網(wǎng)絡(luò)虛擬化SDN云平臺方案建議書

1、網(wǎng)絡(luò)虛擬化SDN云平臺方案建議書 目錄 TOC o 1-3 h z u HYPERLINK l _Toc502145372 1概述 PAGEREF _Toc502145372 h 3 HYPERLINK l _Toc502145373 1.1項目背景 PAGEREF _Toc502145373 h 3 HYPERLINK l _Toc502145374 1.2現(xiàn)狀分析 PAGEREF _Toc502145374 h 4 HYPERLINK l _Toc502145375 1.2.1數(shù)據(jù)中心環(huán)境現(xiàn)狀 PAGEREF _Toc502145375 h 4 HYPERLINK l _Toc502145

2、376 1.3需求分析 PAGEREF _Toc502145376 h 7 HYPERLINK l _Toc502145377 1.3.1數(shù)據(jù)中心基礎(chǔ)構(gòu)架分析 PAGEREF _Toc502145377 h 7 HYPERLINK l _Toc502145378 2網(wǎng)絡(luò)虛擬化解決方案概述 PAGEREF _Toc502145378 h 8 HYPERLINK l _Toc502145379 2.1方案概覽 PAGEREF _Toc502145379 h 8 HYPERLINK l _Toc502145380 2.2主要價值 PAGEREF _Toc502145380 h 8 HYPERLINK

3、 l _Toc502145381 2.3典型應(yīng)用場景 PAGEREF _Toc502145381 h 8 HYPERLINK l _Toc502145382 3網(wǎng)絡(luò)虛擬化解決方案技術(shù)詳解 PAGEREF _Toc502145382 h 9 HYPERLINK l _Toc502145383 3.1基本組件 PAGEREF _Toc502145383 h 9 HYPERLINK l _Toc502145384 3.2工作原理 PAGEREF _Toc502145384 h 9 HYPERLINK l _Toc502145385 3.3主要功能 PAGEREF _Toc502145385 h 9

4、HYPERLINK l _Toc502145386 3.3.1邏輯交換 PAGEREF _Toc502145386 h 9 HYPERLINK l _Toc502145387 3.3.2邏輯路由 PAGEREF _Toc502145387 h 9 HYPERLINK l _Toc502145388 3.3.3邏輯防火墻 PAGEREF _Toc502145388 h 9 HYPERLINK l _Toc502145389 3.3.4邏輯負載均衡 PAGEREF _Toc502145389 h 9 HYPERLINK l _Toc502145390 3.3.5Ecosystem Framewor

5、k PAGEREF _Toc502145390 h 9 HYPERLINK l _Toc502145391 3.3.6跨vCenter的網(wǎng)絡(luò)與安全 PAGEREF _Toc502145391 h 9 HYPERLINK l _Toc502145392 3.3.7端口鏡像 PAGEREF _Toc502145392 h 9 HYPERLINK l _Toc502145393 4網(wǎng)絡(luò)虛擬化之方法論與規(guī)劃設(shè)計 PAGEREF _Toc502145393 h 10 HYPERLINK l _Toc502145394 4.1物理網(wǎng)絡(luò)規(guī)劃設(shè)計 PAGEREF _Toc502145394 h 10 HYPE

6、RLINK l _Toc502145395 4.2數(shù)據(jù)中心訪問層規(guī)劃設(shè)計 PAGEREF _Toc502145395 h 10 HYPERLINK l _Toc502145396 4.2.1計算機架 PAGEREF _Toc502145396 h 10 HYPERLINK l _Toc502145397 4.2.2連接虛擬化管理程序 PAGEREF _Toc502145397 h 10 HYPERLINK l _Toc502145398 4.2.3邊緣機架 PAGEREF _Toc502145398 h 10 HYPERLINK l _Toc502145399 4.2.4基礎(chǔ)架構(gòu)機架 PAGE

7、REF _Toc502145399 h 10 HYPERLINK l _Toc502145400 4.2.5VLAN 配置 PAGEREF _Toc502145400 h 10 HYPERLINK l _Toc502145401 4.2.6多層邊緣和多層應(yīng)用設(shè)計注意事項 PAGEREF _Toc502145401 h 10 HYPERLINK l _Toc502145402 4.3各功能模塊規(guī)劃設(shè)計 PAGEREF _Toc502145402 h 10 HYPERLINK l _Toc502145403 4.3.1邏輯交換 PAGEREF _Toc502145403 h 10 HYPERLIN

8、K l _Toc502145404 4.3.2邏輯路由 PAGEREF _Toc502145404 h 10 HYPERLINK l _Toc502145405 4.3.3邏輯負載均衡 PAGEREF _Toc502145405 h 10 HYPERLINK l _Toc502145406 5方案優(yōu)勢總結(jié) PAGEREF _Toc502145406 h 11概述項目背景不斷增長的業(yè)務(wù)對IT部門的要求越來越高，因此，數(shù)據(jù)中心需要更為快速的提供所需要的能力。近些年來，虛擬化在市場中的采用呈現(xiàn)穩(wěn)定一致的態(tài)勢，虛擬化的比例越來越高。從虛擬化利用率的角度來講，虛擬化的發(fā)展可以分為三個階段： 第一階段為0

9、-30% ，第二階段為最多70%，第三階段則達到 70% 以上，如下圖所示。圖：虛擬化三個階段而成本節(jié)約貫穿上述所有階段，第一階段通過整合在資金開銷方面實現(xiàn)節(jié)約，第二階段則在此基礎(chǔ)上通過自動化的管理模式實現(xiàn)了運維開銷降低，最后到第三階段，又實現(xiàn)了敏捷性的提高。目前，市場上的 VMware 虛擬化程度大約在65%以上，隨著虛擬化比率的不斷提高，也在不斷擴大對虛擬化功能的運用范圍，開始采用軟件定義的存儲以及網(wǎng)絡(luò)與安全模式，從而逐步完全過渡到云計算數(shù)據(jù)中心。 而這一轉(zhuǎn)變使得IT 部門能夠轉(zhuǎn)變管理方式，從本質(zhì)上被動反應(yīng)也就是往往需要竭力應(yīng)付業(yè)務(wù)需求并面對日益積壓的應(yīng)用請求的部門，轉(zhuǎn)變?yōu)橹鲃觿?chuàng)新的部門，

10、將節(jié)約的 IT 資源重新投入到有助于實現(xiàn)關(guān)鍵業(yè)務(wù)目標的新應(yīng)用、服務(wù)和計劃。主動創(chuàng)新的部門更能與業(yè)務(wù)目標保持一致，并且對企業(yè)的發(fā)展、創(chuàng)新和競爭能力起著更為關(guān)鍵的作用。 現(xiàn)狀分析公司是一所區(qū)域特色研究型大學(xué)，是國家“211工程”重點建設(shè)大學(xué)、教育部和廣西共建的省部共建高校。目前公司的數(shù)字化校園應(yīng)用還未全面上線，預(yù)計在今年完成應(yīng)用的上線，數(shù)字化校園應(yīng)用包含課程規(guī)劃系統(tǒng)、校園卡系統(tǒng)、認證計費系統(tǒng)和校友錄等多個應(yīng)用系統(tǒng)。有鑒于此，如何利用更有效的現(xiàn)代信息技術(shù)以支撐公司信息化的快速發(fā)展與高效管理，構(gòu)筑能夠更好地適應(yīng)現(xiàn)代化教育信息系統(tǒng)平臺，使IT系統(tǒng)真正成為公司應(yīng)對市場變化的競爭武器，是公司對IT系統(tǒng)進行虛

