前兩期文章分別就軟體定義網路、網路虛擬化以及微切分架構等方案於新型態資料中心內的效益與大家做介紹,而本文希望就VMware NSX的功能與系統構件有哪些,並且如何達成上述的整合性虛擬化方案,對讀者進行一個概括性的說明。
為因應新型態雲端資料中心內,對應客戶於網路與安全功能的部署速度提升、建置彈性、安全隔離與風險降低等需求,VMware提供了VMware NSX虛擬化方案,自從2013年正式推出NSX-vSphere版本後,已經是中大型客戶建立資料中心時首選考慮的軟體定義網路及安全虛擬化方案。
開宗明義,NSX這三個字母代表什麼呢?VMware最重要的伺服器虛擬化產品叫做vSphere ESX,因此NSX在取名時與ESX在英文字母上對仗,代表資料中心內部的「Network and Security Hypervisor」,也就是將資料中心內客戶所需要的網路以及安全功能,不再必要於指定的廠牌型號硬體設備上執行,而能夠在基於開放的x86/IP fabric架構資源池內,以軟體的方式將網路以及安全功能於Hypervisor內,或是以網路虛擬機器的方式提供給客戶使用。
因此,NSX提供三項最主要的功能項目:
·以軟體定義網路(Software Defined Network)及網路虛擬化(Network Virtualization)技術,藉由封裝機制於企業現有實體網路上隨需建立業務需求的邏輯網路。邏輯網路可依實際需求動態產出、跨越地域且不受限於實體網路部署架構,並可藉由雲平台呼叫達成自動化。
·透過直接於vSphere Hypervisor內提供標準L4 Stateful防火牆與封包轉送技術,達成資料中心內的微切分(Micro-Segmentation)防護需求,可針對細至單一虛擬機器、單一網路連線提供完整的防火牆防護,並可搭配其他第三方安全廠商提供完善的網路與系統安全防護。
·以隨需建立的網路服務虛擬機器,提供資料中心內的網路功能虛擬化(Virtual Network Function)方案。用戶可隨時動態、無額外成本地建立新的網路服務虛擬機器,此虛擬機器能夠作為路由器、南北向防火牆、本地負載平衡器以及VPN Gateway等不同功能的網路服務設備使用。
 |
| ▲圖1 VMware NSX的網路與安全功能構件。(圖片來源:VMware Public Slide) |
參考圖1這張圖,以下我們將對各個NSX的細部功能構件進行討論。
Logical Switch(邏輯交換器)
不僅僅能搭配實體網路以及VMware vDS內的VLAN,NSX可進一步動態建立於虛擬層內的邏輯交換機,提供資料中心內東西向的跨伺服器封包交換。這些邏輯交換機具備下面的特性:
·內建於vSphere Hypervisor內。
·可以橫跨任何一台受NSX控管的虛擬化主機,建立於此邏輯交換機上的虛擬機器無論vMotion/HA/DRS到哪一台虛擬化主機,都無需變更網段與IP。
·設定完全與底層網路分離,所有Logical Switch的建立、變更都無需於底層網路設備進行任何異動。只要在NSX介面按幾個按鈕就好了。
·沒有如VLAN般的4,096個數量限制,Logical Switch的理論值數量超過一千六百萬個,目前在單一vCenter內支援一萬個(現行vCenter限制)。
·底層透過不同的封裝協定(目前主要採用VXLAN),跨L2或甚至L3網段提供伺服器間的虛擬交換器封包交換。並且與之前VMware vCNS需求不同,底層網路無需支援Layer-3 Multicast,即可支援VXLAN功能提供跨L3網路的溝通。
Logical Router
NSX方案內提供分散式邏輯路由器(Distributed Logical Router)與集中式邏輯路由器(Edge Router)兩種路由機制。分散式邏輯路由器提供資料中心內東西向的路由交換,並且直接於各台Hypervisor Kernel內執行,而集中式邏輯路由器則以虛擬機器的形式,提供南北向,也就是虛擬環境對實體環境內的路由交換。其特性如下所述: