VMWare NSX 軟件定義網(wǎng)絡解決方案介紹

1、VMware NSX 軟件定義網(wǎng)絡解決方案介紹CONFIDENTIAL1VMware SDDC重塑數(shù)據(jù)中心2計算和存儲的虛擬化已經(jīng)在數(shù)據(jù)中心中得到廣泛應用.下一步的發(fā)展重點ApplicationsComputeStorageNetworking1什么是網(wǎng)絡及安全虛擬化技術2數(shù)據(jù)中心傳統(tǒng)網(wǎng)絡的挑戰(zhàn)和解決之道3NSX架構及組件概覽4NSX主要使用場景分析5總結及問答NSX 概述3通用X86服務器資源服務器虛擬化層需求: x86服務器x86 環(huán)境虛擬機應用分離硬件軟件虛擬機應用虛擬機應用通用網(wǎng)絡硬件網(wǎng)絡虛擬化層需求：IP承載網(wǎng)絡L2, L3, L4-7 網(wǎng)絡服務虛擬網(wǎng)絡負載虛擬網(wǎng)絡負載虛擬網(wǎng)絡負載什

2、么是網(wǎng)絡虛擬化通過虛擬化層來映射虛擬與物理資源與傳統(tǒng)的計算虛擬化類似:實現(xiàn)物理資源池化并支持 scale-out擴展，與硬件解偶實現(xiàn)集中管理與配置支持API 可編程接口虛擬網(wǎng)絡之間完全隔離可移動性虛擬網(wǎng)絡為軟件容器, 像虛擬機一樣支持 snapshot, 備份與恢復SDN到網(wǎng)絡虛擬化Network VirtualizationL2L3Virtual NetworksL2SDN的屬性與特點控制層面與轉發(fā)層面分離軟件創(chuàng)新加快業(yè)務上市時間服務多樣可擴展虛擬化帶來的好處靈活、效率、可移動不中斷部署軟硬件分離業(yè)務部署獨立于硬件DistributedForwardingManual Configurati

3、on網(wǎng)絡虛擬化融合了虛擬化與SDN的技術，適應網(wǎng)絡架構扁平化、多路徑的設計基于NSX的云計算數(shù)據(jù)中心網(wǎng)絡Physical Network Topology 云平臺新業(yè)務請求 應用一應用二應用三 應用四應用五應用N底層通用網(wǎng)絡：高性能IP網(wǎng)網(wǎng)絡虛擬化層:N虛1基于軟件APP的網(wǎng)絡服務層：1虛N自動化云平臺1、網(wǎng)絡靈活性的挑戰(zhàn)7開放的NSX網(wǎng)絡虛擬化平臺靈活、敏捷L2L3虛擬網(wǎng)絡L2眾多網(wǎng)絡合作伙伴不依賴于底層網(wǎng)絡與hypervisorSecurity Groups安全 組HWLoad BalancersGuest SecurityAPI支持 vSphere, vCloud 與 OpenStack

4、環(huán)境不依賴底層網(wǎng)絡 分布式處理網(wǎng)絡流量 面向可編程、網(wǎng)絡自動化與其他合作伙伴協(xié)同VMware NSX提高服務器集群的利用率在沒有使用網(wǎng)絡虛擬化前，資源池整體利用率只有 60%在使用網(wǎng)絡虛擬化后，資源池利用率大大提升到 90%9Data Center PerimeterData Center Perimeter2、傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡安全挑戰(zhàn)單純的邊界安全防護不足夠，但是“微分段”在傳統(tǒng)架構下很難實現(xiàn)邊界內部無任何東西向安全防護措施InternetInternet昂貴&低效不可運維10透過NSX Micro-Segmentaion分布式防火墻，管理者可以非常容易地做到同網(wǎng)段安全防護，避免黑客的跳板

