|
以前的大二層技術(shù)�,一般是在物理網(wǎng)絡(luò)底層使用IS-IS路由技術(shù)�,再在此基礎(chǔ)之上,實現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)的二層擴展����,如公有的Trill、SPB技術(shù)和Cisco私有的OTV�����、Fabricpath技術(shù)��;前沿一些的網(wǎng)絡(luò)虛擬化技術(shù)���,使用了VXLAN�����、NVGRE等協(xié)議�,突破VLAN和MAC的限制,將數(shù)據(jù)中心的大二層網(wǎng)絡(luò)擴展的更大。而使用VMware NSX����,則更進一步——我們可以對網(wǎng)絡(luò)提供已對計算和存儲實現(xiàn)的相同虛擬化功能。就像服務(wù)器虛擬化可以通過編程方式創(chuàng)建����、刪除和還原基于軟件的虛擬機以及拍攝其快照一樣��,NSX網(wǎng)絡(luò)虛擬化也對基于軟件的虛擬網(wǎng)絡(luò)實現(xiàn)這些同樣的功能。這是一種具有徹底革命性的架構(gòu),不僅使數(shù)據(jù)中心管理人員能夠大大提高系統(tǒng)的將敏捷性��、可維護性、可擴展性,而且還能大大簡化底層物理網(wǎng)絡(luò)的運營模式。NSX能夠部署在任何IP網(wǎng)絡(luò)上���,包括所有的傳統(tǒng)網(wǎng)絡(luò)模型以及任何供應(yīng)商提供的新一代體系結(jié)構(gòu),無需對底層網(wǎng)絡(luò)進行重構(gòu)���。不難看出,VMware NSX的核心思想��,就是將VMware多年致力發(fā)展的服務(wù)器虛擬化技術(shù)�,移植到了網(wǎng)絡(luò)架構(gòu)中(如下圖所示)���。
實現(xiàn)服務(wù)器虛擬化后�,軟件抽象層(服務(wù)器虛擬化管理程序����,hypervisor)可在軟件中重現(xiàn)人們所熟悉的x86物理服務(wù)器屬性�,例如 CPU、RAM��、磁盤�����、網(wǎng)卡����,從而可通過編程方式以任意組合來組裝這些屬性����,只需短短數(shù)秒�,即可生成一臺獨一無二的虛擬機��。
實現(xiàn)網(wǎng)絡(luò)虛擬化后�,與hypervisor類似的“網(wǎng)絡(luò)虛擬化管理程序”功能可在軟件中重現(xiàn)二到七層的整套網(wǎng)絡(luò)服務(wù),例如交換、路由����、訪問控制、防火墻���、QoS、負載均衡�。因此�����,與服務(wù)器虛擬化的理念相同���,我們可通過編程方式以任意組合來組合這些服務(wù),只需短短數(shù)秒����,即可生成獨一無二的隔離式虛擬網(wǎng)絡(luò)。
除此之外,基于NSX的網(wǎng)絡(luò)虛擬化方案還能提供更多的優(yōu)勢。例如,就像虛擬機獨立于底層x86平臺并允許將物理服務(wù)器視為計算容量池一樣�,虛擬網(wǎng)絡(luò)也獨立于底層網(wǎng)絡(luò)硬件平臺并允許將物理網(wǎng)絡(luò)視為可以按需使用和調(diào)整用途的傳輸容量池。與傳統(tǒng)體系結(jié)構(gòu)不同�,NSX可以通過編程方式調(diào)配����、更改、存儲、刪除和還原虛擬網(wǎng)絡(luò),而無需重新配置底層物理硬件或拓撲。這種革命性的組網(wǎng)方式能夠讓企業(yè)從已熟悉的服務(wù)器虛擬化解決方案獲得的能力和優(yōu)勢相匹配����。
由于使用了NSX解決方案后的底層網(wǎng)絡(luò)架構(gòu)產(chǎn)生了質(zhì)的變化�����,以NSX網(wǎng)絡(luò)平臺搭建的數(shù)據(jù)中心最終達到的效果就是�����,無論系統(tǒng)規(guī)模多大�,無論物理服務(wù)器�����、虛擬機有多少臺,無論底層網(wǎng)絡(luò)多么復(fù)雜,無論多站點數(shù)據(jù)中心跨越多少地域,在NSX網(wǎng)絡(luò)的幫助下,對于IT管理人員和使用者來說�����,這些運行在多站點數(shù)據(jù)中心復(fù)雜網(wǎng)絡(luò)之上的成千上萬臺的虛擬機���,好像是運行在一臺物理服務(wù)器里一樣�����。
NSX無需關(guān)心底層物理網(wǎng)絡(luò)���,使用自己創(chuàng)建的邏輯網(wǎng)絡(luò)即可����,那么是否一定要部署在VMware的虛擬化環(huán)境中�?答案也是否定的����。NSX可以部署在VMware vSphare���、KVM、Xen等諸多虛擬化環(huán)境,也可以集成在Openstack環(huán)境之上。主流虛擬化平臺中,目前只有微軟Hyper-V是不支持NSX的。
NSX網(wǎng)絡(luò)虛擬化分vSphare環(huán)境下的NSX(NSX-V)和多虛擬化環(huán)境下的NSX(NSX-MH),是不同的軟件�,最新版本分別是6.2.0和4.2.4,這點在部署之前就需要了解��。其中,NSX-MH更像原生態(tài)的Nicira NVP平臺,主要在KVM和Xen之上,基于OVS實現(xiàn)網(wǎng)絡(luò)虛擬化。
