VMware替代 | ZStack Cloud与NSX二层三层网络对比分析

博通收购VMware后调整商业策略，改变原有的授权模式，全球企业正面临虚拟化基础设施的刚性成本重构。Gartner不仅认为这将使服务器虚拟化市场面临数十年来最大的变革，而且预测到2028年，成本问题将促使70%的企业级VMware客户迁移50%的虚拟工作负载。

但是VMware早已构建起紧耦合的护城河，形成 “计算（vSphere）+ 存储（vSAN）+ 网络（NSX）+ 运营（Aria）+ 容器（Tanzu）” 的体系，对单一产品替代≠替代成功。且实施订阅模式之后，通过VVF，VCF等订阅包形式，进一步形成紧耦合关系。

Gartner在相关报告中也指出，对于大多数企业而言，vSphere没有单⼀的替代方案，而是需要多种技术。因此这也决定了只有具备提供产品组合能力的企业，才能实现对VMware产品组合进行100%全场景替代。

云轴科技ZStack可以提供虚拟化平台、企业云平台、容器服务平台、超融合HCI等主流方案，针对不同场景实现对VMware100%核心场景替代，以及对VCF和停售的VVF、VVEP等订阅包进行全面替代。

ZStack此前已经介绍过虚拟化平台ZStack ZSphere、容器服务平台Zaku、分布式存储ZStack SDS替代VMware相关产品，下面重点介绍ZStack Cloud对比VMware NSX二层三层网络替代能力。

在大型的云数据中心，网络扮演着极其重要的角色，是实现云计算服务的关键基础设施之一，从数据传输、资源分配、服务可用性与可靠性、安全性到用户体验，无不依赖于稳定高效的网络架构和全面丰富的网络服务。

VMware NSX作为VMware的核心组件之一，通过在软件层面构建了一个封闭集成的网络架构，为用户提供网络管理解决方案。

ZStack Cloud作为国产自主可控的云平台，凭借高性价比、硬件利旧、灵活扩展能力为核心优势，构建起云网络模块并对VMware NSX 二层（数据链路层）、三层（网络层）网络核心功能替代。

考虑到VMware NSX的功能多样性，ZStack Cloud主要围绕绝大多数用户关注的二层（数据链路层）、三层（网络层）的功能与场景落地进行与VMware NSX的对比区别介绍。

一、架构理念与开放性的区别

VMware NSX的核心理念是软件定义一切，与vSphere深度集成，打造封闭但高度一致的“一站式”体验。在开放性方面，API主要服务于自身生态，与第三方硬件/开源工具链集成路径复杂，存在供应商锁定风险。

ZStack Cloud以解耦硬件、开放平台为根本，遵循“云原生”思想，通过标准API与开源生态无缝融合，软件定义网络（SDN），网络功能虚拟化（NFV），无需硬件支持，采用去中心化架构、分布式网元更可靠、更高效。在开放性方面，提供标准化RESTful API，支持与Terraform、Ansible等主流DevOps工具及开源SDN控制器深度集成。

从长期影响看，这样的架构在灵活性、TCO、自主可控等方面可以更好地适应用户未来多样化的需求。

二、多类型网络隔离模式的区别

随着企业数字化转型的深入和云计算技术的普及，传统网络技术面临严峻挑战。在早期的扁平网络中，所有设备处于同一广播域（NoVLAN），存在严重的安全和性能隐患。随后出现的VLAN技术通过逻辑隔离解决了广播风暴问题，并在企业网中广泛应用，但VLAN模式也存在一定的局限性，其仅4094个的网络数量上限和有限的跨三层网络能力，已无法满足大规模、多租户云环境对海量虚拟网络、灵活迁移和强大隔离的需求。为了突破这些限制，支持在IP网络上构建大规模、 Overlay虚拟网络的VXLAN技术应运而生，成为现代数据中心和云平台的核心网络基石。

