VMwareNSX金融行業(yè)案例

王培久資深系統(tǒng)工程師網(wǎng)絡虛擬化-VMwareNSX

在金融的應用和案例分享議程數(shù)據(jù)中心云計算對網(wǎng)絡的要求網(wǎng)絡虛擬化總體架構案例分析總結CONFIDENTIAL2云計算大數(shù)據(jù)應用的虛擬化安全合規(guī)性24x7業(yè)務連續(xù)性業(yè)務

敏捷性SDN節(jié)能環(huán)保新一代數(shù)據(jù)中心發(fā)展的業(yè)務和技術驅(qū)動企業(yè)IT向云架構轉型邏輯計算存儲網(wǎng)絡?資源池化提高資源利用率簡化運維動態(tài)遷移自動均衡資源物理邏輯計算與存儲虛擬化專用硬件和品牌廠商綁定CAPEXOPEX高網(wǎng)絡對上層應用封閉手工配置和管理應用部署周期長應用和網(wǎng)絡緊耦合云計算驅(qū)動下

數(shù)據(jù)中心的過去、現(xiàn)在和將來階段四:靈活的計算+靈活的網(wǎng)絡NOW任何網(wǎng)絡硬件平臺靈活網(wǎng)絡服務：防火墻、路由、LB等基于應用靈活快速地定義網(wǎng)絡

階段一:傳統(tǒng)的計算+傳統(tǒng)的網(wǎng)絡1995階段二:靈活的計算+傳統(tǒng)的網(wǎng)絡2001階段三:靈活的計算+大二層網(wǎng)絡2010計算虛擬化對數(shù)據(jù)中心網(wǎng)絡的真正挑戰(zhàn)是什么？CONFIDENTIAL6Floor-1:VLAN1–10.x.x.xFloor-2:VLAN2–172.16.x.x敏捷性：應用可以按需定義特定應用的網(wǎng)絡切片和邏輯拓撲結構，實現(xiàn)數(shù)據(jù)中心應用的快速靈活部署Anyapplicationanywhere不受二層網(wǎng)絡STP、二層廣播風暴、MAC地址表和VLAN數(shù)量的限制，實現(xiàn)anyapplicationanywhere東西向路由優(yōu)化利用分布式路由技術實現(xiàn)虛擬化環(huán)境中Web/APP/DB層的東西向流量的優(yōu)化，而不是所有南北和東西向流量都送到匯聚層交換機處理精細化網(wǎng)絡服務基于虛擬機顆粒度和應用顆粒度的精細化安全控制基于虛擬機層面的服務均衡和SSL加密等自動化向上提供標準API接口，實現(xiàn)網(wǎng)絡資源和服務的自動化部署傳統(tǒng)網(wǎng)絡存在的不足CONFIDENTIAL階段一:傳統(tǒng)的計算+傳統(tǒng)的網(wǎng)絡1995階段二:靈活的計算+傳統(tǒng)的網(wǎng)絡2001傳統(tǒng)網(wǎng)絡架構存在的不足缺乏業(yè)務快速部署能力傳統(tǒng)豎井式架構，業(yè)務區(qū)嚴格隔離，不支持業(yè)務的靈活快速部署更不支持基于多租戶多應用的網(wǎng)絡切片功能靈活性不足由于二層技術的限制各業(yè)務區(qū)盡量把二層域限制得越小越好，無法支持跨業(yè)務區(qū)的vmotion等功能，業(yè)務的靈活性大大受限缺乏虛擬資源安全和管理的監(jiān)控手段對于網(wǎng)絡部門來說，虛擬機的接入完全是個黑盒子，缺乏有效的虛擬機之間的安全管理和監(jiān)控的手段不支持網(wǎng)絡資源的自動化部署所有網(wǎng)絡的配置都是通過命令行手動完成，配置和運維管理非常復雜，導致當各種虛擬資源位置變化時，管理員不堪重負資源利用率低各業(yè)務區(qū)網(wǎng)絡為各業(yè)務區(qū)專用，不支持一個物理網(wǎng)絡為多租戶/多應用服務CONFIDENTIAL階段三:靈活的計算+大二層網(wǎng)絡2010大二層網(wǎng)絡架構帶來的好處靈活性高借助大二層技術，虛擬資源可以跨業(yè)務區(qū)部署，同時支持vmotion等功能，業(yè)務的靈活性大大提高大二層網(wǎng)絡架構存在的不足過渡技術應用案例非常少，從數(shù)據(jù)中心發(fā)展看已經(jīng)成為過渡技術，各廠商目前都在Vmware主導的VXLAN上尋求更好的解決方案缺乏虛擬資源安全和管理的監(jiān)控手段對于網(wǎng)絡部門來說，虛擬機的接入完全是個黑盒子，缺乏有效的虛擬機之間的安全管理和監(jiān)控的手段不支持網(wǎng)絡資源的自動化部署所有網(wǎng)絡的配置都是通過命令行手動完成，配置和運維管理非常復雜，導致當各種虛擬資源位置變化時，管理員不堪重負技術本身存在局限性無論是IETFTRILL還是思科的FabricPath都沒有解決二層網(wǎng)的三個根本問題：Flooding、MAC表項擴展和VLAN擴展大二層網(wǎng)絡帶來的好處和存在的不足NOW

軟件定義的虛擬化網(wǎng)絡CONFIDENTIAL9階段四:靈活的計算+靈活的網(wǎng)絡NOW任何網(wǎng)絡硬件平臺靈活網(wǎng)絡服務：防火墻、路由、LB等基于應用靈活快速地定義網(wǎng)絡

敏捷性：應用可以按需定義特定應用的網(wǎng)絡切片和邏輯拓撲結構，實現(xiàn)數(shù)據(jù)中心應用的快速靈活部署Anyapplicationanywhere不受二層網(wǎng)絡STP、二層廣播風暴、MAC地址表和VLAN數(shù)量的限制，實現(xiàn)anyapplicationanywhere東西向路由優(yōu)化利用分布式路由技術實現(xiàn)虛擬化環(huán)境中Web/APP/DB層的東西向流量的優(yōu)化，而不是所有南北和東西向流量都送到匯聚層交換機處理精細化網(wǎng)絡服務基于虛擬機顆粒度和應用顆粒度的精細化安全控制基于虛擬機層面的服務均衡和SSL加密等自動化向上提供標準API接口，實現(xiàn)網(wǎng)絡資源和服務的自動化部署議程數(shù)據(jù)中心云計算對網(wǎng)絡的要求網(wǎng)絡虛擬化總體架構案例分析總結CONFIDENTIAL1011

云平臺新業(yè)務請求軟件定義義的虛擬擬化網(wǎng)絡絡總體架架構vCenterOperations

MgmtvCloudAutomationCenterIaaSPaaSDaaSApplicationDirectorMgmtvCloudDirector/ConnectorvCenter

SiteRecovery

ManagervSphereCloud

ServiceProvidersHyper-visorsCMSNSXIaaSPaaSDaaS支撐任意的應用(無需修改)虛擬網(wǎng)絡VMwareNSX網(wǎng)絡虛擬化平臺邏輯交換網(wǎng)絡任意網(wǎng)絡硬件架構云管理平臺（vCAC,OpenStack,Cloudstack）邏輯防火墻邏輯負載均衡邏輯路由網(wǎng)絡邏輯VPNX86虛擬化層NSX軟件定義義的虛擬擬化網(wǎng)絡絡組成要要素L2L3VirtualNetworkL2OpenvSwitchNSXGatewayVMVMvSpherevSphereKVMXenServervSwitchvSwitchvSwitchvSwitchHWSWControllerClusterAPIVLANNSXManagerHWPartnerVTEPDeviceCMPVLANVLANLayer3IPNetwork軟件定義義的虛擬擬化網(wǎng)絡絡工作原原理ExternalNetworks