但是,無論使用NSX-V還是NSX-MH��,其基本邏輯架構(gòu)都是相同的�����,不同點僅為數(shù)據(jù)平面中的一些組件(如NSX-V中,虛擬交換機為vSphare分布式交換機�����,而NSX-MH中�����,虛擬交換機為OVS)����。下圖為NSX網(wǎng)絡(luò)虛擬化架構(gòu)的基本示意圖。它建立在底層物理網(wǎng)絡(luò)之上�,在邏輯網(wǎng)絡(luò)中�����,分數(shù)據(jù)平面����、控制平面�����、管理平面。其中數(shù)據(jù)平面中�����,又分分布式服務(wù)(包括邏輯交換機、邏輯路由器�����、邏輯防火墻)和NSX網(wǎng)關(guān)服務(wù)��?��?刂破矫娴闹饕M件是NSX控制器。而管理平面的主要組件是NSX Manager���。請看下圖所示��。
- 有了這些組件�����,NSX可以提供的功能服務(wù)如下:
交換:在網(wǎng)絡(luò)中的任何位置實現(xiàn)大二層交換網(wǎng)絡(luò)的擴展���,而無需考慮底層物理網(wǎng)絡(luò)�����。
- 路由:IP子網(wǎng)之間的路由���,可以在邏輯網(wǎng)絡(luò)中完成,不需要有流量出到物理路由器或三層交換機��。這種路由是在虛擬機的Hypervisor層執(zhí)行的,CPU消耗很小,可為虛擬網(wǎng)絡(luò)架構(gòu)內(nèi)的路由表提供最佳路徑��。
- 防火墻:有了這個功能�����,安全防護就可以在Hypervisor層以及虛擬網(wǎng)卡層面執(zhí)行����。這將能夠以可擴展的方式實施防火墻規(guī)則,而不會在物理防火墻設(shè)備上造成瓶頸�����。防火墻分布在Hypervisor層之上,只產(chǎn)生極少的CPU開銷��,并且能夠線速執(zhí)行�。
- 邏輯負載平衡:支持四到七層的負載平衡,并且能夠執(zhí)行SSL端接�。
- VPN服務(wù):可實現(xiàn)二、三層VPN服務(wù)����。
NSX-V的架構(gòu),其實非常簡單���,因為它的邏輯層次非常清晰——管理平面�����、控制平面���、數(shù)據(jù)平面,每個平面中的組件也不多�。但是,有些人認為它又是非常復(fù)雜的���,因為深入研究數(shù)據(jù)平面之后�����,人們會發(fā)現(xiàn)盡管其功能實現(xiàn)看似非常簡單�����,但是其轉(zhuǎn)發(fā)原理���、轉(zhuǎn)發(fā)行為還是非常復(fù)雜的。插一句���,剛才是整體介紹����,現(xiàn)在進入NSX-V的介紹�。這是NSX-V的架構(gòu)圖。
其中�,控制平面的主要組件是NSX Controller。而管理平面的主要組件是NSX Manager��。NSX-V和NSX-MH主要的不同��,在于數(shù)據(jù)平面的組件。
NSX-V的數(shù)據(jù)平面���,分分布式服務(wù)(包括邏輯交換機���、邏輯路由器、邏輯防火墻)和NSX Edge網(wǎng)關(guān)服務(wù)�����,分分布式服務(wù)主要用于終端(虛擬機)之間的東西向流量通訊服務(wù)�,而NSX Edge網(wǎng)關(guān)服務(wù)主要用于邏輯網(wǎng)絡(luò)和物理網(wǎng)絡(luò)之間的南北向流量的通訊服務(wù)和一些分布式服務(wù)無法實現(xiàn)的功能,如負載均衡��。其底層虛擬化環(huán)境���,為ESXi Hypervisor�,也就是純vSphare環(huán)境���,不允許其他任何虛擬化平臺介入��,而NSX-MH的底層虛擬化環(huán)境可以是除了Hyper-V以外的任何Hypervisor���。NSX-V的分布式服務(wù)��,都是搭建在vSphare分布式交換機之上的�,而在NSX-MH中則搭建在OVS之上����。NSX Edge網(wǎng)關(guān)����,同樣也主要是利用ESXi主機中的虛擬機進行搭建,而在NSX-MH中��,這個組件被功能稍有缺失的NSX二層/三層網(wǎng)關(guān)替代了�����。
根據(jù)NSX-V的邏輯架構(gòu)�����,我們很容易看出�,通過邏輯網(wǎng)絡(luò)的這些組件提供的網(wǎng)絡(luò)抽象與分布式服務(wù),它與物理網(wǎng)絡(luò)實現(xiàn)了完全的解耦����。虛擬機之間的通訊�,可以通過VXLAN的封裝�,完全在邏輯網(wǎng)絡(luò)內(nèi)部完成,與物理網(wǎng)絡(luò)的底層架構(gòu)已經(jīng)沒有任何關(guān)系了���,只有虛擬機通過NSX Edge與外界進行通訊時�����,才會考慮與物理網(wǎng)絡(luò)的路由和交換策略���。
NSX-V管理平面的組件,是NSX Manager�,它是一種用于運維和管理的Cloud Management Platform(CMP)。在NSX-V環(huán)境下��,NSX Manager是以虛擬設(shè)備的形式����,以虛擬機的形式,安裝在ESXi主機中�。NSX Manager的功能主要在于配置邏輯交換機,并將虛擬機連接至邏輯交換機���,之后����,就可以在邏輯交換機之上進行配置分布式邏輯路由器、分布式防火墻等服務(wù)�����。此外��,NSX Edge網(wǎng)關(guān)服務(wù)也是在NSX Manager的界面上配置的���。NSX Manager提供了一個用于管理的配置界面(UI),作為NSX的API連接點���,其絕大部分配置都可以在這個圖形化的配置界面上進行�����,而不需要開發(fā)人員使用編程語言來完成���。
