VMWare NSX软件定义网络解决方案建议书

1、VMware软件定义网络解决方案建议书 目 录 TOC o 1-3 1概述 PAGEREF _Toc488848167 h 41.1项目背景 PAGEREF _Toc488848168 h 41.2现状分析 PAGEREF _Toc488848169 h 52VMware软件定义网络解决方案概述 PAGEREF _Toc488848170 h 102.1方案概览 PAGEREF _Toc488848171 h 102.2主要价值 PAGEREF _Toc488848172 h 142.3典型应用场景 PAGEREF _Toc488848173 h 153VMware软件定义网络解决方案技术详解

2、 PAGEREF _Toc488848174 h 173.1基本组件 PAGEREF _Toc488848175 h 173.2工作原理 PAGEREF _Toc488848176 h 203.3主要功能 PAGEREF _Toc488848177 h 213.3.1逻辑交换 PAGEREF _Toc488848178 h 223.3.2逻辑路由 PAGEREF _Toc488848179 h 253.3.3逻辑防火墙 PAGEREF _Toc488848180 h 293.3.4逻辑负载均衡 PAGEREF _Toc488848181 h 323.3.5Ecosystem Framework

3、 PAGEREF _Toc488848182 h 353.3.6跨vCenter的网络与安全 PAGEREF _Toc488848183 h 364VMware软件定义网络之方法论与规划设计 PAGEREF _Toc488848184 h 464.1物理网络规划设计 PAGEREF _Toc488848185 h 464.2数据中心访问层规划设计 PAGEREF _Toc488848186 h 534.2.1计算机架 PAGEREF _Toc488848187 h 544.2.2连接虚拟化管理程序 PAGEREF _Toc488848188 h 554.2.3边缘机架 PAGEREF _Toc

4、488848189 h 574.2.4基础架构机架 PAGEREF _Toc488848190 h 604.2.5VLAN 配置 PAGEREF _Toc488848191 h 604.2.6多层边缘和多层应用设计注意事项 PAGEREF _Toc488848192 h 624.3各功能模块规划设计 PAGEREF _Toc488848193 h 634.3.1逻辑交换 PAGEREF _Toc488848194 h 634.3.2逻辑路由 PAGEREF _Toc488848195 h 664.3.3逻辑负载均衡 PAGEREF _Toc488848196 h 695方案优势总结 PAGER

5、EF _Toc488848197 h 726配置清单与说明 PAGEREF _Toc488848198 h 746.1硬件配置 PAGEREF _Toc488848199 h 746.2软件配置 PAGEREF _Toc488848200 h 747专业咨询服务 PAGEREF _Toc488848201 h 767.1VMware专业服务介绍 PAGEREF _Toc488848202 h 767.2专业咨询服务内容 PAGEREF _Toc488848203 h 767.2.1VMware Accelerate咨询服务 PAGEREF _Toc488848204 h 767.2.2技术咨询

6、服务 PAGEREF _Toc488848205 h 777.2.3技术客户经理(TAM)服务 PAGEREF _Toc488848206 h 787.3专业服务实施流程 PAGEREF _Toc488848207 h 797.3.1评估 PAGEREF _Toc488848208 h 807.3.2规划与设计 PAGEREF _Toc488848209 h 807.3.3实施 PAGEREF _Toc488848210 h 807.3.4运维 PAGEREF _Toc488848211 h 818全球支持服务 PAGEREF _Toc488848212 h 828.1VMware支持的角色和

7、职责 PAGEREF _Toc488848213 h 828.2全球技术支持服务 PAGEREF _Toc488848214 h 838.3自助服务支持 PAGEREF _Toc488848215 h 848.3.1社会支持 PAGEREF _Toc488848216 h 848.3.2其他资源 PAGEREF _Toc488848217 h 859培训服务 PAGEREF _Toc488848218 h 869.1培训课程和认证体系 PAGEREF _Toc488848219 h 869.2VMware精选课程介绍 PAGEREF _Toc488848220 h 8910缩略语解释 PAGE

8、REF _Toc488848221 h 2概述项目背景当前的网络与安全解决方案极不灵活并且十分复杂。在当前的运营模型中，网络调配很慢，并且工作负载分配和移动受物理拓扑和手动调配的限制。物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上，人为地阻碍了网络体系结构和容量利用率的优化。此外，手动调配和杂乱无章的管理界面降低了效率，限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。近些年，运维大型数据中心（如亚马逊、谷歌、Facebook和微软等的数据中心）的公司，经过多年的数据中心运维管理后，总结了如下一些数据中心网络与安全方面的经验教训。第一个经验就

9、是，建立在IP层（Layer 3层）的等价多路径（ECMP）的物理网络非常适合现代数据中心架构与应用。这些网络提供可预测的延迟，可以很好地扩展，而且收敛很快。同时，当节点或链路发生变化时，他们可以提供一个非常细粒度的故障域。其次，从历史上看，利用增加带宽来解决由于带宽而导致的应用问题远比添加物理网络设备新功能来解决该问题要容易的多，同时构建这样的高容量网络的成本在过去几年大幅下降（使用同质化的IP承载网络，硬件投资肯定会降低）。通过使网络遵循KISS（Keep it Simple， Stupid）原则，可以灵活地建立出构建块（例如虚拟网络），使其运行在更健壮的基础架构网络上。最后，把相关网络功

