物理网络
目前网络与安全架构向云计算转型时遇到的挑战
成本
- 桌面防病毒 - 数据丢失保护, 白名单
Users
挑战
配置太复杂, 烟囱式扩展, 大量人工操作, 集中式处理带来性能瓶颈, 网络资源限制!
效率
后台服务
Sites
Horizon VDI DMZ
- DMZ 防火墙, NAT, DDI
- Site and user VPNs - 负载均衡器, WAF - 专有硬件
L3 L2
East/West
11
North/South
六、核心链路和节点带宽被大量发夹流量消耗
70%
L3 L2
East/West
12
七、难以实现网络及安全的L2-L7层自动化
虚拟数据中心
• 管理平面分散 • 大部分没有开放API接口 • 难以实现端到端的网络自动化
计算虚拟抽象层
物理基础架构
企业建立云计算数据中心该如何应对以上挑战？
1 7
2
3
4
5
8
9
6
9
五、对新业务部署上线支持缓慢
Web
Web
Corpnet/Internet
App
App
DB
DB
Compute Network
DC Services
• 服务部署缓慢 • 可扩展性受限 • 移动性受限 • 依赖于硬件 • 运维管理复杂
10
North/South
虚拟化和云计算环境，使得数据中心的业务流量模型发生改变
1. 网络割裂 导致资源池利用率及灵活性降低 2. 网络架构复杂，割接工作量大 3. 安全域的边界防护难以运维 4. 已有业务变更响应缓慢，容易导致误操作 5. 对新业务部署上线支持缓慢 6. 核心链路和节点带宽被大量发夹流量消耗 7. 难以实现网络及安全的L2-L7层自动化
CONFIDENTIAL
redundancy ▪ fast convergence ▪ Multi-Chassis LACP, L2MP ▪ QoS, Security，subscription
ratio…
难以保证网络配置的一致性！
7
三、安全域的边界防护难以运维
Internet
在数据中心内部 很少或没有
东西向安全控制
化平台主要功能
15
VMware NSX网络与安全虚拟化平台
软件 硬件
二层交换
三层路由
防火墙
负载均衡
基于NSX的网络与安全虚拟化
像管理VM一样 管理网络与安全
NSX是VMware SDDC(软件定义的数据中心)的重要组成部分
终端用户计算
传统应用
应用
新式云应用
私有云
混合云
公有云
6
二、网络架构复杂，维护工作量大
集群1
集群N
ESXi
vSphere Distributed Switch
ESXi
PG VLAN Uplink Teaming
ESXi
ESXi
接入层 汇聚层
▪ 定义DV Port Groups ▪ Defined based on traffic type ▪ Teaming – Resiliency, Capacity ▪ VLAN – Traffic Isolation ▪ NIOC Shares – B/W mgmt ▪ End-End QoS - 802.1p
Web
vSphere
- VLANs, ACLs, 防火墙, IDS/IPS, 监控 - 服务器防病毒, 虚拟机安全 - 网络设备及架构需全部升级来适应虚拟化环境: FabricPath/TRILL,
and VM-tracing etc. 需要新的成百上千万的投资! - AAA、应用、数据保护、合规
一、网络割裂 导致资源池利用率及灵活性降低
▪ 物理网卡功能分区 ▪ Aggregate multiple pNics
▪ 监控与排障 ▪ NetFlow – Understand traffic ▪ Port Mirroring – Troubleshooting
▪ 物理网络设计 ▪ 802.1Q, STP, Ethernet Channel ▪ Blade I/O Module Design ▪ VLAN load balancing, L3 GW
软件定义的数据中心
云计算管理平台—vRealize Suite 7
云计算自动化 (vRealize Automation)
云计算业务 (vRealize Business
for Cloud)
云计算运营管理 (vRealize Operations 和 vRealize Log Insight)
计算-vSphere
网络-NSX
基础架构虚拟化
存储-VSAN
可延展性
计算硬件
网络硬件
存储硬件 IT物理基础架构
NSX网络与安全虚拟化总体架构
支撑任意的应用 (无需修改)
虚拟网络 云管理平台（vRealize Suite,OpenStack,Cloudstack）
vCloud Automation Center
IaVaSMware NSX 网Pa络aS 虚拟化平台 DaaS
VMware NSX：网络及安全虚拟化解决方案
1
主题内容
1 网络及安全为什么要虚拟化？ 2 NSX网络及安全虚拟化平台主要功能 3 NSX网络及安全虚拟化方案典型应用场景
MOBILE
DATA CENTER
CLOUD
2
网络及安全为什么要虚拟化？
3
网络成为通往云计算之路的壁垒
单个人工节点管理
烟囱式扩展方式
安全控制不足
基于IP的安全策略 难以运维
CONFIDENTIAL
8
四、已有业务变更响应缓慢，容易导致误操作
• 业务开发人员: 我已经调整好一套两层的Web应用系统，要尽快上线 • 网络管理员: 我应该如何调整配置网络拓扑?NAT策略？ • 安全管理员：我应该如何调整防火墙安全策略？负载分担策略？
Internet Web App
网络状态难以统一监控
虚拟网络与物理网络协调困难
VLANs 不可扩展
缺少自动化程序化控制
不宜满足多种业务的SLAs
网络分割限制资源池化与共享
功能被硬件捆绑
限制了虚机迁移范围
有限的多租户支持
L3-L7 集中式转发性能瓶颈 租户自己无法控制地址管理
工作负载不能灵活部署、均衡资源
虚拟机网络计费
人工操作拖延迁移与灾备恢复时间
vCenter
Operations Mgmt
逻辑防火墙 vCloud Dire逻cto辑r 交/ C换on网ne络ctor
逻辑负载均衡 Application
逻辑VPN