图2.4 NSX逻辑架构
下面简单说明一下各个组件(后续章节会进行更具体的分析)。
NSX数据平面主要由NSX虚拟交换机组成。虚拟机交换机基于vSphere中的分布式交换机(VDS),或基于非VMware虚拟化环境中的OVS(Open vSwitch)。通过将内核模块(VIB)安装在Hypervisor之上,实现VXLAN、分布式路由、分布式防火墙等服务。
这里的NSX虚拟交换机可以对物理网络进行抽象化处理并直接在Hypervisor层之上提供交换、路由、防火墙功能。这样能获得哪些好处呢?首先,NSX虚拟交换机有了一个统一的配置界面。此外,NSX虚拟交换机利用VXLAN或STT协议实现Overlay功能,在现有物理网络之上创建一个与之解耦的独立虚拟网络,容易部署和维护。而这
个虚拟网络和以前我们所熟悉的网络架构并不一样——传统的网络,不同VLAN之间地址是不能重复、冲突的,而运行在Overlay之上的虚拟网络,允许不同租户使用相同的网关或IP地址,同时保持隔离。NSX虚拟交换机连接的虚拟机是独立于虚拟网络的,并且就像连接到物理网络一样运行,新创建的虚拟交换机可以有效进行配置备份和还原,而它在连接虚拟机时还能实现QoS和链路聚合等诸多功能。NSX虚拟交换机还有利于实现大规模扩展,而端口镜像、NetFlow、网络运行状况检查等多种功能可以在虚拟网络内进行全面的流量管理、监控和故障排除。
数据平面还包含边界网关设备,它可以作为虚拟网络和物理网络进行通信的网关。这种设备通常是NSX Edge(NSX-V中)或二/三层网关(NSX-MH中),它以虚拟服务的形式注册到NSXManager,在虚拟网络与外界通信时,VXLAN到VLAN的转换无论发生在二层网络(桥接时)还是三层网络(路由),都可以由边界网关来进行处理。Edge、二/三层网关除了处理南北向流量外,也提供了类似NFV的一些功能,如实现NAT、VPN、负载均衡等。
NSX控制平面中的主要组件是NSX Controller。它仍然是以虚拟机的形式安装,并以虚拟服务的形式与NSX Manager集成。NSXController在虚拟网络内部,可以看作是数据平面的控制单元。它与数据平面之间不会有任何数据流量的传递,只会将信令发布给数据平面,再由数据平面进行工作。因此NSXController发生任何故障都不会对数据平面的流量造成影响(其实这种故障也不常见,因为NSXController一般都是冗余部署的)。而对外(物理网络),NSX Controller可以使用OVSDB和OpenFlow协议,作为物理网络的SDN控制器,但是VMware尚未针对这个功能提供官方的图形化配置界面,因此要实现这个功能,需要开发人员在API之上通过编程来实现。目前Arista Networks和Brocade两家物理硬件网络厂商的研发人员通过再开发,实现了其网络设备可以交由NSX Controller控制。
除了NSX Controller,控制平面中的其他组件还包括DLR Controller VM,用来处理三层路由协议的控制。
NSX管理平面中的主要组件是NSX Manager,可以通过NSX Manager提供的Web界面配置和管理整个NSX网络虚拟化环境的所有组件。NSX Manager提供的REST API可以为VMware高级云管理平台或第三方云管理平台(CMS/CMP)提供接口。OpenStack同样可以在这里与NSX Manager集成,使得NSX与OpenStack实现融合。
有了这些组件,我们不难看出,NSX可以提供如下网络服务(见图2.5)。
图2.5 NSX网络虚拟化平台能够提供的服务
?交换:在物理网络中的任何位置实现大二层交换网络的扩展,而无需关心底层物理网络架构。
?路由:IP子网之间的路由,可以完全在逻辑网络中完成。由于三层网关由NSXController控制并下发至所有
Hypervisor,因此流量无需经过物理路由器或三层交换机。NSX网络虚拟化环境中的路由是在Hypervisor层通过分布式的方式执行的,每台ESXi主机的CPU消耗很小,可为虚拟网络架构内的路由表提供最佳路径。
?防火墙:安全防护可以在Hypervisor层以及虚拟网卡层面执行。它使用可扩展的方式实施防火墙规则,而不会像
传统部署中在物理防火墙设备上形成流量的瓶颈。NSX防火墙分布式基于Hypervisor内核,只产生极少的CPU开销,并且能够线速执行。
?逻辑负载均衡:支持四到七层的负载均衡服务。 ?VPN服务:可实现二、三层VPN服务和SSLVPN。