11、擬化規(guī)劃改造的主要目標。 數(shù)據(jù)中心環(huán)境現(xiàn)狀公司數(shù)據(jù)中心應(yīng)用涉及了校園卡、郵件系統(tǒng)、課程計劃系統(tǒng)、OA系統(tǒng)等多個應(yīng)用基礎(chǔ)架構(gòu)，在本次項目的硬件架構(gòu)設(shè)計中基本采用了x86架構(gòu)服務(wù)器以實現(xiàn)硬件的集中統(tǒng)一管理；同時初期規(guī)劃建設(shè)一個高效可靠而易于管理維護的虛擬化平臺架構(gòu)，作為未來系統(tǒng)多應(yīng)用平臺的整體彈性部署基礎(chǔ)架構(gòu)。這樣就使得未來業(yè)務(wù)系統(tǒng)的部署能夠根據(jù)實際業(yè)務(wù)量大小對運行該應(yīng)用的虛擬機資源進行在線動態(tài)調(diào)整與增加，以提高未來快速部署應(yīng)用系統(tǒng)的效率及實現(xiàn)基礎(chǔ)架構(gòu)平臺的高效管理維護，同時提高X86服務(wù)器平臺的高可用性、降低應(yīng)用業(yè)務(wù)系統(tǒng)的整體建設(shè)成本，并逐步探索和積累云計算基礎(chǔ)架構(gòu)平臺的運營管理經(jīng)驗。傳統(tǒng)服務(wù)器

12、與應(yīng)用一對一的部署方式對資源的有效利用及系統(tǒng)的管理維護帶來了很多難以解決的問題，包括：1、擴展性因為每臺服務(wù)器存儲都為本地直連，這就造成了所有的計算資源（CPU，內(nèi)存），網(wǎng)絡(luò)資源和存儲資源在虛擬化環(huán)境中無法進行轉(zhuǎn)移和調(diào)配，從而形成了本地的資源“孤島”，而無法通過有效的手段在線擴展。本地存儲的擴展能力有限，隨著應(yīng)用數(shù)據(jù)對于數(shù)據(jù)量以及I/O性能要求逐漸增加，本地磁盤會逐漸受限于緩存大小，磁盤轉(zhuǎn)速，磁盤數(shù)量，容量等擴展能力的限制將無法持續(xù)滿足需求。2、可用性因為當前環(huán)境下每個服務(wù)器都是單機運行，沒有共享存儲環(huán)境因此未配置為集群環(huán)境，系統(tǒng)維護和升級或者擴容時候需要停機進行，造成應(yīng)用中斷。沒有集群的高可

13、用環(huán)境支持，每個服務(wù)器的故障（人為或者意外）會造成其上運行的應(yīng)用停頓，并且在其他服務(wù)器上運行的與此服務(wù)器上的應(yīng)用具有相互依存關(guān)系的應(yīng)用也會受到影響，造成可用性整體下降。通過本地RAID卡構(gòu)建的本地存儲的可用性差，本地存儲通常沒有配置熱備盤，而且構(gòu)建RAID的類型有限。3、靈活性差由于沒有統(tǒng)一計算、網(wǎng)絡(luò)和存儲資源，這就造成了應(yīng)用無法統(tǒng)一有效的快速部署。例如：在彼此分割的環(huán)境下，無法將某臺服務(wù)器下多余的存儲資源、計算資源分配給其他服務(wù)器使用。對于某臺服務(wù)器的維護和升級等操作，都會造成計劃內(nèi)應(yīng)用的停機；無法在線遷移在其上運行的應(yīng)用到其他服務(wù)器上。4、成本高目前因為需要在線的服務(wù)器數(shù)量較多，服務(wù)器的數(shù)

14、量多意味著更多的空間占用，機柜占用，網(wǎng)絡(luò)交換，網(wǎng)線，耗電，UPS布局以及冷卻系統(tǒng)的布局和能耗。管理成本相對較高，因為服務(wù)器數(shù)量多意味著對現(xiàn)有系統(tǒng)的升級、改造所需要的管理成本增加；此外一對一的應(yīng)用部署模式，也意味著對于新設(shè)備的上線都需要重新規(guī)劃網(wǎng)絡(luò)、服務(wù)器等硬件設(shè)施，不但需要的考慮的管理成本的增加，交付時間的遲延，當然也要考慮到每個應(yīng)用對業(yè)務(wù)應(yīng)用上線需要重新服務(wù)器部署所造成了空間，硬件，耗能和冷卻系統(tǒng)成本上的增加。5、應(yīng)用兼容性問題現(xiàn)有環(huán)境存在多個應(yīng)用部署在一個物理服務(wù)器上的情況，然而不具有虛擬化抽象層隔離特性的操作系統(tǒng)之上運行的多個應(yīng)用，該操作系統(tǒng)如進行升級更新或者出現(xiàn)故障時將同時影響多個應(yīng)用

15、生產(chǎn)；并且當某個應(yīng)用造成操作系統(tǒng)穩(wěn)定性等問題也會影響在同一平臺的其他應(yīng)用。在一個物理服務(wù)器上部署的應(yīng)用，由于服務(wù)器物理硬件異構(gòu)也無法連同底層系統(tǒng)直接遷移到其他物理服務(wù)器上，必須通過備份軟件或者應(yīng)用或第三方的遷移工具。傳統(tǒng)的IT系統(tǒng)難以解決上述問題，而在新的基于VMware虛擬化基礎(chǔ)平臺的系統(tǒng)部署規(guī)劃中，能夠解決上述這5個問題并帶來以下收益： 在一個構(gòu)建了彈性資源池的VMware虛擬架構(gòu)中，用戶可以把資源看成是專屬于他們的，而管理員則可在企業(yè)范圍內(nèi)管理和優(yōu)化整個資源。VMware的虛擬架構(gòu)可以通過增加效率、靈活性和響應(yīng)能力來降低企業(yè)的IT花費。管理一個虛擬架構(gòu)可以讓IT部門更快的連接和管理資源，

16、以滿足商業(yè)所需。虛擬架構(gòu)可以讓IT部門達成以下目標：實現(xiàn)35%-75% TCO的節(jié)省：通過將整合多個物理服務(wù)器到一個物理服務(wù)器降低40軟件硬件成本；整合比：生產(chǎn)環(huán)境10-15 : 1，開發(fā)測試環(huán)境15-20 : 1；每個服務(wù)器的平均利用率從5-15%提高到60%-80%；降低70-80%運營成本， 包括數(shù)據(jù)中心空間、機柜、網(wǎng)線，耗電量，冷氣空調(diào)和人力成本。提高運營效率：部署時間從小時級到分鐘級， 服務(wù)器重建和應(yīng)用加載時間從 20-40 hrs =15-30 min， 每年節(jié)省10,000 人/小時（300臺服務(wù)器）；以前硬件維護需要之前的數(shù)天/周的變更管理準備和1 - 3小時維護窗口，現(xiàn)在可以

17、進行零宕機硬件維護和升級。提高服務(wù)水平：幫助企業(yè)建立業(yè)務(wù)和IT資源之間的關(guān)系，使IT和業(yè)務(wù)優(yōu)先級對應(yīng)；將所有服務(wù)器作為大的資源統(tǒng)一進行管理，并按需自動進行動態(tài)資源調(diào)配；無中斷的按需擴容。舊硬件和操作系統(tǒng)的投資保護：不再擔(dān)心舊系統(tǒng)的兼容性，維護和升級等一系列問題。需求分析數(shù)據(jù)中心基礎(chǔ)構(gòu)架分析公司信息中心的虛擬化系統(tǒng)平臺構(gòu)建將分為兩個階段進行。第一階段主要是在現(xiàn)有基礎(chǔ)上構(gòu)建有彈性的虛擬化基礎(chǔ)平臺架構(gòu)，使得相應(yīng)的計算、網(wǎng)絡(luò)和存儲資源能夠以抽象化彈性資源池的方式針對用戶現(xiàn)有及未來的應(yīng)用部署提供快速服務(wù)支撐，滿足業(yè)務(wù)系統(tǒng)快速上線與降低信息系統(tǒng)基礎(chǔ)架構(gòu)管理復(fù)雜性的要求。在這一階段完成虛擬化架構(gòu)平臺搭建的同

