面對這些問(wèn)題,我們今天就和大家來(lái)討論一下如何通過(guò)NSX構建下一代虛擬多云網(wǎng)絡(luò ),實(shí)現多云的統一運維管理,如何在多云的環(huán)境下實(shí)現一致的網(wǎng)絡(luò )和安全策略。
我們知道,NSX是一個(gè)基于SDN的網(wǎng)絡(luò )虛擬化的解決方案,通過(guò)NSX構建虛擬化網(wǎng)絡(luò )可以不依賴(lài)于底層的物理網(wǎng)絡(luò )架構,同時(shí)支持異構的虛擬化環(huán)境。我們可以通過(guò)NSX的控制臺非常方便的創(chuàng )建網(wǎng)絡(luò )中涉及的所有的網(wǎng)絡(luò )功能,包括分布式路由、虛擬交換機、防火墻、IDPS、負載均衡等,這些功能組件,全部可以采用軟件方式實(shí)現,在云中提供了L2-L7的網(wǎng)絡(luò )服務(wù),并且支持企業(yè)內部任意多樣化的應用部署形態(tài)。
接下來(lái),我將通過(guò)幾個(gè)業(yè)務(wù)場(chǎng)景來(lái)給大家介紹一下如何通過(guò)NSX構建下一代虛擬化多云網(wǎng)絡(luò )。這些典型的業(yè)務(wù)場(chǎng)景包括:
- 融合資源池多云網(wǎng)絡(luò ),這包括融合數據中心內部不同區域以及跨數據中心資源池的融合
- 跨站點(diǎn)雙活容災多云網(wǎng)絡(luò )
- 云間的工作負載遷移以及網(wǎng)絡(luò )延伸
融合資源池多云網(wǎng)絡(luò )
那我們接下來(lái)看一下,如何通過(guò)NSX在數據中心內部以及在多個(gè)數據中心之間融合多個(gè)資源池,構建一個(gè)統一融合的大資源池,業(yè)務(wù)在融合的資源池內部遷移的時(shí)候,無(wú)需改變IP地址和安全策略,并且可以將這些應用部署在數據中心中的任意位置,同時(shí)統一網(wǎng)絡(luò )和運維管理。
要融合不同功能的資源池,將小資源池變成一個(gè)大的資源池,首先需要提供一個(gè)二層的網(wǎng)絡(luò ),因為二層網(wǎng)絡(luò )更加靈活,即插即用,但是很多企業(yè)采用的是傳統的三層網(wǎng)絡(luò )架構,如果在這種網(wǎng)絡(luò )架構上實(shí)現傳統的二層網(wǎng)絡(luò )非常復雜,在這里也簡(jiǎn)單介紹一下傳統的二層網(wǎng)絡(luò )技術(shù)。最早實(shí)現二層網(wǎng)絡(luò )的技術(shù)是基于VLAN的,要考慮到網(wǎng)絡(luò )的冗余,使用了一個(gè)老掉牙的STP,對于使用過(guò)這個(gè)技術(shù)的工程師來(lái)說(shuō),這是一個(gè)不可維護的方案,網(wǎng)絡(luò )收斂速度慢,而且在二層還要阻塞交換機的端口來(lái)保證二層網(wǎng)絡(luò )無(wú)環(huán)路,現在這種技術(shù)幾乎沒(méi)人使用。
另外一種就是采用物理交換機的虛擬化,可以實(shí)現橫向和縱向的虛擬化,讓一張網(wǎng)絡(luò )變成一個(gè)大的虛擬的交換機,采用這種方案,底層物理網(wǎng)絡(luò )必須采用同一廠(chǎng)商網(wǎng)絡(luò )設備,在要求異構的網(wǎng)絡(luò )架構中,這種方案是不可取的。
