面對這些問題,我們今天就和大家來討論一下如何通過NSX構(gòu)建下一代虛擬多云網(wǎng)絡(luò),實現(xiàn)多云的統(tǒng)一運維管理,如何在多云的環(huán)境下實現(xiàn)一致的網(wǎng)絡(luò)和安全策略。
我們知道,NSX是一個基于SDN的網(wǎng)絡(luò)虛擬化的解決方案,通過NSX構(gòu)建虛擬化網(wǎng)絡(luò)可以不依賴于底層的物理網(wǎng)絡(luò)架構(gòu),同時支持異構(gòu)的虛擬化環(huán)境。我們可以通過NSX的控制臺非常方便的創(chuàng)建網(wǎng)絡(luò)中涉及的所有的網(wǎng)絡(luò)功能,包括分布式路由、虛擬交換機、防火墻、IDPS、負載均衡等,這些功能組件,全部可以采用軟件方式實現(xiàn),在云中提供了L2-L7的網(wǎng)絡(luò)服務(wù),并且支持企業(yè)內(nèi)部任意多樣化的應(yīng)用部署形態(tài)。
接下來,我將通過幾個業(yè)務(wù)場景來給大家介紹一下如何通過NSX構(gòu)建下一代虛擬化多云網(wǎng)絡(luò)。這些典型的業(yè)務(wù)場景包括:
- 融合資源池多云網(wǎng)絡(luò),這包括融合數(shù)據(jù)中心內(nèi)部不同區(qū)域以及跨數(shù)據(jù)中心資源池的融合
- 跨站點雙活容災(zāi)多云網(wǎng)絡(luò)
- 云間的工作負載遷移以及網(wǎng)絡(luò)延伸
融合資源池多云網(wǎng)絡(luò)
那我們接下來看一下,如何通過NSX在數(shù)據(jù)中心內(nèi)部以及在多個數(shù)據(jù)中心之間融合多個資源池,構(gòu)建一個統(tǒng)一融合的大資源池,業(yè)務(wù)在融合的資源池內(nèi)部遷移的時候,無需改變IP地址和安全策略,并且可以將這些應(yīng)用部署在數(shù)據(jù)中心中的任意位置,同時統(tǒng)一網(wǎng)絡(luò)和運維管理。
要融合不同功能的資源池,將小資源池變成一個大的資源池,首先需要提供一個二層的網(wǎng)絡(luò),因為二層網(wǎng)絡(luò)更加靈活,即插即用,但是很多企業(yè)采用的是傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu),如果在這種網(wǎng)絡(luò)架構(gòu)上實現(xiàn)傳統(tǒng)的二層網(wǎng)絡(luò)非常復(fù)雜,在這里也簡單介紹一下傳統(tǒng)的二層網(wǎng)絡(luò)技術(shù)。最早實現(xiàn)二層網(wǎng)絡(luò)的技術(shù)是基于VLAN的,要考慮到網(wǎng)絡(luò)的冗余,使用了一個老掉牙的STP,對于使用過這個技術(shù)的工程師來說,這是一個不可維護的方案,網(wǎng)絡(luò)收斂速度慢,而且在二層還要阻塞交換機的端口來保證二層網(wǎng)絡(luò)無環(huán)路,現(xiàn)在這種技術(shù)幾乎沒人使用。
另外一種就是采用物理交換機的虛擬化,可以實現(xiàn)橫向和縱向的虛擬化,讓一張網(wǎng)絡(luò)變成一個大的虛擬的交換機,采用這種方案,底層物理網(wǎng)絡(luò)必須采用同一廠商網(wǎng)絡(luò)設(shè)備,在要求異構(gòu)的網(wǎng)絡(luò)架構(gòu)中,這種方案是不可取的。
