网络虚拟化：SDN 与 Overlay 网络

网络虚拟化通过软件定义网络和 Overlay 隧道技术，在物理网络之上构建灵活、可编程的虚拟网络基础设施。

一、网络虚拟化基础

网络虚拟化的核心目标是解耦网络服务和底层硬件。传统网络设备（交换机、路由器、防火墙）的功能在虚拟化环境中以软件实现。虚拟网络提供独立的 L2-L7 网络服务，每个租户或应用可以拥有专属的网络拓扑、IP 地址空间和安全策略，互不干扰。

二、Overlay 网络技术

Overlay 网络在现有 IP 网络之上构建虚拟网络。VXLAN（Virtual Extensible LAN）是目前最广泛使用的 Overlay 技术，使用 24 位 VNI 标识符支持多达 1600 万个逻辑网络，远超传统 VLAN 的 4096 限制。VXLAN 通过 MAC-in-UDP 封装在 IP 网络上传输 L2 帧。Geneve 是更新的 Overlay 协议，提供灵活的可变长选项字段。STT（Stateless Transport Tunneling）利用 TCP 分段 Offload 硬件提升性能。

三、SDN 架构

软件定义网络（SDN）将网络控制平面和数据转发平面分离。控制平面（SDN 控制器）拥有全网视图，通过 OpenFlow 等南向协议统一下发转发规则。数据平面（交换机、路由器）仅负责根据规则转发数据包。主流 SDN 控制器包括 ONOS、OpenDaylight 和 Ryu。在虚拟化环境中，VMware NSX、Cisco ACI 和 Open vSwitch 结合提供完整的网络虚拟化方案。

四、OVN 与 OVS

Open vSwitch（OVS）是开源虚拟交换机的标杆，支持 OpenFlow、VXLAN、Geneve 等标准协议。OVN（Open Virtual Network）是基于 OVS 的网络虚拟化解决方案，为虚拟化平台提供原生网络抽象，包括逻辑交换机、逻辑路由器和安全组。OVN 的架构包含 CMS 插件（与 OpenStack/Kubernetes 集成）、OVN Northbound DB、OVN Southbound DB 和 ovn-controller（运行在每个 Hypervisor 节点上）。

五、网络功能虚拟化

NFV（网络功能虚拟化）将传统专有网络设备（防火墙、负载均衡器、DPI）以虚拟网络功能（VNF）的形式运行在通用硬件上。服务功能链（SFC）将多个 VNF 按顺序编排为流量处理流水线。基于 DPDK 的高性能数据平面使 VNF 的包处理性能可媲美硬件设备。SR-IOV 和 PCIe 直通进一步消除虚拟化网络的性能瓶颈。

六、容器网络与 Cilium

容器网络对网络虚拟化提出了新的要求：更高的动态性（Pod 频繁创建销毁）、更细粒度的安全策略（容器级而非 VM 级）。Cilium 基于 eBPF 技术提供高效容器网络和安全策略，避免了 iptables 在高度动态环境下的性能问题。eBPF 在网络路径中动态注入安全过滤逻辑，实现透明加密和可观测性。