?物理网络连接:NSX Edge(或网关)提供虚拟网络到物理网络的二层桥接或三层路由功能。
有了NSX网络虚拟化解决方案,VMware进一步完善了软件定义数据中心(Software Defined Data Center,SDDC)解决方案,即在数据中心中同时满足软件定义网络、软件定义计算、软件定义存储,并实现应用交付的自动化、新旧应用的快速创建和删除,如图2.6所示。SDDC解决方案的核心是让客户以更小的代价来获得更灵活的、快速的业务部署、运维和管理。
图2.6 VMware的完整SDDC解决方案架构
SDDC是相对于传统的硬件定义数据中心(HDDC)提出的。由于没有任何一家IT厂商可以提供底层网络、存储、x86服务器平台与虚拟化软件的全套产品,对不同厂商的产品,也没有一个统一的管理界面,因此传统的HDDC解决方案的效率比较差——IT管理人员需要一一登录到不同设备中进行特殊的、差异化的配置。这样的模式不仅部署和运维的效率较低,而且根本无法实现自动化。而SDDC的核心理念就是通过一套单一的数据中心管理软件,可以在任何x86平台、存储平台、网络平台之上,实现高效地部署和运维,最终实现数据中心自动化。
尽管VMware并不生产物理硬件,但对于数据中心的底层功能而言,其在SDDC拥有全套解决方案——软件定义网络(NSX)、软件定义计算(vSphere)、软件定义存储(VSAN)。该解决方案无需绑定任何物理硬件厂商设备,即可实现数据中心自动化。VMware还有针对SDDC统一部署和管理的云管理平台。
1.4 NSX网络虚拟化应用场景
NSX网络虚拟化平台,适用于所有不同类型的行业中的各种客户。
?对于政府和国企用户,由于其网络设备购买方式往往是集中采购,导致每年不同项目的网络设备的品牌可能都不
相同,而IT管理人员也希望这些不同品牌的网络设备搭建的复杂的大规模网络能够易于维护。NSX网络虚拟化平
台独立于物理网络之上,提供了一套逻辑网络,它不关心底层架构,只要底层网络互通,IT管理人员就可以针对不同应用便捷地创建和删除逻辑网络,使得IT底层架构更加灵活。
?对于医疗和教育行业,它们的数据中心往往会分布在不同院区或校区,NSX网络虚拟化平台可以跨越不同数据中
心实现一套单一的逻辑网络。
?对于金融和证券行业,它们同样有异地数据中心的需求。此外,它们对安全的要求会更高。NSX基于微分段的分
布式防火墙可以帮助这些对安全有着更高要求的用户实现数据中心内部不同应用和业务资源池的精细化安全控制。该行业客户都需要满足各自上级的合规性监管要求,需要可追溯和审计,甚至实时把控其流量和交易的具体信息。该行业的一些应用,如在线交易系统,对流量的延迟、抖动都非常敏感。NSX网络虚拟化平台通过Hypervisor之上的分布式路由、防火墙、负载均衡服务,可以大幅优化流量路径,有效解决了延迟、抖动等问题。
?对于电信运营商,除了异地数据中心的需求和需要实现高灵活性、高可扩展性外,往往还需要实现多租户。NSX
基于主机的Overlay技术,可以创建多个独立的逻辑网络,有效解决了多租户问题。
?对于OTT和互联网行业,业务需要极快的上线、下线速度。NSX网络虚拟化平台可以像在vSphere中创建和删
除虚拟机一样,针对新旧业务快速创建和删除逻辑网络,实现完全自动化的计算资源池。此外,该行业对异地数据中心、安全性和可扩展性也有很高的要求,而这些都是NSX网络虚拟化平台所擅长的。
?对于制造业或设计公司,为了安全起见,其研发、测试、生产环境往往需要在物理上进行隔离,而研发并成功通
过测试的产品,需要快速投放到生产网络中。在以往,这些研发和测试往往需要在独立的网络中进行,导致将产品迁移到生产环境的过程繁琐而漫长。NSX网络虚拟化平台可以创建完全隔离的逻辑网络供研发和测试使用,并在研发和测试成功后,通过去除微分段的安全策略和重新关联子网,无缝切换到生产环境。此外,设计公司往往会使用桌面虚拟化解决方案,而在以往,虚拟桌面之间(尤其是同一网段内的虚拟桌面)可能并没有有效的安全防护措施。NSX基于微分段技术的分布式防火墙可以完美地解决这个问题。
?对于一般企业,还可能产生公司并购、合并的问题,而合并后的公司网络由于合并之前存在架构差异,就算路由
可以互通,也可能产生流量不优化的问题。NSX网络虚拟化平台独立于物理网络,可以帮助这种类型的公司解决物理网络的路由难题。此外,一般的企业都会面临灵活性、安全性等问题,NSX网络虚拟化平台都可以帮助这些企业解决这些难题。