VMware支持VLAN和VxLAN技术，其中VLAN主要有三种模式：VST（Virtual Switch Tagging）、EST（External Switch Tagging）以及VGT（Virtual Guest Tagging）。在VMware环境中，VST是标准、推荐的通用模式，但要注意它的灵活性较低，虚拟机的VLAN归属由其连接的端口组决定，一台虚拟机不能直接属于多个VLAN（需多个网卡）。EST已因为毫无隔离性，基本被淘汰。VGT是满足特定需求的专家模式，如虚拟防火墙设置、某些集群应用，具有灵活性高的特征，但也要注意这是管理最复杂、对物理网络要求高的模式。VMware NSX源自传统虚拟化，因此需要兼容并管理VST/EST/VGT这些历史模式，这种复杂性是其与物理网络深度绑定历史的体现。

ZStack Cloud将云网络模型抽象为二层网络与三层网络，其中二层网络对应于二层广播域，与VMware相对应，提供了多类型的二层隔离方式，包括扁平网络NoVLAN（物理交换机配置VLAN Access模式）、VLAN（物理交换机配置VLAN Trunk模式）、VxlanNetwork（基于软件VXLAN的解决方案）、HardwareVxlanNetwork（对接第三方硬件SDN的解决方案）等四种二层网络转发模式。

在下边这幅图中可以清晰看到ZStack Cloud的云网络模型中NoVLAN、VLAN、VXLAN的工作层次和扩展性等特性。

用户进行选型时，ZStack Cloud依据应用场景给出如下建议：

• NoVLAN适用于简单、无需隔离的网络，内部高度信任的小型环境、对极致性能有要求的计算集群。比如在开发测试环境中，为小型研发团队或单一项目组提供快速部署的沙箱，所有云服务器处于同一广播域，便于服务发现与通信，简化网络配置。此外也适用于数十人规模、内部信任度高的办公室网络中，用于部署共享打印机、内部文件服务器等通用服务。
• VLAN是中小型企业私有云中实现部门隔离、提升安全性的主流选择，也是经典的隔离技术，尤其需要基础部门隔离与安全边界的中小企业、多项目开发测试环境非常适合。例如在私有云中，为财务、研发、行政等不同部门划分独立的VLAN，有效隔离广播域，防止部门间网络干扰与基础性数据窥探，从而进行有效的部门网络隔离；此外也适合多业务先测试环境和分支机构的安全接入。
• VXLAN则是为大规模集团的云计算和数据中心设计的，它能突破VLAN的4094个网络数量限制，并实现虚拟机在跨三层网络的物理服务器之间无缝迁移。

三、多类型网络转发模式的区别

多类型网络转发模式指的是云平台或虚拟化环境为满足不同业务场景，所提供的多种底层数据包处理和交换的技术路径，在网络7层协议中属于第2层。

VMware通过多个核心组件构建起深度集成的转发路径，例如将NSX Manager、虚拟分布式交换机（N-VDS）、分布式防火墙（DFW）、分布式逻辑路由器（DLR）等功能融合，实现分布式的三层转发。

ZStack Cloud提供Linux Bridge和OVS-DPDK两种转发模式。

随着网络速度从千兆、万兆向25G、100G甚至更高速率迈进，以及NFV（网络功能虚拟化）等对性能与延迟极其敏感的场景的出现，传统内核态网络方案的瓶颈日益凸显。数据包在内核协议栈中的多次拷贝、上下文切换以及中断处理带来的开销，使得Linux Bridge在高速数据转发时面临巨大的CPU瓶颈和延迟波动，难以满足高性能、低延迟应用（如在线交易场景）的严苛要求。

正是为了突破这一性能壁垒，OVS-DPDK 技术栈应运而生。它代表了另一种设计哲学：通过数据平面开发工具包（DPDK） 这类用户态I/O技术，将整个数据包处理过程从内核“旁路”到用户空间应用程序中。这种方法通过轮询、大页内存和亲和性绑定等技术，极大地减少了处理开销，实现了接近线速的高吞吐量和稳定的低延迟。因此，Linux Bridge 和 OVS-DPDK 是虚拟化网络发展不同阶段和针对不同需求的代表性技术产物。

ZStack Cloud支持Linux Bridge和OVS-DPDK两种交换机类型，Linux Bridge适用于小规模、低负载的网络环境，比如通用的企业应用、Web服务、开发测试环境等对网络性能无特殊要求的传统业务。如果业务吞吐量在10Gbps以下，且对延迟不敏感，Linux Bridge通常是更经济、更明智的选择。

