云及虛擬化產(chǎn)品
產(chǎn)品概述
曉通宏志技術(shù)部:何子厚?
VMware NSX網(wǎng)絡(luò)虛擬化解決方案簡(jiǎn)介
??盡管NSX網(wǎng)絡(luò)虛擬化平臺(tái)是VMware通過(guò)收購(gòu)Nicira而獲得的,但是在收購(gòu)一年多時(shí)間后,NSX才正式發(fā)布。在這一年多時(shí)間里,研發(fā)人員與前Nicira的極客們一起通力合作,將VMware服務(wù)器虛擬化平臺(tái)與Nicira網(wǎng)絡(luò)虛擬化平臺(tái)進(jìn)行了融合,我們現(xiàn)在會(huì)發(fā)現(xiàn)NSX架構(gòu)和技術(shù)細(xì)節(jié)(尤其是用于vSphere平臺(tái)的 NSX-V)其實(shí)與早期的Nicira NVP平臺(tái)還是有很大區(qū)別,它增加了很多VMware的基因在里面。?
服務(wù)器虛擬化的優(yōu)勢(shì)移植到了網(wǎng)絡(luò)虛擬化
??以前的大二層技術(shù)一般是在物理網(wǎng)絡(luò)底層使用IS-IS路由技術(shù),再在此基礎(chǔ)之上實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)的二層擴(kuò)展,如公有的TRILL、SPB技術(shù)和Cisco私有的OTV、FabricPath技術(shù)。
前沿一些的網(wǎng)絡(luò)虛擬化技術(shù)使用了VXLAN、NVGRE等協(xié)議,突破VLAN和MAC的限制,將數(shù)據(jù)中心的大二層網(wǎng)絡(luò)擴(kuò)展得更大。而使用VMwareNSX,則更進(jìn)一步對(duì)網(wǎng)絡(luò)提供與對(duì)計(jì)算和存儲(chǔ)實(shí)現(xiàn)的類似虛擬化功能。就像服務(wù)器虛擬化可以通過(guò)編程方式創(chuàng)建、刪除和還原基于軟件的虛擬機(jī)以及拍攝其快照一樣,在 NSX 網(wǎng)絡(luò)虛擬化平臺(tái)中,也可以對(duì)基于軟件的虛擬網(wǎng)絡(luò)實(shí)現(xiàn)這些同樣的功能。這是一種具有徹底革命性的架構(gòu),不僅數(shù)據(jù)中心能大大提高系統(tǒng)的敏捷性、可維護(hù)性、可擴(kuò)展性,還能大大簡(jiǎn)化底層物理網(wǎng)絡(luò)的運(yùn)營(yíng)模式。NSX能夠部署在任何IP網(wǎng)絡(luò)上,包括所有的傳統(tǒng)網(wǎng)絡(luò)模型以及任何供應(yīng)商提供的新一代體系結(jié)構(gòu),無(wú)需對(duì)底層網(wǎng)絡(luò)進(jìn)行重構(gòu),只需要注意將底層物理網(wǎng)絡(luò)的MTU值設(shè)置為1600即可,因?yàn)閂XLAN封裝后的IP報(bào)文會(huì)增加一個(gè)頭部。不難看出,VMware NSX的核心思想其實(shí)就是將VMware多年致力發(fā)展的服務(wù)器虛擬化技術(shù)移植到了網(wǎng)絡(luò)架構(gòu)中,如圖所示。
??實(shí)現(xiàn)服務(wù)器虛擬化后,軟件抽象層(服務(wù)器虛擬化管理程序 Hypervisor)可在軟件中重現(xiàn)人們所熟悉的x86物理服務(wù)器屬性,如CPU、內(nèi)存、磁盤、網(wǎng)卡,從而可通過(guò)編程方式以任意組合來(lái)組裝這些屬性,只需短短數(shù)秒,即可生成一臺(tái)獨(dú)一無(wú)二的虛擬機(jī)。而實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化后,與Hypervisor類似的“網(wǎng)絡(luò)虛擬化管理程序”可在軟件中重現(xiàn)二到七層的整套網(wǎng)絡(luò)服務(wù),如交換、路由、訪問(wèn)控制、防火墻、QoS、負(fù)載均衡。因此,與服務(wù)器虛擬化的理念相同,可以通過(guò)編程的方式以任意組合來(lái)部署這些服務(wù),只需短短數(shù)秒,即可生成獨(dú)一無(wú)二的虛擬網(wǎng)絡(luò)(邏輯網(wǎng)絡(luò))。