在NSX-V環(huán)境中,NSX Manager是需要與與vCenter連接并集成的��,它們之間需要1:1的匹配關(guān)系���,換句話說����,如果我們在vSphare虛擬化平臺中部署了兩臺vCenter,那么�����,我們就需要部署兩個NSX Manager�����。NSX Manager通過注冊到vCenter��,在vSphere Web Client上提供了一個插件���,進入這個插件的圖標����,我們就可以對NSX-V網(wǎng)絡(luò)虛擬化平臺進行部署和配置了��。
NSX Manager的幾個主要職責(zé)如下所述:
1.配置NSX Controller集群���。
2.在ESXi主機的hypervisor之上安裝vSphere Installation Bundles(VIBs)�����,以開啟VXLAN��、分布式路由器���、分布式防火墻功能�,并與NSX Controller集群進行信令的信息交互���。
3.配置NSX Edge服務(wù)網(wǎng)關(guān),以關(guān)聯(lián)負載均衡���、VPN���、NAT等網(wǎng)絡(luò)服務(wù)。為各種網(wǎng)絡(luò)服務(wù)創(chuàng)建模板����、快照等功能,實現(xiàn)快速和自動化部署邏輯網(wǎng)絡(luò)的功能����。為NSX Controller創(chuàng)建自簽名證書�,以允許ESXi主機加入NSX域�����,以增強NSX控制平面的安全性��。
4.提供網(wǎng)絡(luò)流量的采集和監(jiān)控功能�����。NSX Controller是控制平面的組件�����。它的職責(zé)是管理hypervisor之上的交換和路由模塊���。它同樣是以虛擬機的形式�,部署在ESXi主機之上���。為了便于擴展和提高高可用性���,NSX Controller一般建議配置為集群模式(VMware建議配置至少3個NSX Controller作為集群)。每一個NSX Controller建議使用至少4個vCPU和4GB的內(nèi)存,必須部署在同一個vCenter里�����。在部署中����,集群中的第一個節(jié)點設(shè)置的密碼會同步到集群中的其他節(jié)點。
NSX Controller作為控制平面��,負責(zé)轉(zhuǎn)發(fā)平面流量的集中式的策略控制�����。它能提供:
- 向ESXi主機分發(fā)VXLAN和邏輯路由信息�。
- 建立NSX Controller集群,在集群內(nèi)部進行工作流的分布����。
- 在物理網(wǎng)絡(luò)中去除組播路由�。客戶無需提供組播IP地址�,也無需提供支持PIM路由或IGMP Snooping的物理網(wǎng)絡(luò)設(shè)備。
在VXLAN網(wǎng)絡(luò)環(huán)境中抑制ARP廣播流量���,減少二層網(wǎng)絡(luò)的ARP廣播泛洪���。
在NSX-V架構(gòu)中�����,數(shù)據(jù)平面是基于VDS搭建的����。VDS需要在每一個ESXi的hypervisor上啟用��,而每一個ESXi主機��,都有一個用戶空間和一個內(nèi)核空間(如下圖所示)��。
我們通過將VMware Installation Bundles(VIBs)安裝到ESXi主機hypervisor的內(nèi)核空間����,以實現(xiàn)NSX-V的各種功能——分布式交換和路由、分布式防火墻和VXLAN的封裝與解封裝����。
而用戶空間,則是用于與控制平面���、管理平面提供通訊路徑的組件��;
RabbitMQ消息隊列用于vsfwd(RabbitMQ客戶端)和以進程形式寄宿在NSX Manager之上的RabbitMQ服務(wù)器建立通訊連接����。通過這個通訊連接,是NSX Manager將各種信息發(fā)送到ESXi主機:策略規(guī)則用于實現(xiàn)內(nèi)核模塊之上的分布式防火墻�;Controller節(jié)點IP地址、私鑰和主機證書用于主機與Controller之間的通道認證�����,以安全創(chuàng)建���、刪除分布式路由器實例�����。
User World Agent進程(netcpa)����,是ESXi Hypervisor與Controller集群建立的SSL通訊通道之上����,再進行TCP連接。利用控制平面與ESXi Hypervisor的通道�����,NSX Controller可以將MAC地址表�、ARP表和VTEP表填充之自己的表項中,以保持邏輯網(wǎng)絡(luò)中的已建立的連接的快速通訊��。
以上是整體架構(gòu),我們接下來具體聊聊數(shù)據(jù)平面
首先看看NSX交換和“虛擬到物理”的連接����,同時,需要VXLAN到VLAN的橋接��。
在NSX網(wǎng)絡(luò)虛擬化平臺中�����,邏輯交換機將孤立的二層網(wǎng)絡(luò)進行了徹底的整合����,對用戶而言,極大提升了靈活性和敏捷性�����。無論虛擬或物理的終端,都能便捷地連接到自己在數(shù)據(jù)中心中的邏輯子網(wǎng)����,并建立一個與物理拓撲無關(guān)的、獨立的鏈路連接�。這一切優(yōu)勢,都在于物理網(wǎng)絡(luò)(Underlay)和邏輯網(wǎng)絡(luò)(Overlay)的解耦�,實現(xiàn)了NSX網(wǎng)絡(luò)虛擬化。