10、能迁移到网络边界（智能边界，比如X86服务器）会带来更好的语义，更丰富的计算模型，以及降低对物理网关设备的性能需求（当采用分布式网络处理架构时）。运行在新型数据中心的应用就是很好的例子：随着时间的推移，许多应用程序已经纳入了一些网络上的功能，例如，Hadoop有自己的发现机制，而不是假设所有Hadoop节点都在同一个广播媒体（Layer 2网络）上。发生故障时，应用安全性和其它特征往往是内置到应用程序、计算、以及PaaS层来得以保障，不再简单依靠物理网络。软件定义网络是云计算的关键支持技术。软件定义网络真正给网络带来服务器虚拟化一样的服务。上述的智能边界任务恰好可以由X86服务器里的Hyper

11、Visor来承担，通过软件定义网络，云数据中心的应用所需要的网络功能都可以很灵活地由数据中心的智能边界（X86 Hypervisor）来实现。同时通过软件定义网络，许多虚拟网络可以复用到一个单一的数据中心IP转发物理网络上。XXX客户作为国内大型企业，信息化建设不断发展，目前信息化网络以信息中心为运营维护单位，覆盖市场计费、生产经营等多套业务系统，服务器资源庞大。虽然该客户已经完成了对其数据中心的服务器虚拟化改造，但是，现有的网络与安全解决方案阻碍了数据中心的进一步发展，仅仅完成服务器的虚拟化已经远远不能满足各种业务对其数据中心的新需求了，因此尽快采用虚拟化环境下高效敏捷的网络与安全解决方案已

12、成为必须。现状分析经过多年的发展，XXX客户已经完成了数据中心的服务器虚拟化建设，该数据中心的四台X86物理服务器上运行着十四台虚拟机，负责承载人力资源、市场计费、生产经营、资产管理、网络管理、邮件、安全等业务系统，具体的虚拟机与业务系统的分布情况如下所示。物理服务器业务系统虚拟机PowerEdge 2950Xeon E5410 *2/4GB视频服务器Production_VM01下载服务器Production_VM02生产经营管理系统Production_VM03固定资产管理系统Production_VM04PowerEdge 2950Xeon E5410 *2/4GB移动站业务管理系统Pr

13、oduction_VM05网管系统Production_VM06财务系统Production_VM07防病毒系统Production_VM08PowerEdge 2950Xeon E5410 *2/4GB邮件系统Production_VM09安全评估系统Production_VM10人力资源系统Production_VM11PowerEdge 2950Xeon E5410 *2/4GB任务管理系统Production_VM12库存管理系统Production_VM13身份认证系统Production_VM14表：XXX客户数据中心业务系统与虚拟机分布虽然XXX客户数据中心的服务器虚拟化建设已经

14、取得了阶段性进展，但是伴随着虚拟化进程的推进，传统的网络与安全体系结构降低了虚拟数据中心的部署效率，阻碍了数据中心的进一步发展，这些网络与安全解决方案在虚拟化环境下存在诸多的挑战。现有问题分析现有的网络与安全体系结构降低了虚拟数据中心的部署效率在XXX客户数据中心里，虽然服务器虚拟化的普及彻底改变了应用的调配和管理，但是，这些动态工作负载所连接的网络却未能跟上它的发展步伐。网络调配仍然极其缓慢，甚至一个简单的拓扑结构的创建也需要数天或数周时间。下图给出了一个典型的示例。图：服务器虚拟化后部署一台服务器所需的时间从上面这张图可以看出，在服务器虚拟化之前，管理员部署一台服务器需要大概数周时间并花费

15、上万美金。有了服务器虚拟化后，虽然部署一台虚拟机只需要几分钟且仅花费几百美金，但是，在该虚拟机“周边”布置所需的各种网络和安全服务仍需数天的时间，同时耗费数千美金。这主要是因为当前的网络和安全操作仍然依赖 VLAN 的手动调配并使用管理界面分散的专用物理设备。可见，虽然服务器虚拟化可以加快虚拟机的部署，但是与之相连接的网络与安全组件并没有跟上服务器虚拟化的步伐，它们严重影响了虚拟数据中心的部署效率。现有的网络与安全体系结构阻碍了虚拟数据中心的发展现有的网络与安全体系结构除了会降低虚拟数据中心的部署效率，在虚拟化环境下，它们还存在很多其他方面的不足。下图给出了XXX客户现有的网络架构在虚拟化环境

16、下存在的一些缺陷。图：现有的网络架构对虚拟数据中心的束缚现有的网络体系结构对底层物理硬件有很大的依赖，他们依赖于专用物理设备，因此灵活性很差。另外，由于各种网络服务的管理界面杂乱无章，非常分散，无法进行统一的集中管理，因此，相应的运维管理工作非常复杂且容易出错。除此之外，这种不灵活的体系结构对工作负载和应用的扩展与迁移都产生了很大的限制。在安全方面，传统的安全防护手段价格昂贵，对虚拟化平台不具感知能力，使用不够灵活，管理难度大，不能很好地满足新架构的需要 。总的来讲，现有的网络与安全体系结构对XXX客户数据中心的束缚主要体现在如下三个方面。高成本呆板的网络与安全拓扑结构（例如VLAN silo