18、時，前期運行在物理服務(wù)器上的應(yīng)用系統(tǒng)遷移到該統(tǒng)一虛擬化基礎(chǔ)架構(gòu)平臺上進行管理與維護，做為整個系統(tǒng)虛擬化運行的前期應(yīng)用準備。這些現(xiàn)有的服務(wù)器應(yīng)用均可以通過VMware Converter工具遷移到搭建好的VMware虛擬化平臺基礎(chǔ)架構(gòu)中。第二階段在原有業(yè)務(wù)遷移完成后，對未來業(yè)務(wù)進行邏輯規(guī)劃和調(diào)整，實現(xiàn)院系VDC、教學(xué)虛擬服務(wù)器和站點容災(zāi)等。網(wǎng)絡(luò)虛擬化解決方案概述VMware網(wǎng)絡(luò)虛擬化平臺NSX通過提供全新的網(wǎng)絡(luò)運營模型，解決了這些數(shù)據(jù)中心難題。該模型突破了當前物理網(wǎng)絡(luò)障礙并且允許數(shù)據(jù)中心操作員將敏捷性和經(jīng)濟性提高若干數(shù)量級。方案概覽現(xiàn)在，VMware的軟件定義的數(shù)據(jù)中心 (SDDC) 體系結(jié)構(gòu)正

19、在跨整個物理數(shù)據(jù)中心基礎(chǔ)架構(gòu)擴展虛擬化技術(shù)。VMware NSX 網(wǎng)絡(luò)虛擬化平臺是 SDDC 體系結(jié)構(gòu)中的一款重要產(chǎn)品。使用NSX，用戶可以對網(wǎng)絡(luò)提供已對計算和存儲實現(xiàn)的相同虛擬化功能。VMware NSX是一個世界領(lǐng)先的網(wǎng)絡(luò)和安全虛擬化平臺，為虛擬機提供部署在普通IP網(wǎng)絡(luò)硬件上、提供完整服務(wù)、可編程以及可移動的虛擬網(wǎng)絡(luò)。NSX將Nicira NVP和VMware vCloud Network and Security (vCNS) 整合進一個統(tǒng)一的平臺，讓VMware能夠?qū)崿F(xiàn)網(wǎng)絡(luò)虛擬化如同實現(xiàn)計算虛擬化一樣。就像服務(wù)器虛擬化可以通過編程方式創(chuàng)建、刪除和還原基于軟件的虛擬機 (VM) 以及拍攝

20、其快照一樣，NSX網(wǎng)絡(luò)虛擬化也對基于軟件的虛擬網(wǎng)絡(luò)實現(xiàn)這些同樣的功能。結(jié)果是一種具有徹底革命性的聯(lián)網(wǎng)方法，不僅使數(shù)據(jù)中心管理人員能夠?qū)⒚艚菪院徒?jīng)濟性提高多個數(shù)量級，而且還能大大簡化底層物理網(wǎng)絡(luò)的運營模式。NSX能夠部署在任何 IP 網(wǎng)絡(luò)上，包括現(xiàn)有的傳統(tǒng)網(wǎng)絡(luò)模型以及任何供應(yīng)商提供的新一代體系結(jié)構(gòu)，是一個完全無中斷的解決方案。使用NSX，用戶已經(jīng)擁有的物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)就是部署軟件定義的數(shù)據(jù)中心所需的全部基礎(chǔ)。圖：服務(wù)器和網(wǎng)絡(luò)虛擬化類比上圖對計算和網(wǎng)絡(luò)虛擬化進行了類比。實現(xiàn)服務(wù)器虛擬化后，軟件抽象層（服務(wù)器虛擬化管理程序）可在軟件中重現(xiàn)人們所熟悉的 x86 物理服務(wù)器屬性（例如 CPU、RAM、磁

21、盤、網(wǎng)卡），從而可通過編程方式以任意組合來組裝這些屬性，只需短短數(shù)秒，即可生成一臺獨一無二的虛擬機(VM)。實現(xiàn)網(wǎng)絡(luò)虛擬化后，與“網(wǎng)絡(luò)虛擬化管理程序”等效的功能可在軟件中重現(xiàn)第 2 層到第 7 層的一整套網(wǎng)絡(luò)服務(wù)。因此，可通過編程方式以任意組合來組合這些服務(wù)，只需短短數(shù)秒，即可生成獨一無二的隔離式虛擬網(wǎng)絡(luò)。VMware NSX是把網(wǎng)絡(luò)進行虛擬化的軟件，這個平臺可以交付VMware及VMware NSX合作伙伴提供的邏輯網(wǎng)絡(luò)服務(wù)，如下圖所示。該平臺圍繞控制器集群而打造，管理數(shù)據(jù)中心內(nèi)管理程序的各種邏輯網(wǎng)絡(luò)功能。借助VMware NSX，數(shù)據(jù)中心運營商將能夠在幾秒鐘內(nèi)配置復(fù)雜的多層虛擬網(wǎng)絡(luò)，獨立于

22、底層的布局或網(wǎng)絡(luò)組件。圖：NSX概覽通過上圖可以看出，NSX提供了一個簡化的邏輯網(wǎng)絡(luò)元素和服務(wù)的完整套件，包括邏輯交換機、路由器、防火墻、負載均衡器、VPN、QoS、監(jiān)控以及安全。這些服務(wù)可以在虛擬網(wǎng)絡(luò)中通過基于NSX API的任何云計算管理平臺進行調(diào)配，并且可以安排在任何隔離和多租戶拓撲中。虛擬網(wǎng)絡(luò)可以通過任何現(xiàn)有的網(wǎng)絡(luò)進行無中斷部署，并且可以部署在任何虛擬化管理程序上。此外，NSX還提供了網(wǎng)絡(luò)虛擬機運營模式，以轉(zhuǎn)變數(shù)據(jù)中心的運營模式和經(jīng)濟性。它以編程方式創(chuàng)建、調(diào)配、拍攝快照、刪除和還原復(fù)雜網(wǎng)絡(luò)，所有這一切均可在軟件中完成。VMware NSX突破了當前物理網(wǎng)絡(luò)障礙，使數(shù)據(jù)中心操作員得以將速

23、度、經(jīng)濟性和選擇性提高若干數(shù)量級。NSX以軟件的方式提供2-7層的整體網(wǎng)絡(luò)和安全模式，實現(xiàn)與底層網(wǎng)絡(luò)硬件的解耦，它可以充分利用公司現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)而無需做出改變，從而提高服務(wù)交付的速度和敏捷性，并降低成本。就像服務(wù)器虛擬化將虛擬機從底層X86服務(wù)器硬件分離出來以改變計算運營模式一樣，NSX將基于軟件的虛擬網(wǎng)絡(luò)從底層網(wǎng)絡(luò)硬件分離出來，以便支持新的網(wǎng)絡(luò)運營模式。在這種情況下，部署虛擬機周邊的網(wǎng)絡(luò)和安全組件會便捷的多，下圖顯示了這一過程。圖：NSX加速了虛擬數(shù)據(jù)中心的部署通過使用VMware NSX，部署一個虛擬數(shù)據(jù)中心的時間由數(shù)天時間變成了幾分鐘！可見，NSX實現(xiàn)了軟件定義的快速部署，大大提高了數(shù)

24、據(jù)中心的部署效率。除了這一明顯的改變，NSX對前面提到的傳統(tǒng)網(wǎng)絡(luò)與安全體系結(jié)構(gòu)在虛擬化環(huán)境下的缺陷進行了徹底的顛覆，具體內(nèi)容如下圖所示。圖：NSX在擬化環(huán)境下的優(yōu)勢NSX通過創(chuàng)建軟件驅(qū)動型抽象層將網(wǎng)絡(luò)連接與安全組件與底層物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)完全分離，因此它可以確保硬件獨立性，使得網(wǎng)絡(luò)連接與安全服務(wù)擺脫與硬件綁定的限制。NSX將網(wǎng)絡(luò)和安全服務(wù)綁定到每一個虛擬機，并隨虛擬機遷移，這樣無需人工干預(yù)即可大量添加或轉(zhuǎn)移工作負載，因此可擴展性和移動性都得到了增強。在運維管理方面，NSX提供了統(tǒng)一的集中控制點，它可以進行快速的編程式調(diào)配和無中斷部署，這使得從網(wǎng)絡(luò)調(diào)配到部署和維護，所有的一切都實現(xiàn)了高度的自動化。