簡單,易復制，，自動化化地實現(xiàn)現(xiàn)多租戶戶云網(wǎng)絡絡軟件定義義的虛擬擬化網(wǎng)絡絡-敏捷性根據(jù)應用用需求利利用vxlan技術按需需定義應應用的網(wǎng)絡切切片和邏邏輯拓撲撲結構(Web/App/DB)實現(xiàn)數(shù)據(jù)據(jù)中心應應用的快速速靈活部部署VLAN1––10.x.x.xVLAN2––172.16.x.xVLAN2––192.168.x.xVirtualNetworkVirtualLayer2–88.33.x.x(whatever)軟件定義義的虛擬擬化網(wǎng)絡絡-真正的Anyapplicationanywhere利用VXLAN解決數(shù)據(jù)據(jù)中心網(wǎng)網(wǎng)絡存在在的三大大問題：：Anyapplicationanywhere大二層架架構下存存在的：：MAC地址表、、VLAN和二層Flooding三大問題題數(shù)據(jù)復制制支持unicast、hybrid和multicast模式解決目前前vxlan沒有controlplane帶來的flooding問題DataCenterPerimeter傳統(tǒng)的邊邊界防火火墻已經(jīng)經(jīng)被證實實為不足足夠安全全,而而用傳統(tǒng)統(tǒng)方式實實現(xiàn)micro-segmentation基本上不不可行對內(nèi)部流流量不管管控InternetInternet安全性不不充分管理上不不可能DataCenterPerimeter軟件定義義的虛擬擬化網(wǎng)絡絡-分布式防防火墻Micro-SegmentationVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMBenefits…安全策略直接部署到VM網(wǎng)絡端口No“ChokePoint”,nomorehairpin分布式處理,線速過濾,水平擴展安全策略管理簡化bycontextpolicyrulevNIC

level管控,安全與網(wǎng)絡無關

集中管控

軟件定義的的虛擬化網(wǎng)網(wǎng)絡-分布式防火火墻Micro-Segmentation軟件定義的的虛擬化網(wǎng)網(wǎng)絡-分布式路由由軟件定義的的虛擬化網(wǎng)網(wǎng)絡-分布式防火火墻CONFIDENTIAL20軟件定義的的虛擬化網(wǎng)網(wǎng)絡-自動化通過標準的的RESTAPI向上支持多多種企業(yè)云云管理平臺臺（VcloudDirector,vCAC,OpenStack,Cloudstack）實現(xiàn)網(wǎng)絡虛虛擬化資源源的自動部部署軟件定義的的虛擬化網(wǎng)網(wǎng)絡-集中化運維維和監(jiān)控議程數(shù)據(jù)中心云云計算對網(wǎng)網(wǎng)絡的要求求網(wǎng)絡虛擬化化總體架構構案例分析總結CONFIDENTIAL22NSXCustomersEORPODTORPOD服務器機房房三層交換核心EORPODTORPOD服務器機房房某保險公司司:利用NSX實現(xiàn)虛擬化化資源的精精細化安全全管理和監(jiān)監(jiān)控缺乏虛擬機機顆粒的安安全管理和和監(jiān)控手段段盡管南向安安全可以通通過匯聚層層防火墻控控制但虛擬化應應用規(guī)模越越來越大，，缺乏有效效的東西向流量量安全控制制手段，同時希望虛虛擬機vmotion時，安全策策略隨動，，不需要任任何變更行業(yè)監(jiān)管的的要求，需需要監(jiān)控特特定虛擬化化環(huán)境中特定虛機機的進出流流量同時希望虛虛機可以跨跨機房和三三層網(wǎng)絡隨隨意VmotionNSX:VxlanEORPODTORPOD服務器機房房三層交換核心EORPODTORPOD服務器機房房NSXControllerNSXManagervCenterServer某保險公司司:利用NSX實現(xiàn)虛擬化化資源的精精細化安全全管理和監(jiān)監(jiān)控利用NSX分布式虛擬擬防火墻功功能，實現(xiàn)現(xiàn)虛擬機環(huán)環(huán)境的精細細化安全管理，，同時實現(xiàn)現(xiàn)虛擬機vmotion時，安全策策略隨動，，不需要任任何變更支持基于特特點應用或或虛機的span和rspan功能實現(xiàn)流流量的實時時監(jiān)控滿足行業(yè)監(jiān)監(jiān)管的要求求借助vxlan技術實現(xiàn)跨跨機房和三三層網(wǎng)絡隨隨意Vmotion某商業(yè)銀行行:利用NSX構建新一代代金融互聯(lián)聯(lián)網(wǎng)渠道客戶需求：：隨著金融互互聯(lián)化的快快速發(fā)展，，越來越多多業(yè)務子系系統(tǒng)向網(wǎng)銀銀區(qū)遷移，，同時大量量的新業(yè)務務也不斷快快速推出，，現(xiàn)有網(wǎng)銀銀出口架構構在以下幾幾個方面存存在諸多問問題：擴展性不足足現(xiàn)有架構無無法滿足創(chuàng)創(chuàng)新型互聯(lián)聯(lián)網(wǎng)應用不不斷推出的的要求：移移動應用、、手機APP、地圖、網(wǎng)上商城城、大數(shù)據(jù)據(jù)等部署不靈活活原有架構下下DMZ區(qū)主要集中中在某一機機房，跨樓樓層或跨機機房部署相相對困難，，同時更無無法支持虛虛擬資源跨跨機房的靈靈活調(diào)度互聯(lián)網(wǎng)DMZ區(qū)普遍采用用虛擬機方方式，缺乏乏針對虛機機的安全控制和和精細化管管理不支持應用用快速和自自動化部署署敏捷自動化安全L3