17、s）阻碍了用户对计算资源跨集群进行池化和负载平衡，因而，降低了计算的资源利用率。高级别的服务，例如，负载平衡，防火墙，VPN等是通过专有设备来完成的，因此，这些服务不得不被分开来管理和部署。在这种情况下，管理和维护的成本非常高昂。复杂配置更改需要人为手动完成，自动化程度不高，这就需要提前做计划并且跨团队协作。这种工作方式非常复杂，耗时，且效率低下。 网络与安全的部署与管理没有与应用和虚拟数据中心的部署与管理相集成，因此降低了操作效率。需要维护大量的专有设备，管理工作繁杂且容易出错。不灵活与物理硬件的绑定使得用户无法灵活的创建跨物理边界的网络。因此，现有的网络无法移动和扩展应用程序。工作负载安置

18、和移动性受制于物理网络，平台服务能力受限于硬件设备的功能。 使用具体厂商所提供接口的VLAN部署起来非常困难，在一些组织里，部署一个VLAN往往会花费好几天的时间。现有的体系结构会把用户绑定到具体的网络厂商上，在这种情况下，新技术很难被引入。由此可以看出，现有网络与安全体系结构的限制将日益池化的动态虚拟世界重新束缚到缺乏灵活性的专用硬件上，人为地阻碍了虚拟数据中心的发展。为了解决上述问题，VMware提出了软件定义网络平台NSX。VMware软件定义网络解决方案概述VMware软件定义网络平台NSX通过提供全新的网络运营模型，解决了这些数据中心难题。该模型突破了当前物理网络障碍并且允许数据中心

19、操作员将敏捷性和经济性提高若干数量级。方案概览现在，VMware的软件定义的数据中心 (SDDC) 体系结构正在跨整个物理数据中心基础架构扩展虚拟化技术。VMware NSX 软件定义网络平台是 SDDC 体系结构中的一款重要产品。使用NSX，用户可以对网络提供已对计算和存储实现的相同虚拟化功能。VMware NSX是一个世界领先的网络和安全虚拟化平台，为虚拟机提供部署在普通IP网络硬件上、提供完整服务、可编程以及可移动的虚拟网络。NSX将Nicira NVP和VMware vCloud Network and Security (vCNS) 整合进一个统一的平台，让VMware能够实现软件定

20、义网络如同实现计算虚拟化一样。就像服务器虚拟化可以通过编程方式创建、删除和还原基于软件的虚拟机 (VM) 以及拍摄其快照一样，NSX软件定义网络也对基于软件的虚拟网络实现这些同样的功能。结果是一种具有彻底革命性的联网方法，不仅使数据中心管理人员能够将敏捷性和经济性提高多个数量级，而且还能大大简化底层物理网络的运营模式。NSX能够部署在任何 IP 网络上，包括现有的传统网络模型以及任何供应商提供的新一代体系结构，是一个完全无中断的解决方案。使用NSX，用户已经拥有的物理网络基础架构就是部署软件定义的数据中心所需的全部基础。图：服务器虚拟化和软件定义网络类比上图对计算虚拟化和软件定义网络进行了类比

21、。实现服务器虚拟化后，软件抽象层（服务器虚拟化管理程序）可在软件中重现人们所熟悉的 x86 物理服务器属性（例如 CPU、RAM、磁盘、网卡），从而可通过编程方式以任意组合来组装这些属性，只需短短数秒，即可生成一台独一无二的虚拟机(VM)。实现软件定义网络后，与“软件定义网络管理程序”等效的功能可在软件中重现第 2 层到第 7 层的一整套网络服务。因此，可通过编程方式以任意组合来组合这些服务，只需短短数秒，即可生成独一无二的隔离式虚拟网络。VMware NSX是把网络进行虚拟化的软件，这个平台可以交付VMware及VMware NSX合作伙伴提供的逻辑网络服务，如下图所示。该平台围绕控制器集群

22、而打造，管理数据中心内管理程序的各种逻辑网络功能。借助VMware NSX，数据中心运营商将能够在几秒钟内配置复杂的多层虚拟网络，独立于底层的布局或网络组件。图：NSX概览通过上图可以看出，NSX提供了一个简化的逻辑网络元素和服务的完整套件，包括逻辑交换机、路由器、防火墙、负载均衡器、VPN、QoS、监控以及安全。这些服务可以在虚拟网络中通过基于NSX API的任何云计算管理平台进行调配，并且可以安排在任何隔离和多租户拓扑中。虚拟网络可以通过任何现有的网络进行无中断部署，并且可以部署在任何虚拟化管理程序上。此外，NSX还提供了网络虚拟机运营模式，以转变数据中心的运营模式和经济性。它以编程方式创

23、建、调配、拍摄快照、删除和还原复杂网络，所有这一切均可在软件中完成。VMware NSX突破了当前物理网络障碍，使数据中心操作员得以将速度、经济性和选择性提高若干数量级。NSX以软件的方式提供2-7层的整体网络和安全模式，实现与底层网络硬件的解耦，它可以充分利用公司现有网络基础架构而无需做出改变，从而提高服务交付的速度和敏捷性，并降低成本。就像服务器虚拟化将虚拟机从底层X86服务器硬件分离出来以改变计算运营模式一样，NSX将基于软件的虚拟网络从底层网络硬件分离出来，以便支持新的网络运营模式。在这种情况下，部署虚拟机周边的网络和安全组件会便捷的多，下图显示了这一过程。图：NSX加速了虚拟数据中心

