2014年5月,在我加入VMware三個(gè)月之后,我涂鴉了一篇《818SDN的那些事兒》,當時(shí)放言如果閱讀量過(guò)百就寫(xiě)續篇。后來(lái)果然閱讀量沒(méi)過(guò)百,也就80多的樣子,其中好幾份還是我自戀地進(jìn)去查看閱讀量時(shí)貢獻的,估計也有幾份是老婆大人這類(lèi)完全不懂IT的粉絲以示支持貢獻的。閱讀量沒(méi)過(guò)百,我也就心安理得地不需要有什么動(dòng)作了,直到有一天,我遇到了PeterYe。這位大哥真是蠻拼的,他轉發(fā)了這篇文章,結果閱讀量飆升,然后他就笑瞇瞇地對我說(shuō),你該履行諾言,寫(xiě)續篇了。我雖然答應了他,但一拖再拖,他倒好,也不急不惱,一催再催。我是得寫(xiě)點(diǎn)東西了,為了回報Peter的這份執著(zhù)。
我當初是被NSX這款產(chǎn)品打動(dòng)而加入VMware的,當時(shí)就認定它是一款SDN的產(chǎn)品。但隨著(zhù)對產(chǎn)品理解的深入,我發(fā)現我當初仍然失之淺薄。然后我才能理解RickChen一直在講的,我們并不是SDN或者NFV,我們只是網(wǎng)絡(luò )虛擬化。如果您碰巧是第一次看到NSX這幾個(gè)字,且隨我來(lái)浮光掠影地認識一下它吧。
在服務(wù)器虛擬化之前,服務(wù)器和網(wǎng)絡(luò )相安無(wú)事,每個(gè)PoD里的服務(wù)器都是支撐同一個(gè)應用的。然后,服務(wù)器開(kāi)始了虛擬化,如果按每個(gè)虛擬機就是一臺Server的話(huà),Server的數量比原來(lái)物理機時(shí)代提升了10~20倍,原來(lái)的一個(gè)PoD,現在可以支撐更多應用了,原來(lái)單純的南北向流量,現在增加了很多的東西向流量。
這時(shí)候,網(wǎng)絡(luò )唯一做出的變化就是開(kāi)始應對資源池延伸的需求,提供大二層支持。當應用部分再一次申請虛擬機資源時(shí),很可能原來(lái)的二層域里的資源已經(jīng)分配殆盡,只能在其他二層域分配,這時(shí)需要大二層技術(shù)在跨三層的網(wǎng)絡(luò )上層疊出一個(gè)二層網(wǎng)絡(luò )來(lái)。這個(gè)層疊過(guò)程抑制了很多廣播包,兼顧了傳輸效率和延伸范圍。但當今網(wǎng)絡(luò )界幾大梟雄,任兩家的大二層技術(shù)都不能互通,無(wú)論選擇誰(shuí),都只能被廠(chǎng)商綁定。
然后,NSX出現了。它的理念非常簡(jiǎn)單,把整個(gè)網(wǎng)絡(luò )分為兩層:底層的物理網(wǎng)絡(luò )提供所有的服務(wù)器之間的IP傳輸,上層的虛擬化網(wǎng)絡(luò )提供租戶(hù)間的隔離,以及租戶(hù)內的連接。底層網(wǎng)絡(luò )的交換機變得非常簡(jiǎn)單,不需要那些高逼格的Features,只需要提供IP和OSPF多路徑即可,而這些,只是網(wǎng)絡(luò )廠(chǎng)商的入門(mén)券技術(shù)。上層的虛擬化網(wǎng)絡(luò ),就是NSX要做的事情了。首先,它在底層的IP網(wǎng)絡(luò )之上再做一層VXLAN封裝,將同一租戶(hù)的幾個(gè)VXLAN之間路由起來(lái),不同租戶(hù)的VXLAN是互相看不到的,這就做到了多租戶(hù)之間的天然隔離。其次,在同一租戶(hù)內部,它使用的分布式防火墻,在每個(gè)虛擬機的虛網(wǎng)卡上生效,即使做同一網(wǎng)段內部的二層隔離,它也游刃有余。
