与物理网络解耦
逻辑路由– 在虚拟网络之间以及虚拟网络 和物理网络之间路由
逻辑防火墙 – 分布式防火墙,内核集成, 高性能
挑战
• 集中式防火墙模型 • 静态配置 • 基于IP地址的规则 • 每设备40 Gbps • 对封装的流量缺少可见性
收益
• 分布在虚拟化层 • 动态,基于API的配置 • 使用VM名字和基于标识的规则 • 线速,每主机15+ Gbps • 对封装的流量完全可见
性能与扩展性 ——1,000+主机 30Tbps防火墙
挑战
• 应用/租户之间的分段 • 虚拟机的移动性需要大二层网络 • 大的二层物理网络扩展导致生成树问题 • 硬件内存 (MAC, FIB)表限制
收益ห้องสมุดไป่ตู้
• 跨数据中心扩展多租户 • 在3层基础架构上实现2层网络 • 基于VXLAN, STT, GRE等实现Overlay • 可跨越多个物理主机和网络交换机的逻辑交换
NSX网络与安全解决方 案简介
2020/11/3
NSX网络与安全解决方案简介
议程
NSX网络与安全解决方案简介
议程
NSX网络与安全解决方案简介
客户需要…….
资源池
灵活的 IPAM
零信任安全 微分段
弹性计算分区
自服务及扩展性
扩展到公有云
NSX网络与安全解决方案简介
需要做出什么样的改变……
运营模式
VMware NSX负载均衡
租户A
VM1 VM2
L2
租户B
VM1 VM2 L2
L3 VM3 L2
挑战
• 应用的移动性 • 多租户 • 配置复杂度——手工部署模型
收益
• 按需的负载均衡服务 • 满足应用需要的简单部署模式——单
臂或联机 • Layer 7, SSL, …
Cloudstack, 自定义门户
• 单点配置 • REST API和用户界面 • 高可用
控制 面板
运行态
NSX 控制器
• 将虚拟网络与物理网络解耦 • 独立于数据路径 • 高可用
数据 面板
NSX Edge NSX vSwitch
• 高可用虚拟机 • 服务于南北向流量的数据面板 • 路由和高级服务
VDS/OVS
VXLAN Distributed Firewall Logical Router
虚拟化层扩展模块
• 智能网络边界 • 线速性能
NSX网络与安全解决方案简介
议程
NSX网络与安全解决方案简介
利用VMware NSX部署网络虚拟化
1
利用现存的 网络基础架构
任意网络厂商 任意网络拓扑
IP包转发网络
计算 NSX网络与安全解决方案简介
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
2
部署VMware NSX NSX管理与边界服务
计算
NSX Mgmt
NSX Edge
虚拟基础架构 NSX基础架构
NSX网络与安全解决方案简介
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
2
部署VMware NSX NSX管理与边界服务
收益
• 在虚拟化层实现分布式路由 • 动态的,基于API的配置 • 完整功能——OSPF, BGP, IS-IS • 基于租户的逻辑路由器 • 可与物理交换机协同
可扩展的路由 –简化多租户
NSX网络与安全解决方案简介
虚拟网络:一个通过软件定义的完整网络
1.1.2.0/24
Egress
L2
L3
逻辑交换(L2)
服务
逻辑交换 –将网络的扩展性提高1000倍
NSX网络与安全解决方案简介
逻辑交换服务
1.1.2.0/24
逻辑交换(L2)
1.1.1.0/24 Ingress
网络虚拟化
Egress
L2
逻辑交换(L2)
软件定义的 虚拟网络
IDS Load Balancer 通用IP硬件
物理网络 NSX网络与安全解决方案简介
NSX Mgmt
NSX Edge
3
应用程序 消费网络资源
CMP门户/自服务
+
可编程的 虚拟网络部署
计算
虚拟基础架构 NSX基础架构
逻辑网络
NSX网络与安全解决方案简介
VMware NSX逻辑交换机
Logical Switch 1 Logical Switch 2 Logical Switch 3
VMware NSX
NSX网络与安全解决方案简介
虚拟网络:一个通过软件定义的完整网络
1.1.2.0/24
Egress
FW
L2
L3
逻辑交换(L2)
1.1.1.0/24
L3 L2
FW
Ingress
逻辑交换(L2)
网络虚拟化层
软件定义的 虚拟网络
IDS Load Balancer 通用IP硬件
物理网络 NSX网络与安全解决方案简介
从硬件解耦 网络的创建、删除、增长和削 减对应用程序透明
可编程,可监视
?
良好扩展性
我们能够像管理VM一样管理网络吗?
NSX网络与安全解决方案简介
VMware NSX简介
软件 硬件
二层交换 三层路由 防火墙
负载均衡
基于NSX的网络虚拟化
和VM一样 管理网络
NSX网络与安全解决方案简介
议程
NSX网络与安全解决方案简介
VMware NSX三层路由: 分布式、功能全面
NSX管理器
CMP
控制器集群
Tenant A
L2 L2
Tenant B Tenant C
L2
L2
L2
L2
L2
L2
VM to VM Routed Traffic Flow
挑战
• 物理基础架构的扩展性存在挑战—— 路由扩展性
• 虚拟机的移动性存在挑战 • 多租户路由的复杂度 • 流量的发夹问题