24、的部署通过使用VMware NSX，部署一个虚拟数据中心的时间由数天时间变成了几分钟！可见，NSX实现了软件定义的快速部署，大大提高了数据中心的部署效率。除了这一明显的改变，NSX对前面提到的传统网络与安全体系结构在虚拟化环境下的缺陷进行了彻底的颠覆，具体内容如下图所示。图：NSX在拟化环境下的优势NSX通过创建软件驱动型抽象层将网络连接与安全组件与底层物理网络基础架构完全分离，因此它可以确保硬件独立性，使得网络连接与安全服务摆脱与硬件绑定的限制。NSX将网络和安全服务绑定到每一个虚拟机，并随虚拟机迁移，这样无需人工干预即可大量添加或转移工作负载，因此可扩展性和移动性都得到了增强。在运维管理方

25、面，NSX提供了统一的集中控制点，它可以进行快速的编程式调配和无中断部署，这使得从网络调配到部署和维护，所有的一切都实现了高度的自动化。除此之外，NSX还可以在任何通用IP网络硬件上同时支持旧版应用和新应用。它可以从终端主机的角度忠实地再现物理网络模型：工作负载感觉不到任何差异，因此，软件定义的网络与安全对上层应用是透明的，上面的业务可以不做任何修改而继续使用。主要价值VMware软件定义网络平台NSX的主要价值体现在下面四个方面。使用软件定义的网络和安全获得效率和敏捷性摆脱极不灵活的网络和安全体系结构，这种体系结构基于手动调配的 VLAN 并使用分立管理界面的专用设备。使用软件主导型网络和安

26、全服务，获得云计算基础架构的全面敏捷性。通过创建能够适应工作负载并随工作负载移动的网络和安全结构，根据业务需要快速部署、移动、扩展和保护应用及数据。NSX可使软件主导型网络和安全与紧密集成到虚拟数据中心管理中的基于策略的调配机制结合在一起。通过提高效率和利用率降低运营、采购成本，实现资源的按需供给NSX无需重新配置物理网络，即可跨集群和单元弹性分配计算资源，用户可以在初始阶段，仅投入项目所必需的最少资源，在后续的生产实践中，根据实际需要，可以再追加所需的资源，从而实现真正的随需应变与资源动态供给，并最终提高资源利用率。此外，NSX提供了高度可扩展的虚拟网络，可简化调配，降低运营成本，同时减少对

27、专用设备的需求。能够跨集群和单元管理和分配计算资源能够减少对专用设备的需求能够受益于与vCenter、vCAC或其他云管理平台集成的优势利用虚拟工作负载的敏捷性，适应动态业务需求可创建随应用扩展的网络并在需要的位置应用安全服务，而无需升级硬件。NSX可提高应用可用性并增强网络性能。无需重新配置物理网络，即可部署、移动或扩展虚拟工作负载可自动调配和横向扩展网络连接和安全服务能够更全面地了解虚拟通信流量在基础架构中全面使用高度集成并完整的网络与安全解决方案可以让用户在充分利用现有的网络连接和安全投资的同时，能够受益于最新的第三方创新技术。通过REST API，用户可以在虚拟网卡和虚拟边缘插入服务，

28、同时支持硬件和软件解决方案。由于NSX提供了一整套高度集成且完整的网络与安全解决方案，因此，用户不再需要四处寻找各种零散且相互独立的网络与安全方案，NSX集成了常用的各种与网络和安全相关的服务，部署一个NSX就相当于一次性地使用了用户所需要的多种网络与安全解决方案。可充分利用开放式体系结构和行业标准API为基于硬件和软件的解决方案提供一致的支持可保护现有网络连接和安全投资典型应用场景NSX是适用于拥有500台以上虚拟机的数据中心的理想解决方案。NSX可以为创新型多租户云计算服务提供商、大型企业私有云和研发云以及包含多虚拟化管理程序的云计算环境提供直接好处，典型使用情形如下。数据中心自动化加快网

29、络调配简化服务插入 虚拟和物理简化DMZ更改自助式企业IT通过自动网络和服务调配实现针对私有云和测试/开发环境的快速应用部署在同一物理基础架构上隔离开发、测试和生产环境多租户云针对自定义和完整隔离的租户自动执行网络调配在租户之间实现硬件共享最大化图：NSX主要应用场景VMware软件定义网络解决方案技术详解本章将对NSX进行详细的技术阐述，主要介绍基本组件、工作原理和NSX的主要功能。基本组件NSX聚集了四个基本模块：数据转发平面、控制平面、管理平面和应用平面，如下图所示。图：NSX基本组件数据转发平面NSX数据转发平面由NSX vSwitch组成。NSX for vSphere中的vSwit

30、ch基于vSphere Distributed Switch (VDS)（或用于非 ESXi 虚拟化管理程序的 Open vSwitch），还包括其他组件，可提供丰富的服务。附加NSX组件包括在虚拟化管理程序内核中运行的用于提供分布式路由、分布式防火墙等服务并实现VXLAN桥接功能的内核模块 (VIB)。NSX vSwitch（基于 VDS 或 OVS）可对物理网络进行抽象化处理并在虚拟化管理程序中提供访问级别的交换。它对软件定义网络至关重要，因为它可实现独立于物理构造的逻辑网络（例如 VLAN）。vSwitch的一些优势如下所示。利用 VXLAN、STT、GRE 等协议以及集中式网络配置支持