25、除此之外，NSX還可以在任何通用IP網(wǎng)絡(luò)硬件上同時支持舊版應(yīng)用和新應(yīng)用。它可以從終端主機的角度忠實地再現(xiàn)物理網(wǎng)絡(luò)模型：工作負載感覺不到任何差異，因此，軟件定義的網(wǎng)絡(luò)與安全對上層應(yīng)用是透明的，上面的業(yè)務(wù)可以不做任何修改而繼續(xù)使用。主要價值VMware網(wǎng)絡(luò)虛擬化平臺NSX的主要價值體現(xiàn)在下面四個方面。使用軟件定義的網(wǎng)絡(luò)和安全獲得效率和敏捷性擺脫極不靈活的網(wǎng)絡(luò)和安全體系結(jié)構(gòu)，這種體系結(jié)構(gòu)基于手動調(diào)配的 VLAN 并使用分立管理界面的專用設(shè)備。使用軟件主導(dǎo)型網(wǎng)絡(luò)和安全服務(wù)，獲得云計算基礎(chǔ)架構(gòu)的全面敏捷性。通過創(chuàng)建能夠適應(yīng)工作負載并隨工作負載移動的網(wǎng)絡(luò)和安全結(jié)構(gòu)，根據(jù)業(yè)務(wù)需要快速部署、移動、擴展和保護應(yīng)

26、用及數(shù)據(jù)。NSX可使軟件主導(dǎo)型網(wǎng)絡(luò)和安全與緊密集成到虛擬數(shù)據(jù)中心管理中的基于策略的調(diào)配機制結(jié)合在一起。通過提高效率和利用率降低運營、采購成本，實現(xiàn)資源的按需供給NSX無需重新配置物理網(wǎng)絡(luò)，即可跨集群和單元彈性分配計算資源，用戶可以在初始階段，僅投入項目所必需的最少資源，在后續(xù)的生產(chǎn)實踐中，根據(jù)實際需要，可以再追加所需的資源，從而實現(xiàn)真正的隨需應(yīng)變與資源動態(tài)供給，并最終提高資源利用率。此外，NSX提供了高度可擴展的虛擬網(wǎng)絡(luò)，可簡化調(diào)配，降低運營成本，同時減少對專用設(shè)備的需求。能夠跨集群和單元管理和分配計算資源能夠減少對專用設(shè)備的需求能夠受益于與vCenter、vCAC或其他云管理平臺集成的優(yōu)勢利

27、用虛擬工作負載的敏捷性，適應(yīng)動態(tài)業(yè)務(wù)需求可創(chuàng)建隨應(yīng)用擴展的網(wǎng)絡(luò)并在需要的位置應(yīng)用安全服務(wù)，而無需升級硬件。NSX可提高應(yīng)用可用性并增強網(wǎng)絡(luò)性能。無需重新配置物理網(wǎng)絡(luò)，即可部署、移動或擴展虛擬工作負載可自動調(diào)配和橫向擴展網(wǎng)絡(luò)連接和安全服務(wù)能夠更全面地了解虛擬通信流量在基礎(chǔ)架構(gòu)中全面使用高度集成并完整的網(wǎng)絡(luò)與安全解決方案可以讓用戶在充分利用現(xiàn)有的網(wǎng)絡(luò)連接和安全投資的同時，能夠受益于最新的第三方創(chuàng)新技術(shù)。通過REST API，用戶可以在虛擬網(wǎng)卡和虛擬邊緣插入服務(wù)，同時支持硬件和軟件解決方案。由于NSX提供了一整套高度集成且完整的網(wǎng)絡(luò)與安全解決方案，因此，用戶不再需要四處尋找各種零散且相互獨立的網(wǎng)絡(luò)與

28、安全方案，NSX集成了常用的各種與網(wǎng)絡(luò)和安全相關(guān)的服務(wù)，部署一個NSX就相當于一次性地使用了用戶所需要的多種網(wǎng)絡(luò)與安全解決方案?？沙浞掷瞄_放式體系結(jié)構(gòu)和行業(yè)標準API為基于硬件和軟件的解決方案提供一致的支持可保護現(xiàn)有網(wǎng)絡(luò)連接和安全投資典型應(yīng)用場景NSX是適用于擁有500臺以上虛擬機的數(shù)據(jù)中心的理想解決方案。NSX可以為創(chuàng)新型多租戶云計算服務(wù)提供商、大型企業(yè)私有云和研發(fā)云以及包含多虛擬化管理程序的云計算環(huán)境提供直接好處，典型使用情形如下。數(shù)據(jù)中心自動化加快網(wǎng)絡(luò)調(diào)配簡化服務(wù)插入 虛擬和物理簡化DMZ更改自助式企業(yè)IT通過自動網(wǎng)絡(luò)和服務(wù)調(diào)配實現(xiàn)針對私有云和測試/開發(fā)環(huán)境的快速應(yīng)用部署在同一物理基礎(chǔ)

29、架構(gòu)上隔離開發(fā)、測試和生產(chǎn)環(huán)境多租戶云針對自定義和完整隔離的租戶自動執(zhí)行網(wǎng)絡(luò)調(diào)配在租戶之間實現(xiàn)硬件共享最大化圖：NSX主要應(yīng)用場景網(wǎng)絡(luò)虛擬化解決方案技術(shù)詳解本章將對NSX進行詳細的技術(shù)闡述，主要介紹基本組件、工作原理和NSX的主要功能。基本組件NSX聚集了四個基本模塊：數(shù)據(jù)轉(zhuǎn)發(fā)平面、控制平面、管理平面和應(yīng)用平面，如下圖所示。圖：NSX基本組件數(shù)據(jù)轉(zhuǎn)發(fā)平面NSX數(shù)據(jù)轉(zhuǎn)發(fā)平面由NSX vSwitch組成。NSX for vSphere中的vSwitch基于vSphere Distributed Switch (VDS)（或用于非 ESXi 虛擬化管理程序的 Open vSwitch），還包括其他組

30、件，可提供豐富的服務(wù)。附加NSX組件包括在虛擬化管理程序內(nèi)核中運行的用于提供分布式路由、分布式防火墻等服務(wù)并實現(xiàn)VXLAN橋接功能的內(nèi)核模塊 (VIB)。NSX vSwitch（基于 VDS 或 OVS）可對物理網(wǎng)絡(luò)進行抽象化處理并在虛擬化管理程序中提供訪問級別的交換。它對網(wǎng)絡(luò)虛擬化至關(guān)重要，因為它可實現(xiàn)獨立于物理構(gòu)造的邏輯網(wǎng)絡(luò)（例如 VLAN）。vSwitch的一些優(yōu)勢如下所示。利用 VXLAN、STT、GRE 等協(xié)議以及集中式網(wǎng)絡(luò)配置支持覆蓋網(wǎng)絡(luò)。覆蓋網(wǎng)絡(luò)可實現(xiàn)以下功能：在現(xiàn)有物理基礎(chǔ)架構(gòu)上創(chuàng)建一個覆蓋現(xiàn)有 IP 網(wǎng)絡(luò)的靈活的邏輯層 2（第 2 層），而無需重新設(shè)計任何數(shù)據(jù)中心網(wǎng)絡(luò)配置通信

31、（東西向和南北向），同時讓租戶之間保持相互隔離應(yīng)用工作負載和虛擬機獨立于覆蓋網(wǎng)絡(luò)，并且就像連接到物理第 2 層網(wǎng)絡(luò)一樣運行NSX vSwitch 有利于實現(xiàn)虛擬化管理程序的大規(guī)模擴展。端口鏡像、NetFlow/IPFIX、配置備份和還原、網(wǎng)絡(luò)運行狀況檢查、QoS 和 LACP 等多種功能可在虛擬網(wǎng)絡(luò)內(nèi)提供一個全面的流量管理、監(jiān)控和故障排除工具包。此外，數(shù)據(jù)平面還包含網(wǎng)關(guān)設(shè)備，這些設(shè)備可提供從邏輯網(wǎng)絡(luò)空間 (VXLAN) 到物理網(wǎng)絡(luò) (VLAN) 的第 2 層橋接，可將虛擬網(wǎng)絡(luò)VXLAN連接到非虛擬主機、遠程站點和外部網(wǎng)絡(luò)VLAN。網(wǎng)關(guān)設(shè)備通常是NSX Edge 虛擬設(shè)備。NSX Edge 提供