下圖就是物理網(wǎng)絡(luò)和邏輯網(wǎng)絡(luò)分離后的架構(gòu)示意圖��。邏輯網(wǎng)絡(luò)通過使用VXLAN Overlay�,允許二層網(wǎng)絡(luò)在不同的服務(wù)器機架中橫向擴展(甚至可以跨越不同數(shù)據(jù)中心),這種擴展與底層的物理架構(gòu)是完全獨立的�����。
VXLAN有了�����,它基于VLAN�����,可以對802.1Q協(xié)議的VLAN數(shù)量限制進行指數(shù)級的擴展(達到16777216個網(wǎng)段)���。
VXLAN則更進一步是將以太網(wǎng)報文封裝在UDP傳輸層上的一種隧道轉(zhuǎn)發(fā)模式�����。它定義了一個名為VTEP(VXLAN隧道終結(jié)點)的實體����,用于VXLAN隧道兩端的流量封裝和解封裝���,在VMware NSX平臺中��,我們使用虛擬機kernel interface來處理VTEP�。它添加了一個新的標簽VNI(VXLAN標識符)����,用來取代VLAN標識VXLAN的網(wǎng)段,在VMware NSX平臺中�����,VNI的號碼是5000開始的��。
此外�����,在VMware NSX平臺中,我們使用VETP代理工作機制����,負責(zé)將VXLAN流量從本地子網(wǎng)傳輸?shù)搅硪粋€子網(wǎng)。而傳輸區(qū)域(Transport Zone)則是VNI的可配置的邊界����。相同傳輸區(qū)域中的vSphere集群,使用了相同的VNI�,一個傳輸區(qū)域可以包含不同vSphere集群中的ESXi主機,當然�����,一個vSphere集群也可以是不同傳輸區(qū)域的一部分�。傳輸區(qū)域會告知主機或集群邏輯交換機被創(chuàng)建。
在這里���,我們簡單闡述一下在VXLAN Overlay中�,不同ESXi hosts的虛擬機之間建立二層連接的過程:
1.虛擬機1發(fā)起一個去往同一邏輯子網(wǎng)的虛擬機2的幀請求�。
2.虛擬機1所在的ESXi主機定義了一個VTEP,在流量被發(fā)送到傳輸網(wǎng)絡(luò)之前,對流量進行封裝����。
3.傳輸網(wǎng)絡(luò)只需要知道源目的ESXi主機的IP地址,就可以在兩個地址之間建立VXLAN隧道��。
4.目的ESXi主機收到了VXLAN幀���,對其進行解封裝,并確認它所在的二層子網(wǎng)(利用VNI標識)���。
5.最終��,這個幀被傳遞到虛擬機2��。
傳輸過程的示意圖如下:
以上是當不同ESXi主機的兩個虛擬機需要直接通信時���,VXLAN流量被源目ESXi主機的Hypervisor封裝、解封裝并最終相互通信的基本情況�����,這種情形還是比較簡單和易于理解的�。但是有時候,在三種情況下,VXLAN流量從一個虛擬機發(fā)起�����,需要被發(fā)送到同一個NSX邏輯交換機下掛的所有虛擬機:
1��、廣播(Broadcast)
2�、不知道目的的單播(Unknown Unicast)
3、組播(Multicast)
我們通常把這種多目的的流量���,叫做BUM(Broadcast, Unknown Unicast, Multicast)�����。在以上三種情形的任何一種情況下�,源虛擬機發(fā)起的流量����,都會被復(fù)制到統(tǒng)一邏輯網(wǎng)絡(luò)中的遠端的多個主機。NSX支持三種不同的復(fù)制方法�,以支持其基于邏輯交換機的VXLAN流量的多目的通訊:
1、組播(Multicast)
2����、單播(Unicast)
3、混合(Hybrid)
對于從虛擬網(wǎng)絡(luò)物理網(wǎng)絡(luò)的二層網(wǎng)絡(luò)通訊,可能會有很多個場景��。一些典型的場景如下所述:
1.部署一個典型的多層應(yīng)用模型——這一般是Web(前端)層�、應(yīng)用層、數(shù)據(jù)庫層�。我們往往在數(shù)據(jù)庫部署時采用“多虛一”的技術(shù),如Oracle RAC解決方案���,這就需要使用多臺物理服務(wù)器進行集群處理,將他們看成一臺數(shù)據(jù)庫服務(wù)器來使用����,而這樣的應(yīng)用往往不會運行在虛擬化環(huán)境上,因為在這種情形下����。它們無需“一虛多”當數(shù)據(jù)庫服務(wù)器沒有運行在虛擬化環(huán)境的時候,我們就需要建立一個同一子網(wǎng)中的應(yīng)用層到數(shù)據(jù)庫層的“虛擬到物理”的二層通訊�����。
2.物理服務(wù)器向虛擬機的遷移——即使Physical to virtual(P2V)�����。由于服務(wù)器虛擬化蓬勃發(fā)展,大多數(shù)企業(yè)都希望將之前在物理服務(wù)器中部署的應(yīng)用遷移到虛擬化環(huán)境���,在遷移過程中����,就可能需要在同一子網(wǎng)中的不同的物理和虛擬節(jié)點中實現(xiàn)“物理到虛擬”的二層通訊�。
3.將外部的物理設(shè)備作為默認網(wǎng)關(guān)——在這種情形下,一個物理的網(wǎng)絡(luò)設(shè)備可能會被部署為默認網(wǎng)關(guān)���,用于虛擬的工作流連接邏輯交換機����。因此�,一個二層的網(wǎng)關(guān)功能就需要建立,這同樣是“虛擬到物理”的二層通訊����。
4.部署其他物理設(shè)備——如在數(shù)據(jù)中心不是獨立于NSX虛擬網(wǎng)絡(luò)的物理防火墻、物理負載均衡設(shè)備時�����,同樣需要“虛擬到物理”的二層通訊�。這也是實現(xiàn)NSX生態(tài)圈的重要手段��。
