vcan是什么意思

题图来自Unsplash，基于CC0协议

导读

vCAN，全称为虚拟网络计算（Virtual Connect Access Point/Network - 具体命名可能随厂商有所不同，比如惠普早期的Virtual Connect Access Point的概念），是一种在数据中心网络环境下，特别是在服务器虚拟化和软件定义网络（SDN）背景下兴起的技术。其核心定义可以概括为：它并非指某一种特定的物理设备或协议，而是一种提供网络和计算资源的标准化虚拟连接服务，尤其是在服务器刀片（Blade Server）或高密度服务器配置中。

简单来说，如果你在数据中心使用刀片服务器，vCAN就像是在这些刀位（Slot）之间架设的一套虚拟的、共享的网络基础架构。其根本目的就是将物理网络接口与服务器、交换机等网络设备进行解耦，通过一个统一的、管理驱动的界面（通常基于标准协议如SNMP或API）来集中管理这些服务器刀片的网络和计算端口。

在计算机网络中的具体作用

在计算机网络中，尤其是现代数据中心环境中，vCAN扮演着至关重要的角色：

• 统一交换式网络管理： 允许一对或多对物理网络交换机（通常称为网络模块）通过后端路由器连接起来，为刀片服务器提供统一的、共享的网络接入点。这极大地简化了网络基础设施管理。
• 虚拟化网络支持： vCAN天然支持服务器虚拟化技术（如VMware, Hyper-V等）。每个虚拟机可以在物理端口上安全地运行，隔离了不同虚拟机之间的通信，避免了资源争用，并维持了安全和质量。
• 端口灵活性： 管理员无需物理上重新插拔线缆即可更改计算机、虚拟机或端口配置的网络分配。例如，可以轻松地给一个服务器绑定多个不同IP子网、VLAN、隧道端点，甚至同时分配多个内部网络。
• 资源池与隔离： 可以创建逻辑网络域，实现不同服务、应用或安全分区之间更精细、更高效的网络隔离，符合现代数据中心的资源池化和策略驱动管理需求。
• 简化物理基础设施： 减少了物理交换机的数量和布线复杂性，提升了空间利用效率和管理灵活性。
• 提高网络安全性和可用性： 相对物理直通网络，vCAN环境可以在软件层面强制实施策略，有助于提升安全性。同时，基于交换的连接也为故障管理和隔离提供了更细粒度的控制。

技术来源

vCAN概念，特别是作为一项重要的数据中心网络特性，最早是由大型服务器制造商和网络设备供应商共同发展的。其中，惠普（HP） 在其 BladeSystem 中通过 Virtual Connect Access Point (VCFabric) 技术较早地将类似的概念带入商业化应用，并广泛部署。然而，随着技术的演进和市场竞争，惠普、戴尔、思科、华为等多个主流厂商（像华为称为vEth，基于可编程以太网）都推出了支持类似vCAN核心理念的技术和解决方案，它们虽然可能在实现细节、管理接口、网络模型上有所不同，但都共享着提供标准化、统一网关和计算虚拟端口管理的目标。

主要应用场景

vCAN（或其类似技术）在以下场景中应用广泛：

• 数据中心基础架构部署： 特别是对于配备刀片服务器或高密度服务器配置的数据中心，vCAN是构建统一、可管理的网络连接层的理想选择。
• 虚拟桌面基础架构（VDI）部署： 需要将用户计算虚拟机通过独立网络连接到终端，并支持策略隔离。vCAN可以很好地支持这种环境，提供动态的网络分配能力。
• 软件定义数据中心（SDDC）： vCAN的技术特性与SDN理念高度契合，支持通过API进行自动化配置和策略应用，适合更复杂的自动化网络管理环境。
• 大规模云平台支撑： 在云服务提供商内部，为简化底层服务器和网络的连接管理，vCAN（结合SDN）的模式非常有用。
• 企业级企业网络高密度部署： 对于需要在有限空间内部署大量服务器，且要求较高网络管理和灵活性的企业，vCAN能显著提高部署效率和网络管理性能。

异于其它网络安全技术的区别

vCAN的主要关注点在于网络连接的虚拟化、自动化与集中管理，尤其是在数据中心内部不同计算机（物理服务器、虚拟机、端口）之间的连接层面，提供逻辑隔离。将vCAN与传统的网络安全技术如防火墙（Firewall）、入侵检测/防御系统（IPS/IDS）、VPN进行区分，可以从目的和作用范围来看：

1. 防火墙 (Firewall)： 主要运作在OSI模型的网络层（第三层，IP）。防火墙的主要功能在于控制不同网络域之间的访问和通信，基于预定义的安全策略（ACL）决定是放行还是阻断数据传输。它侧重于逻辑隔离，但通常是设置在数据中心网络边界或不同的虚拟网络域之间的入口/出口进行防护。
2. 入侵检测和防御系统 (IPS/IDS)： IPS/IDS用于监控网络或系统资源，以查找恶意模式（如攻击活动、病毒）或其他违反安全策略的行为。它们侧重于威胁检测和响应，而不是创建或隔离受保护的计算环境（端点/服务器）。
3. VPN (Virtual Private Network)： VPN 的主要目的是通过加密和认证机制在公共网络（如互联网）上创建安全的、逻辑上的“隧道”连接，从而实现企业远程站点或用户安全地接入私有网络资源。它提供的是安全的连接，特别适用于跨越不同物理位置的点对点或多对多连接。

vCAN与以上技术的关键区别在于：

• 作用范围： vCAN处理的是数据中心内部服务器、刀片或虚拟机之间的网络连接和资源分配与隔离。防火墙处理的是网间流量的控制和安全；IPS/IDS处理的是流量中本身包含的威胁或异常行为；VPN提供的是点到点或企业分支安全接入的能力。
• 目标： vCAN的目标是提供同时用于大量服务器/虚拟机的标准化网络端点和底层网络连接管理。
• 隔离方式： vCAN更侧重于在服务器（虚拟机/物理）内部或端口级别进行逻辑隔离，以防止通信上的干扰或资源竞争。而防火墙提供不同网络区域间的隔离，VPN提供两个端点之间逻辑隔离。去广泛情况下，vCAN通常无法触及到诸如 v 服务器内部的单个用户安全之类需要基于防火墙规则才那么具体保护的核心需求。去广泛示例中，如果有一台服务器运行许多应用，vCAN 可以隔离进行 Web 服务和数据库服务端口通信的不同部分，或者直接分配遇到的块控制用户访问，在物理层面避免了服务器实例间的互相干扰。而防火墙，则是用来阻止一个用户访问另一台服务器上的敏感数据，或者限制流入服务器的流量。

希望这能对您有所帮助！