還有一種就是采用fabricpath或者類(lèi)似于OTV這些廠(chǎng)商私有的技術(shù),但是傳統物理網(wǎng)絡(luò )廠(chǎng)商設備都不具備這種能力,所以要將資源池二層網(wǎng)絡(luò )打通,必須將所有的網(wǎng)絡(luò )設備替換掉,風(fēng)險極高,因為這些網(wǎng)絡(luò )還可能承載其它非常重要的業(yè)務(wù)。
NSX是一個(gè)純軟件的解決方案,它利用了overlay的技術(shù),以現有的物理網(wǎng)絡(luò )為基礎或不改變現有的物理網(wǎng)絡(luò )架構,可以非常方便的實(shí)現二層網(wǎng)絡(luò )的需求,從而將各個(gè)資源池所需的二層網(wǎng)絡(luò )打通,將小的資源池變成一個(gè)融合的資源池,工作負載可以部署在任意一個(gè)位置,同時(shí)NSX也使用RSS、TSO和DPDK來(lái)提升網(wǎng)絡(luò )整個(gè)性能,從而構建了一張高性能的融合資源池網(wǎng)絡(luò )。另外,我們還可以通過(guò)NSX的分布式防火墻來(lái)實(shí)現業(yè)務(wù)系統之間安全隔離,通過(guò)NSX高級負載均衡來(lái)滿(mǎn)足工作負載所需要的負載均衡的需求。如下圖所示:通過(guò)NSX將不同的區域的網(wǎng)絡(luò )整合為融合的資源池,將小的資源池變成了大的資源池。
跨站點(diǎn)雙活容災多云網(wǎng)絡(luò )
業(yè)務(wù)的連續性對企業(yè)至關(guān)重要,而采用傳統網(wǎng)絡(luò )構建雙活容災網(wǎng)絡(luò )非常復雜,在網(wǎng)絡(luò )上需要考慮的因素也比較多。傳統雙活災備數據中心面臨以下幾個(gè)問(wèn)題:
- 在災備的場(chǎng)景中,數據中心地位不均等,包括生產(chǎn)中心和備中心,備中心只有生產(chǎn)中心故障的時(shí)候才啟用,造成投資浪費。
- 維護成本高,每次生產(chǎn)中心網(wǎng)絡(luò )、安全和負載均衡策略變更時(shí),備中心需要同步更改,這些更改配置無(wú)法自動(dòng)同步到備中心,造成數據中心的配置不一致。
- 切換時(shí)間長(cháng),當生產(chǎn)中心業(yè)務(wù)出現故障后,業(yè)務(wù)切換到備中心需要幾個(gè)小時(shí)的時(shí)間,無(wú)法滿(mǎn)足RTO和RPO的需求。
那么通過(guò)NSX如何來(lái)構建這些跨站點(diǎn)的云間互聯(lián)網(wǎng)絡(luò )呢?這里我們提供了幾種方案,分別適用于中小規模數據中心、超大規模數據中心以及異構數據中心網(wǎng)絡(luò )的業(yè)務(wù)場(chǎng)景。
在中小規模的多數據中心場(chǎng)景中,我們使用NSX multi-site方案,下圖是multi-site的方案的架構。
在這個(gè)網(wǎng)絡(luò )架構中,同樣與底層物理網(wǎng)絡(luò )架構解耦,無(wú)需修改底層物理網(wǎng)絡(luò ),可以通過(guò)軟件定義的方式,將分布式路由、分布式邏輯交換機和分布式防火墻延伸到多個(gè)站點(diǎn),這些站點(diǎn)由統一的控制器進(jìn)行網(wǎng)絡(luò )的配置,并將網(wǎng)絡(luò )安全配置下發(fā)到應用所運行的地方,多個(gè)數據中心提供統一的網(wǎng)絡(luò )和安全策略。