5、攻擊App VLANDMZ VLANServices VLANDB VLANPerimeterfirewallInsidefirewallFinanceVMVMFinanceVMVMFinanceVMVMVMVMHRVMVMHRVMVMHRITVMVMITVMVMITVMVMADVMVMNTPVMDHCPVMDNSVMCERT計算虛擬抽象層3、傳統(tǒng)網(wǎng)絡難以實現(xiàn)網(wǎng)絡L2-L7層自動化物理基礎架構管理平面分散大部分沒有開放API接口難以實現(xiàn)端到端的網(wǎng)絡自動化虛擬數(shù)據(jù)中心邏輯交換機邏輯路由器NSX邏輯防火墻負載均衡IT自動化解決方案：NSX 和 vRealize 快速實現(xiàn)自動化部署按需應用交付多租戶

6、部署vRealize自動化 資源預留多虛擬機藍圖服務目錄云管理平臺網(wǎng)絡Profiles安全策略安全組13WebAppDatabaseVMVMVMVMVMVM業(yè)務A的開發(fā)測試環(huán)境WebAppDatabaseVMVMVMVMVMVM業(yè)務B開發(fā)測試環(huán)境WebAppDatabaseVMVMVMVMVMVM業(yè)務/開發(fā)測試環(huán)境動態(tài)按需配置、部署、遷移所需的網(wǎng)絡服務 CONFIDENTIAL144、網(wǎng)絡的管理與監(jiān)控的挑戰(zhàn)響應緩慢，容易導致誤操作網(wǎng)絡管理員: 我應該如何解決網(wǎng)絡網(wǎng)絡InternetWebApp71234568915NSX可視化IT運維管理CONFIDENTIAL16IT AdminUserAd

7、miinCommunity Cloud UserSiteEngineerTemplatesInternal IT / CloudInterCloudNSX ManagervRealize Automation/InsightOpenstack1什么是網(wǎng)絡及安全虛擬化技術2數(shù)據(jù)中心傳統(tǒng)網(wǎng)絡的挑戰(zhàn)和解決之道3NSX架構及組件概覽4NSX主要使用場景分析5總結及問答Agenda17網(wǎng)絡虛擬化是軟件定義數(shù)據(jù)中心的核心網(wǎng)絡, 存儲, 計算vSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHyperviso

8、rvSwitchHypervisorvSwitchHypervisorvSwitchHypervisor虛擬化層Non-Disrupting DeploymentvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisor網(wǎng)絡, 存儲, 計算虛擬化層“Network hypervisor”虛擬數(shù)據(jù)中心Non-Disrupting Deployment網(wǎng)絡虛擬化是軟件定義數(shù)據(jù)中心的核心v

9、SwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisor全分布式網(wǎng)絡服務至Hypervisor KernelvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSw

10、itchHypervisorSwitchingRoutingFirewalling/ACLsLoad BalancingNetwork and security services now distributed in the hypervisorvSwitchHypervisorSwitchingRoutingFirewalling/ACLsLoad BalancingvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHypervisorvSwitchHyper

11、visorHigh throughput rates East-west firewalling Native platform capability vSwitchHypervisor全分布式網(wǎng)絡服務至Hypervisor Kernel虛擬化環(huán)境下傳統(tǒng)的2層交換實現(xiàn)NSX vSwitchHypervisorHypervisorVMUser SpaceVMVMUser SpaceNSX vSwitchPhysical Network傳統(tǒng)三層路由的實現(xiàn)?NSX vSwitchHypervisorPhysical NetworkHypervisorVMUser SpaceVMVMUser Spac

12、eNSX vSwitchA Virtual Network?NSX vSwitchHypervisorPhysical NetworkVirtual NetworkHypervisorVMUser SpaceVMVMDistributedNetwork ServicesUser SpaceNSX vSwitchVirtual NetworkA Virtual Network?NSX vSwitchHypervisorHypervisorVMUser SpaceVMVMPhysical NetworkDistributedNetwork ServicesNSX vSwitchVirtual Ne

