NSX能够部署在任何IP网络上,包括所有的传统网络模型以及任何供应商提供的新一代体系结构,无需对底层网络进行重构。NSX来源于VMware对Nicira的收购,Nicira NVP平台本身对多种Hypervisor就有很好地支持,因此,NSX可以部署在VMware vSphere、KVM、Xen等诸多虚拟化环境中,同时跟OpenStack也有很好地集成。
如上图所示,NSX主要包含数据面板、控制面板和管理面板。
数据面板主要组件是NSX虚拟交换机(vSwitch)。虚拟交换机基于vSphere中的分布式交换机(VDS),或者基于非VMware虚拟环境中的OVS(Open vSwitch)。通过将内核模块安装到Hypervisor之上,实现VXLAN、分布式路由、分布式防火墙等服务。数据面板还包含边界网关设备(NSX Edge),作为虚拟网络和物理网络进行通信的网关。
控制面板主要组件是NSX 控制器。它是以虚机的形式安装,并以虚拟服务的形式与NSX 管理器集成。可以将NSX 控制器理解为BCF架构中的BCF控制器,它只将信令发布给数据面板。
管理面板主要组件是NSX 管理器。它提供Web界面配置和管理整个NSX网络虚拟化环境中的所有组件。NSX 管理器还提供REST API接口,为VMware或者第三方云管理平台提供接口。
这里特别提及一下NSX防火墙微分段技术。以往的物理传统防火墙都是架设在数据中心边界,可以通过策略设置有效提升南北流量的安全控制,但是对于现代数据中心,东西流量要远远大于南北流量,传统的物料防火墙对内部的东西流量几乎没有任何安全控制。不少的安全厂商提出了虚拟防火墙技术,但是这种技术的本质是在物理主机中安装一台虚拟机来实现,这意味着每一台物理主机下属所有虚机公用一台虚拟防火墙。微分段就是针对这些旧式的防火墙技术策略颗粒度太粗而提出的。
使用了基于NSX微分段的分布式防火墙之后,可以在每一台虚机之上部署一台防火墙,并与虚机的每台虚拟网卡(vNIC)进行策略关联,使得每台虚机的流量在出栈和入栈时都可以得到安全防护,执行就近的允许、拒绝和阻断策略。微分段技术将防火墙的颗粒度精细到每台虚机之上,其策略与虚机绑定,这就意味着防火墙策略无需关心IP地址,可以随虚机迁移而迁移,就算在同一个网段内两台虚机之间也能实现与IP地址无关的安全策略,相比传统防火墙技术,基于NSX微分段的分布式防火墙是实实在在革命性的技术突破,提供了2到4层的安全防护。5-7层的安全防护可以通过集成合作伙伴的安全解决方案来实现。
总之,以NSX方案搭建数据中心网络的最终效果就是:无论数据中心规模有多大,无论有多少物理或者虚拟服务器,无论底层的网络有多复杂,无论多站点数据中心跨越多少地域,在NSX方案的帮助下,对于IT人员或者用户来说,这些运行在多个站点数据中心复杂网络之上成千上万的虚机,就好像连在同一台物理交换机上一样!但是等等,NSX是无法控制物理网络交换设备的,底层物理网络的连通性是部署NSX的前提,如果在NSX环境中要修改物理网络交换设备的配置怎么办?嘿嘿,让网络管理员自己想办法吧!
小结
戴尔硬件+BCF的SDN解决方案能够快速部署和统一管理开放式以太网交换机,但是无法管理非开放式以太网交换机;NSX网络虚拟化解决方案可以在现有物理网络设备上创建与之解耦的虚拟网络,可以按需创建、修改、删除虚拟网络或者与之相关的组件,可以支持多种Hyperviosr,跟OpenStack有很好的集成,但是无法管理物理网络设备。
中国的私有云市场非常广阔,而在企业的私有云环境中,戴尔硬件+BCF的SDN解决方案配合NSX网络虚拟化解决方案是一个绝佳的网络方案组合,它不仅可以有效的保护和利用了客户以往的投资,让客户能更好地接受和投资开放式网络,加快网络设备的部署和应用上线,还能统一、灵活、高效的管理网络,提供前所未有的安全性,让网络随着企业私有云的规模、随着业务的发展动态而扩展和变更。
依靠一朵“云” 织起一张“网”