還有一種就是采用fabricpath或者類似于OTV這些廠商私有的技術(shù),但是傳統(tǒng)物理網(wǎng)絡(luò)廠商設(shè)備都不具備這種能力,所以要將資源池二層網(wǎng)絡(luò)打通,必須將所有的網(wǎng)絡(luò)設(shè)備替換掉,風險極高,因為這些網(wǎng)絡(luò)還可能承載其它非常重要的業(yè)務(wù)。
NSX是一個純軟件的解決方案,它利用了overlay的技術(shù),以現(xiàn)有的物理網(wǎng)絡(luò)為基礎(chǔ)或不改變現(xiàn)有的物理網(wǎng)絡(luò)架構(gòu),可以非常方便的實現(xiàn)二層網(wǎng)絡(luò)的需求,從而將各個資源池所需的二層網(wǎng)絡(luò)打通,將小的資源池變成一個融合的資源池,工作負載可以部署在任意一個位置,同時NSX也使用RSS、TSO和DPDK來提升網(wǎng)絡(luò)整個性能,從而構(gòu)建了一張高性能的融合資源池網(wǎng)絡(luò)。另外,我們還可以通過NSX的分布式防火墻來實現(xiàn)業(yè)務(wù)系統(tǒng)之間安全隔離,通過NSX高級負載均衡來滿足工作負載所需要的負載均衡的需求。如下圖所示:通過NSX將不同的區(qū)域的網(wǎng)絡(luò)整合為融合的資源池,將小的資源池變成了大的資源池。
跨站點雙活容災(zāi)多云網(wǎng)絡(luò)
業(yè)務(wù)的連續(xù)性對企業(yè)至關(guān)重要,而采用傳統(tǒng)網(wǎng)絡(luò)構(gòu)建雙活容災(zāi)網(wǎng)絡(luò)非常復(fù)雜,在網(wǎng)絡(luò)上需要考慮的因素也比較多。傳統(tǒng)雙活災(zāi)備數(shù)據(jù)中心面臨以下幾個問題:
- 在災(zāi)備的場景中,數(shù)據(jù)中心地位不均等,包括生產(chǎn)中心和備中心,備中心只有生產(chǎn)中心故障的時候才啟用,造成投資浪費。
- 維護成本高,每次生產(chǎn)中心網(wǎng)絡(luò)、安全和負載均衡策略變更時,備中心需要同步更改,這些更改配置無法自動同步到備中心,造成數(shù)據(jù)中心的配置不一致。
- 切換時間長,當生產(chǎn)中心業(yè)務(wù)出現(xiàn)故障后,業(yè)務(wù)切換到備中心需要幾個小時的時間,無法滿足RTO和RPO的需求。
那么通過NSX如何來構(gòu)建這些跨站點的云間互聯(lián)網(wǎng)絡(luò)呢?這里我們提供了幾種方案,分別適用于中小規(guī)模數(shù)據(jù)中心、超大規(guī)模數(shù)據(jù)中心以及異構(gòu)數(shù)據(jù)中心網(wǎng)絡(luò)的業(yè)務(wù)場景。
在中小規(guī)模的多數(shù)據(jù)中心場景中,我們使用NSX multi-site方案,下圖是multi-site的方案的架構(gòu)。
在這個網(wǎng)絡(luò)架構(gòu)中,同樣與底層物理網(wǎng)絡(luò)架構(gòu)解耦,無需修改底層物理網(wǎng)絡(luò),可以通過軟件定義的方式,將分布式路由、分布式邏輯交換機和分布式防火墻延伸到多個站點,這些站點由統(tǒng)一的控制器進行網(wǎng)絡(luò)的配置,并將網(wǎng)絡(luò)安全配置下發(fā)到應(yīng)用所運行的地方,多個數(shù)據(jù)中心提供統(tǒng)一的網(wǎng)絡(luò)和安全策略。