在雙活容災的場(chǎng)景中,采用NSX multi-site將業(yè)務(wù)部署到兩個(gè)數據中心,在下圖中,我們可以讓藍色網(wǎng)段的業(yè)務(wù)南北向流量走站點(diǎn)A,綠色網(wǎng)段的業(yè)務(wù)流量南北向走站點(diǎn)B,跨數據中心以及數據中心內部的東西向流量不走NSX Edge邊界網(wǎng)關(guān),實(shí)現跨數據中心二層互通,業(yè)務(wù)跨站點(diǎn)部署,統一資源池,兩個(gè)數據中心互為備份。同時(shí)與SRM集成,通過(guò)SRM提供保護組和恢復計劃,對一些關(guān)鍵的業(yè)務(wù)實(shí)現容災,自動(dòng)化跨站點(diǎn)映射網(wǎng)絡(luò ),實(shí)現一鍵式容災,無(wú)需對底層物理網(wǎng)絡(luò )進(jìn)行修改。對于一些通過(guò)域名發(fā)布的業(yè)務(wù),我們可以在每個(gè)站點(diǎn)部署NSX ALB GSLB來(lái)實(shí)現業(yè)務(wù)在不同站點(diǎn)的雙活,將來(lái)自客戶(hù)端的請求流量發(fā)送的離客戶(hù)端最近數據中心。
第二個(gè)多云跨站點(diǎn)的虛擬網(wǎng)絡(luò )解決方案是采用NSX federation方案,適合于超大規模的數據中心的云間互聯(lián)。下邊將介紹一下NSX federation方案。
NSX federation提供了超大規模數據中心云間互聯(lián)網(wǎng)絡(luò ),實(shí)現一致的網(wǎng)絡(luò )和安全策略。在多數據中心的場(chǎng)景下,每個(gè)數據中心都有一個(gè)獨立的控制平面,即在每個(gè)數據中心都有各自的NSX管理器,網(wǎng)絡(luò )管理員可以通過(guò)本地的NSX管理器來(lái)管理本地的網(wǎng)絡(luò )資源,可以創(chuàng )建分布式路由或者每個(gè)本地業(yè)務(wù)所需要的安全策略。對于這種方案,除了在每個(gè)站點(diǎn)部署各自的管理平面以外,還需要一個(gè)全局的NSX管理器,通過(guò)一個(gè)全局的NSX管理器,我們可以創(chuàng )建全局的網(wǎng)絡(luò )資源,可以將二層網(wǎng)絡(luò )延伸,全局的分布式路由以及全局的網(wǎng)絡(luò )安全策略,這時(shí)我們可以將業(yè)務(wù)虛擬機連接到全局的對象上,實(shí)現跨數據中心的網(wǎng)絡(luò )二三層網(wǎng)絡(luò )互聯(lián)。我們通過(guò)全局NSX管理器,簡(jiǎn)化的多云數據中心的運維管理。在federation的方案中,我們不需要修改數據中心物理網(wǎng)絡(luò )互聯(lián)的MTU,就可以將業(yè)務(wù)延伸部署到任意的一個(gè)數據中心里。
在NSX federation的方案里,我們可以將多個(gè)云數據中心劃分為邏輯的Region,并且可以邏輯的劃分不同租戶(hù),每個(gè)租戶(hù)可以跨數據中心部署,并且實(shí)現租戶(hù)級別的安全隔離以及虛擬機網(wǎng)卡級別的安全隔離,非常靈活。
另外,NSX federation在每個(gè)站點(diǎn)都有各自的edge設備,主要負責每個(gè)數據中心南北向的流量輸導,在這個(gè)方案中,提供了非常方便的流量控制措施,滿(mǎn)足不同應用場(chǎng)景對流量的需求,對于同一個(gè)網(wǎng)段的流量,在nsx multi-site方案中,大多數情況下只能在一個(gè)站點(diǎn)出入,而在federation方案中,我們可以實(shí)現跨不同地址位置的云數據中心中同網(wǎng)段的流量本地出,優(yōu)化了網(wǎng)絡(luò )流量的路徑。如下圖所示,在每個(gè)數據中心T0運行在active/actives模式,而位也運行在primary/primary模式,這樣,每個(gè)數據中心的edge都承載流量。
