2014年5月，在我加入VMware三個月之后，我涂鴉了一篇《818SDN的那些事兒》，當(dāng)時放言如果閱讀量過百就寫續(xù)篇。后來果然閱讀量沒過百，也就80多的樣子，其中好幾份還是我自戀地進去查看閱讀量時貢獻的，估計也有幾份是老婆大人這類完全不懂IT的粉絲以示支持貢獻的。閱讀量沒過百，我也就心安理得地不需要有什么動作了，直到有一天，我遇到了PeterYe。這位大哥真是蠻拼的，他轉(zhuǎn)發(fā)了這篇文章，結(jié)果閱讀量飆升，然后他就笑瞇瞇地對我說，你該履行諾言，寫續(xù)篇了。我雖然答應(yīng)了他，但一拖再拖，他倒好，也不急不惱，一催再催。我是得寫點東西了，為了回報Peter的這份執(zhí)著。

　　我當(dāng)初是被NSX這款產(chǎn)品打動而加入VMware的，當(dāng)時就認(rèn)定它是一款SDN的產(chǎn)品。但隨著對產(chǎn)品理解的深入，我發(fā)現(xiàn)我當(dāng)初仍然失之淺薄。然后我才能理解RickChen一直在講的，我們并不是SDN或者NFV，我們只是網(wǎng)絡(luò)虛擬化。如果您碰巧是第一次看到NSX這幾個字，且隨我來浮光掠影地認(rèn)識一下它吧。

　　在服務(wù)器虛擬化之前，服務(wù)器和網(wǎng)絡(luò)相安無事，每個PoD里的服務(wù)器都是支撐同一個應(yīng)用的。然后，服務(wù)器開始了虛擬化，如果按每個虛擬機就是一臺Server的話，Server的數(shù)量比原來物理機時代提升了10~20倍，原來的一個PoD，現(xiàn)在可以支撐更多應(yīng)用了，原來單純的南北向流量，現(xiàn)在增加了很多的東西向流量。

　　這時候，網(wǎng)絡(luò)唯一做出的變化就是開始應(yīng)對資源池延伸的需求，提供大二層支持。當(dāng)應(yīng)用部分再一次申請?zhí)摂M機資源時，很可能原來的二層域里的資源已經(jīng)分配殆盡，只能在其他二層域分配，這時需要大二層技術(shù)在跨三層的網(wǎng)絡(luò)上層疊出一個二層網(wǎng)絡(luò)來。這個層疊過程抑制了很多廣播包，兼顧了傳輸效率和延伸范圍。但當(dāng)今網(wǎng)絡(luò)界幾大梟雄，任兩家的大二層技術(shù)都不能互通，無論選擇誰，都只能被廠商綁定。

　　然后，NSX出現(xiàn)了。它的理念非常簡單，把整個網(wǎng)絡(luò)分為兩層：底層的物理網(wǎng)絡(luò)提供所有的服務(wù)器之間的IP傳輸，上層的虛擬化網(wǎng)絡(luò)提供租戶間的隔離，以及租戶內(nèi)的連接。底層網(wǎng)絡(luò)的交換機變得非常簡單，不需要那些高逼格的Features，只需要提供IP和OSPF多路徑即可，而這些，只是網(wǎng)絡(luò)廠商的入門券技術(shù)。上層的虛擬化網(wǎng)絡(luò)，就是NSX要做的事情了。首先，它在底層的IP網(wǎng)絡(luò)之上再做一層VXLAN封裝，將同一租戶的幾個VXLAN之間路由起來，不同租戶的VXLAN是互相看不到的，這就做到了多租戶之間的天然隔離。其次，在同一租戶內(nèi)部，它使用的分布式防火墻，在每個虛擬機的虛網(wǎng)卡上生效，即使做同一網(wǎng)段內(nèi)部的二層隔離，它也游刃有余。