31、覆盖网络。覆盖网络可实现以下功能：在现有物理基础架构上创建一个覆盖现有 IP 网络的灵活的逻辑层 2（第 2 层），而无需重新设计任何数据中心网络配置通信（东西向和南北向），同时让租户之间保持相互隔离应用工作负载和虚拟机独立于覆盖网络，并且就像连接到物理第 2 层网络一样运行NSX vSwitch 有利于实现虚拟化管理程序的大规模扩展。端口镜像、NetFlow/IPFIX、配置备份和还原、网络运行状况检查、QoS 和 LACP 等多种功能可在虚拟网络内提供一个全面的流量管理、监控和故障排除工具包。此外，数据平面还包含网关设备，这些设备可提供从逻辑网络空间 (VXLAN) 到物理网络 (VLAN

32、) 的第 2 层桥接，可将虚拟网络VXLAN连接到非虚拟主机、远程站点和外部网络VLAN。网关设备通常是NSX Edge 虚拟设备。NSX Edge 提供第 2 层、第 3 层、外围防火墙、负载平衡和 SSL VPN、DHCP 等其他服务。NSX网关服务提供一个进出软件定义的数据中心的安全路径，网关节点可以部署为Active/Active HA对，提供IP路由、NAT、防火墙、VPN和负载均衡服务，用于保护和控制一个或多个NSX虚拟网络的南北向的流量。有些NSX内的应用程序可能需要连接数据中心内的非虚拟化主机上的服务，比如IP存储。对于这种需求，NSX提供了L2网关服务，专用L2网关节点的HA

33、 pair、或合作伙伴的ToR交换机，能够在NSX虚拟网络和物理VLAN之间做桥接。Edge的L2网关服务也能放置于远程站点，将远程VLAN与一个NSX虚拟网络桥接，用于虚机跨书记中心二层互相访问。从虚拟网络到物理网络的第 2 层桥接功能也可以由支持解封 VXLAN 流量的功能的物理网络交换机实现。控制平面这是一组高可用的、可横向扩展的x86系统集群，负责以编程的方式跨越整个架构部署虚拟网络。控制器集群接收来自管理平台的API请求，计算虚拟网络拓扑，主动编程hypervisor vswitch和网关，赋予适当的实时配置和转发状态。随着计算环境的动态变更，控制器集群更新必要的组件，使虚拟网络状态

34、与虚拟计算状态保持在同步状态。NSX控制器集群提供一个逻辑上集中，但物理上分布的控制层。高可用集群中的每一台x86机器共享所有所需工作量的等量部分，为任何丢失的集群节点提供即刻备份的容量。当虚拟网络需要扩展时，可按需向集群添加节点，任意节点丢失不会影响转发平面的数据转发。NSX控制器集群对所有用NSX调配的网络服务和虚拟机都具有可见能力。有了这样的权威认知，NSX控制器集群能够抢先编程所有NSX组件，实现虚拟网络拓扑。在针对vSphere优化的环境里，控制器与VDS一起实现multicast free的VXLAN功能，另外VDR分布式路由的转发信息也是由控制平面生成分发给各个X86上的转发模块

35、。NSX控制器集群完全是带外的，不参与处理数据包转发。NSX 控制板在 NSX Controller 中运行。在采用 VDS 的 vSphere 优化环境中，控制器可实现自由多播 VXLAN 以及 VDR 等元素的控制板编程。在多虚拟化管理程序环境中，控制器节点对 vSwitch 转发板进行编程。无论是哪种情况，控制器都只是控制板的一部分，不会有任何数据板流量通过它传递。控制器节点还部署在具有奇数个成员的集群中，以实现高可用性和可扩展性。控制器节点发生任何故障都不会对数据板流量造成任何影响。NSX管理平面：NSX管理器NSX管理器提供了一个基于WEB的、用户交互友好的GUI管理仪表板，用于系统

36、安装、管理和排错。系统管理员可以查看所有NSX组件和虚拟网络元素（逻辑交换机、逻辑路由器、网关，等等）的日志以及连接状态。NSX 管理器提供REST API与各种外部平台接口。就像虚拟机一样，NSX管理器可以为虚拟网络做完整快照，用于备份、还原、自省和归档。NSX 管理平面由 NSX Manager 构建。NSX Manager 在 vSphere 环境中为 NSX 提供单个配置点和 REST API 入口点。应用平面NSX的应用可以直接通过NSX管理器UI驱动。在 vSphere 环境中，可通过 vSphere Web UI 本身使用。通常，在软件定义网络中，终端用户与其云管理平台联系在一起

37、，以部署应用。NSX 通过 REST API 提供一组丰富的集成功能，几乎可集成到任何 CMP。还可通过 VMware vCloud Automation Center、vCloud Director 以及具有用于 NSX 的 Neutron 插件的 OpenStack，获得开箱即用的集成功能。工作原理与服务器虚拟化的计算模式相似，NSX软件定义网络方法允许数据中心操作员将物理网络视为透明容量池，可以根据需要使 用和改变用途。虚拟机是一个软件容器，可以为应用提供逻辑CPU、内存和存储，虚拟网络与之相似，也是一个软件容器，可以为连接的工作负载提供逻辑网络组件，包括逻辑交换机、路由器、防火墙、负载