13、tworkNon-Disruptive DeploymentNSX vSwitchHypervisorNSX vSwitchHypervisorVMUser SpaceVMVMPhysical NetworkVMUser SpaceVMVMDistributedNetwork ServicesVirtual NetworkProgrammatically ProvisionedNSX vSwitchHypervisorVMVMVMPhysical NetworkCloud Mgt PlatformNSX vSwitchHypervisorVMUser SpaceVMVMCluster Cont

14、rollerDistributedNetwork ServicesDistributedNetwork ServicesVirtual NetworkNetwork & Security Services Distributed to the Virtual SwitchPhysical HostNSX vSwitchVMVMVMNSX vSwitchUser SpaceVMVMHypervisorUser SpaceHypervisorCluster ControllerSimplified IP Backplane No VLANs, No ACLs, No Firewall RulesP

15、hysical NetworkCloud Mgt PlatformPhysical Network becomes high-speed IP backplaneVirtual NetworkNative IsolationPhysical HostNSX vSwitchVMVMVMNSX vSwitchVMUser SpaceVMVMHypervisorUser SpaceHypervisor0011Non-Disruptive DeploymentThe Power of Distributed Network & Security Services & Policies軟件定義數(shù)據(jù)中心使

16、得微分段技術真正可行33InternetHypervisorPhysical HostVMVMVMvSwitchHypervisorPhysical HostvSwitchVMVMVMSecurity PolicyPerimeter FirewallsVMCloudManagementPlatform軟件定義數(shù)據(jù)中心平臺 真正實現(xiàn)“零信任”安全基礎架構34HypervisorPhysical Host基于Hypervisor內核的全分布式防火墻基于每個Hypervisor實現(xiàn)高吞吐每增加一個Hypervisor就會增加東西向防火墻性能由Vmware NSX平臺內置支持全自動化部署安全策略當VM

17、創(chuàng)建和刪除時防火墻策略自動部署虛機遷移時防火墻策略及會話自跟隨Audit Compliance每個主機支持20 Gbps防火墻吞吐數(shù)據(jù)中心微分段技術真正在可運維角度上實現(xiàn)NSX vSwitchVMVMVM1什么是網(wǎng)絡及安全虛擬化技術2數(shù)據(jù)中心傳統(tǒng)網(wǎng)絡的挑戰(zhàn)和解決之道3NSX架構及組件概覽4NSX主要使用場景分析5總結及問答NSX 概述35VMware NSX 可在軟件中如實重現(xiàn)網(wǎng)絡連接和安全服務 分布式邏輯交換分布式邏輯路由分布式防火墻保護負載均衡L2/L3VPN連接到物理L2 橋接任意網(wǎng)絡硬件NSX 平臺NSX 虛擬交換機NSX 控制器邏輯交換機邏輯路由器邏輯防火墻邏輯負載均衡器VMware

18、 NSX軟件網(wǎng)絡連接平臺NSX 架構及組件介紹Animated Slide云平臺自服務vRA，OpenStack, 定制化云平臺轉發(fā)層面NSX EdgeESXiHypervisor Kernel Modules Distributed Services高性能數(shù)據(jù)轉發(fā)層面橫向擴展全分布式轉發(fā)管理平面NSX Manager集中式配置界面REST API entry-point控制層面NSX Controller管理邏輯網(wǎng)絡負責控制層面轉發(fā)和控制分離FirewallDistributed Logical RouterLogicalSwitch邏輯網(wǎng)絡物理網(wǎng)絡HW VTEPCONFIDENTIAL37

