NSX能夠部署在任何IP網(wǎng)絡(luò)上�����,包括所有的傳統(tǒng)網(wǎng)絡(luò)模型以及任何供應(yīng)商提供的新一代體系結(jié)構(gòu),無需對底層網(wǎng)絡(luò)進(jìn)行重構(gòu)��。NSX來源于VMware對Nicira的收購�,Nicira NVP平臺本身對多種Hypervisor就有很好地支持,因此�,NSX可以部署在VMware vSphere、KVM�、Xen等諸多虛擬化環(huán)境中,同時(shí)跟OpenStack也有很好地集成����。
如上圖所示,NSX主要包含數(shù)據(jù)面板��、控制面板和管理面板��。
數(shù)據(jù)面板主要組件是NSX虛擬交換機(jī)(vSwitch)���。虛擬交換機(jī)基于vSphere中的分布式交換機(jī)(VDS)��,或者基于非VMware虛擬環(huán)境中的OVS(Open vSwitch)����。通過將內(nèi)核模塊安裝到Hypervisor之上,實(shí)現(xiàn)VXLAN�、分布式路由、分布式防火墻等服務(wù)����。數(shù)據(jù)面板還包含邊界網(wǎng)關(guān)設(shè)備(NSX Edge),作為虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)進(jìn)行通信的網(wǎng)關(guān)��。
控制面板主要組件是NSX 控制器�����。它是以虛機(jī)的形式安裝�����,并以虛擬服務(wù)的形式與NSX 管理器集成�。可以將NSX 控制器理解為BCF架構(gòu)中的BCF控制器��,它只將信令發(fā)布給數(shù)據(jù)面板�。
管理面板主要組件是NSX 管理器�����。它提供Web界面配置和管理整個(gè)NSX網(wǎng)絡(luò)虛擬化環(huán)境中的所有組件。NSX 管理器還提供REST API接口�����,為VMware或者第三方云管理平臺提供接口�。
這里特別提及一下NSX防火墻微分段技術(shù)。以往的物理傳統(tǒng)防火墻都是架設(shè)在數(shù)據(jù)中心邊界�,可以通過策略設(shè)置有效提升南北流量的安全控制,但是對于現(xiàn)代數(shù)據(jù)中心��,東西流量要遠(yuǎn)遠(yuǎn)大于南北流量���,傳統(tǒng)的物料防火墻對內(nèi)部的東西流量幾乎沒有任何安全控制��。不少的安全廠商提出了虛擬防火墻技術(shù)���,但是這種技術(shù)的本質(zhì)是在物理主機(jī)中安裝一臺虛擬機(jī)來實(shí)現(xiàn),這意味著每一臺物理主機(jī)下屬所有虛機(jī)公用一臺虛擬防火墻��。微分段就是針對這些舊式的防火墻技術(shù)策略顆粒度太粗而提出的��。
使用了基于NSX微分段的分布式防火墻之后���,可以在每一臺虛機(jī)之上部署一臺防火墻�����,并與虛機(jī)的每臺虛擬網(wǎng)卡(vNIC)進(jìn)行策略關(guān)聯(lián)�,使得每臺虛機(jī)的流量在出棧和入棧時(shí)都可以得到安全防護(hù),執(zhí)行就近的允許���、拒絕和阻斷策略�����。微分段技術(shù)將防火墻的顆粒度精細(xì)到每臺虛機(jī)之上��,其策略與虛機(jī)綁定��,這就意味著防火墻策略無需關(guān)心IP地址���,可以隨虛機(jī)遷移而遷移,就算在同一個(gè)網(wǎng)段內(nèi)兩臺虛機(jī)之間也能實(shí)現(xiàn)與IP地址無關(guān)的安全策略��,相比傳統(tǒng)防火墻技術(shù)�����,基于NSX微分段的分布式防火墻是實(shí)實(shí)在在革命性的技術(shù)突破��,提供了2到4層的安全防護(hù)�。5-7層的安全防護(hù)可以通過集成合作伙伴的安全解決方案來實(shí)現(xiàn)。
總之���,以NSX方案搭建數(shù)據(jù)中心網(wǎng)絡(luò)的最終效果就是:無論數(shù)據(jù)中心規(guī)模有多大����,無論有多少物理或者虛擬服務(wù)器���,無論底層的網(wǎng)絡(luò)有多復(fù)雜�,無論多站點(diǎn)數(shù)據(jù)中心跨越多少地域���,在NSX方案的幫助下���,對于IT人員或者用戶來說,這些運(yùn)行在多個(gè)站點(diǎn)數(shù)據(jù)中心復(fù)雜網(wǎng)絡(luò)之上成千上萬的虛機(jī)����,就好像連在同一臺物理交換機(jī)上一樣!但是等等,NSX是無法控制物理網(wǎng)絡(luò)交換設(shè)備的�����,底層物理網(wǎng)絡(luò)的連通性是部署NSX的前提,如果在NSX環(huán)境中要修改物理網(wǎng)絡(luò)交換設(shè)備的配置怎么辦?嘿嘿����,讓網(wǎng)絡(luò)管理員自己想辦法吧!
小結(jié)
戴爾硬件+BCF的SDN解決方案能夠快速部署和統(tǒng)一管理開放式以太網(wǎng)交換機(jī),但是無法管理非開放式以太網(wǎng)交換機(jī);NSX網(wǎng)絡(luò)虛擬化解決方案可以在現(xiàn)有物理網(wǎng)絡(luò)設(shè)備上創(chuàng)建與之解耦的虛擬網(wǎng)絡(luò)�,可以按需創(chuàng)建、修改���、刪除虛擬網(wǎng)絡(luò)或者與之相關(guān)的組件�,可以支持多種Hyperviosr�����,跟OpenStack有很好的集成�����,但是無法管理物理網(wǎng)絡(luò)設(shè)備�。
中國的私有云市場非常廣闊,而在企業(yè)的私有云環(huán)境中��,戴爾硬件+BCF的SDN解決方案配合NSX網(wǎng)絡(luò)虛擬化解決方案是一個(gè)絕佳的網(wǎng)絡(luò)方案組合���,它不僅可以有效的保護(hù)和利用了客戶以往的投資�����,讓客戶能更好地接受和投資開放式網(wǎng)絡(luò)�,加快網(wǎng)絡(luò)設(shè)備的部署和應(yīng)用上線����,還能統(tǒng)一、靈活�����、高效的管理網(wǎng)絡(luò)�����,提供前所未有的安全性����,讓網(wǎng)絡(luò)隨著企業(yè)私有云的規(guī)模、隨著業(yè)務(wù)的發(fā)展動(dòng)態(tài)而擴(kuò)展和變更�。