38、平衡器、VPN及其他组件。NSX利用底层物理网络作为简单的数据包转发底板，以编程方式创建、调配和管理虚拟网络。网络服务以编程方式分发到每个虚拟机，与底层网络硬件或拓扑无关，因此工作负载可以动态添加或移动，虚拟机连接的所有网络和安全服务不管在数据中心的什么位置都会随之移动，NSX的工作原理如下。与物理网络硬件完全脱离关系NSX软件定义网络在任何物理网络硬件的上一层工作，支持任何服务器虚拟化管理程序平台。它对物理网络的唯一要求是必须提供IP传输，它对底层硬件或虚拟化管理程序无任何依赖。NSX网关允许将旧式VLAN和物理主机映射到虚拟网络。在软件中重现物理网络模型NSX在每个虚拟网络中的软件中重现整

39、个网络环境、L2、L3、 L4-L7 网络服务。NSX 为L2-L7服务提供分布式逻辑体系结构，包括逻辑交换机、路由器、防火墙、负载平衡器和VPN。这些逻辑网络服务在部署虚拟机时以编程方式调配，并且随着虚拟机移动而移动。现有应用无需修改即可运行，并且虚拟网络与物理网络连接之间看不到任何差异。自动化NSX提供了基于REST的API，允许云计算管理平台自动交付网络服务。网络调配过去需要数天或数周完成，现在只需要数秒钟即可完成。由于网络服务现在通过虚拟网络交付给应用，因此无须对物理网络设备再进行手动配置。NSX Service Composer提供了一种自动使用服务的方式，并且可以使用逻辑策略映射到

40、虚拟机。客户可以将策略分配给虚拟机组，并且随着组中添加的虚拟机越来越多，政策会自动应用于虚拟机。客户可以构建高级工作流，自动完成安全性、合规性和网络调配，包括负载平衡和防火墙规则。可延展性NSX提供了可插入其他供应商服务的平台。集成式软件和硬件合作伙伴产品丰富多样，包括网络网关服务、应用交付服务和网络安全平台以及安全服务等。高可用性NSX在控制器、管理器、Edge、交换机等多个层面提供了多组件的高可用机制，这使得NSX完全可以应用于生产环境，如下图所示。图：NSX组件的高可用主要功能NSX的主要功能有：逻辑交换、逻辑路由、逻辑防火墙、逻辑负载均衡、逻辑VPN和合作伙伴生态系统，如下图所示。NS

41、X中的Edge还可以提供网关服务。图：NSX的主要功能逻辑交换逻辑交换网络是创建弹性可移动虚拟数据中心的基础，通过它，管理员可以快速方便地设立各自独立的二层网络，本章介绍实现逻辑交换的各个功能模块以及各个模块间的通信原理。NSX的逻辑交换可以将网络的扩展性提高一千倍，它可以应对的主要挑战以及为用户带来的收益如下图所示。图：NSX逻辑交换的优势模块如下图所示：共有三个模块提供逻辑网络抽象和与物理网络隔离的功能，原理就是VXLAN或者STT等协议把VM的流量封装到一个Overlay IP隧道中，物理网络承载这些IP隧道流量。图：NSX逻辑交换的组成模块NSX管理器NSX Manager 是管理板组

42、件，可帮助配置逻辑交换机并将虚拟机连接到这些逻辑交换机。它还提供 API 接口，帮助通过云管理平台实现这些交换机的部署和管理自动化。通过NSX 管理器来管理配置VM联入逻辑交换网络，同时NSX Manager提供API与CMP接口。控制器集群NSX平台中的控制器集群是控制板组件，它负责管理虚拟化管理程序中的交换和路由模块。控制器集群由管理特定逻辑交换机的控制器节点组成。使用控制器集群来管理基于 VXLAN 的逻辑交换机，就不再需要物理网络基础架构提供多播支持。现在，客户不必配置多播组 IP 地址，也不需要在物理交换机或路由器上启用 PIM 路由或 IGMP 监听功能。创建逻辑交换机时选中“Un

43、icast”（单播）复选框可启用此 VXLAN 操作模式。控制器集群提供大脑功能来管控X86服务器Hypervisor逻辑交换与路由模块，集群里的控制节点来控制指定的逻辑交换网络。在VXLAN场景，控制器用了建立只能二层拓扑映射，消除了原有的VXLAN控制平面对物理网络组播的依赖性，简化物理网络配置与管理，降低逻辑交换网络对物理网络的依赖。User World Agent (UWA) 和VXLAN 隧道终节点 (VTEP)在Hypervisor上有两个模块用于数据转发平面，它们用于在控制器集群和其他虚拟化管理程序之间提供通信路径，同时还执行逻辑交换机的数据路径功能。UWA用于Hyperviso

44、r与控制器集群建立通信，VTEP用于实现各Hypervisor间建立Overlay隧道。虚拟化管理程序上有两个数据板组件。逻辑交换网络的优势灵活性通过支持跨交换机和单元边界的“扩展集群”，数据中心服务器与存储的利用率和灵活性可实现最大化。优化的网络操作逻辑交换网络在标准第三层IP网络上运行，不再需要构建和管理庞大的第二层基础传输层。投资保护逻辑交换网络包跑在标准交换机硬件上，交换机上无需进行软件升级，也不必采用特殊的代码版本。随着VMware和其他供应商推出基于VXLAN的解决方案，企业可以充分利用更高的数据中心自动化程度、敏捷性和效率所带来的优势。逻辑路由NSX的逻辑路由可以简化多租户，它可