前面介紹的兩個(gè)跨云方案,數據中心云間網(wǎng)絡(luò )以及云內網(wǎng)絡(luò )采用的都是NSX,那么如果其中一個(gè)數據中心的云網(wǎng)絡(luò )采用NSX,而另外一個(gè)數據中心已經(jīng)采用了其它廠(chǎng)商的網(wǎng)絡(luò )方案,我們是否可以實(shí)現跨異構廠(chǎng)商的云間網(wǎng)絡(luò )互通呢?答案是可以的。我們可以采用BGP-EVPN來(lái)實(shí)現和其它廠(chǎng)商的網(wǎng)絡(luò )對接,實(shí)現云間互聯(lián)。
通過(guò)在NSX T0 Gateway與其它廠(chǎng)商的邊界建BGP-EVPN鄰居關(guān)系,可以將NSX里的租戶(hù)的路由傳遞給其它廠(chǎng)商的租戶(hù)網(wǎng)絡(luò )里,使得同一個(gè)租戶(hù)可以跨異構廠(chǎng)商的網(wǎng)絡(luò )進(jìn)行互通,同時(shí)可以實(shí)現租戶(hù)之間的隔離。當在NSX中有很多租戶(hù)的情況下,我們只需要在NSX T0 Gateway上配置一個(gè)BGP鄰居關(guān)系即可,可以傳遞所有類(lèi)型5的路由信息,實(shí)現租戶(hù)內部跨云互通。
云間工作負載的遷移
現在我們已經(jīng)可以通過(guò)NSX multi-site或者NSX federation方案來(lái)構建一個(gè)多云的互聯(lián)網(wǎng)絡(luò ),那么我們接下來(lái)面臨的問(wèn)題是如何將工作負載從一個(gè)云數據中心遷移到另外一個(gè)云數據中心來(lái)重新平衡工作負載,或者將工作負載從私有云平滑的遷移到公有云做容災或者臨時(shí)的云突發(fā)。這里我們有幾個(gè)業(yè)務(wù)場(chǎng)景,比如本地數據中心vsphere版本為6.0,而遠程數據中心為vsphere7.0,或者本地數據中心為KVM環(huán)境,而遠程數據中心為vsphere環(huán)境;或者本地數據中心為vsphere環(huán)境,而遠程數據中心是阿里的公有云VMware On Ali,這是一種混合云的架構。在這幾個(gè)業(yè)務(wù)場(chǎng)景當中,要讓工作負載在不同的站點(diǎn)之間平滑遷移基本是不可能的,因為云的技術(shù)棧完全不一樣。而VMware HCX可以打破對VMware技術(shù)棧的依賴(lài),實(shí)現了一套工作負載的云間遷移方案,除了可以實(shí)現云間遷移,還可以實(shí)現云間的二層網(wǎng)絡(luò )延伸。
如上圖所示,我們可以通過(guò)VMware HCX來(lái)實(shí)現跨多個(gè)云啟用動(dòng)態(tài)資源池,我們可以將傳統數據中應用遷移到私有云或者將私有云的業(yè)務(wù)遷移到公有云,或者在公有云之間進(jìn)行遷移。
采用HCX進(jìn)行工作負載遷移,將有多種遷移模式,比如采用vmotion按序在線(xiàn)遷移,也可以使用RAV實(shí)現批量的工作負載在線(xiàn)遷移等等,并且在遷移的過(guò)程中,在云間建立隧道,可以遷移的數據加密、云重、壓縮以提升遷移的效率。
對于HCX解決方案來(lái)說(shuō),至少要有兩個(gè)站點(diǎn),站點(diǎn)之間可以使用Internet,也可使用專(zhuān)線(xiàn)互聯(lián)。下圖是一個(gè)HCX的架構圖,在遷移的目標站點(diǎn)必須采用NSX,而對于源站點(diǎn)NSX是選的。