在雙活容災(zāi)的場景中,采用NSX multi-site將業(yè)務(wù)部署到兩個數(shù)據(jù)中心,在下圖中,我們可以讓藍色網(wǎng)段的業(yè)務(wù)南北向流量走站點A,綠色網(wǎng)段的業(yè)務(wù)流量南北向走站點B,跨數(shù)據(jù)中心以及數(shù)據(jù)中心內(nèi)部的東西向流量不走NSX Edge邊界網(wǎng)關(guān),實現(xiàn)跨數(shù)據(jù)中心二層互通,業(yè)務(wù)跨站點部署,統(tǒng)一資源池,兩個數(shù)據(jù)中心互為備份。同時與SRM集成,通過SRM提供保護組和恢復(fù)計劃,對一些關(guān)鍵的業(yè)務(wù)實現(xiàn)容災(zāi),自動化跨站點映射網(wǎng)絡(luò),實現(xiàn)一鍵式容災(zāi),無需對底層物理網(wǎng)絡(luò)進行修改。對于一些通過域名發(fā)布的業(yè)務(wù),我們可以在每個站點部署NSX ALB GSLB來實現(xiàn)業(yè)務(wù)在不同站點的雙活,將來自客戶端的請求流量發(fā)送的離客戶端最近數(shù)據(jù)中心。
第二個多云跨站點的虛擬網(wǎng)絡(luò)解決方案是采用NSX federation方案,適合于超大規(guī)模的數(shù)據(jù)中心的云間互聯(lián)。下邊將介紹一下NSX federation方案。
NSX federation提供了超大規(guī)模數(shù)據(jù)中心云間互聯(lián)網(wǎng)絡(luò),實現(xiàn)一致的網(wǎng)絡(luò)和安全策略。在多數(shù)據(jù)中心的場景下,每個數(shù)據(jù)中心都有一個獨立的控制平面,即在每個數(shù)據(jù)中心都有各自的NSX管理器,網(wǎng)絡(luò)管理員可以通過本地的NSX管理器來管理本地的網(wǎng)絡(luò)資源,可以創(chuàng)建分布式路由或者每個本地業(yè)務(wù)所需要的安全策略。對于這種方案,除了在每個站點部署各自的管理平面以外,還需要一個全局的NSX管理器,通過一個全局的NSX管理器,我們可以創(chuàng)建全局的網(wǎng)絡(luò)資源,可以將二層網(wǎng)絡(luò)延伸,全局的分布式路由以及全局的網(wǎng)絡(luò)安全策略,這時我們可以將業(yè)務(wù)虛擬機連接到全局的對象上,實現(xiàn)跨數(shù)據(jù)中心的網(wǎng)絡(luò)二三層網(wǎng)絡(luò)互聯(lián)。我們通過全局NSX管理器,簡化的多云數(shù)據(jù)中心的運維管理。在federation的方案中,我們不需要修改數(shù)據(jù)中心物理網(wǎng)絡(luò)互聯(lián)的MTU,就可以將業(yè)務(wù)延伸部署到任意的一個數(shù)據(jù)中心里。
在NSX federation的方案里,我們可以將多個云數(shù)據(jù)中心劃分為邏輯的Region,并且可以邏輯的劃分不同租戶,每個租戶可以跨數(shù)據(jù)中心部署,并且實現(xiàn)租戶級別的安全隔離以及虛擬機網(wǎng)卡級別的安全隔離,非常靈活。
另外,NSX federation在每個站點都有各自的edge設(shè)備,主要負責每個數(shù)據(jù)中心南北向的流量輸導(dǎo),在這個方案中,提供了非常方便的流量控制措施,滿足不同應(yīng)用場景對流量的需求,對于同一個網(wǎng)段的流量,在nsx multi-site方案中,大多數(shù)情況下只能在一個站點出入,而在federation方案中,我們可以實現(xiàn)跨不同地址位置的云數(shù)據(jù)中心中同網(wǎng)段的流量本地出,優(yōu)化了網(wǎng)絡(luò)流量的路徑。如下圖所示,在每個數(shù)據(jù)中心T0運行在active/actives模式,而位也運行在primary/primary模式,這樣,每個數(shù)據(jù)中心的edge都承載流量。