L2PODAL2

L3PODBL3

L2PODYL2

L3PODZOSPF

ECMP

基礎架構層層面的標準準化可復制制和快速部部署采用基于POD的標準架構構網(wǎng)絡資源的的可復制和和快速部署署采用NSX架構按需要要快速復制制應用網(wǎng)絡絡和相關的網(wǎng)絡絡服務VXLAN實現(xiàn)DMZ區(qū)到數(shù)據(jù)中中心任何位位置的按需需擴展配置管理有有NSX通過圖形界界面統(tǒng)一完完成采用分布式式防火墻技技術實現(xiàn)虛虛機層面的的安全管理理和策略的的隨動為了NSX將和企業(yè)云云平臺集成成，實現(xiàn)應應用的自動化部署署某商業(yè)銀行行:利用NSX構建新一代代金融互聯(lián)聯(lián)網(wǎng)渠道CONFIDENTIAL28某商業(yè)銀行行:利用NSX實現(xiàn)業(yè)務系系統(tǒng)網(wǎng)絡P2V的遷移硬件環(huán)境業(yè)務網(wǎng)絡層層次：核心層：CiscoN7000核心路由器器兩臺，AA方式提供核核心路由。。匯聚層：H3CF5000多層防火墻墻兩臺，互為主備方式提供3層接入和防防火墻功能能。H3C12508交換機兩臺臺，堆疊方方式提供2層接入。現(xiàn)有架構下下服務器資資源以基于于x86的物理服務務器和小型型機為主客戶在未來來兩年內(nèi)要要完成90%業(yè)務系統(tǒng)P2V的遷移3層網(wǎng)關H3C

F5KH3C

12508CiscoN7K現(xiàn)有環(huán)境下下客戶面臨臨的問題：：現(xiàn)有物理機機環(huán)境下設設備采購和和運維成本本過高應用部署周周期長（1-2個以上）資源利用率率低P2V遷移客戶重重點關注的的問題：虛機層面的的安全控制制和管理監(jiān)監(jiān)控虛機層面東東西向的路路由優(yōu)化虛機跨三層層的vmtion現(xiàn)有物理環(huán)環(huán)境和虛機機環(huán)境的無無縫遷移CONFIDENTIAL29某商業(yè)銀行行:利用NSX實現(xiàn)業(yè)務系系統(tǒng)網(wǎng)絡P2V的遷移P2V改造后物理理架構P2V改造后邏輯輯架構CONFIDENTIAL30物理連線部分分承載目前前管理業(yè)務務區(qū)使用的的不進行網(wǎng)網(wǎng)關變更的的VLAN。老網(wǎng)關新建環(huán)境流量L2-Bridge遷移規(guī)劃EdgeGW新部署規(guī)劃劃EdgeClusterComputeClusterVTEP遷移環(huán)境流量物理連線原有物理環(huán)環(huán)境新建x86環(huán)境CiscoN7KF5K1250812510M9K某商業(yè)銀行行:利用NSX實現(xiàn)業(yè)務系系統(tǒng)網(wǎng)絡P2V的遷移議程數(shù)據(jù)中心云云計算對網(wǎng)網(wǎng)絡的要求求網(wǎng)絡虛擬化化總體架構構案例分析總結CONFIDENTIAL31HypervisorX86HostsLineratePerhostPhysicalorVirtual10KLogicalSwitches硬件軟件硬件軟件云管理平臺臺LineratePerhostNoTromboning1,000LogicalRoutersPerdomainLineratePerhostKernelIntegrated25,000CPS2millio