32、第 2 層、第 3 層、外圍防火墻、負載平衡和 SSL VPN、DHCP 等其他服務(wù)。NSX網(wǎng)關(guān)服務(wù)提供一個進出軟件定義的數(shù)據(jù)中心的安全路徑，網(wǎng)關(guān)節(jié)點可以部署為Active/Active HA對，提供IP路由、NAT、防火墻、VPN和負載均衡服務(wù)，用于保護和控制一個或多個NSX虛擬網(wǎng)絡(luò)的南北向的流量。有些NSX內(nèi)的應(yīng)用程序可能需要連接數(shù)據(jù)中心內(nèi)的非虛擬化主機上的服務(wù)，比如IP存儲。對于這種需求，NSX提供了L2網(wǎng)關(guān)服務(wù)，專用L2網(wǎng)關(guān)節(jié)點的HA pair、或合作伙伴的ToR交換機，能夠在NSX虛擬網(wǎng)絡(luò)和物理VLAN之間做橋接。Edge的L2網(wǎng)關(guān)服務(wù)也能放置于遠程站點，將遠程VLAN與一個NSX虛

33、擬網(wǎng)絡(luò)橋接，用于虛機跨書記中心二層互相訪問。從虛擬網(wǎng)絡(luò)到物理網(wǎng)絡(luò)的第 2 層橋接功能也可以由支持解封 VXLAN 流量的功能的物理網(wǎng)絡(luò)交換機實現(xiàn)?？刂破矫孢@是一組高可用的、可橫向擴展的x86系統(tǒng)集群，負責(zé)以編程的方式跨越整個架構(gòu)部署虛擬網(wǎng)絡(luò)?？刂破骷航邮諄碜怨芾砥脚_的API請求，計算虛擬網(wǎng)絡(luò)拓撲，主動編程hypervisor vswitch和網(wǎng)關(guān)，賦予適當?shù)膶崟r配置和轉(zhuǎn)發(fā)狀態(tài)。隨著計算環(huán)境的動態(tài)變更，控制器集群更新必要的組件，使虛擬網(wǎng)絡(luò)狀態(tài)與虛擬計算狀態(tài)保持在同步狀態(tài)。NSX控制器集群提供一個邏輯上集中，但物理上分布的控制層。高可用集群中的每一臺x86機器共享所有所需工作量的等量部分，為任何

34、丟失的集群節(jié)點提供即刻備份的容量。當虛擬網(wǎng)絡(luò)需要擴展時，可按需向集群添加節(jié)點，任意節(jié)點丟失不會影響轉(zhuǎn)發(fā)平面的數(shù)據(jù)轉(zhuǎn)發(fā)。NSX控制器集群對所有用NSX調(diào)配的網(wǎng)絡(luò)服務(wù)和虛擬機都具有可見能力。有了這樣的權(quán)威認知，NSX控制器集群能夠搶先編程所有NSX組件，實現(xiàn)虛擬網(wǎng)絡(luò)拓撲。在針對vSphere優(yōu)化的環(huán)境里，控制器與VDS一起實現(xiàn)multicast free的VXLAN功能，另外VDR分布式路由的轉(zhuǎn)發(fā)信息也是由控制平面生成分發(fā)給各個X86上的轉(zhuǎn)發(fā)模塊。NSX控制器集群完全是帶外的，不參與處理數(shù)據(jù)包轉(zhuǎn)發(fā)。NSX 控制板在 NSX Controller 中運行。在采用 VDS 的 vSphere 優(yōu)化環(huán)境

35、中，控制器可實現(xiàn)自由多播 VXLAN 以及 VDR 等元素的控制板編程。在多虛擬化管理程序環(huán)境中，控制器節(jié)點對 vSwitch 轉(zhuǎn)發(fā)板進行編程。無論是哪種情況，控制器都只是控制板的一部分，不會有任何數(shù)據(jù)板流量通過它傳遞?？刂破鞴?jié)點還部署在具有奇數(shù)個成員的集群中，以實現(xiàn)高可用性和可擴展性?？刂破鞴?jié)點發(fā)生任何故障都不會對數(shù)據(jù)板流量造成任何影響。NSX管理平面：NSX管理器NSX管理器提供了一個基于WEB的、用戶交互友好的GUI管理儀表板，用于系統(tǒng)安裝、管理和排錯。系統(tǒng)管理員可以查看所有NSX組件和虛擬網(wǎng)絡(luò)元素（邏輯交換機、邏輯路由器、網(wǎng)關(guān)，等等）的日志以及連接狀態(tài)。NSX 管理器提供REST AP

36、I與各種外部平臺接口。就像虛擬機一樣，NSX管理器可以為虛擬網(wǎng)絡(luò)做完整快照，用于備份、還原、自省和歸檔。NSX 管理平面由 NSX Manager 構(gòu)建。NSX Manager 在 vSphere 環(huán)境中為 NSX 提供單個配置點和 REST API 入口點。應(yīng)用平面NSX的應(yīng)用可以直接通過NSX管理器UI驅(qū)動。在 vSphere 環(huán)境中，可通過 vSphere Web UI 本身使用。通常，在網(wǎng)絡(luò)虛擬化中，終端用戶與其云管理平臺聯(lián)系在一起，以部署應(yīng)用。NSX 通過 REST API 提供一組豐富的集成功能，幾乎可集成到任何 CMP。還可通過 VMware vCloud Automation

37、Center、vCloud Director 以及具有用于 NSX 的 Neutron 插件的 OpenStack，獲得開箱即用的集成功能。工作原理與服務(wù)器虛擬化的計算模式相似，NSX網(wǎng)絡(luò)虛擬化方法允許數(shù)據(jù)中心操作員將物理網(wǎng)絡(luò)視為透明容量池，可以根據(jù)需要使 用和改變用途。虛擬機是一個軟件容器，可以為應(yīng)用提供邏輯CPU、內(nèi)存和存儲，虛擬網(wǎng)絡(luò)與之相似，也是一個軟件容器，可以為連接的工作負載提供邏輯網(wǎng)絡(luò)組件，包括邏輯交換機、路由器、防火墻、負載平衡器、VPN及其他組件。NSX利用底層物理網(wǎng)絡(luò)作為簡單的數(shù)據(jù)包轉(zhuǎn)發(fā)底板，以編程方式創(chuàng)建、調(diào)配和管理虛擬網(wǎng)絡(luò)。網(wǎng)絡(luò)服務(wù)以編程方式分發(fā)到每個虛擬機，與底層網(wǎng)絡(luò)硬

38、件或拓撲無關(guān)，因此工作負載可以動態(tài)添加或移動，虛擬機連接的所有網(wǎng)絡(luò)和安全服務(wù)不管在數(shù)據(jù)中心的什么位置都會隨之移動，NSX的工作原理如下。與物理網(wǎng)絡(luò)硬件完全脫離關(guān)系NSX網(wǎng)絡(luò)虛擬化在任何物理網(wǎng)絡(luò)硬件的上一層工作，支持任何服務(wù)器虛擬化管理程序平臺。它對物理網(wǎng)絡(luò)的唯一要求是必須提供IP傳輸，它對底層硬件或虛擬化管理程序無任何依賴。NSX網(wǎng)關(guān)允許將舊式VLAN和物理主機映射到虛擬網(wǎng)絡(luò)。在軟件中重現(xiàn)物理網(wǎng)絡(luò)模型NSX在每個虛擬網(wǎng)絡(luò)中的軟件中重現(xiàn)整個網(wǎng)絡(luò)環(huán)境、L2、L3、 L4-L7 網(wǎng)絡(luò)服務(wù)。NSX 為L2-L7服務(wù)提供分布式邏輯體系結(jié)構(gòu)，包括邏輯交換機、路由器、防火墻、負載平衡器和VPN。這些邏輯網(wǎng)絡(luò)

