VMwareNSX与CiscoACI真实客观对比

1、VMware NSX 与 Cisco ACI 真实客观对比大 家好，我叫范恂毅。由于喜欢三国的周瑜，因此自称“范大都督”。因此，如果听到有 人喊“都督”，那就是在喊我啦。我主要负责数据中心售前工作，会涉及网络 （包括 Underlay 和 Overlay ）、服务器虚拟化、存储、安全、应用交付等。毕竟经验尚浅，在大神们 面前，难免有班门弄斧之嫌，有任何不对的地 方，欢迎大家指正。最 近， Cisco 公司的好几个微信公众号，都在转载一篇文章省钱，还是高效？Cisco ACI与VMware NSX对比。由于本人第一份工作就是Cisco金牌代理商，之后又考了安全、语音和数据中心 3个方向的CCIE

2、，因此朋友圈子里有很多Cisco代理商和原厂的朋友，加上之后研究服务器虚拟化、SDN网络虚拟化、存储和应用交付认识的一些朋友，我看到了这篇文章在思科圈内甚至 IT 圈内疯狂转载。这 篇文章，明显是 Cisco 公司内部工程师和市场部的员工写的软文，我全文都读了，感觉有失公允，我有点看不下去了我需要公证客观地做一些评析。在这里，请读者不要怀疑我的判断能力和立场。首先，我既非Cisco公司亦非VMware公司的员工，是以旁观者的身份和身份看这个问题，还是比较公正和客观的。其次，我对第一代基于Ope nF olw的SDN下一代增加了网络虚拟化功能的SDN都有深入研究，对于Cisco ACI与VMwa

3、re NSX的解决方案的理解还是非常深入的，并不是像一个IT行业记者或是只对 Cisco、VMware的主要业务（网络、服务器虚拟化）有了解的一个工程师 的视角看这个问题。那么，我们进入正题吧 ,。这篇文章，上来就做了一个概述，用三段话给读者注入一个强烈的impression ，让所有不知内情的读者产生Cisco ACI是业内最好的下一代 SDN和网络虚拟化解决方案的印象。原文如下所述，笔者没有对里面的文字做出任何修改：思科 ACI 是一个集成的重叠网络模型，它在一个以应用为中心、由策略驱动的一致框架中，将物理网络和虚拟网络融合为一个网络。VMware NSX是一种基于重叠网络的虚拟机监控程序

4、模式，以VMware为中心，要求网络网关与裸机应用及其他网络端点进行通信。思 科 ACI 提供单一管理平台，用于管理所有应用组件，包括物理网络和虚拟网络、第4层至第 7 层 （L4-7） 服务，在未来还会包括计算和存储。 ACI 将网络与应用的运行状况相关 联，且具有深度可视性和故障排除功能。NSX引入的单纯是重叠网络，不具备对底层物理网络的直接可视性，需通过其他工具实现重 叠网络与底层网络之间的关联。 NSX 仅为虚拟网络提供 自动化，目前尚不提供任何对底层物理设备的管理。思 科 ACI 提供开放式接口和应用编程接口 （API） ，支持多虚拟机监控程序环境。借助应 用策略基础架构控制器（ A

5、PIC-即ACI控制器的开放式北向和南向API），能够实现与现有管理、协调、 第 4-7 层服务以及物理和虚拟设备的无缝集成。客户因此能够将现有的IT 系统集成到 ACI 架构中，从而实现全面的投资保护。 NSX 仅针对基于 vSphere 和基于 Linux 的虚拟机 监控程序提供不同的产品和功能，并且不支持 Microsoft Hyper-V ，因此会限制客户的选择。除 此之外， NSX 要求参与重叠网络的每台主机都具有许可证。 NSX 架构需要更强的计算 能力才能在确保高级别可用性的情况下实施网关功能和运行管理组件。思科的集成重叠网络方 法则可以实现架构精简，需要的组件更少，并为多种类型

6、的工作负载提供自动化和可视性优势。这意味着，与 NSX 相比， ACI 的购置成本会显著降低。首 先，对于第一段， Cisco 认为，自己的 ACI 解决方案是以应用为中心的，而 VMwareNSX解决方案是以 VMware为中心的。以应用为中心，确实是一个可以夺人眼球的观点，然而， 这种以应用为中心，却不是真正实现数据中心中自动化部署应用和运维的手段。 Cisco 的所谓“以应用为中心”，无非是将应用所在的虚拟机看成一个EP（End Point ），一些类似的 EP，可以打包成一个组，叫做EPG（ End PointGroup ），Cisco针对这些EP或者EPG使用策略驱动模型，实现了一个

