网络功能虚拟化

2023-04-12
适用于: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local 2311.2 and later

可使用本主题了解网络功能虚拟化；通过该功能，你可部署数据中心防火墙、多租户 RAS 网关和软件负载均衡 (SLB) 多路复用器 (MUX) 等虚拟网络设备。

注意

除了该主题外，还可查看下面的网络功能虚拟化文档。

在如今的软件定义的数据中心，由硬件设备（如负载均衡器、防火墙、路由器、交换机等）执行的网络功能正在越来越多地被虚拟化为虚拟设备。服务器虚拟化和网络虚拟化自然而然地形成了这种“网络功能虚拟化”。虚拟设备正在迅速崛起，打造了一个全新的市场。它们继续在虚拟化平台和云服务领域引起人们的兴趣，而且发展势头良好。

从 Windows Server 2012 R2 开始，Microsoft 将一个独立网关作为虚拟设备包含在内。有关详细信息，请参阅 Windows Server 网关。现在，随着 Windows Server 2016 的推出，Microsoft 继续在网络功能虚拟化市场进行拓展和投资。

虚拟设备的优势

虚拟设备是动态的且易于更改，因为它是预构建的自定义虚拟机。它可以是作为一个单元打包、更新和维护的一个或多个虚拟机。再加上软件定义的网络 (SDN)，你就可以获得当今基于云的基础结构所需的敏捷性和灵活性。例如：

SDN 将网络呈现为一个共用的动态资源。
SDN 有助于租户隔离。
SDN 可最大程度地提高规模和性能。
虚拟设备可实现无缝容量扩展和工作负载移动性。
虚拟设备可最大程度地降低操作复杂性。
通过虚拟设备，客户可轻松获取、部署和管理预先集成的解决方案。
- 客户可轻松地将虚拟设备移动到云中的任意位置。
- 客户可根据需求动态地纵向扩展或缩减虚拟设备。

要详细了解 Microsoft SDN，请参阅软件定义的网络。

哪些网络功能正在虚拟化？

虚拟化网络功能的市场正在迅速发展。以下网络功能正在进行虚拟化：

安全性
- 防火墙
- 防病毒
- DDoS（分布式拒绝服务）
- IPS/IDS（入侵防护系统/入侵检测系统）
应用程序/WAN 优化器
边缘
- 站点到站点网关
- L3 网关
- 路由器
- 开关
- NAT
- 负载均衡器（并非一定在边缘）
- HTTP 代理

Microsoft 为什么是面向虚拟设备的绝佳平台

虚拟网络堆栈

根据设计，Microsoft 平台是用于构建和部署虚拟设备的绝佳平台。原因如下：

Microsoft 在 Windows Server 2016 中提供了关键虚拟化网络功能。
你可以从你选择的供应商处部署虚拟设备。
你可使用 Windows Server 2016 附带的 Microsoft 网络控制器部署、配置和管理虚拟设备。有关网络控制器的详细信息，请参阅网络控制器。
Hyper-V 可以托管你需要的顶级来宾操作系统。

Windows Server 2016 中的网络功能虚拟化

Microsoft 提供的虚拟设备功能

Windows Server 2016 提供了以下虚拟设备：

软件负载均衡器

在数据中心规模运行的第 4 层负载均衡器。这是 Azure 的负载均衡器的一个类似版本，已在 Azure 环境中大规模部署。有关 Microsoft 软件负载均衡器的详细信息，请参阅 SDN 的软件负载均衡 (SLB)。有关 Microsoft Azure 负载均衡服务的详细信息，请参阅 Microsoft Azure 负载均衡服务。

网关。 RAS 网关提供以下网关功能的所有组合。

站点到站点网关

RAS 网关提供了一个支持边界网关协议 (BGP) 的多租户网关，使租户能够通过站点到站点 VPN 连接从远程站点访问和管理其资源，并使网络流量能够在云端虚拟资源与租户物理网络之间传递。有关 RAS 网关的详细信息，请参阅 RAS 网关高可用性和 RAS 网关。
转发网关

RAS 网关在虚拟网络和托管提供商物理网络之间路由流量。例如，如果租户创建一个或多个虚拟网络，并且需要访问托管提供商的物理网络上的共享资源，那么转发网关可在虚拟网络和物理网络之间路由流量，以便为使用虚拟网络的用户提供他们需要的服务。有关详细信息，请参阅 RAS 网关高可用性和 RAS 网关。
GRE 隧道网关

基于 GRE 的隧道可在租户虚拟网络与外部网络之间实现连接。由于 GRE 协议是轻型的，并且大多数网络设备上都提供 GRE 支持，因此它成为用于无需数据加密的隧道的理想选择。站点到站点 (S2S) 隧道中的 GRE 支持可解决租户虚拟网络与使用多租户网关的租户外部网络之间的转发问题。有关 GRE 隧道的详细信息，请参阅 Windows Server 2016 中的 GRE 隧道。

使用 BGP 的路由控制平面

Hyper-V 网络虚拟化 (HNV) 路由控制是控制平面中的逻辑集中式实体，它承载所有客户地址平面路由，并动态地学习和更新虚拟网络中的分布式 RAS 网关路由器。有关详细信息，请参阅 RAS 网关高可用性和 RAS 网关。

分布式多租户防火墙

防火墙会保护虚拟网络的网络层。策略在每个租户 VM 的 SDN-vSwitch 端口上强制实施。它会保护所有流量流：东西流量和南北流量。策略通过租户门户推送，然后网络控制器将其分发给所有适用的主机。有关分布式多租户防火墙的详细信息，请参阅数据中心防火墙概述。

通过