前面介紹的兩個跨云方案,數(shù)據(jù)中心云間網(wǎng)絡(luò)以及云內(nèi)網(wǎng)絡(luò)采用的都是NSX,那么如果其中一個數(shù)據(jù)中心的云網(wǎng)絡(luò)采用NSX,而另外一個數(shù)據(jù)中心已經(jīng)采用了其它廠商的網(wǎng)絡(luò)方案,我們是否可以實現(xiàn)跨異構(gòu)廠商的云間網(wǎng)絡(luò)互通呢?答案是可以的。我們可以采用BGP-EVPN來實現(xiàn)和其它廠商的網(wǎng)絡(luò)對接,實現(xiàn)云間互聯(lián)。
通過在NSX T0 Gateway與其它廠商的邊界建BGP-EVPN鄰居關(guān)系,可以將NSX里的租戶的路由傳遞給其它廠商的租戶網(wǎng)絡(luò)里,使得同一個租戶可以跨異構(gòu)廠商的網(wǎng)絡(luò)進行互通,同時可以實現(xiàn)租戶之間的隔離。當在NSX中有很多租戶的情況下,我們只需要在NSX T0 Gateway上配置一個BGP鄰居關(guān)系即可,可以傳遞所有類型5的路由信息,實現(xiàn)租戶內(nèi)部跨云互通。
云間工作負載的遷移
現(xiàn)在我們已經(jīng)可以通過NSX multi-site或者NSX federation方案來構(gòu)建一個多云的互聯(lián)網(wǎng)絡(luò),那么我們接下來面臨的問題是如何將工作負載從一個云數(shù)據(jù)中心遷移到另外一個云數(shù)據(jù)中心來重新平衡工作負載,或者將工作負載從私有云平滑的遷移到公有云做容災(zāi)或者臨時的云突發(fā)。這里我們有幾個業(yè)務(wù)場景,比如本地數(shù)據(jù)中心vsphere版本為6.0,而遠程數(shù)據(jù)中心為vsphere7.0,或者本地數(shù)據(jù)中心為KVM環(huán)境,而遠程數(shù)據(jù)中心為vsphere環(huán)境;或者本地數(shù)據(jù)中心為vsphere環(huán)境,而遠程數(shù)據(jù)中心是阿里的公有云VMware On Ali,這是一種混合云的架構(gòu)。在這幾個業(yè)務(wù)場景當中,要讓工作負載在不同的站點之間平滑遷移基本是不可能的,因為云的技術(shù)棧完全不一樣。而VMware HCX可以打破對VMware技術(shù)棧的依賴,實現(xiàn)了一套工作負載的云間遷移方案,除了可以實現(xiàn)云間遷移,還可以實現(xiàn)云間的二層網(wǎng)絡(luò)延伸。
如上圖所示,我們可以通過VMware HCX來實現(xiàn)跨多個云啟用動態(tài)資源池,我們可以將傳統(tǒng)數(shù)據(jù)中應(yīng)用遷移到私有云或者將私有云的業(yè)務(wù)遷移到公有云,或者在公有云之間進行遷移。
采用HCX進行工作負載遷移,將有多種遷移模式,比如采用vmotion按序在線遷移,也可以使用RAV實現(xiàn)批量的工作負載在線遷移等等,并且在遷移的過程中,在云間建立隧道,可以遷移的數(shù)據(jù)加密、云重、壓縮以提升遷移的效率。
對于HCX解決方案來說,至少要有兩個站點,站點之間可以使用Internet,也可使用專線互聯(lián)。下圖是一個HCX的架構(gòu)圖,在遷移的目標站點必須采用NSX,而對于源站點NSX是選的。