7、更好的，无关虚拟机IP地址和端口的 QoS功能，Cisco认为这就是以 应用为中心。毕竟之前，QoS策略在网络层面之上需要进行全局配置，并应用到端口或VLAN IP地址之上，在虚拟化环境中，由于虚拟机经常会进行迁移，这样的QoS配置很难满足用户需求，Cisco的策略驱动模型已经做的够好了，但是NSX环境中也能做到无关虚拟机IP地址和端口的QoS和安全策略，并且我认为，只实现了应用的QoS不是真正的以应用为中心。真正的以应用为中心的解决方案，必须 结合 F5BIG-IP/BIG-IQ 平 台（或类似专注应用交付解决方案 的公司的产品），实现软件定义应用服务（ Software-DefiedApp

8、lication Services， SDAS），即应用的自动化部署和运维。在这一点上，ACI和NSX都需要与F5这样的厂商合作。如果没有F5这样的合作厂商，ACI环境中除了实现了更好的QoS外，没有对应用交付提岀更好的优化功能，而NSX中却可以自己实现分布式或集中式的负载均衡，做到简单的应用交付。此外，文中Cisco指责NSX解决方案是“以 VMware为中心”的。NSX网络虚拟化平台，支持运行在所有的 物理网络设备和所有的虚拟化平台（除了Hyper-V ）之上一一如果允许在KVM或Xen平台之上，连vSphere和vCenter都不需要购买，何来以VMware为中心一说？但是ACI呢？底层

9、物理网络必须是 Nexus 9000 设备，这难道不是以 Nexus 9000 为中心吗？其 次，对于第二段， Cisco 认为，自己的 ACI 解决方案，实现了物理网络和虚拟网络的统 一管理，而NSX无法实现对底层物理网络的管理。首先， Cisco实现底层物理网络管理的方法 是 ACI 解决方案必须使用 Nexus 9000 系列设备，一旦使用其他厂商的物理交换机设备，甚至 Cisco 其他系列的交换机（如Nexus 7000 、Nexus 5000 、Catalyst 6500 系列），都无法实现ACI 解决方案，更别说物理网络和虚拟网络的统一管理了。此外，数据中心中在基础架构层 面，最重

10、要的三个平台，必然是网络平台（包括物理网络和虚拟网络）、计算平台（换句话说就是 x86 服务器虚拟化)、存储平台。 ACI 实现了物理网络和虚拟网络的统一管理，但是并无法管理和调度 计算资源和存储资源。而NSX在管理层面上，完全成为了vCenter的一个插件，实现了虚拟网络和服务器虚拟化的统一管理和调度，这么比较的话，ACI和NSX完全打了个平手一一各能管理和调度两块平台。如果数据中心内用户使用了VMware VSAN的解决方案，VMware甚至连存储资源也做到了统一管理和调度。Cisco这篇文章的作者很聪明，写了一句“在未来还会包括计算和存储”，给用户画了个饼。那么，NSX未来其实也可以深度

11、集成物理硬件的，NSX解决方案的前身 Nicira公司正是SDN概念的提岀者和 Openflow、Open vSwitch 的开发者，这意味着只要物理硬件支持Openflow和OVSDE协议，就都可以将自己交给 NSXCon troller 进行管理，只是现在多数物理硬件厂商没有与VMware进行联合开发而已。Arista和 Brocade 公司已经实现了将自己的物理 网络硬件产品以服务的形式交给 NSX Controller 管 理，相信之后这串名单会越来越上，这其实也算“NSX在未来能实现所有物理网络硬件设备的统一管理”。如果 Cisco喜欢谈未来 Roadmap，那么为什么别人不能谈呢？

12、况且 NSX与 Arista、Brocade公司的合作已经成型，不是单纯的 Roadmap了。而对于 ACI，管 控其他厂商 网络硬件甚至自己厂商的非Nexus 9000设备的硬件设备，在Roadmap上吗？再 者，对于第三段， Cisco 的写手又抓住了很多读者对 API 不熟悉的现状，大书特书。开 放式接口和应用编程接口 (API) 不是 Cisco 一家独有的，几乎所有物理硬件和虚拟化软件厂 商，都能提供这样的接口，ACI和NSX都可以针对这些接口进行再编程、再开发，并控制其设备和运行的应用。这里Cisco写手又抓住了 NSX目前不支持Hyper-V环境进行攻击。Cisco喜欢说“未来支

13、持”，那么我想说的是，NSX对Hyper-V的支持，很快也会发布了就算不支持，其实也无伤大雅，因为微软也有自己的网络虚拟化平台HNV(Hyper-V NetworkVirtualization)，部署了 Hyper-V的用户，不大会再使用ACI或NSX解决方案的，且这个市场很小 Hyper-V 大量使用在微软 自己的 Azure 云中，在企业中很少使用，因为 Hyper-V 基 于 Windows Server ，而 Windows Server 最大的问题是需要经常停机进行补丁和升级，这令很 多企业用户敬而远之。因此，ACI现今和NSX未来对Hyper-V的支持，都只是锦上添花，没必要拿岀来

