15
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
2
部署VMware NSX NSX管理与边界服务
NSX Mgmt
NSX Edge
计算
虚拟基础架构 NSX基础架构
16
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
2
部署VMware NSX NSX管理与边界服务
+
Cloud Mgmt Platforms
NSX API NSX控制器 合作 伙伴 扩展
网关服务
网络安全平台
安全服务
应用交付服务
39
为什么需 议程 要网络虚 拟化
VMware NSX功能 介绍
VMware NSX部署 与管理 NSX运营
NSX合作 伙伴生态 系统 总结
软件定义网络的新角色
任意云管理平台
逻辑路由– 在虚拟网络之间以及虚拟网络 和物理网络之间路由 逻辑防火墙 – 分布式防火墙，内核集 成，高性能 逻辑负载均衡 – 利用软件实现的应用负 载均衡 逻辑VPN – 通过软件实现站点到站点以 及远程访问VPN服务 NSX API – 可与任何云管理平台相集成 的RESTful API 合作伙伴生态系统
WAN Internet
NSX组件的高可用
• NSX控制器： 集群，主机级高可用， 数据面板分离。 • NSX管理器： 存储高可用和配置备 份，不保存运行态数据。 • NSX Edge: 成对虚拟机，活动状态 同步，主机级别高可用。 • NSX vSwitch: 分布式架构，影响范 围只限于故障主机。 • 主机失败： 虚拟机会被迁移到其它 主机，NSX组件继续提供服务
广域网 互联网
ToR
ToR
ToR
ToR
ToR
Rack 1
Rack 2
Rack N
Infrastructure Racks
Edge Racks
32
为什么需 议程 要网络虚 拟化
VMware NSX功能 介绍
VMware NSX部署 与管理 NSX运营
NSX合作 伙伴生态 系统 总结
NSX高可用机制
L3
VM3
VM1 VM2
L2
L2
L2
挑战
• 应用的移动性 • 多租户 • 配置复杂度——手工部署模型
收益
• 按需的负载均衡服务 • 满足应用需要的简单部署模式——单 臂或联机 • Layer 7, SSL, …
负载均衡 –基于租户的应用可用性模型
28
服务部署挑战——物理服务设备
Web Web
App
VMware NSX API
线速双向 任意物理 与虚拟节点
线速双向 无需绕路
线速双向 内核集成
25,000 CPS 250万会话
15G bps 100K CPS 1M并发
FW, LB, VPN
分布式 交换机
分布式 分布式 路由器 虚拟网络 防火墙
边界 服务
VMware NSX 软件 (网络虚拟化)
软件 硬件
Tenant A Tenant B
L2 L2 L2 L2 L2 L2 L2 L2
CMP
Tenant C
控制器集群
VM to VM Routed Traffic Flow
挑战
• 物理基础架构的扩展性存在挑战—— 路由扩展性 • 虚拟机的移动性存在挑战 • 多租户路由的复杂度 • 流量的发夹问题
收益
• • • • • 在虚拟化层实现分布式路由 动态的，基于API的配置 完整功能——OSPF, BGP, IS-IS 基于租户的逻辑路由器 可与物理交换机协同
NSX Edge GW
Corpnet
IP 传输网络
IP C
10.36.x.x
现存的 数据中心 网络
VM VM
IP B KVM HV
虚拟网络
VM1 VM2
Tier 2
Corpnet 10.36.x.x
1
1
2
2
VM1 VM2
Tier 1 Network
192.168.100.0/24
NSX
云管理 平台
控制器集群
Northbound REST API
数据流
控制流
13
为什么需 议程 要网络虚 拟化
VMware NSX功能 介绍
VMware NSX部署 与管理 NSX运营
NSX合作 伙伴生态 系统 总结
利用VMware NSX部署网络虚拟化
1
利用现存的 网络基础架构
任意网络厂商 任意网络拓扑
IP包转发网络
计算
7