39、服務(wù)在部署虛擬機時以編程方式調(diào)配，并且隨著虛擬機移動而移動?，F(xiàn)有應(yīng)用無需修改即可運行，并且虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)連接之間看不到任何差異。自動化NSX提供了基于REST的API，允許云計算管理平臺自動交付網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)調(diào)配過去需要數(shù)天或數(shù)周完成，現(xiàn)在只需要數(shù)秒鐘即可完成。由于網(wǎng)絡(luò)服務(wù)現(xiàn)在通過虛擬網(wǎng)絡(luò)交付給應(yīng)用，因此無須對物理網(wǎng)絡(luò)設(shè)備再進行手動配置。NSX Service Composer提供了一種自動使用服務(wù)的方式，并且可以使用邏輯策略映射到虛擬機。可以將策略分配給虛擬機組，并且隨著組中添加的虛擬機越來越多，政策會自動應(yīng)用于虛擬機?？梢詷?gòu)建高級工作流，自動完成安全性、合規(guī)性和網(wǎng)絡(luò)調(diào)配，包括負載平衡和

40、防火墻規(guī)則。可延展性NSX提供了可插入其他供應(yīng)商服務(wù)的平臺。集成式軟件和硬件合作伙伴產(chǎn)品豐富多樣，包括網(wǎng)絡(luò)網(wǎng)關(guān)服務(wù)、應(yīng)用交付服務(wù)和網(wǎng)絡(luò)安全平臺以及安全服務(wù)等。高可用性NSX在控制器、管理器、Edge、交換機等多個層面提供了多組件的高可用機制，這使得NSX完全可以應(yīng)用于生產(chǎn)環(huán)境，如下圖所示。圖：NSX組件的高可用主要功能NSX的主要功能有：邏輯交換、邏輯路由、邏輯防火墻、邏輯負載均衡、邏輯VPN和合作伙伴生態(tài)系統(tǒng)，如下圖所示。NSX中的Edge還可以提供網(wǎng)關(guān)服務(wù)。圖：NSX的主要功能邏輯交換邏輯交換網(wǎng)絡(luò)是創(chuàng)建彈性可移動虛擬數(shù)據(jù)中心的基礎(chǔ)，通過它，管理員可以快速方便地設(shè)立各自獨立的二層網(wǎng)絡(luò)，本章介

41、紹實現(xiàn)邏輯交換的各個功能模塊以及各個模塊間的通信原理。NSX的邏輯交換可以將網(wǎng)絡(luò)的擴展性提高一千倍，它可以應(yīng)對的主要挑戰(zhàn)以及為用戶帶來的收益如下圖所示。圖：NSX邏輯交換的優(yōu)勢模塊如下圖所示：共有三個模塊提供邏輯網(wǎng)絡(luò)抽象和與物理網(wǎng)絡(luò)隔離的功能，原理就是VXLAN或者STT等協(xié)議把VM的流量封裝到一個Overlay IP隧道中，物理網(wǎng)絡(luò)承載這些IP隧道流量。圖：NSX邏輯交換的組成模塊NSX管理器NSX Manager 是管理板組件，可幫助配置邏輯交換機并將虛擬機連接到這些邏輯交換機。它還提供 API 接口，幫助通過云管理平臺實現(xiàn)這些交換機的部署和管理自動化。通過NSX 管理器來管理配置VM聯(lián)入

42、邏輯交換網(wǎng)絡(luò)，同時NSX Manager提供API與CMP接口?？刂破骷篘SX平臺中的控制器集群是控制板組件，它負責(zé)管理虛擬化管理程序中的交換和路由模塊?？刂破骷河晒芾硖囟ㄟ壿嫿粨Q機的控制器節(jié)點組成。使用控制器集群來管理基于 VXLAN 的邏輯交換機，就不再需要物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)提供多播支持?，F(xiàn)在，不必配置多播組 IP 地址，也不需要在物理交換機或路由器上啟用 PIM 路由或 IGMP 監(jiān)聽功能。創(chuàng)建邏輯交換機時選中“Unicast”（單播）復(fù)選框可啟用此 VXLAN 操作模式。控制器集群提供大腦功能來管控X86服務(wù)器Hypervisor邏輯交換與路由模塊，集群里的控制節(jié)點來控制指定的邏輯交

43、換網(wǎng)絡(luò)。在VXLAN場景，控制器用了建立只能二層拓撲映射，消除了原有的VXLAN控制平面對物理網(wǎng)絡(luò)組播的依賴性，簡化物理網(wǎng)絡(luò)配置與管理，降低邏輯交換網(wǎng)絡(luò)對物理網(wǎng)絡(luò)的依賴。User World Agent (UWA) 和VXLAN 隧道終節(jié)點 (VTEP)在Hypervisor上有兩個模塊用于數(shù)據(jù)轉(zhuǎn)發(fā)平面，它們用于在控制器集群和其他虛擬化管理程序之間提供通信路徑，同時還執(zhí)行邏輯交換機的數(shù)據(jù)路徑功能。UWA用于Hypervisor與控制器集群建立通信，VTEP用于實現(xiàn)各Hypervisor間建立Overlay隧道。虛擬化管理程序上有兩個數(shù)據(jù)板組件。邏輯交換網(wǎng)絡(luò)的優(yōu)勢靈活性通過支持跨交換機和單元邊界

44、的“擴展集群”，數(shù)據(jù)中心服務(wù)器與存儲的利用率和靈活性可實現(xiàn)最大化。優(yōu)化的網(wǎng)絡(luò)操作邏輯交換網(wǎng)絡(luò)在標準第三層IP網(wǎng)絡(luò)上運行，不再需要構(gòu)建和管理龐大的第二層基礎(chǔ)傳輸層。投資保護邏輯交換網(wǎng)絡(luò)包跑在標準交換機硬件上，交換機上無需進行軟件升級，也不必采用特殊的代碼版本。隨著VMware和其他供應(yīng)商推出基于VXLAN的解決方案，企業(yè)可以充分利用更高的數(shù)據(jù)中心自動化程度、敏捷性和效率所帶來的優(yōu)勢。邏輯路由NSX的邏輯路由可以簡化多租戶，它可以應(yīng)對的主要挑戰(zhàn)以及為用戶帶來的收益如下圖所示。圖：NSX邏輯路由的優(yōu)勢NSX提供兩種路由模式：分布式路由與集中式路由。分布式路由NSX的分布式路由功能優(yōu)化了數(shù)據(jù)中心東西向

45、流量，并提供了一個分布式處理、水平擴展的網(wǎng)絡(luò)架構(gòu)。數(shù)據(jù)中心VM間流量或者主機間流量成為東西向流量，研究表明，該流量占數(shù)據(jù)中心內(nèi)70%以上的流量，且該比例日益增長。服務(wù)器之間的高帶寬通信需求要求數(shù)據(jù)中心能夠提供分布式的、面向服務(wù)的網(wǎng)絡(luò)。若虛擬機之間的通信是跨不同網(wǎng)段的（跨三層）則在通常狀況下需要物理路由器做轉(zhuǎn)發(fā)，虛擬機流量需要流出物理服務(wù)器到物理路由器轉(zhuǎn)發(fā)后再回到服務(wù)器做處理，這種不優(yōu)化的網(wǎng)絡(luò)架構(gòu)通常稱為發(fā)卡流量（hair pinning）。分布式路由功能解決的上述發(fā)卡現(xiàn)象，因為NSX把東西向路由功能（模塊）放到了服務(wù)器里的hypervisor層。每個hyperbisor有個路由的內(nèi)核模塊來提供

46、跨不同邏輯交換網(wǎng)絡(luò)間的通信。集中式路由NSX Edge提供傳統(tǒng)的集中式路由功能，提供數(shù)據(jù)中心南北向路由通信。同時NSX Edge可提供Firewall、DHCP、NAT、VPN、負載均衡等多種網(wǎng)絡(luò)服務(wù)。模塊如下圖所示，邏輯路由由一些模塊來控制分布式路由與集中式路由。圖：NSX邏輯路由模塊NSX ManagerNSX Manager同樣來部署邏輯路由服務(wù)，用戶可以選擇部署分布式、集中式路由。若是選擇分布式路由則NSX Manager創(chuàng)建 Logical Rotuer Control VM并把邏輯接口信息通過NSX控制器推送到每臺hypervisor。若是選擇集中式路由則NSX Manager創(chuàng)建