　　NSX在VMware被稱為下一個vSphere，是有足夠資本的。vSphere6.0推出了跨vCenter的vMotion，NSX立馬推出了跨vCenter的虛擬網(wǎng)絡(luò)。從現(xiàn)在開始，一個集群要設(shè)計多大，一個vCenter要設(shè)計多大？您不要拿這些話題來煩惱自己了，因為這無！所！謂！無論您如何設(shè)計，大了還是小了，我們可以跨集群、跨vCenter來分配資源，并且把這些跨域的資源分配給同一個租戶，互相訪問、往來遷移，全都妥妥的。

　　系統(tǒng)和網(wǎng)絡(luò)，從來就是一對愛恨交織的兄弟，從前一起加班，一起共用變更窗口。打從服務(wù)器虛擬化起，系統(tǒng)的兄弟不加班了，這讓網(wǎng)絡(luò)的兄弟艷羨的很。系統(tǒng)做變更，竟然大白天就大剌剌地把虛機遷走，機器大卸八塊來修，下班前把修好的服務(wù)器再加電，虛機遷回來，業(yè)務(wù)不用停，人卻撅著個腚飛了。不止如此，最近的KPI會議上，系統(tǒng)部也是領(lǐng)導(dǎo)眼里的紅人，他們上了自服務(wù)門戶，除了領(lǐng)導(dǎo)審批，其他的流程，象虛機申請、虛機交付，都是自動化腳本一氣呵成，號稱五分鐘交付。然后就幸災(zāi)樂禍地把應(yīng)用團隊指到網(wǎng)絡(luò)這邊來了，沒辦法，誰讓網(wǎng)絡(luò)是公共平臺呢，得先申請變更窗口吧，最快得一周吧。五分鐘和七天一比，這日子沒法過了。

　　關(guān)鍵時刻，又是NSX挺身而出，偶也是軟件的，偶也是容器來的，倫家也可以被編程調(diào)用的。自此，自服務(wù)門戶上，用戶選了虛機選網(wǎng)絡(luò)，最后把安全策略也捎上。交付時，虛機交付多快，網(wǎng)絡(luò)就交付多快。相互隔離的多租戶網(wǎng)絡(luò)，在增加、修改或刪除一個租戶/應(yīng)用的網(wǎng)絡(luò)時，對其他租戶毫無影響。和變更窗口說拜拜，晚上有時間約妹子了，哈哈。

　　這樣看來，也只是大煙囪變小煙囪，五十步笑百步而已。NSX的出現(xiàn)，讓一個統(tǒng)一的大資源池成為可能。這個統(tǒng)一的資源池，上面可以運行互相不允許訪問的幾塊業(yè)務(wù)，如開發(fā)、測試和生產(chǎn)。NSX可以讓共享資源的顆粒度小到虛擬機為單位，而不是傳統(tǒng)上的以Host為單位。NSX可以讓資源池中甚至任意兩個虛擬機之間都互不信任，而不使用一臺物理防火墻�？梢哉f，從虛擬化到云計算，網(wǎng)絡(luò)虛擬化是關(guān)鍵的一步。

　　NSX只要能傳輸IP的底層網(wǎng)絡(luò)，已經(jīng)讓傳統(tǒng)的網(wǎng)絡(luò)廠商大為惱火了（我那些Features賣給誰去？高大上和下里巴還怎么區(qū)別？），更別提底層網(wǎng)絡(luò)設(shè)備可以多廠商、多型號組網(wǎng)，這顛覆了以前數(shù)據(jù)中心組網(wǎng)的特定廠商、特定型號的慣例。更要命的是，傳統(tǒng)網(wǎng)絡(luò)廠商孜孜以求的網(wǎng)絡(luò)感知虛機，這是NSX的DNA中就自帶的，網(wǎng)絡(luò)虛擬化融合在服務(wù)器虛擬化的內(nèi)核中，這個可是傳統(tǒng)網(wǎng)絡(luò)廠商艷羨也沒辦法的呀。