图2.11 Juniper Contrail解决方案架构
Juniper的Contrail解决方案在Overlay层面其实并不是通过VXLAN或NVGRE协议来搭建的,它的架构比较复杂。首先,它通过再编程,在KVM或Xen虚拟机上生成一个vRouter(VituralRouter,虚拟路由器),值得注意的是,vRouter不是虚拟交换机,而是虚拟路由器。Contrail控制器是通过XMPP协议控制vRouter,使得加载vRouter的KVM或Xen主机之间实现了基于MPLS技术的互连。而Contrail控制器在物理网络层面使用BGP协议来互连和扩展物理网络。
3.4 各厂商网络虚拟化解决方案的比较
各个厂商的网络虚拟化解决方案其实各有千秋,本节将对其进行比较。
NSX有如下优势:它无需关心底层物理网络架构,实现了真正的物理网络和逻辑网络的解耦,并将防火墙、负载均衡等功能集成到网络虚拟化平台中,无需特别加入第三方插件。NSX可以使用分布式的架构部署多台NSX Controller作为集群,消除基于软件的SDN控制器带来的瓶颈,且VMware的分布式交换机、分布式路由器有与自身服务器虚拟化的天然集成优势,能做到一致的策略,简化复杂性,保证虚拟机在迁移时,各种网络策略无需绑定其IP地址或端口。其私有的STT协议可以使用网卡进行大包分片工作,也能在NSX-MH环境中大大减轻了服务器CPU的负担。此外,由于NSX的前身是OpenFlow和OVS的发明者Nicira公司的NVP平台,因此NSX
对OpenFlow和OVS的支持非常好。NSX适用于几乎所有行业和客户的数据中心场景——现有数据中心的改造、数据中心新建、数据中心大规模扩容、在多数据中心打通连接、多租户数据中心、对东西向流量安全有需求的数据中心环境、大量部署虚拟桌面的数据中心环境,还能支持混合云,打通公有云和私有云间的隧道。
Cisco认为其ACI架构是完全以应用为中心的,并指责NSX解决方案是“以VMware为中心”的。其实,NSX解决方案支持所有主流开源虚拟化平台和开源数据中心管理平台,并无“以VMware为中心”一说。而NSX解决方案与F5等应用交付解决方案提供商的软件定义应用服务(SoftwareDefined Application Service,SDAS)解决方案相结合,同样可以构筑一套以应用为中心的架构。其实CiscoACI本身也需要F5这样的应用交付厂商的支持,才能实现真正的以应用为中心的架构。就目前而言,ACI“以应用为中心”的理念,其实看起来更像是“更好地实现了应用的QoS”而已,而无法独立地对应用进行自动化的部署和运维。
ACI的优势在于可以更好地支持有物理服务器的数据中心环境,因为连接物理服务器的Nexus9000系列交换机可以直接作为VXLAN的VTEP终结点,并且其解决方案提出的承诺模型能够有效地解决应用的QoS配置难题。另外,物理网络和虚拟网络得到了APIC控制器的统一管理和一致的可视化视图。然而,ACI解决方案最大的问题在于其物理网络硬件的局限性——ACI架构必须使用Cisco Nexus 9000系列交换机搭建底层物理网络,且在Nexus9000上需要配置专门的支持ACI的板卡,其他任何网络厂商的设备,甚至Cisco自己的其他型号交换机,都无法支持ACI。因为这个原因,ACI架构无法适用于数据中心改造和扩容项目,只能用于数据中心新建或重建。
Microsoft HNV网络虚拟化解决方案的优势在于价格,因为使用HNV解决方案不会产生任何额外的费用,它只是Hyper-V的一个附加功能。实现NSX网络虚拟化环境,需要在每台安装ESXi的物理服务器上按照CPU数量购买license,或根据部署KVM或Xen的物理服务器的CPU数量进行收费;而实现ACI,则需要将底层交换机全部换成Nexus 9000系列及支持ACI的二层、三层板卡,且至少需要购买3台物理APIC控制器。另外,对于Microsoft的应用,如SharePoint、Exchange,其网络虚拟化解决方案能达到最佳融合。Microsoft解决方案的劣势在于不能安装在非Hyper-V环境,NVGRE协议负载均衡较差,不能将物理网络和虚拟网络进行融合,并且它的管理平台也不是单一、集中的,而其底层的WindowsServer操作系统,也需要经常停机维护并进行打补丁和升级的工作——这是Windows Server所有应用的通病。
根据前面的介绍可知,Juniper的Contrail解决方案其实存在不少问题。首先,它只能运用在KVM和Xen环境,对于非开源的ESXi和Hyper-V无能为力。此外,它实现Overlay的方式极其复杂,是通过安装vRouter并在vRouter之上实现基于MPLS的互联,租户之间的隔离则是使用传统的VRF技术。最后,Contrail通过XMPP协议管理vRouter,对于物理网络,用的又是BGP协议,整个架构非常复杂,而且打造的也不是一个真正意义上的大二层网络(可以看成是一个大三层网络)。Juniper公司是一家以运营商网络和安全著称的公司,因此在数据中心架构的设想上,结合了大量运营商的路由技术。虽然其在功能上有优势,但是由于实现复杂,流量不优,不易实现大二层网络,因此现在在市场推广上阻力重重。
4.与VMwareNSX相关的认证
资格认证是IT行业的生命线,这些认证可以标识一名工程师或销售人员对某具体领域的知识和能力掌握的特定级别。有一些认证是通用的,不会具体到特定产品,如PMP、CISSP等。而几乎每家IT厂商都会为自己的产品和解决方案设计特定的资格认证,如Cisco、Microsoft、Oracle等。VMware自然也不会例外。本节会介绍VMware的认证体系以及与NSX相关的认证考试。
4.1 VMware认证体系简介
