使用VMware vCloud Air的企业希望通过混合云交付IT服务，但是面临着集成网络领域的挑战。Layer 2网络和安全领域的兼容性问题是这些障碍中的首要问题。但是通过将NSX网络虚拟化平台和亚马逊Web服务连接，VMware可以帮助企业克服这些混合云网络挑战。

VMware的NSX是一个虚拟网络和安全工具，管理员可以用一个覆盖层控制网络，促进虚拟网络和软件交换机的开发。因为公有云和本地环境之间的网络是部署混合云的主要症结，创建一种方式让NSX在亚马逊Web服务（AWS）中运行，为不久的将来的混合云创造了连接。我们来仔细看一下与混合云网络相关的问题。

不兼容的网络协议

除了VMware vCloud Air之外，每一个主要的公有云供应商的网络连接都是基于Layer 3网络。这意味着什么呢？在传统的本地基础架构中，一个数据库和应用服务器应该共享相同的Layer 2网络。在设备之间没有逻辑分片，除非你运行了一个类似NSX的工具。这两个实例用未过滤的Layer 2访问彼此。

但是将相同的应用转移到AWS，开发者或者云工程师必须管理两个主机之间的IP表格。这是因为处理网络的方法和网络安全的方法是不同的。AWS并不提供两个实例之间的Layer 2广播域。这个设计提供了更细粒度的安全，同时为其基础架构设计和管理提供了AWS的灵活性。

图1数据库和应用服务器之间的Layer 2网络

如果你要转到vMotion或者转移一个数据库和应用服务到vCloud Air，工作负载是未被修改的。当你尝试从本地网络像类似AWS这样的公有云转移工作负载时，问题就会出现。应用开发者和基础架构团队需要对实例修改IP表格，允许数据库和应用通信。这个案例也突出了一个公司无法将一个使用Layer 2协议的应用放到AWS中，比如多点广播。

公有云供应商安全领域的区别

除了Layer 2网络问题之外，每一个云供应商有不同的安全域。企业在安全平台现有的投资将很难整合到云提供商的安全中。

比如，一个企业也许花了数年时间为分布的防火墙安装开发了一个命名空间。采用基于对象的方法，跨网站和防火墙设备分配安全策略。所有的安全设备共享相同的对象数据库，IT团队可以集中安全管理，甚至使用一个类似OpenStack的云管理平台自动化。

然而，在公有云供应商层面上这个对象关系会被打破。如果防火墙厂商不提供对于企业所选择的公有云供应商的集成，就要引入新的安全域。安全管理员有一套对象集和针对本地资源的分类法，同时还要有另外一套针对公有云的集合。在混合云中管理安全会到这更多额外的日常开支。

平衡之美：NSX in AWS

VMworld 2015上，VMware预览了NSX在AWS中的集成。为了实现这一点，VMware在每一个AWS EC2实例上运行了NSX微实例。通过每一个AWS EC2实例上的NSX实例，NSX网络覆盖扩展到AWS。可以将其看作是云网络的虚拟乐高集。NSX in AWS为网络和安全管理员提供了天然公有云网络之上的灵活性。

在AWS中，网络工程师可以设计复杂的企业网络模仿物理网络。比如，企业可以创建一个多点广播应用，使用NSX创建Layer 2网络支持多点广播来连接虚拟路由。这个路由随后提供VPN链接给本地应用。

图2将VMware NSX放入亚马逊Web服务云

NSX in AWS也可以解决安全挑战。因为AWS成为了逻辑网络的扩展，NSX防火墙规则适用于AWS实例，而且没有修改。理论上，AWS实例从其他厂商托管了虚拟防火墙，并且仅仅是另外一个加强点而已。

VMware对NSX for AWS的发布日期并没有明确说明。在技术预览前可能都不会问世。然而，公有云和本地网络之间的网络是混合云浪潮中最难处理的部分。VMware可能希望保持vCloud Air和NSX之间的集成，同时也成为vCloud Air的一个卖点。