云及虛擬化產品
產品概述
曉通宏志技術部:何子厚?
VMware NSX網絡虛擬化解決方案簡介
??盡管NSX網絡虛擬化平臺是VMware通過收購Nicira而獲得的,但是在收購一年多時間后,NSX才正式發布。在這一年多時間里,研發人員與前Nicira的極客們一起通力合作,將VMware服務器虛擬化平臺與Nicira網絡虛擬化平臺進行了融合,我們現在會發現NSX架構和技術細節(尤其是用于vSphere平臺的 NSX-V)其實與早期的Nicira NVP平臺還是有很大區別,它增加了很多VMware的基因在里面。?
服務器虛擬化的優勢移植到了網絡虛擬化
??以前的大二層技術一般是在物理網絡底層使用IS-IS路由技術,再在此基礎之上實現數據中心網絡的二層擴展,如公有的TRILL、SPB技術和Cisco私有的OTV、FabricPath技術。
前沿一些的網絡虛擬化技術使用了VXLAN、NVGRE等協議,突破VLAN和MAC的限制,將數據中心的大二層網絡擴展得更大。而使用VMwareNSX,則更進一步對網絡提供與對計算和存儲實現的類似虛擬化功能。就像服務器虛擬化可以通過編程方式創建、刪除和還原基于軟件的虛擬機以及拍攝其快照一樣,在 NSX 網絡虛擬化平臺中,也可以對基于軟件的虛擬網絡實現這些同樣的功能。這是一種具有徹底革命性的架構,不僅數據中心能大大提高系統的敏捷性、可維護性、可擴展性,還能大大簡化底層物理網絡的運營模式。NSX能夠部署在任何IP網絡上,包括所有的傳統網絡模型以及任何供應商提供的新一代體系結構,無需對底層網絡進行重構,只需要注意將底層物理網絡的MTU值設置為1600即可,因為VXLAN封裝后的IP報文會增加一個頭部。不難看出,VMware NSX的核心思想其實就是將VMware多年致力發展的服務器虛擬化技術移植到了網絡架構中,如圖所示。
??實現服務器虛擬化后,軟件抽象層(服務器虛擬化管理程序 Hypervisor)可在軟件中重現人們所熟悉的x86物理服務器屬性,如CPU、內存、磁盤、網卡,從而可通過編程方式以任意組合來組裝這些屬性,只需短短數秒,即可生成一臺獨一無二的虛擬機。而實現網絡虛擬化后,與Hypervisor類似的“網絡虛擬化管理程序”可在軟件中重現二到七層的整套網絡服務,如交換、路由、訪問控制、防火墻、QoS、負載均衡。因此,與服務器虛擬化的理念相同,可以通過編程的方式以任意組合來部署這些服務,只需短短數秒,即可生成獨一無二的虛擬網絡(邏輯網絡)。
??由于使用了NSX解決方案后的邏輯網絡架構產生了質的變化,以NSX網絡平臺搭建的數據中心最終達到的效果就是:無論系統規模多大,無論物理服務器、虛擬機有多少臺,無論底層網絡多復雜,無論多站點數據中心跨越多少地域,在NSX網絡虛擬化解決方案的幫助下,
對IT管理人員和用戶來說,這些運行在多站點數據中心復雜網絡之上的成千上萬臺的虛擬機,就好像是連在同一臺物理交換機一樣。有了VMwareNSX,就有可以部署新一代軟件定義的數據中心所需的邏輯網絡。
NSX解決方案概覽
??NSX網絡虛擬化分為vSphere環境下的NSX(NSX-V)和多虛擬化環境下的 NSX(NSX-MH)。
這點在部署之前就需要了解,以避免錯誤部署。 無論使用哪種環境,其基本邏輯架構都是相同的,不同點僅體現在安裝軟件和部署方式、配置界面,以及數據平面中的一些組件上。
??下圖是NSX網絡虛擬化架構的基本示意圖,它分為數據平面、控制平面(兩個平臺的分離,與提到的SDN架構完全吻合)、管理平面。其中數據平面中,又分分布式服務(包括邏
輯交換機、邏輯路由器、邏輯防火墻)和NSX網關服務。
NSX可以提供以下網絡服務
☆?交換:在物理網絡中的任何位置實現大二層交換網絡的擴展,而無需關心底層物理網絡架構。
☆?路由:IP子網之間的路由,可以完全在邏輯網絡中完成。由于三層網關由NSXController控制并下發至所有Hypervisor,因此流量無需經過物理路由器或三層交換機。NSX網絡虛擬化環境中的路由是在Hypervisor層通過分布式的方式執行的,每臺ESXi主機的CPU消耗很小,可為虛擬網絡架構內的路由表提供最佳路徑。
☆?防火墻:安全防護可以在Hypervisor層以及虛擬網卡層面執行。它使用可擴展的方式實施防火墻規則,而不會像傳統部署中在物理防火墻設備上形成流量的瓶頸。NSX防火墻分布式基于Hypervisor內核,只產生極少的CPU開銷,且能夠線速執行。
☆?邏輯負載均衡:支持四到七層的負載均衡服務。
☆?VPN 服務:可實現二、三層 VPN 服務和 SSLVPN。
☆?物理網絡連接:NSX Edge(或網關)提供虛擬網絡到物理網絡的二層橋接或三層路由功能。