网络虚拟化Network Virtualization = SDN+
Manual Configuration
Distributed Forwarding
L2
Virtual Networks
L3
L2
SDN的属性与特点 • 控制层面与转发层面分离 • 软件创新 • 加快业务上市时间 • 服务多样可扩展
Editable Text Here
Client01 Websv-02a
Client02
Websv-01a
Appsv-01a
Db-sv01a
Appsv-02a
Web服务逻辑 交换机 Vxlan-5002
App服务逻辑 交换机 Vxlan-5003
DB服务逻辑交 换机Vxlan5001
Db-sv02a
vSphere KVM Xen Server Hyper-V
X86主机
软件 硬件
现存的网络基础架构
41
NSX: 更好的安全性
访问控制
安全扩展
灵活性
嵌入虚拟化层 基于虚拟机实现控制
基于主机的安全性
(防病毒，防泄密，脆弱性管理)
REST API 自动化 在线迁移
App
DB
DB
App
Web
DB Web
App DB
29
服务部署挑战——虚拟服务设备
Web Web
App
App
DB
DB
App
Web
DB Web
App DB
30
NSX平台构成示例
外部 网络 NSX平台
边界服务
(HA, FW, NAT, VPN, LB Services)
1
为三层应用提供基本的 网络连接服务
收益
• • • • • 分布在虚拟化层 动态，基于API的配置 使用VM名字和基于标识的规则 线速，每主机15+ Gbps 对封装的流量完全可见
性能与扩展性 ——1,000+主机 30Tbps防火墙
22
三层应用的部署方式
客户端逻辑交换机 Vxlan-5000
外部网络
单个逻辑交换机 Vxlan-5004
可扩展的路由 –简化多租户
20
虚拟网络：通过软件定义的完整网络服务
21
VMware NSX防火墙：高性能，可扩展
物理安全模型
防火墙管理
用于SDDC的NSX防火墙
CMP
API
VMware NSX
挑战
• • • • • 集中式防火墙模型 静态配置 基于IP地址的规则 每设备40 Gbps 对封装的流量缺少可见性
虚拟化带来的好处 • 灵活、效率、可移动 • 不中断部署 • 软硬件分离 • 业务部署独立于硬件
网络虚拟化融合了虚拟化与SDN的技术，适应网络架构扁平化、多路径的设计
8
VMware NSX简介
二层交换
三层路由
防火墙
负载均衡
基于NSX的网络虚拟化 软件
和VM一样管理 网络和安全
硬件
9
为什么需 议程 要网络虚 拟化
简化的部署与管理 全部通过软件实现 无需改变物理网络配置
VM
二层桥接
Bridged VLAN
逻辑路由器，防火墙
逻辑交换机
2
在虚拟化层和网络边界 提供多种网络与安全服务 分布式交换路由与安全 防火墙、VPN与负载均衡 桥接服务
Web层 逻辑交换机
应用层 逻辑交换机
数据库层 逻辑交换机
31
采用NV技术的数据中心网络架构
园区核心网
VM – VM流量必须流经物理网络 防火墙 –“拥塞点” 扩展性问题
基于IP地址的访问规则 复杂的防火墙规则表
6
ቤተ መጻሕፍቲ ባይዱ
需要做出什么样的改变……
虚拟机 运营模式
数据中心网络
从硬件解耦
逻辑网络与物理网络的运维工作(创建、 删除、增长和削减)相互独立
可编程，可监视
良好扩展性
我们能够像管理VM一样管理网络与安全吗？
3
应用程序 消费网络资源
CMP门户/自服务
+
可编程的 虚拟网络部署
NSX Mgmt NSX Edge
计算
虚拟基础架构 NSX基础架构
逻辑网络
17
VMware NSX逻辑交换机
Logical Switch 1
Logical Switch 2
Logical Switch 3
挑战
• • • • 应用/租户之间的分段 虚拟机的移动性需要大二层网络 大的二层物理网络扩展导致生成树问题 硬件内存 (MAC, FIB)表限制 • • • •
23
基于身份的访问控制
张三
IP: 192.168.10.75
活动目录
规则表
源 Engineering 目的 Ent-Sharepoint 服务 http 动作 Permit, Log