NSX网络虚拟化整体解决方案

1、NSX网络虚拟化整体解决方案议程 理解软件定义的数据中心 数据中心网络现状及面临的挑战 网络虚拟化：概念和实现 更安全的数据中心2理解软件定义的数据中心3企业主管希望他们的IT象亚马逊4No ITOutsourcedNew IT私有云/混合云or硬件定义的数据中心(HDDC)软件定义的数据中心(SDDC)或数据中心虚拟化层智能在软件数据中心虚机的操作模式：自动配置和管理什么是软件定义的数据中心 (SDDC)?智能在硬件专用芯片、品牌绑定的架构手工配置和管理软件硬件计算、网络和存储资源池化，独立于厂商，最佳性价比架构，配置和管理简单用我们学到的.软件硬件虚机计算资源网络存储应用服务器虚拟化智能在

2、虚拟化层X86资源独立于厂商革新的操作模式自动化配置和管理智能在硬件专用芯片，品牌绑定手工配置和管理手工操作模式自动化操作模式可编程的创建,快照,保存,迁移,删除,恢复构建软件定义的数据中心虚拟机虚拟网络虚拟存储计算资源网络资源存储资源应用位置无关数据中心虚拟化层池化的计算、网络和存储资源独立于厂商的最佳性能比架构简化的配置和管理软件硬件自动化操作模式可编程的创建,快照,保存,迁移,删除,恢复大多数敏捷、高效的数据中心采用了软件定义数据中心的设计方法8定制化应用Google / Facebook /Amazon Data Centers定制化平台Any x86Any StorageAny IP

3、 network软件 / 硬件抽象软件 / 硬件抽象“新IT”的选择SDDC 还是 HDDC9硬件定义数据中心 (HDDC)任意应用HDDC 平台 集成的x86集成的存储品牌绑定的网络Vertical Integration软件定义数据中心 (SDDC)任意应用SDDC 平台任意 x86任意存储任意IP网络数据中心虚拟化层复杂的网络核心, 定期替换升级，价格高昂，品牌绑定与硬件、位置分离，简单的IP核心，智能的X86边缘，敏捷的服务定制化应用Google / Facebook /Amazon Data Centers定制化平台Any x86Any StorageAny IP network软件

4、 / 硬件抽象软件 / 硬件抽象软件定义数据中心的互连互通10数据中心互连混合云软件定义数据中心 (SDDC)任意应用SDDC 平台任意 x86任意存储任意IP网络数据中心虚拟化层任意 x86任意存储任意IP网络任意 x86任意存储任意IP网络任意应用任意应用软件定义数据中心愿景TEXT自助化应用组装应用蓝图应用发布标准化应用服务云自助服务门户服务目录无需管理员参与管理监控自动化虚拟化主机与存储软件定义网络应用服务基础架构服务软件定义数据中心基础架构云数据中心网络现状及面临的挑战12数据中心网络的现状13WAN/InternetL3L2L3L2POD A： 应用APOD B：应用BL2L3PO

5、D C：应用CL2L3POD N：应用NX86服务器接入层汇聚层安全边界安全边界汇聚层接入层X86服务器虚拟化之前数百台物理服务器通过改变交换机端口的VLAN控制服务器的连接提供的Features取决于硬件功能 (ASIC芯片)配置复杂的网络服务数据流主要集中在南北向虚拟化之后数千台虚拟机服务器和物理交换机的连接变为VLAN Trunking不同的团队管理不同的网络组件Features仍然依赖于硬件功能绝对数量的服务器，加剧了复杂的网络服务（如防火墙等）的难度数据中心内部流量以东西为主，网络设计的流量则是南北为主减少了网络节点的可视性（策略执行和监控等）网络成为通往云计算之路的壁垒虚拟化挑战传

6、统网络设计和运行基础架构二层网络的规模限制大二层技术的限制安全边界打破，安全隔离成为难题业务部署计算和存储资源已经实现快速就绪网络就绪成为业务部署的瓶颈运维排障安全策略跟随虚拟机移动虚拟机的可视化管理命令行或GUI界面无法自动化部署Floor-1: VLAN1 10.x.x.xFloor-2: VLAN2 172.16.x.x网络虚拟化：概念和实现15通用X86服务器资源服务器虚拟化层需求: x86服务器x86 环境虚拟机应用分离硬件软件虚拟机应用虚拟机应用通用网络硬件网络虚拟化层需求：IP承载网络L2, L3, L4-7 网络服务虚拟网络负载虚拟网络负载虚拟网络负载解决办法：虚拟化你的网络通