45、以应对的主要挑战以及为用户带来的收益如下图所示。图：NSX逻辑路由的优势NSX提供两种路由模式：分布式路由与集中式路由。分布式路由NSX的分布式路由功能优化了数据中心东西向流量，并提供了一个分布式处理、水平扩展的网络架构。数据中心VM间流量或者主机间流量成为东西向流量，研究表明，该流量占数据中心内70%以上的流量，且该比例日益增长。服务器之间的高带宽通信需求要求数据中心能够提供分布式的、面向服务的网络。若虚拟机之间的通信是跨不同网段的（跨三层）则在通常状况下需要物理路由器做转发，虚拟机流量需要流出物理服务器到物理路由器转发后再回到服务器做处理，这种不优化的网络架构通常称为发卡流量（hair p

46、inning）。分布式路由功能解决的上述发卡现象，因为NSX把东西向路由功能（模块）放到了服务器里的hypervisor层。每个hyperbisor有个路由的内核模块来提供跨不同逻辑交换网络间的通信。集中式路由NSX Edge提供传统的集中式路由功能，提供数据中心南北向路由通信。同时NSX Edge可提供Firewall、DHCP、NAT、VPN、负载均衡等多种网络服务。模块如下图所示，逻辑路由由一些模块来控制分布式路由与集中式路由。图：NSX逻辑路由模块NSX ManagerNSX Manager同样来部署逻辑路由服务，用户可以选择部署分布式、集中式路由。若是选择分布式路由则NSX Mana

47、ger创建 Logical Rotuer Control VM并把逻辑接口信息通过NSX控制器推送到每台hypervisor。若是选择集中式路由则NSX Manager创建NSX Edge VM来执行相关功能CMP可以通过API来动态部署逻辑路由功能Logical Rotuer Control VM该VM是分布式路由的路由控制模块支持动态路由协议：OSPF、BGP该VM与上层的路由器间可以运行动态路由，学习到的路由表通过NSX controller推送到各Hypervisor该VM部署支持高可用逻辑路由内核模块由NSX Manager来配置并部署到Hypervisor内核该模块类似网络设备内的

48、分布式转发linecard该模块内的路由表由Control VM生成并通过NSX Controller推送路由查询以及ARP映射查询都由该模块执行NSX 控制器集群用于推送路由表控制器节点分布式的处理各个分布式逻辑路由实例NSX Edge 网关一个网络服务网关提供集中式路由服务，同时支持以下功能：动态路由（OSPF、ISIS、BGP）、DHCP、NAT、Firewall、Load Balancer、VPN二层桥接通过VXLAN与VLAN之间的桥接，虚拟机可以完成物理和虚拟网络之间的通信。通过NSX，管理员可以在逻辑交换机和VLAN之间创建二层网桥，通过将逻辑交换机广播域桥接到VLAN广播域，逻

49、辑网络可以利用物理三层网关并访问现有物理网络和安全资源。在NSX 6.1以及之前的版本中，逻辑交换网络必须通过NSX Edge才能扩展到VLAN，逻辑交换机不能同时连接到分布式逻辑路由（DLR）和NSX Edge，如下如所示。图：NSX 6.1以及之前版本的二层桥接必须使用Edge来路由上图中，APP逻辑交换网络没有扩展到VLAN，它可以使用DLR，而DB逻辑交换网络扩展到了VLAN，它必须使用Edge来完成路由。而在NSX 6.2中，逻辑交换网络可以通过DLR来完成到VLAN的扩展，这样做的好处是数据流量进行了优化，流量不再需要经过Edge进行路由，如下图所示。图：NSX 6.2的二层桥接通

50、过DLR来路由上图中，DB逻辑交换网络可以通过DLR来实现到VLAN的扩展，避免流量集中经过Edge。逻辑防火墙NSX提供分布式的内核防火墙，该防火墙部署在每个hyperbisor内核，提供线速安全过滤转发，支持以VM 对象属性，支持以用户ID为对象的安全监控，同时把其他安全服务融入NSX 软件定义网络。NSX逻辑防火墙可以应对的主要挑战以及为用户带来的收益如下图所示。图：NSX逻辑防火墙的优势网络隔离网络隔离是最普遍的网络安全需求，不同于传统的依靠手工配置物理网络设备（防火墙、ACL等）来实现网络管控，NSX软件定义网络平台天生可以实现多租户的网络隔离。虚拟网络之间在缺省状况下是自动相互隔离

51、的，除非管理员指定虚拟网络之间的关联。而且这种网络隔离不需要物理网络划分子网、设置VLAN、设置ACL、设置防火墙策略。而且维护这种网络隔离的同时，VM可以部署在数据中心任意的服务器上，不通网络的VM可以配置在同一个主机上，也可以在不同的主机，隔离的策略不变。这种网络隔离意味着不通租户间VM可以使用相同的IP地址。NSX支持以下场景：两套相同IP地址的测试环境在同一个物理网络上运行而不互相干扰。由于overlay封装，物理网络、虚拟网络各自的IP环境相互独立，比如客户可以使用IPv4的物理网络来承载IPv6的虚拟网络，不互相干扰。网络分区使用软件定义网络可以轻松实现网络分区。相对与网络隔离，软

52、件定义网络可以实现multi-tier的虚拟网络组，及网络分区。传统的方式下网络分区是由配置物理路由器防火墙的方式来实现的，该方式很容易实现人为的配置失误，带来繁琐的troubleshooting，同时为运维管理带来的较大的负担。网络分区同网络隔离一样是软件定义网络的核心功能，NSX支持多个虚拟网络L3互联，同时支持micro-segmentation，既一个二层虚拟网络上使用分布式防火墙策略实现网络分区。而且上述功能通过软件自动化部署，减少传统方式下的人为失误。在一个虚拟网络里，网络服务（L3，L2，QoS，Firewall等）都是程式化地执行、推送到各个hypevisor的vSwitch上