47、NSX Edge VM來執(zhí)行相關(guān)功能CMP可以通過API來動態(tài)部署邏輯路由功能Logical Rotuer Control VM該VM是分布式路由的路由控制模塊支持動態(tài)路由協(xié)議：OSPF、BGP該VM與上層的路由器間可以運行動態(tài)路由，學(xué)習(xí)到的路由表通過NSX controller推送到各Hypervisor該VM部署支持高可用邏輯路由內(nèi)核模塊由NSX Manager來配置并部署到Hypervisor內(nèi)核該模塊類似網(wǎng)絡(luò)設(shè)備內(nèi)的分布式轉(zhuǎn)發(fā)linecard該模塊內(nèi)的路由表由Control VM生成并通過NSX Controller推送路由查詢以及ARP映射查詢都由該模塊執(zhí)行NSX 控制器集群用于推送

48、路由表控制器節(jié)點分布式的處理各個分布式邏輯路由實例NSX Edge 網(wǎng)關(guān)一個網(wǎng)絡(luò)服務(wù)網(wǎng)關(guān)提供集中式路由服務(wù)，同時支持以下功能：動態(tài)路由（OSPF、ISIS、BGP）、DHCP、NAT、Firewall、Load Balancer、VPN二層橋接通過VXLAN與VLAN之間的橋接，虛擬機可以完成物理和虛擬網(wǎng)絡(luò)之間的通信。通過NSX，管理員可以在邏輯交換機和VLAN之間創(chuàng)建二層網(wǎng)橋，通過將邏輯交換機廣播域橋接到VLAN廣播域，邏輯網(wǎng)絡(luò)可以利用物理三層網(wǎng)關(guān)并訪問現(xiàn)有物理網(wǎng)絡(luò)和安全資源。在NSX 6.1以及之前的版本中，邏輯交換網(wǎng)絡(luò)必須通過NSX Edge才能擴展到VLAN，邏輯交換機不能同時連接到分

49、布式邏輯路由（DLR）和NSX Edge，如下如所示。圖：NSX 6.1以及之前版本的二層橋接必須使用Edge來路由上圖中，APP邏輯交換網(wǎng)絡(luò)沒有擴展到VLAN，它可以使用DLR，而DB邏輯交換網(wǎng)絡(luò)擴展到了VLAN，它必須使用Edge來完成路由。而在NSX 6.2中，邏輯交換網(wǎng)絡(luò)可以通過DLR來完成到VLAN的擴展，這樣做的好處是數(shù)據(jù)流量進行了優(yōu)化，流量不再需要經(jīng)過Edge進行路由，如下圖所示。圖：NSX 6.2的二層橋接通過DLR來路由上圖中，DB邏輯交換網(wǎng)絡(luò)可以通過DLR來實現(xiàn)到VLAN的擴展，避免流量集中經(jīng)過Edge。邏輯防火墻NSX提供分布式的內(nèi)核防火墻，該防火墻部署在每個hyperb

50、isor內(nèi)核，提供線速安全過濾轉(zhuǎn)發(fā)，支持以VM 對象屬性，支持以用戶ID為對象的安全監(jiān)控，同時把其他安全服務(wù)融入NSX 網(wǎng)絡(luò)虛擬化。NSX邏輯防火墻可以應(yīng)對的主要挑戰(zhàn)以及為用戶帶來的收益如下圖所示。圖：NSX邏輯防火墻的優(yōu)勢網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離是最普遍的網(wǎng)絡(luò)安全需求，不同于傳統(tǒng)的依靠手工配置物理網(wǎng)絡(luò)設(shè)備（防火墻、ACL等）來實現(xiàn)網(wǎng)絡(luò)管控，NSX網(wǎng)絡(luò)虛擬化平臺天生可以實現(xiàn)多租戶的網(wǎng)絡(luò)隔離。虛擬網(wǎng)絡(luò)之間在缺省狀況下是自動相互隔離的，除非管理員指定虛擬網(wǎng)絡(luò)之間的關(guān)聯(lián)。而且這種網(wǎng)絡(luò)隔離不需要物理網(wǎng)絡(luò)劃分子網(wǎng)、設(shè)置VLAN、設(shè)置ACL、設(shè)置防火墻策略。而且維護這種網(wǎng)絡(luò)隔離的同時，VM可以部署在數(shù)據(jù)中心任意的

51、服務(wù)器上，不通網(wǎng)絡(luò)的VM可以配置在同一個主機上，也可以在不同的主機，隔離的策略不變。這種網(wǎng)絡(luò)隔離意味著不通租戶間VM可以使用相同的IP地址。NSX支持以下場景：兩套相同IP地址的測試環(huán)境在同一個物理網(wǎng)絡(luò)上運行而不互相干擾。由于overlay封裝，物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)各自的IP環(huán)境相互獨立，比如可以使用IPv4的物理網(wǎng)絡(luò)來承載IPv6的虛擬網(wǎng)絡(luò)，不互相干擾。網(wǎng)絡(luò)分區(qū)使用網(wǎng)絡(luò)虛擬化可以輕松實現(xiàn)網(wǎng)絡(luò)分區(qū)。相對與網(wǎng)絡(luò)隔離，網(wǎng)絡(luò)虛擬化可以實現(xiàn)multi-tier的虛擬網(wǎng)絡(luò)組，及網(wǎng)絡(luò)分區(qū)。傳統(tǒng)的方式下網(wǎng)絡(luò)分區(qū)是由配置物理路由器防火墻的方式來實現(xiàn)的，該方式很容易實現(xiàn)人為的配置失誤，帶來繁瑣的troublesh

52、ooting，同時為運維管理帶來的較大的負擔(dān)。網(wǎng)絡(luò)分區(qū)同網(wǎng)絡(luò)隔離一樣是網(wǎng)絡(luò)虛擬化的核心功能，NSX支持多個虛擬網(wǎng)絡(luò)L3互聯(lián)，同時支持micro-segmentation，既一個二層虛擬網(wǎng)絡(luò)上使用分布式防火墻策略實現(xiàn)網(wǎng)絡(luò)分區(qū)。而且上述功能通過軟件自動化部署，減少傳統(tǒng)方式下的人為失誤。在一個虛擬網(wǎng)絡(luò)里，網(wǎng)絡(luò)服務(wù)（L3，L2，QoS，F(xiàn)irewall等）都是程式化地執(zhí)行、推送到各個hypevisor的vSwitch上。網(wǎng)絡(luò)隔離、防火墻策略是直接加載到VM的虛擬網(wǎng)卡（vNIC）上。VM之間的通信不會轉(zhuǎn)發(fā)到物理網(wǎng)絡(luò)上，既物理網(wǎng)絡(luò)不需配置ACL、防火墻來管控虛擬網(wǎng)絡(luò)。利用抽象化處理過去，網(wǎng)絡(luò)安全要求安全團

53、隊深入了解網(wǎng)絡(luò)尋址、應(yīng)用端口、協(xié)議、與網(wǎng)絡(luò)硬件相關(guān)的所有信息、工作負載位置和拓撲。網(wǎng)絡(luò)虛擬化可基于物理網(wǎng)絡(luò)硬件和拓撲對應(yīng)用工作負載通信進行抽象化處理，使網(wǎng)絡(luò)安全擺脫這些物理約束，并根據(jù)用戶、應(yīng)用和業(yè)務(wù)環(huán)境應(yīng)用網(wǎng)絡(luò)安全。高級安全服務(wù)插入、串聯(lián)和轉(zhuǎn)向基礎(chǔ) VMware NSX 網(wǎng)絡(luò)虛擬化平臺提供基本的全狀態(tài)防火墻功能，以便在虛擬網(wǎng)絡(luò)內(nèi)提供分段。在有些環(huán)境中，需要更高級的網(wǎng)絡(luò)安全功能。在這些情況下，可以利用 VMware NSX 在虛擬化網(wǎng)絡(luò)環(huán)境中分發(fā)、啟用和強制實施高級網(wǎng)絡(luò)安全服務(wù)。NSX 將網(wǎng)絡(luò)服務(wù)分發(fā)到 vSwitch 中，以形成適用于虛擬網(wǎng)絡(luò)流量的服務(wù)的邏輯管道?？梢詫⒌谌骄W(wǎng)絡(luò)服務(wù)插入此邏