要實現(xiàn)云間工作負載遷移的能力,必須在源和目的站點之間部署HCX組件來和對端數(shù)據(jù)中心形成對等關(guān)系。這些組件的作用如下:
- HCX-IX:它提供了高性能、安全和優(yōu)化的多云連接,使用VMware VR、vMotion和NFC(Network File Copy)協(xié)議提供虛擬機的遷移能力,可以實現(xiàn)在線批量虛擬機遷移;
- HCX-NE:實現(xiàn)在數(shù)據(jù)中心之間的二層擴展能力,實現(xiàn)未遷移和已遷移的工作負載二層互通,同時提供移動優(yōu)化的網(wǎng)絡(luò)能力,即MON;
- HCX-WO:HCX廣域網(wǎng)優(yōu)化通過應(yīng)用廣域網(wǎng)優(yōu)化技術(shù)(如重復(fù)數(shù)據(jù)消除、壓縮)改善廣域網(wǎng)的性能,并且進行數(shù)據(jù)傳輸?shù)募用埽?/li>
除了這些,HCX還通過復(fù)制技術(shù)實現(xiàn)了跨云工作負載的容災(zāi),即可以實現(xiàn)將關(guān)鍵應(yīng)用保護到云上,當云下工作負載故障,云上的工作負載副本自動啟動,實現(xiàn)了業(yè)務(wù)的無縫切換。同時HCX還能與SRM集成,SRM制定恢復(fù)計劃,將HCX中配置的保護組應(yīng)用到SRM的保護組中,那么在源站點沒有部署NSX的時候,也能將公有云或遠程數(shù)據(jù)中心做為容災(zāi)站點。
以下是幾個常用的HCX的應(yīng)用場景,由于篇幅所限,不過多介紹,只列出相應(yīng)的業(yè)務(wù)場景。
- 不同 vsphere版本的私有云之間工作負載遷移
- 將私有云的工作負載遷移到公有云,并使用公有云做容災(zāi)
- 從傳統(tǒng)數(shù)據(jù)中心(沒有部署NSX)將工作負載遷移到私有云或公有云
- 傳統(tǒng)虛擬化環(huán)境轉(zhuǎn)切換到VMware VCF
- 將KVM/Hyper-V環(huán)境的虛擬機遷移到VMware虛擬化環(huán)境
- 將NSX-V遷移到NSX-T的環(huán)境
- 將工作負載從公有云遷移到公有云,以平衡工作負載
- 在源數(shù)據(jù)中心沒有NSX的情況下,實現(xiàn)云間的二層網(wǎng)絡(luò)延伸能力
總結(jié)
企業(yè)多云環(huán)境將是企業(yè)數(shù)字化轉(zhuǎn)型的標配,在多云的環(huán)境中,可以通過NSX來實現(xiàn)云內(nèi)網(wǎng)絡(luò)和云間網(wǎng)絡(luò)的連接,使多個孤立的小型的云融合為統(tǒng)一的資源池,同時可以提供跨不同類型的云的網(wǎng)絡(luò)容災(zāi),除了云內(nèi)和云間網(wǎng)絡(luò)連接能力,HCX還提供了云間工作負載遷移的能力,在不同技術(shù)棧的云之間搭建云梯,實現(xiàn)不同技術(shù)棧的云間的工作負載的遷移,實現(xiàn)應(yīng)用的上云。VMware NSX和HCX的結(jié)合將成為未來云網(wǎng)絡(luò)連接的首選解決方案,實現(xiàn)簡單,軟件定義、高效、靈活。
end
誠邀您參加我們于 3 月 26 日下午 14:30 舉辦的 “VCN虛擬云網(wǎng)絡(luò)” 網(wǎng)絡(luò)論壇。在本次論壇中,網(wǎng)絡(luò)和安全資深架構(gòu)師張浩先生將采取一種簡單而實用的方式,詳細介紹通過 NSX 構(gòu)建下一代虛擬多云網(wǎng)絡(luò)方案。