14、进行特别的对比。最后，对于第四段， Cisco的写手又说了，NSX需要每台主机都购买License，且对于一些网关设备，需要另外购买主机，这样会增加成本。没错，NSX解决方案确实需要 NSXLicense ，这个问题我们需要分两种情况进行讨论。第一种情况，毕竟vSphere 是最主流、功能最为强大的商业虚拟化解决方案，在全球hypervisor的市场份额远超半成，因此NSX和ACI解决方案，都很有可能使用vSphere作为底层虚拟化平台，但需要读者了解的是，无论NSX还是ACI，实现虚拟网络都需要vSphere支持分布式交换机(VDS，而vSphere EnterprisePlus版本才支持

15、VDS但是NSX license自动携带了 VDS功能，这就意味着我们在Standard版本的vSphere环境中也可以部署 NSX解决方案，但 ACI就惨了，需要购买昂贵的vSphereEnterprise Plus版本来支持。第二种情况，是ACI和NSX都支持开源的虚拟化平台KVM和Xen,那么在 KVM和Xen的环境下，ACI就真的省钱了吗？ ACI只能使用Nexus9000设备作为底层物理平台，限制了其的使用只有新建数据中心时用户才会考虑ACI ，如果是改造，哪个用户会将所有的物理网络设 备全换掉呢？换掉这些物理硬件的费用，成本远远超过了NSXLicense吧，就算是新建数据中心，购买

16、Nexus 9000的成本也是存在的，而NSX可以在廉价甚至白牌交换机的平台之上实现SDN和网络虚拟化，这样算起来，两者成本其实半斤八两。对于Cisco写手提到的NSX网关设备需要增加计算机资源的问题，在NSX 6.2版本之上已经得到解决一一基于 VXLAN的NSX分布式路由器可以直接作为外部物理设备的VLAN的网关，因此我们无需特别配置 Edge 设备作为与 外界通讯（包括二层和三层通讯）的桥梁， Edge 设备仅会作为实 现高级功能（类似 NFV的那些功能）的形式岀现，这些功能包括负载均衡、NAT VPN等，而ACI 解决方案中的 Nexus 9000 系列交换机则都不能实现，除非再引入

17、Cisco 的路由器或防火墙，才能实现 NAT和VPN（负载均衡则完全不能实现），但流量需要绕过这些路由器或防火墙进行处理，并不是优化的。之后的内容，Cisco写手一直抓住 NSX目前对物理网络设备的管控能力较差进行大书特 书，却选择性的忽略 ACI 平台无法支持虚拟化中计算资源的管理和调度能力。限于篇幅，我们 就不一一列举并评论了，相信读者看了前 4 段分析，脑海中应该有一些概念浮现。最 后， Cisco 写手设计了一个场景，证明自己的解决方案是省钱的，却选择性忽略了这种 解决方案只适用于数据中心新建，而不是改造 ACI 解决方案只能使 用 Nexus 9000 系列交 换机，且还需要支持

18、ACI的板卡。此外，Cisco认为，NSXEdge会导致计算机数量的增加，却不 提自己需要至少三台 APIC 控制器的 成本 APIC 控制器集群，是至少三台超高性能的 Cisco UCS服务器加上ACI相关软件的成本。再者， Cisco设计的场景中，NSX的底层平台使用的是 Arista高端系列交换机，却忽略了NSX网络虚拟化平台可以运行在廉价甚至白牌交换机的平台之上。还有，在 license 的计算上，Cisco写手让ACI和NSX解决方案都使用 vSphere Enterprise Plus的license ，也许他自己都不知道NSX license 中自带 VDS功能吧因此，我在这里做

19、一个小小的总结：? ACI 解决方案绑架了 Nexus 9000 物理网络设备硬件，无法进行数据中心改造（真要改 造，那么之前的硬件投资会完全浪费），只能用于数据中心新建。NSX解决方案无关底层物理硬件架构，可以实现用户现有数据中心向SDN和网络虚拟化环境进行无缝迁移。? ACI 表示自己是以应用为中心的解决方案，其实可能是偷换了一个概念，真正的含义是 以应用的QoS为中心，而这样的 QoS在NSX环境中也能实现。真正的以应用为中心， 实现软件定义应用，ACI和NSX两个解决方案都需要结合F5的Big-IP/Big-IQ 设备来实现。? ACI目前实现物理网络和虚拟网络的统一管理和控制，而NS

20、X目前实现的是虚拟网络、计算资源、存储资源（VSAN环境下）的统一管理和控制，两者各有千秋。? ACI和NSX都具备极强的可编程能力，在API的调度功能上平起平坐。? 在新建数据中心的情况下，ACI节省了 NSX License的费用，但 NSX节省了 vSphereLicense的费用。具体谁更省钱，需要看NSX底层物理平台选哪家厂商的什么级别的设备，毕竟 ACI 没的选。? ACI认为NSX Edge带来更多成本，但 NSX 6.2版本之后，这个问题已经完全被解决。对于Cisco写手的文章中没有提及的NSX的各种高级功能，我在这里也列举一下：? 提供了一套不关心底层架构的逻辑网络，只要底层网络互通，I