要實(shí)現云間工作負載遷移的能力,必須在源和目的站點(diǎn)之間部署HCX組件來(lái)和對端數據中心形成對等關(guān)系。這些組件的作用如下:
- HCX-IX:它提供了高性能、安全和優(yōu)化的多云連接,使用VMware VR、vMotion和NFC(Network File Copy)協(xié)議提供虛擬機的遷移能力,可以實(shí)現在線(xiàn)批量虛擬機遷移;
- HCX-NE:實(shí)現在數據中心之間的二層擴展能力,實(shí)現未遷移和已遷移的工作負載二層互通,同時(shí)提供移動(dòng)優(yōu)化的網(wǎng)絡(luò )能力,即MON;
- HCX-WO:HCX廣域網(wǎng)優(yōu)化通過(guò)應用廣域網(wǎng)優(yōu)化技術(shù)(如重復數據消除、壓縮)改善廣域網(wǎng)的性能,并且進(jìn)行數據傳輸的加密;
除了這些,HCX還通過(guò)復制技術(shù)實(shí)現了跨云工作負載的容災,即可以實(shí)現將關(guān)鍵應用保護到云上,當云下工作負載故障,云上的工作負載副本自動(dòng)啟動(dòng),實(shí)現了業(yè)務(wù)的無(wú)縫切換。同時(shí)HCX還能與SRM集成,SRM制定恢復計劃,將HCX中配置的保護組應用到SRM的保護組中,那么在源站點(diǎn)沒(méi)有部署NSX的時(shí)候,也能將公有云或遠程數據中心做為容災站點(diǎn)。
以下是幾個(gè)常用的HCX的應用場(chǎng)景,由于篇幅所限,不過(guò)多介紹,只列出相應的業(yè)務(wù)場(chǎng)景。
- 不同 vsphere版本的私有云之間工作負載遷移
- 將私有云的工作負載遷移到公有云,并使用公有云做容災
- 從傳統數據中心(沒(méi)有部署NSX)將工作負載遷移到私有云或公有云
- 傳統虛擬化環(huán)境轉切換到VMware VCF
- 將KVM/Hyper-V環(huán)境的虛擬機遷移到VMware虛擬化環(huán)境
- 將NSX-V遷移到NSX-T的環(huán)境
- 將工作負載從公有云遷移到公有云,以平衡工作負載
- 在源數據中心沒(méi)有NSX的情況下,實(shí)現云間的二層網(wǎng)絡(luò )延伸能力
總結
企業(yè)多云環(huán)境將是企業(yè)數字化轉型的標配,在多云的環(huán)境中,可以通過(guò)NSX來(lái)實(shí)現云內網(wǎng)絡(luò )和云間網(wǎng)絡(luò )的連接,使多個(gè)孤立的小型的云融合為統一的資源池,同時(shí)可以提供跨不同類(lèi)型的云的網(wǎng)絡(luò )容災,除了云內和云間網(wǎng)絡(luò )連接能力,HCX還提供了云間工作負載遷移的能力,在不同技術(shù)棧的云之間搭建云梯,實(shí)現不同技術(shù)棧的云間的工作負載的遷移,實(shí)現應用的上云。VMware NSX和HCX的結合將成為未來(lái)云網(wǎng)絡(luò )連接的首選解決方案,實(shí)現簡(jiǎn)單,軟件定義、高效、靈活。
end
誠邀您參加我們于 3 月 26 日下午 14:30 舉辦的 “VCN虛擬云網(wǎng)絡(luò )” 網(wǎng)絡(luò )論壇。在本次論壇中,網(wǎng)絡(luò )和安全資深架構師張浩先生將采取一種簡(jiǎn)單而實(shí)用的方式,詳細介紹通過(guò) NSX 構建下一代虛擬多云網(wǎng)絡(luò )方案。