19、NSX典型的邏輯網(wǎng)絡拓撲: 快速部署網(wǎng)絡與安全服務Edge作為南北向網(wǎng)關是NSX關鍵組成部分VMManagement VLANL2 VPNBGPExternalNetworksNSX EdgeNSX 分布式邏輯路由組件交互NSX Edge （作為下一個躍點路由器）/24/24DLR外部網(wǎng)絡DLR 控制虛擬機數(shù)據(jù)Path（路徑）控制Controller 集群控制NSX 管理在邏輯路由器實例上配置動態(tài)路由協(xié)議1NSX Edge 和邏輯路由器控制虛擬機之間的 OSPF/BGP 對等關系 3將通過 NSX Edge 獲知的路由推送至 Controller 以進行分發(fā)4Controller 將路由更新發(fā)

20、送至所有 ESXi 主機5主機上的路由內核模塊負責處理數(shù)據(jù)路徑流量613456Controller 將新的邏輯路由器配置（包括 LIF）推送到 ESXi 主機22對等關系OSPF、BGP 對等關系OSPF、BGP/24NSX邊界網(wǎng)關功能概述NSX Edge 網(wǎng)關服務安全策略支持 IP, Port 范圍, 安全組和vCenter管理對象Firewall 防火墻配置 IP Pools, gateways, DNS 服務器和查詢域.DHCPIPSec site to site VPNSite-to-Site VPN支持數(shù)據(jù)中心之間和混合云場景的二層擴展L2VPN可以用作SSL VPN用戶接入網(wǎng)關，安

21、全加密實現(xiàn)遠程用戶訪問內部網(wǎng)絡SSL VPN 用戶接入VPN支持基于TCP、UDP、http、https協(xié)議的負載均衡Load Balancing 負載均衡支持基于源和目的的地址轉換.Network Address Translation地址轉換支持主備高可用，并且支持與vSphere HA協(xié)同工作.High Availability高可用支持靜態(tài)以及動態(tài)路由（OSPF and BGP）Routing 路由支持syslog以及DNS中繼DNS/SyslogNSX與vSphere集群設計-扁平化物理網(wǎng)絡架構WANInternetAnimated SlidevCenter 1vCenter 2Ma

22、x supported number of VMsMax supported number of VMsCompute ClustersCluster location determined by connectivity requirementsInfrastructure Clusters (Storage, vCenter and Cloud Management)Edge Clusters (Logical Router Control VMs and NSX Edges)LeafSpineEdge Leaf (L3 to DC Fabric, L2 to External Netwo

23、rks)L3L2L3L2L3L242 對物理網(wǎng)絡VxLAN要求MTU 需要大于1600 NSX的部署與遷移1數(shù)據(jù)中心演進趨勢及傳統(tǒng)網(wǎng)絡架構挑戰(zhàn)2什么是網(wǎng)絡及安全虛擬化技術3NSX架構及組件概覽4NSX 主要使用場景分析5總結及問答Agenda43NSX 的業(yè)務增長44VMware NSX平臺的使用場景45多租戶應用自動部署IT自動化研發(fā)測試云任意位置DMZ安全區(qū)微分段網(wǎng)絡安全隔離多數(shù)據(jù)中心資源整合快速DR恢復網(wǎng)絡及安全策略自動多站點同步將數(shù)據(jù)中心基礎架構部署時間從幾周降低至幾分鐘東西向高性能FW，合作伙伴高級FW集成減少RTO至80%災備及雙活安全速度&敏捷應用持續(xù)性價值VMVMVMVMWeb

24、 TierApp TierDB TierL2 SwitchL3 SubnetL3 SubnetAll Software ConstructPhysical NetworkNATInternet全新一代的自動化應用及網(wǎng)絡部署模型L2 SwitchL2 SwitchL3 SubnetCONFIDENTIAL46NSX安全微分段三種使用場景網(wǎng)絡及租戶完全隔離租戶內部選擇性控管安全合作伙伴集成方案VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMNGFWIPSIPSNGFW第三方服務集成租戶或者應用 A租戶或者應用BAPP應用DB應用(e.g TCP,1433)No Communication PathNSX Controller高級網(wǎng)絡安全服務插入 例如: Palo Alto NetworksInternetHypervisorPhysical HostVMVMvSwitchHypervisorPhysical Ho