部署其他物理設(shè)備——如在數(shù)據(jù)中心不是獨立于NSX虛擬網(wǎng)絡(luò)的物理防火墻����、物理負載均衡設(shè)備時���,同樣需要“虛擬到物理”的二層通訊����。這也是實現(xiàn)NSX生態(tài)圈的重要手段��。
在NSX Manager中使用了簡化的UI來配置邏輯路由器�,非常便于進行配置和維護�,在這里,我們使用動態(tài)路由協(xié)議對NSX邏輯路由進行發(fā)現(xiàn)和宣告的操作��?�?刂破矫嫒匀贿\行在NSX Controller集群中�����,而數(shù)據(jù)平面交給ESXi主機的Hypervisor來處理�。換言之��,在虛擬機內(nèi)部我們就可以進行路由的各種操作�,包括算法�����、鄰居發(fā)現(xiàn)��、路徑選擇����、收斂等,而無需離開虛擬化環(huán)境��,在物理網(wǎng)絡(luò)平臺中進行處理��。有了NSX邏輯路由功能��,我們舉可以方便地在虛擬三層網(wǎng)絡(luò)中����,對路由選擇最佳路徑。此外��,我們還更好地實現(xiàn)多租戶環(huán)境�,比如在虛擬網(wǎng)絡(luò)中����,不同的VNI中有相同的IP地址�,我們就可以部署兩個不同的分布式路由器實例,一個連接租戶A����,一個連接租戶B,保證網(wǎng)絡(luò)中不會引起任何沖突��。
NSX Manager首先配置了一個路由服務(wù)���。在配置過程中�����,NSX Manager部署了一個管理邏輯路由的虛擬機,它是NSX Controller的一個組件�����,支持OSPF與BGP協(xié)議��,此外��,在之前章節(jié)中,我們?yōu)?b style="background-color: rgb(160, 255, 255);">NSX Manager為ESXi配置了一個內(nèi)核模塊�����。在邏輯路由功能中����,它的作用相當于機箱式交換機中指出三層路由功能的線卡,可以從NSX Controller集群中得到路由信息�、接口信息,并負責(zé)轉(zhuǎn)發(fā)平面的所有功能�����。
下圖為邏輯路由連接不同的邏輯交換機�,并與物理網(wǎng)絡(luò)交互的典型部署模式的示意圖。這樣的部署有兩個目的:
1�����、連接屬于分離的二層網(wǎng)絡(luò)的終端(無論終端屬于邏輯還是物理網(wǎng)絡(luò))
2�����、連接分屬于邏輯網(wǎng)絡(luò)中的終端與屬于外部物理三層網(wǎng)絡(luò)的設(shè)備
第一種情形����,往往發(fā)生在數(shù)據(jù)中心內(nèi)部���,為東西向流量。而第二種情形�,為南北向流量的通訊,將數(shù)據(jù)中心連接到外部物理網(wǎng)絡(luò)(如WAN�����、Internet�、等)。
第一種狀況��,就是我們通常說的NSX分布式路基路由���,而第二種����,則是Edge路由���,我們在NSX Edge網(wǎng)關(guān)上實現(xiàn)路由功能。
邏輯架構(gòu)圖如下:
分析了NSX分布式邏輯路由之后�����,我們分析一下這樣的部署比起使用傳統(tǒng)物理網(wǎng)絡(luò)部署有什么優(yōu)勢。
在傳統(tǒng)物理網(wǎng)絡(luò)中�,對于同一個主機內(nèi)的一個Web服務(wù)器與App服務(wù)器的通信,由于他們處在不同網(wǎng)段���,需要三層交換機來處理它們之間的流量�,因此��,流量在出主機后需要經(jīng)過ToR二層交換機去往核心交換機�����,再回到二層交換機并重新進入主機�����,需要4跳連接��。當然�,如果ToR交換機開啟了三層功能,通信則只需要2跳�����。而在NSX環(huán)境中,由于我們直接在主機的hypervisor層面實現(xiàn)了三層功能��,因此�����,Web服務(wù)器與App服務(wù)器是直連的��,它們之間的通信連接是0跳�����,如下圖所示���。值得注意的是����,無論NSX-V還是NSX-MH環(huán)境�����,就流量的跳數(shù)問題上���,達成的效果都是一致的���。今天沒有時間深入分析了,里面技術(shù)細節(jié)其實非常多����。
對于不同主機之間的三層連接,NSX環(huán)境也可以將在傳統(tǒng)物理網(wǎng)絡(luò)中需要的4跳連接精簡為2跳(如下圖所示)�����。
交換和路由簡單介紹完了����,我們進入NSX Edge。NSX Edge網(wǎng)關(guān)能實現(xiàn)哪些服務(wù)呢�?我們看一張真實的配置界面截圖:
這里面所有寫到的功能,Edge都是支持的�����。其中NAT分兩種����,Source NAT和Destination NAT。分別用做出外網(wǎng),和內(nèi)部信息發(fā)布的地址轉(zhuǎn)換��,或保護敏感數(shù)據(jù)���。
NSX Edge有兩種部署負載均衡服務(wù)——單臂模式和在線模式���。單臂模式又叫代理模式,專門使用一個NSX Edge部署在數(shù)據(jù)中心內(nèi)部����。
下圖為同一個主機內(nèi)的虛擬機之間,使用傳統(tǒng)模式和NSX單臂模式部署負載均衡的情況下���,Web服務(wù)器與App服務(wù)器進行交互并對外提供服務(wù)的流量模型���。在傳統(tǒng)模式中,對于Web服務(wù)器與App服務(wù)器之間的東西向的三層流量����,需要經(jīng)過二層交換機、三層交換機����、旁路模式部署的防火墻�����,再回到三層交換機��、二層交換機、物理服務(wù)器主機��,才能進行通訊����,這個過程,需要6跳連接��。在Web服務(wù)器與App服務(wù)器建立連接后�,就可以對外提供Web服務(wù)了,外界訪問Web服務(wù)器的南北向流量�����,需要先抵達核心交換機����,繞到防火墻進行過濾(如只允許HTTP和HTTPS的流量)并返回核心交換機,這時候��,需要再次繞到負載均衡服務(wù)器進行處理并返回核心交換機,然后才能通過二層交換機抵達主機并訪問Web服務(wù)�,這個過程一共有7跳連接,全部過程一共13跳�����。而在NSX環(huán)境中�����,同一個主機內(nèi)的Web服務(wù)器與App服務(wù)器盡管處在不同網(wǎng)段���,卻可以在邏輯網(wǎng)絡(luò)內(nèi)部實現(xiàn)直接的連接(0跳)�����,而對外提供服務(wù)時��,外部訪問流量通過核心三層交換機�、二層交換機后去往NSX Edge����,在這個NSX Edge串接在邏輯網(wǎng)絡(luò)和物理網(wǎng)絡(luò)之間,提供防火墻服務(wù)�,之后返回二層交換機�,進入主機就可以訪問負載均衡Web服務(wù)了���,由于單臂模式下�����,負載均衡和Web服務(wù)器之間是直連的(0跳)�����,因此整個過程只有5跳連接。
對于不同主機內(nèi)的虛擬機的情形��,與同主機內(nèi)類似����。如下圖所示,使用傳統(tǒng)模式實現(xiàn)應(yīng)用負載均衡�����,依然是13跳連接�,而在NSX環(huán)境,僅需要7跳���,比同一主機的部署多2跳的原因在于����,不同主機之間的邏輯網(wǎng)絡(luò)流量,需要經(jīng)由二層交換機再進入另一個主機���。
在線模式(傳輸模式)實現(xiàn)負載均衡的方法與單臂模式相反�,是由集中化的NSX Edge來提供路由和負載均衡服務(wù)的模式其�����。在數(shù)據(jù)中心內(nèi)部部署的部署拓撲圖如下所示����,我們可以看到,拓撲中利用了邏輯網(wǎng)絡(luò)和物理網(wǎng)絡(luò)之間的NSX Edge來部署負載均衡�����。
我們同樣討論一下使用在線模式部署負載均衡時的流量模型���。如下圖所示����,對于同一個主機內(nèi)的虛擬機之間,在傳統(tǒng)模式下���,Web服務(wù)器以App服務(wù)器之間的流量交互過程依然是13跳�。而在NSX環(huán)境中�,在線模式和單臂模式都是5跳,這是因為���,我們通過在物理網(wǎng)絡(luò)與邏輯網(wǎng)絡(luò)之間之間的NSX Edge之上同時啟用了防火墻服務(wù)和負載均衡服務(wù)�,沒有在系統(tǒng)中增加任何多余的路徑�����。
同樣�,部署了在線模式的負載均衡后�,不同主機之間的的Web服務(wù)器以App服務(wù)器之間的流量交互過程與單臂模式完全相同——將傳統(tǒng)部署的13跳精簡為7跳(如下圖所示)。
在線模式的優(yōu)點是同樣易于部署��,并且允許服務(wù)器/虛擬機對于原始客戶端的IP地址擁有完全的可視性��。但是�,從設(shè)計的角度上看,它通常需要強制將LB部署為服務(wù)器群的邏輯網(wǎng)段的默認網(wǎng)關(guān)���,這意味著在這些網(wǎng)段只能使用集中式的路由(而不是分布式路由)���,因此它的部署方式并不是非常靈活�。
用NSX Edge進行二層VPN的部署����,允許在兩個不同的、分離的數(shù)據(jù)中心之間����,進行二層連接,使得虛擬機可以實現(xiàn)在不同數(shù)據(jù)中心之間進行遷移����,存儲也可以跨越數(shù)據(jù)中心進行復(fù)制和備份。另外���,這種方法還可以用于私有云與公有云之間的連接——很多企業(yè)希望數(shù)據(jù)中心有冗余��,但是為了節(jié)省成本��,會自建一個數(shù)據(jù)中心�,并使用公有云作為數(shù)據(jù)中心的備份。
三層VPN�,主要用于遠程接入的客戶端連接數(shù)據(jù)中心資源。一般來說�����,遠程辦公員工使用SSL VPN連接到數(shù)據(jù)中心�,訪問數(shù)據(jù)中心服務(wù);而遠程office使用IPSec VPN連接數(shù)據(jù)中心��。
而使用SSL VPN連接到部署了三層VPN的NSX Edge的方式����,被稱作“SSL VPN-Plus”。
VMware NSX是一個不僅是網(wǎng)絡(luò)虛擬化平臺���,同樣也是安全虛擬化平臺��。與部署網(wǎng)絡(luò)模式類��,它以軟件的方式提供和部署2-7層的安全。在NSX網(wǎng)絡(luò)虛擬化平臺中��,可以提供兩種防火墻功能���。一個是由NSX Edge提供的集中化的虛擬防火墻服務(wù)���,它主要用來處理南北向流量���;另一個就是基于微分段技術(shù)的分布式防火墻,主要用于處理東西向流量�。在NSX網(wǎng)絡(luò)虛擬化平臺中,同時使用NSX Edge防火墻和分布式防火墻的邏輯拓撲架構(gòu)如下圖:
與NSX分布式防火墻的工作息息相關(guān)的組件有三個�����。這里需要重點解釋一下���,因為在NSX網(wǎng)絡(luò)虛擬化平臺���,在分布式邏輯交換機、分布式邏輯路由器處�����,我們將NSX Manager作為管理平面組件���,NSX Controller作為控制平面組件����,而在NSX分布式防火墻這里,管理平面和控制平面的組件則大不相同���,這一點����,我們之前已經(jīng)簡單提到��,我們說過����,分布式防火墻通過vsfwd服務(wù)進程,直接與NSX Manager通信�。NSX分布式防火墻的管理平面和控制平面和數(shù)據(jù)平面的組件如下所述:
1、vCenter Server:在NSX分布式防火墻的部署中����,我們將vCenter作為其管理平面。我們通過vSphere Web Client船艦分布式防火墻策略規(guī)則���,之后�,每一個vCenter中的集群���、VDS port-group����、邏輯交換機����、虛擬機、vNIC�����、資源池等就都可以使用這些基于源和目的的策略規(guī)則����。
2、NSX Manager:在NSX分布式防火墻的部署中����,我們將NSX Manager作為其控制平面。NSX Manager接收到vCenter Server的策略規(guī)則后�����,就會將它們貯存到本地的數(shù)據(jù)庫��,并將這些分布式防火墻策略規(guī)則同步推送到ESXi主機。一旦策略規(guī)則發(fā)生變動�����,在系統(tǒng)內(nèi)都是時刻同步發(fā)布和推送的���。NSX Manager還可以直接通過CMP的REST API接收防護墻策略規(guī)則�����,這些CMP可能是由第三方的安全平臺提供���,如PaloAlto。
3�����、ESXi主機:在NSX分布式防火墻的部署中�����,我們將ESXi主機作為其數(shù)據(jù)平面�。ESXi主機從NSX Manager那里接收到了其推送來的分布式防火墻策略,隨即將規(guī)則進行翻譯��,運用到期內(nèi)核空間以便實時執(zhí)行策略。這樣���,所有的虛擬機流量都會在ESXi主機處進行檢查和執(zhí)行。例如�,處于不同ESXi主機的虛擬機-1和虛擬機-2需要通訊時,策略在虛擬機-1的流量需要離開ESX-1時被防火墻規(guī)則進行處理��,并在流量需要進入ESXi-2時同樣進行處理��,然后���,安全的流量才會抵達虛擬機2����。
NSX網(wǎng)絡(luò)虛擬化平臺中的分布式防火墻能實現(xiàn)的功能有:
- 隔離(Isolation):這是防火墻部署在企業(yè)或數(shù)據(jù)中心里需要實現(xiàn)的基本功能����。它將不相關(guān)的網(wǎng)絡(luò)完全隔離,進而保持各自的獨立性��,例如:開發(fā)����、測試與生產(chǎn)網(wǎng)絡(luò)���。隔離是在虛擬化環(huán)境下實現(xiàn)多租戶的必要條件。任何一個隔離的��、獨立的虛擬網(wǎng)絡(luò)�,都可以在數(shù)據(jù)中心內(nèi)部的任何位置處理工作流的,因為在網(wǎng)絡(luò)虛擬化環(huán)境中���,已實現(xiàn)了和地層物理網(wǎng)絡(luò)無關(guān)的虛擬網(wǎng)絡(luò)���,只要虛擬網(wǎng)絡(luò)是連通的,就無需關(guān)心虛擬機在數(shù)據(jù)中心內(nèi)所處的物理位置�����。任何獨立的虛擬網(wǎng)絡(luò)都可以包含分布在數(shù)據(jù)中心任意位置的工作負載���,同一個虛擬網(wǎng)絡(luò)中的工作負載可以位于相同或不同的虛擬化管理程序上���。此外,多個獨立虛擬網(wǎng)絡(luò)中的工作負載可以位于同一個虛擬化管理程序中���。
其實���,在通過VXLAN等Overlay技術(shù)搭建的虛擬網(wǎng)絡(luò)中�,不同網(wǎng)段之間本來就是默認隔離的��。但是當不同網(wǎng)段需要相互通信時����,就需要調(diào)用分布式防火墻的安全策略來隔離一些敏感流量了����。在隔離時,我們無需引入任何物理的子網(wǎng)���、VLAN信息��、ACL和防火墻規(guī)則�����,所有安全策略全部由虛擬化環(huán)境內(nèi)部完成�。
- 分段(Segmentation):與隔離相關(guān)��,但是運用在多層虛擬網(wǎng)絡(luò)中的安全策略,是分段�。它實現(xiàn)了相關(guān)安全組之間進行安全區(qū)域的劃分,并根據(jù)安全策略進行通信��。在NSX網(wǎng)絡(luò)虛擬化環(huán)境中��,我們將分段技術(shù)叫做微分段(Micro-Segmenting)����,因為通過NSX分布式防火墻,我們可以將流量分成多個細顆粒度的流量���,為每個細微的網(wǎng)絡(luò)分段提供安全保護��。
- 高級服務(wù):NSX網(wǎng)絡(luò)虛擬化平臺�,在虛擬網(wǎng)絡(luò)之中��,提供了從二層到四層的防火墻功能��,且實現(xiàn)的微分段��。但是在一些環(huán)境中��,應(yīng)用需要更高級別的網(wǎng)絡(luò)安全策略來進行保護��,在這種情況下,用戶可以利用NSX平臺����,在其之上集成第三方安全廠商的四到七層安全服務(wù),提供更全面更充分的基于應(yīng)用的安全解決方案�����。NSX將第三方網(wǎng)絡(luò)安全服務(wù)集成在虛擬網(wǎng)絡(luò)中��,通過邏輯的通道�,發(fā)布至vNIC接口,使得在vNIC后端的應(yīng)用可以使用這些服務(wù)�����。