VMware于2003年开始针对自己的服务器虚拟化产品推出了相关认证,即VMware认证工程师(VCP,VMware CertifiedProfessional)。
苏珊·古登考夫(Susan Gudenkauf)是VMware在美国明尼苏达州的一名员工,她在2003年获得了VCP认证,也是全球第一位VCP。当时这个认证考试以笔试形式出现,其中一部分为多项选择题,一部分为主观题,试题都是基于ESX1.5版本的。现在全球差不多有近十万名工程师拥有VCP认证。VCP认证考试这些年来随着产品版本的不断变化而更新。
想要成为一个VCP,首先必须参加认证的培训课程,并且通过笔试。参加培训课程是强制性的——即使是经验丰富的工程师也必须参加一个基础课程才有资格参加考试。之后在测试中得分达线的话,就成为VCP了。
之后,Vmware针对初级工程师又推出了VCA(VMware Certified Associate)级别的认证。该认证考试并不强迫参加培训。而对于高级工程师,VMware推出了高于VCP的VCAP(VMwareCertified Advanced Professional)认证,必须在获得VCP之后才有资格参加该考试。而最高级别的认证VCDX(VMwareCertified Design Expert)是IT行业内难度最大的认证之一,拥有业内最高的含金量。至本书截稿为止,全球VCDX的总人数也仅为200余人,其中一半以上是VMware员工,而国内还没有人员获得任何方向的VCDX认证(国际上,有极少数的几名外籍华人获得了数据中心虚拟化方向的VCDX认证)。
之后,VMware的产品不再局限于服务器虚拟化,还涵盖了桌面虚拟化软件和数据中心运维和管理工具。2013年,随着NSX网络虚拟化平台的推出,VMware的产品线更加丰富。因此,VCP、VCAP、VCDX的认证方向越来越多——包含了4个方向。表2.3为2015年12月之前的VMware认证考试框架。
表2.3 2015年12月之前的VMware认证考试框架
4.2 与NSX相关的VMware认证与考试
VMware于2014年推出了与NSX网络虚拟化相关的认证考试,分别为VCP-NV、VCIX-NV、VCDX-NV,难度逐渐递增,证书含金量逐级增加。2015年,又增加了VCA-NV考试项目。2015年11月30日之后,认证考试分别更新为VCA6-NV、VCP6-NV、VCIX6-NV、VCDX6-NV,考试环境基于NSX 6.2和vSphere 6.0版本,而旧的考试项目是基于NSX 6.0和vSphere 5.5的。
VCA6-NV的全称为VMware Certified Associate 6- Network Virtualization,它是VMware推出的网络虚拟化助理工程师认证,即入门级。在VUE考试中心注册并付款后,即可参加考试。考试形式为开卷的网络在线考试,只要有互联网连通即可进行考试,考试内容全部为选择题,本书完全涵盖该门考试的所有考点。
VCP6-NV的全称为VMware Certified Professional6 - Network Virtualization,它是VMware推出的网络虚拟化专业工程师认证,拥有较高的含金量。想要获得该门考试资格,必须持有其他任何一门方向的VMwareVCP证书。如果没有其他方向的VCP证书,就必须参加VMwareNSX的原厂培训课程,之后才能获得该门考试资格。获得考试资格后,需要在VUE考试中心注册并付款,然后前往指定的VUE考点参加考试。考试形式为闭卷,内容全部为选择题,本书完全涵盖该门考试的所有考点。
VCIX6-NV的全称为VMware CertifiedImplementation Expert 6 - Network Virtualization,它是VMware推出的网络虚拟化部署专家认证,拥有极高的含金量。想要获得该门考试资格,需持有至少一门任何方向的VMware VCP证书(当然包括VCP-NV)。获得考试资格后,需要在VUE考试中心注册并付款,然后必须前往指定的VUE考点,才能参加考试。考试形式为闭卷,内容全部为操作题,4小时内完成约10个实验,在实现考试要求的大部分实验现象后,才算通过该门考试。本书完全涵盖该门考试的所有考点,但是需要考生在考试前进行大量实验,对部署、配置和排错能力进行训练,以熟悉NSX各组件的动手操作过程。国内目前获得该门认证的人数寥寥无几。
VCDX6-NV的全称为VMware Certified DesignExpert 6 - Network Virtualization,它是VMware推出的网络虚拟化设计架构师认证,与其他方向VCDX证书一样,是虚拟化行业内最高等级的认证证书,拥有业内最高的含金量,也是IT行业内最难通过的考试之一。想要获得该门考试资格,必须持有VCIX-NV证书。在考试付款成功后,
VMware总部会安排考生进行英文面试,现场回答面试官提出的各种问题,并按照面试官要求设计出一整套完整的网络虚拟化架构。至本书截稿为止,全球通过VCDX-NV方向认证的人数仅为40余人。
总结
? NSX的核心设计思想与服务器虚拟化的设计思路如出一辙,都是在底层硬件中抽象出所需的服务 ? NSX分为管理、控制、数据三个平面,每个平面各有自己的组件。
? 目前,NSX-V中使用的Overlay技术是VXLAN,NSX-MH则使用STT作为默认的隧道技术。VMware正针
对其现存问题与其他厂商共同研发新的Geneve协议。
? NSX、CiscoACI、Microsoft的网络虚拟化解决方案各有千秋。
? NSX有4门相关的认证考试——VCA6-NV、VCP6-NV、VCIX6-NV、VCDX6-NV,考试难度与证书含金量逐
级递增。