NSX在VMware被稱(chēng)為下一個(gè)vSphere,是有足夠資本的。vSphere6.0推出了跨vCenter的vMotion,NSX立馬推出了跨vCenter的虛擬網(wǎng)絡(luò )。從現在開(kāi)始,一個(gè)集群要設計多大,一個(gè)vCenter要設計多大?您不要拿這些話(huà)題來(lái)煩惱自己了,因為這無(wú)!所!謂!無(wú)論您如何設計,大了還是小了,我們可以跨集群、跨vCenter來(lái)分配資源,并且把這些跨域的資源分配給同一個(gè)租戶(hù),互相訪(fǎng)問(wèn)、往來(lái)遷移,全都妥妥的。
系統和網(wǎng)絡(luò ),從來(lái)就是一對愛(ài)恨交織的兄弟,從前一起加班,一起共用變更窗口。打從服務(wù)器虛擬化起,系統的兄弟不加班了,這讓網(wǎng)絡(luò )的兄弟艷羨的很。系統做變更,竟然大白天就大剌剌地把虛機遷走,機器大卸八塊來(lái)修,下班前把修好的服務(wù)器再加電,虛機遷回來(lái),業(yè)務(wù)不用停,人卻撅著(zhù)個(gè)腚飛了。不止如此,最近的KPI會(huì )議上,系統部也是領(lǐng)導眼里的紅人,他們上了自服務(wù)門(mén)戶(hù),除了領(lǐng)導審批,其他的流程,象虛機申請、虛機交付,都是自動(dòng)化腳本一氣呵成,號稱(chēng)五分鐘交付。然后就幸災樂(lè )禍地把應用團隊指到網(wǎng)絡(luò )這邊來(lái)了,沒(méi)辦法,誰(shuí)讓網(wǎng)絡(luò )是公共平臺呢,得先申請變更窗口吧,最快得一周吧。五分鐘和七天一比,這日子沒(méi)法過(guò)了。
關(guān)鍵時(shí)刻,又是NSX挺身而出,偶也是軟件的,偶也是容器來(lái)的,倫家也可以被編程調用的。自此,自服務(wù)門(mén)戶(hù)上,用戶(hù)選了虛機選網(wǎng)絡(luò ),最后把安全策略也捎上。交付時(shí),虛機交付多快,網(wǎng)絡(luò )就交付多快。相互隔離的多租戶(hù)網(wǎng)絡(luò ),在增加、修改或刪除一個(gè)租戶(hù)/應用的網(wǎng)絡(luò )時(shí),對其他租戶(hù)毫無(wú)影響。和變更窗口說(shuō)拜拜,晚上有時(shí)間約妹子了,哈哈。
這樣看來(lái),也只是大煙囪變小煙囪,五十步笑百步而已。NSX的出現,讓一個(gè)統一的大資源池成為可能。這個(gè)統一的資源池,上面可以運行互相不允許訪(fǎng)問(wèn)的幾塊業(yè)務(wù),如開(kāi)發(fā)、測試和生產(chǎn)。NSX可以讓共享資源的顆粒度小到虛擬機為單位,而不是傳統上的以Host為單位。NSX可以讓資源池中甚至任意兩個(gè)虛擬機之間都互不信任,而不使用一臺物理防火墻。可以說(shuō),從虛擬化到云計算,網(wǎng)絡(luò )虛擬化是關(guān)鍵的一步。
NSX只要能傳輸IP的底層網(wǎng)絡(luò ),已經(jīng)讓傳統的網(wǎng)絡(luò )廠(chǎng)商大為惱火了(我那些Features賣(mài)給誰(shuí)去?高大上和下里巴還怎么區別?),更別提底層網(wǎng)絡(luò )設備可以多廠(chǎng)商、多型號組網(wǎng),這顛覆了以前數據中心組網(wǎng)的特定廠(chǎng)商、特定型號的慣例。更要命的是,傳統網(wǎng)絡(luò )廠(chǎng)商孜孜以求的網(wǎng)絡(luò )感知虛機,這是NSX的DNA中就自帶的,網(wǎng)絡(luò )虛擬化融合在服務(wù)器虛擬化的內核中,這個(gè)可是傳統網(wǎng)絡(luò )廠(chǎng)商艷羨也沒(méi)辦法的呀。