??由于使用了NSX解決方案后的邏輯網(wǎng)絡(luò)架構(gòu)產(chǎn)生了質(zhì)的變化,以NSX網(wǎng)絡(luò)平臺(tái)搭建的數(shù)據(jù)中心最終達(dá)到的效果就是:無(wú)論系統(tǒng)規(guī)模多大,無(wú)論物理服務(wù)器、虛擬機(jī)有多少臺(tái),無(wú)論底層網(wǎng)絡(luò)多復(fù)雜,無(wú)論多站點(diǎn)數(shù)據(jù)中心跨越多少地域,在NSX網(wǎng)絡(luò)虛擬化解決方案的幫助下,
對(duì)IT管理人員和用戶來(lái)說(shuō),這些運(yùn)行在多站點(diǎn)數(shù)據(jù)中心復(fù)雜網(wǎng)絡(luò)之上的成千上萬(wàn)臺(tái)的虛擬機(jī),就好像是連在同一臺(tái)物理交換機(jī)一樣。有了VMwareNSX,就有可以部署新一代軟件定義的數(shù)據(jù)中心所需的邏輯網(wǎng)絡(luò)。
NSX解決方案概覽
??NSX網(wǎng)絡(luò)虛擬化分為vSphere環(huán)境下的NSX(NSX-V)和多虛擬化環(huán)境下的 NSX(NSX-MH)。
這點(diǎn)在部署之前就需要了解,以避免錯(cuò)誤部署。 無(wú)論使用哪種環(huán)境,其基本邏輯架構(gòu)都是相同的,不同點(diǎn)僅體現(xiàn)在安裝軟件和部署方式、配置界面,以及數(shù)據(jù)平面中的一些組件上。
??下圖是NSX網(wǎng)絡(luò)虛擬化架構(gòu)的基本示意圖,它分為數(shù)據(jù)平面、控制平面(兩個(gè)平臺(tái)的分離,與提到的SDN架構(gòu)完全吻合)、管理平面。其中數(shù)據(jù)平面中,又分分布式服務(wù)(包括邏
輯交換機(jī)、邏輯路由器、邏輯防火墻)和NSX網(wǎng)關(guān)服務(wù)。
NSX可以提供以下網(wǎng)絡(luò)服務(wù)
☆?交換:在物理網(wǎng)絡(luò)中的任何位置實(shí)現(xiàn)大二層交換網(wǎng)絡(luò)的擴(kuò)展,而無(wú)需關(guān)心底層物理網(wǎng)絡(luò)架構(gòu)。
☆?路由:IP子網(wǎng)之間的路由,可以完全在邏輯網(wǎng)絡(luò)中完成。由于三層網(wǎng)關(guān)由NSXController控制并下發(fā)至所有Hypervisor,因此流量無(wú)需經(jīng)過(guò)物理路由器或三層交換機(jī)。NSX網(wǎng)絡(luò)虛擬化環(huán)境中的路由是在Hypervisor層通過(guò)分布式的方式執(zhí)行的,每臺(tái)ESXi主機(jī)的CPU消耗很小,可為虛擬網(wǎng)絡(luò)架構(gòu)內(nèi)的路由表提供最佳路徑。
☆?防火墻:安全防護(hù)可以在Hypervisor層以及虛擬網(wǎng)卡層面執(zhí)行。它使用可擴(kuò)展的方式實(shí)施防火墻規(guī)則,而不會(huì)像傳統(tǒng)部署中在物理防火墻設(shè)備上形成流量的瓶頸。NSX防火墻分布式基于Hypervisor內(nèi)核,只產(chǎn)生極少的CPU開(kāi)銷,且能夠線速執(zhí)行。
☆?邏輯負(fù)載均衡:支持四到七層的負(fù)載均衡服務(wù)。
☆?VPN 服務(wù):可實(shí)現(xiàn)二、三層 VPN 服務(wù)和 SSLVPN。
☆?物理網(wǎng)絡(luò)連接:NSX Edge(或網(wǎng)關(guān))提供虛擬網(wǎng)絡(luò)到物理網(wǎng)絡(luò)的二層橋接或三層路由功能。
二維碼.jpg)