54、輯管道中，從而允許在邏輯管道中使用物理或虛擬服務(wù)。每個安全團隊都使用各種網(wǎng)絡(luò)安全產(chǎn)品的獨特組合來滿足其環(huán)境的需求。VMware 的整個安全解決方案提供商體系都在使用 VMware NSX 平臺網(wǎng)絡(luò)安全團隊經(jīng)常面臨協(xié)調(diào)多個供應(yīng)商所提供網(wǎng)絡(luò)安全服務(wù)的關(guān)系的難題。NSX 方法的另一個巨大好處是它能夠構(gòu)建策略來利用 NSX 服務(wù)的插入、串聯(lián)和轉(zhuǎn)向功能，以便基于其他服務(wù)的結(jié)果，推動服務(wù)在邏輯服務(wù)管道中執(zhí)行，從而能夠協(xié)調(diào)多個供應(yīng)商提供的本來毫不相關(guān)的網(wǎng)絡(luò)安全服務(wù)。例如，我們與 Palo Alto Networks的集成將利用 VMware NSX 平臺來分發(fā) Palo Alto Networks 虛擬機系

55、列的下一代防火墻，從而在每個虛擬化管理程序本地提供高級功能。為調(diào)配或移到該虛擬化管理程序的應(yīng)用工作負載定義的網(wǎng)絡(luò)安全策略將插入到虛擬網(wǎng)絡(luò)的邏輯管道。在運行時，服務(wù)插入功能將利用本地提供的 Palo Alto Networks 下一代防火墻功能集，在工作負載虛擬接口交付和強制實施基于應(yīng)用、用戶以及上下文的控制策略。跨物理和虛擬基礎(chǔ)架構(gòu)的一致的可見性和安全模型VMware NSX 允許跨虛擬和物理安全平臺自動化資源調(diào)配和上下文共享。結(jié)合虛擬接口處的流量轉(zhuǎn)向和策略實施功能，過去部署在物理網(wǎng)絡(luò)環(huán)境中的合作伙伴服務(wù)將可以輕松地在虛擬網(wǎng)絡(luò)環(huán)境中調(diào)配和實施，VMware NSX 可以跨駐留在物理或虛擬工作負

56、載中的應(yīng)用為提供一致的可見性和安全性模型。現(xiàn)有工具和流程。大幅提高資源調(diào)配速度、運營效率和服務(wù)質(zhì)量，同時保持服務(wù)器、網(wǎng)絡(luò)和安全團隊的職責(zé)分離。更好地控制應(yīng)用，沒有負面影響。過去，要達到這種級別的網(wǎng)絡(luò)安全，網(wǎng)絡(luò)和安全團隊不得不在性能和功能之間做出抉擇?，F(xiàn)在，利用在應(yīng)用虛擬接口分發(fā)和實施高級功能集的功能可以兩全其美。減少各種操作中的人為錯誤?；A(chǔ)架構(gòu)會維護相應(yīng)的策略，允許在數(shù)據(jù)中心中的任何位置放置和移動工作負載，而無需任何人為干預(yù)?？梢跃幊谭绞綉?yīng)用預(yù)先批準的應(yīng)用安全性策略，從而即使對復(fù)雜網(wǎng)絡(luò)安全服務(wù)也能實現(xiàn)自助式部署。邏輯負載均衡NSX提供了針對包括TCP流量(HTTP)在內(nèi)的所有流量的入站負載平

57、衡功能，該功能可以增加關(guān)鍵業(yè)務(wù)應(yīng)用的可用性并提高它們的性能，它支持的負載平衡算法有：輪詢算法（Round Robin），基于健康檢查的算法和會話持久算法。需求分析隨著業(yè)務(wù)的不斷發(fā)展，IT系統(tǒng)所面對的壓力也越來越大，新業(yè)務(wù)上線和舊業(yè)務(wù)擴容對平臺的性能和可用性提出了更高的要求。要滿足業(yè)務(wù)系統(tǒng)的新要求，需要對現(xiàn)有的應(yīng)用平臺進行擴展以提高服務(wù)能力。目前主要的擴展手段有兩種：即垂直擴展和水平擴展，垂直擴展所采用的方法是升級原有的服務(wù)器及相關(guān)硬件，以提高單一節(jié)點的處理能力，這種方法的缺點是成本較高，原有的投資可能無法得到保護，且升級過程比較復(fù)雜，升級改造所造成的停機時間較長，風(fēng)險較大；水平擴展所采用的方法

58、是不改變原有節(jié)點的構(gòu)成，通過添加新的計算節(jié)點來提高處理能力，相對于垂直擴展，這種擴展方式實現(xiàn)起來簡單快捷，原有的資源可以繼續(xù)使用，是比較流行的擴展方式。當前企業(yè)級應(yīng)用系統(tǒng)基本上都是標準的三層架構(gòu)，即前端Web服務(wù)器，中間的應(yīng)用服務(wù)器和后端的數(shù)據(jù)庫服務(wù)器。為了實現(xiàn)水平擴展，需要在服務(wù)器集群的前面增加負載均衡節(jié)點，將來自端的訪問請求分配到適當?shù)姆?wù)器，下面將對主流的負載均衡解決方案進行比較分析，以選擇最能滿足需求的方案。業(yè)界主要方案介紹信息系統(tǒng)的各個核心部分隨著業(yè)務(wù)量的提高、訪問量和數(shù)據(jù)流量的快速增長，其處理能力和計算強度也相應(yīng)增大，使得單一設(shè)備根本無法承擔(dān)，必須采用多臺服務(wù)器協(xié)同工作，提高計算機

59、系統(tǒng)的處理能力和計算強度，以滿足當前業(yè)務(wù)量的需求。而如何在完成同樣功能的多個計算節(jié)點之間實現(xiàn)合理的業(yè)務(wù)量分配，使之不會出現(xiàn)一個節(jié)點過忙、而其他的節(jié)點卻沒有充分發(fā)揮處理能力的情況。要實現(xiàn)對服務(wù)器訪問的調(diào)度，目前所采用的主流方法有：DNS解析、服務(wù)重定向、地址映射轉(zhuǎn)換和服務(wù)訪問代理等幾種方法。NSX負載均衡NSX負載均衡服務(wù)之特色NSX 負載平衡服務(wù)具有以下特點，能夠滿足的應(yīng)用負載平衡需求。完全可通過 API 進行編程與其他 NSX 網(wǎng)絡(luò)服務(wù)相同的單個集中管理/監(jiān)控點多體系結(jié)構(gòu)支持單臂模式（稱為代理模式）雙臂模式（稱為透明模式）大型功能集，可支持大量應(yīng)用支持任何 TCP 應(yīng)用包括但不限于 LDAP

60、、FTP、HTTP、HTTPS多種負載平衡分配算法循環(huán)、最少連接數(shù)、源 IP 地址散列、URI多種運行狀況檢查TCP、HTTP、HTTPS，包括內(nèi)容檢查持久性源 IP、MSRDP、Cookie、SSL 會話 ID連接調(diào)節(jié)最大連接數(shù)和每秒連接數(shù)第 7 層操縱包括但不限于 URL 阻止、URL 重寫、內(nèi)容重寫優(yōu)化SSL 負載分流專為虛擬化和云計算平臺所設(shè)計，以虛擬設(shè)備的形式進行部署，按照其所服務(wù)的對象數(shù)量進行授權(quán)。采購成本較低，上線速度快，可以非常便捷地按需部署（幾分鐘即可完成部署和初始配置），且易于擴容（虛擬設(shè)備提供三種不同尺寸，可以自由切換）。管理界面集成于vCenter，全圖形界面，便捷易用