7、过虚拟化层来映射虚拟与物理资源与传统的计算虚拟化类似:实现物理资源池化并支持 scale-out扩展实现集中管理与配置支持API 可编程接口虚拟网络之间完全隔离可移动性虚拟网络为软件容器, 像虚拟机一样支持 snapshot, 备份与恢复实现按需/自动化部署虚拟网络按需动态部署虚拟网络，不受物理位置限制面向对象的QoS以及安全策略配置集中控制，系统性的可视, 监控与管理逻辑区域完全隔离 (L2 & L3)95+% 减少物理网络资源消耗（IP，VLAN，MAC地址等）智能边界，分布式转发网络虚拟化带来的价值打破壁垒：使网络及其相关服务部署不再受制于底层物理网络硬件和物理位置的限制VLAN1 10

8、.x.x.xVLAN2 172.16.x.xVLAN2 192.168.x.x 虚拟网络虚拟的 Layer 2 88.33.x.x (whatever)网络虚拟化的收益 突破位置阻碍，灵活部署负载网络虚拟化的收益 突破位置阻碍，提高资源利用率网络虚拟化之前的资源利用率大约是60%网络虚拟化之后的资源利用率能够达到90%以上网络虚拟化的收益分布式架构革新扫除了安全死角VMVMVMVMVMVMVMVMVMVMVMVMVMVMVM好处虚拟机与AD域用户感知面向对象的安全策略定制没有安全处理 “瓶颈”线速转发，水平扩展安全策略部署越靠近应用，体系就越安全集中式安全管理加快服务响应时间，有助于吸引更多的

9、生意提高客户满意和忠诚度，从而吸引更多的新客户 加速业务创新及部署为企业云计算之路打下网络基础化繁为简帮助企业向移动云端模式转型 新模式将改变一切可扩展，自动化，运维监控及优化适应移动新业务需求，突破位置地域限制网络不再限制业务发展对上层新旧应用来说是透明的（无需做任何修改）投资保护，降低成本 减少升级改动新版本升级无需改动底层硬件，降低复杂性兼容客户现有网络按业务需求水平扩展，方便监控与计费对企业带来的价值带来更多的效益降低成本硬件网络InternetPhysical Network Topology计算资源.InternetPhysical Network Topology数据中心虚拟化层

10、InternetPhysical Network Topology网络虚拟化层Internet网络虚拟化层Physical Network Topology网络视角的虚拟机操作模式Internet网络虚拟化层虚拟网络软件容器，如虚机虚拟网络拓扑Physical Network Topology虚拟网络无中断的部署27NSX vSwitchHypervisorNSX vSwitchHypervisorVMUser SpaceVMVM物理网络VMUser SpaceVMVM虚拟网络可编程的部署28NSX vSwitchHypervisorVMVMVM物理网络云管理平台NSX vSwitchHype

11、rvisorVMUser SpaceVMVMNSX Controller分布式网络服务分布式网络服务Virtual Network服务分布于Virtual Switch29Physical HostNSX vSwitchVMVMVMNSX vSwitchUser SpaceVMVMHypervisorUser SpaceHypervisorNSX Controller云管理平台简单的IP骨干，没有VLAN, 没有ACL，没有防火墙策略物理网络无中断的部署网络服务分布分布式的力量新的标准：更安全的数据中心利用软件定义数据中心的网络和安全优势，构建基于分布式服务的安全数据中心32数据中心边界问题：

12、数据中心网络安全以边界为中心的网络安全已经无法满足需求，操作上无法实现零信任关系。边界内部几乎没有横向控制InternetInternet安全策略不足操作上无法实现数据中心边界34InternetHypervisorPhysical HostVMVMVMvSwitchHypervisorPhysical HostvSwitchVMVMVM安全策略边界防火墙VM云管理平台办法：利用软件定义数据中心的方法定义零信任关系基于虚拟化软件的，位于内核的分布式防火墙基于平台的自动部署、负载增加/移动和改变自动策略匹配和操作，分布式执行基于内核的性能， 分布式容量扩展 (20 Gbps/host)这是巨大的