NSX的一些主要安全合作伙伴包括PaloAlto�、Intel(已收購McAfee)���、CheckPoint�、Symantec�、TrendMicro等。企業(yè)的安全團隊�����,可以針對不同應(yīng)用,選擇VMware生態(tài)圈內(nèi)的不同的安全廠商的解決方案��。
討論完了分布式防火墻的實現(xiàn)�����,我們與討論分布式路由�、負載均衡的最后一樣,分析一下分布式防火墻的流量模型���。對于傳統(tǒng)防火墻部署�,處在相同主機里的Web服務(wù)器于App服務(wù)器之間的三層通信����,需要經(jīng)過6跳才能連接,這是因為流量進出旁路模式連接核心交換機的物理防火墻的過程需要2跳連接�����,這樣一來���,就傳統(tǒng)三層的4跳連接(之前已闡述)多出2跳����。而與分布式路由相同,由于分布式防火墻功能也是工作在主機的hypervisor之上的��,因此在NSX環(huán)境下��,相同主機里的Web服務(wù)器于App服務(wù)器之間的三層通信也是直連(0跳)的�����,如下圖所示��。
對于不同主機之間的三層通信��,與分布式路由章節(jié)的闡述類似�����,我們同樣可以將連接精簡為2跳(如下圖所示)����。
以上���,就是NSX-V的內(nèi)容��,我們下面快速說一下NSX-MH��,它在整體架構(gòu)上和NSX-V完全一致����,只是數(shù)據(jù)平面的組件和實現(xiàn)方式不同。下面這張圖是NSX-MH內(nèi)部架構(gòu)的邏輯示意圖�����。
 對比使用VMware使用自己的vSphare作為Hypervisor的解決方案(就是NSX-V���,其架構(gòu)�����、工作原理等���,我們在之前幾章已經(jīng)詳細闡述了),NSX-MH架構(gòu)與其在邏輯層次的劃分上完全一致——管理平面���、控制平面��、數(shù)據(jù)平面���。而管理平面和控制平面中使用的組件也完全相同�,分別是NSX Manager和NSX Controller(其中NSX Controller可以使用集群式的部署方式)�,他們最大的不同僅來自數(shù)據(jù)平面。在NSX-V中���,服務(wù)器虛擬化軟件是vSphare�,安裝了vSphare的物理服務(wù)器被稱為ESXi主機��,能實現(xiàn)多個虛擬機運行在其之上�����,而這些虛擬機可以通過vSphare分布式交換機互相連接起來����,而NSX網(wǎng)絡(luò)虛擬化的其他組件和功能(主要是邏輯交換機、分布式邏輯路由器����、分布式防火墻���,但不包括NSX Edge提供的功能)�,都是在vSphare分布式交換機之上搭建的。而NSX-MH中���,底層虛擬化平臺可能是vSphare�,也可能是Xen或KVM��,在他們之上安裝的虛擬機是通過最早由Nicira公司設(shè)計并開發(fā)的OVS(Open vSwitch)進行連接的����,NSX網(wǎng)絡(luò)虛擬化的邏輯交換機、分布式邏輯路由器��、分布式防火墻等組件和功能是建立在OVS的基礎(chǔ)之上的��。2014年5月22日��,OVS宣布支持運行在Hyper-V平臺之上���。盡管NSX現(xiàn)在尚未支持Hyper-V�,但是NSX-MH架構(gòu)下的最重要的組件OVS宣布這一支持�����,為未來NSX支持基于Hyper-V的虛擬化平臺鋪平了道路���。此外��,NSX-V中的NSX Edge�,在NSX-MH中使用二層/三層網(wǎng)關(guān)進行了替代,實現(xiàn)類似的功能�����。
NSX-MH解決方案的整體拓撲架構(gòu)如下�,我們可以看到,與NSX-V相比���,最大的區(qū)別就是NSX-MH中�,服務(wù)器虛擬化可能會由Xen或KVM中的一種進行搭建��,或兩種混合搭建��。有時ESXi也會出現(xiàn)在架構(gòu)中�,用于部署服務(wù)器虛擬化,這樣一來����,數(shù)據(jù)中心中的虛擬化軟件可能同時有Xen、KVM和ESXi。而邏輯交換機建立在OVS(其中對于ESXi使用的OVS��,在NSX環(huán)境中有個專門的名稱���,叫NSX vSwitch,NVS)之上����,而不是vSphare分布式交換機。
順便說一點�,NSX-MH內(nèi),控制平面和OVS交互的方式��,正是Nicira研發(fā)的Openflow��。
最后�����,簡單說一下NSX和別的廠家的集成�。安全以及說過了,用第三方安全廠家����,實現(xiàn)5-7層安全,NSX防火墻只能做2-4層。負載均衡的話���,F(xiàn)5除了能部署單臂模式�����、在線模式��,還能實現(xiàn)分布式的部署���。這個功能很牛,而且能用到F5所有高級功能���。
另外一個重要的集成就是和OpenStack��,NSX-V與OpenStack的集成�,主要是使用VMware Integrated OpenStack(VIO)的發(fā)行版軟件來進行的���。IT管理員就可以在現(xiàn)有vSphere中簡單�、快速���、便捷地部署OpenStack 服務(wù)��。VMware與OpenStack的集成�����,在網(wǎng)絡(luò)上可以通過NSX-V或VDS來部署Neutron���,當然使用NSX功能比VDS的部署多的多。如果是NSX-MH需要與OpenStack集成���,則不需要VIO軟件��,直接使用NSX Plugin來部署Neutron���。
|