OVS-DPDK适合高性能和低延迟要求的网络环境（例如金融高频交易、大型云平台的虚拟网络底座、科学计算等），其中 OVS-DPDK 网络底层架构，可在平台内统一管理 SDN 控制器、实例、镜像等资源，并基于控制器一键创建二层网络，为云服务器提供高性能、低延迟的网络环境。基于OVS-DPDK网络架构，已经支持了QoS、DHCP、安全组等网络服务。

需要强调的是Linux Bridge和OVS-DPDK都是业界公认的开源标准组件，避免厂商锁定，通过ZStack Cloud赋予用户更高的透明度、灵活性以及对异构硬件更广泛的兼容性。

四、SR-IOV网卡热迁移，保障用户网络高性能与高可用

针对实时交易系统、低延时数据库等关键业务场景，网络性能需要获得与物理设备性能媲美的I/O性能，行业普遍采用的是SR-IOV硬件虚拟化技术，目前VMware和ZStack Cloud都可以提供SR-IOV功能，在网络7层协议中，SR-IOV介于优化1层（物理层）和2层（数据链路层）的访问效率。

但是SR-IOV也有一个行业痛点，就是在传统状态下，VF（虚拟功能）与特定的物理网卡硬件深度绑定，虚拟机在迁移时无法带着这块“硬”网卡一起走。因此，传统上启用SR-IOV的虚拟机无法支持热迁移，这成为了追求高性能时必须牺牲的代价。这个限制在VMware也体现了出来，不支持SR-IOV云服务器热迁移。这意味着当物理机出现了需要运维或者出现了宕机的情况，业务就必然会受到影响，这让很多客户陷入了高性能与高可用的选择题中。

ZStack Cloud网络在支持SR-IOV功能的同时，支持了SR-IOV VF网卡的热迁移功能，简单来说，就是在迁移过程中，系统会自动保存网卡的所有状态信息，包括网络连接、配置参数等，然后在目标主机上完整恢复，整个过程对业务来说完全透明。确保了在迁移过程中业务连接的连续性，使得搭载SR-IOV网卡的虚拟机同样能享受无缝的负载迁移和硬件维护能力。

这一特性，也显示出ZStack Cloud不仅集成开源技术，更具备解决深层技术难题的能力。相较于传统方案，它为用户提供了‘鱼与熊掌兼得’的可能，将底层技术的复杂性转化为对业务部门而言更简单、更可靠的服务承诺。

五、三层组网模式详解：灵活适配多场景需求

VMware NSX通过软件定义的方式，在现代数据中心和多云环境中实现了网络的快速部署、灵活管理以及内在的高安全性，NSX为网络功能（如交换、路由、防火墙、负载均衡等）带来了同样的敏捷性和自动化。

ZStack Cloud同样原生支持了VPC网络、NFV网络功能，其中提供的三层网络包括：扁平网络、公有网络、VPC网络。

• 扁平网络可给云服务器分配私有网络地址，同时云服务器可通过分布式弹性IP访问公有网络,适合部门单一、无强隔离需求的办公网络。
• 公有网络通过分布式弹性IP等技术，使传统复杂的公网接入和NAT配置变得简单可控，降低了安全风险和管理负担，适合对外提供Web/API的服务，如官网前端服务器。
• VPC网络作为由租户自定义的网络空间，其目的是让租户在云平台上构建出一个隔离的、可自行管理配置及策略的虚拟网络环境，从而进一步提升租户在云环境中的资源安全性。适合企业多部门/多项目隔离，以及为满足等级保护/合规要求的金融、政务等对网络隔离有强制要求的业务提供逻辑隔离的专属空间。

此外根据网络模型不同，给云服务器提供了DHCP、User Data、安全组、弹性IP、端口镜像、DNS、SNAT、路由表、VPC防火墙、弹性IP、端口转发、负载均衡、IPsec、Netflow、OSPF（动态路由）、组播路由等多样的网络服务，满足不同业务场景对于网络服务的多样化需求。

总结

在大型的云数据中心，网络扮演着极其重要的角色，是实现云计算服务的关键基础设施之一，ZStack Cloud作为国产自主可控的云平台，以高性价比、硬件利旧、灵活扩展能力为核心优势，提供了完善的二层网络与三层网络服务，满足包括关键业务、不同业务场景对网络性能、网络服务的差异化需求。