13、不同35HypervisorHostVMVMVM传统防火墙：规则匹配和操作物理防火墙 (2 100 Gbps)传统防火墙：规则匹配和操作虚拟防火墙 (1 3 Gbps)虚拟防火墙物理防火墙分布式防火墙HostVMVMVMHypervisorHostVMVMVMHypervisorHostVMVMVMHypervisorHostVMVMVMHypervisor每个组件都在特定的层进行操作。NSX 概述：层使用模式数据层管理层控制层数据层负责处理端点间的数据流。NSX 概述：数据层组件使用模式数据层NSX Edge 服务网关ESXi分布式交换机虚拟化管理程序内核模块 防火墙分布式 逻辑路由器VXL

14、ANNSX Virtual SwitchVMware NSX Edge 网关虚拟机规格处理南北向流量的数据层 路由服务和高级服务交换机安全性VMware NSX Virtual Switch分布式网络边缘 线速性能 管理层控制层控制层负责处理执行任务。NSX 概述：控制层组件 使用模式数据层NSX Edge 服务网关ESXi分布式交换机虚拟化管理程序内核模块 防火墙分布式 逻辑路由器VXLANNSX Virtual Switch管理层控制层NSX Edge 网关虚拟机规格处理南北向流量的数据层 路由服务和高级服务交换机安全性NSX Virtual Switch分布式网络边缘 线速性能 NSX

15、ControllerNSX 逻辑路由器控制虚拟机用户环境代理管理逻辑网络运行时状态不在数据路径中控制层协议管理面板处理用户管理输入。NSX 概述：管理层组件使用模式数据层NSX Edge 服务网关ESXi分布式交换机虚拟化管理程序内核模块 防火墙分布式 逻辑路由器VXLANNSX Virtual Switch管理层控制层NSX 逻辑路由器控制虚拟机用户环境代理NSX ManagervCenter Server消息总线代理NSX Controller单点配置REST API 和用户界面管理逻辑网络运行时状态不在数据路径中控制层协议NSX Edge 网关虚拟机规格处理南北向流量的数据层 路由服务和

16、高级服务交换机安全性NSX Virtual Switch分布式网络边缘 线速性能 这些层构建了一个可供客户使用的虚拟网络。NSX 概述：使用使用模式数据层NSX Edge 服务网关ESXi分布式交换机虚拟化管理程序内核模块 防火墙分布式 逻辑路由器VXLANNSX Virtual Switch管理层控制层NSX 逻辑路由器控制虚拟机用户环境代理消息总线代理NSX Controller自助式门户云计算管理VMware vCloud Automation Center单点配置REST API 和用户界面管理逻辑网络运行时状态不在数据路径中控制层协议NSX Edge 网关虚拟机规格处理南北向流量的数

17、据层 路由服务和高级服务交换机安全性NSX Virtual Switch分布式网络边缘 线速性能 NSX ManagervCenter ServerVMware NSX 逻辑交换应用、多租户隔离 VM 在线迁移需要二层网络大的二层物理网络蔓延带来的问题 STP问题硬件 Memory (MAC, FIB) Table 限制可扩展的多租户网络实现 L2 over L3 Overlay架构 基于Overlay的技术VXLAN, STT, GRE, etc, 逻辑交换网络可以跨主机、交换机以及物理路由器挑战好处逻辑交换Scale the Network Segment 1000XAnimated Sl

18、ideVMware NSXLogical Switch 1Logical Switch 2Logical Switch 3VM to VM Routed Traffic FlowVMware NSX 逻辑路由网络: 分布式，多功能数据中心东西向流量对传统的集中式路由模式带来挑战VM 漂移带来的挑战多租户路由复杂度Traffic hair-pins在Hypervisor层实现分布式路由动态的, 基于API的配置动态路由 OSPF, BGP, IS-ISLogical Router 支持多租户支持与物理路由器之间跑动态路由挑战好处分布式路由 灵活实现多租户网络控制器集群NSX 管理器L2 L2租户A租户 BL2 L2 L2租户 CL2 L2 L2Animated SlideCMPVMware NSX 防火墙: 分布式、高性能、可扩展的安全防护集中式处理模式人工配置安全策略基于IP五元组性能最多大概40 Gbps 无法感知虚拟网络上的流量分布在Hypervisor Level动态的,可基于API的配置模式可支持基于VM 名称, 用户ID的安全策略每台主机线速转发，15Gbps基于VM的vNIC级别管控，感知VM任意流量挑战好处性能与扩展能力 1,000+ Hosts 30 Tbps of Firewall 物理安全模式NSX 分布式防火墙防火墙管理Animated Slid