53、。网络隔离、防火墙策略是直接加载到VM的虚拟网卡（vNIC）上。VM之间的通信不会转发到物理网络上，既物理网络不需配置ACL、防火墙来管控虚拟网络。利用抽象化处理过去，网络安全要求安全团队深入了解网络寻址、应用端口、协议、与网络硬件相关的所有信息、工作负载位置和拓扑。软件定义网络可基于物理网络硬件和拓扑对应用工作负载通信进行抽象化处理，使网络安全摆脱这些物理约束，并根据用户、应用和业务环境应用网络安全。高级安全服务插入、串联和转向基础 VMware NSX 软件定义网络平台提供基本的全状态防火墙功能，以便在虚拟网络内提供分段。在有些环境中，需要更高级的网络安全功能。在这些情况下，客户可以利用

54、VMware NSX 在虚拟化网络环境中分发、启用和强制实施高级网络安全服务。NSX 将网络服务分发到 vSwitch 中，以形成适用于虚拟网络流量的服务的逻辑管道。可以将第三方网络服务插入此逻辑管道中，从而允许在逻辑管道中使用物理或虚拟服务。每个安全团队都使用各种网络安全产品的独特组合来满足其环境的需求。VMware 的整个安全解决方案提供商体系都在使用 VMware NSX 平台网络安全团队经常面临协调多个供应商所提供网络安全服务的关系的难题。NSX 方法的另一个巨大好处是它能够构建策略来利用 NSX 服务的插入、串联和转向功能，以便基于其他服务的结果，推动服务在逻辑服务管道中执行，从而能

55、够协调多个供应商提供的本来毫不相关的网络安全服务。例如，我们与 Palo Alto Networks的集成将利用 VMware NSX 平台来分发 Palo Alto Networks 虚拟机系列的下一代防火墙，从而在每个虚拟化管理程序本地提供高级功能。为调配或移到该虚拟化管理程序的应用工作负载定义的网络安全策略将插入到虚拟网络的逻辑管道。在运行时，服务插入功能将利用本地提供的 Palo Alto Networks 下一代防火墙功能集，在工作负载虚拟接口交付和强制实施基于应用、用户以及上下文的控制策略。跨物理和虚拟基础架构的一致的可见性和安全模型VMware NSX 允许跨虚拟和物理安全平台自

56、动化资源调配和上下文共享。结合虚拟接口处的流量转向和策略实施功能，过去部署在物理网络环境中的合作伙伴服务将可以轻松地在虚拟网络环境中调配和实施，VMware NSX 可以跨驻留在物理或虚拟工作负载中的应用为客户提供一致的可见性和安全性模型。现有工具和流程。大幅提高资源调配速度、运营效率和服务质量，同时保持服务器、网络和安全团队的职责分离。更好地控制应用，没有负面影响。过去，要达到这种级别的网络安全，网络和安全团队不得不在性能和功能之间做出抉择。现在，利用在应用虚拟接口分发和实施高级功能集的功能可以两全其美。减少各种操作中的人为错误。基础架构会维护相应的策略，允许在数据中心中的任何位置放置和移动

57、工作负载，而无需任何人为干预。可以编程方式应用预先批准的应用安全性策略，从而即使对复杂网络安全服务也能实现自助式部署。逻辑负载均衡NSX提供了针对包括TCP流量(HTTP)在内的所有流量的入站负载平衡功能，该功能可以增加关键业务应用的可用性并提高它们的性能，它支持的负载平衡算法有：轮询算法（Round Robin），基于健康检查的算法和会话持久算法。需求分析随着业务的不断发展，IT系统所面对的压力也越来越大，新业务上线和旧业务扩容对平台的性能和可用性提出了更高的要求。要满足业务系统的新要求，需要对现有的应用平台进行扩展以提高服务能力。目前主要的扩展手段有两种：即垂直扩展和水平扩展，垂直扩展所采

58、用的方法是升级原有的服务器及相关硬件，以提高单一节点的处理能力，这种方法的缺点是成本较高，原有的投资可能无法得到保护，且升级过程比较复杂，升级改造所造成的停机时间较长，风险较大；水平扩展所采用的方法是不改变原有节点的构成，通过添加新的计算节点来提高处理能力，相对于垂直扩展，这种扩展方式实现起来简单快捷，原有的资源可以继续使用，是比较流行的扩展方式。当前企业级应用系统基本上都是标准的三层架构，即前端Web服务器，中间的应用服务器和后端的数据库服务器。为了实现水平扩展，需要在服务器集群的前面增加负载均衡节点，将来自客户端的访问请求分配到适当的服务器，下面将对主流的负载均衡解决方案进行比较分析，以选

59、择最能满足需求的方案。业界主要方案介绍信息系统的各个核心部分随着业务量的提高、访问量和数据流量的快速增长，其处理能力和计算强度也相应增大，使得单一设备根本无法承担，必须采用多台服务器协同工作，提高计算机系统的处理能力和计算强度，以满足当前业务量的需求。而如何在完成同样功能的多个计算节点之间实现合理的业务量分配，使之不会出现一个节点过忙、而其他的节点却没有充分发挥处理能力的情况。要实现对服务器访问的调度，目前所采用的主流方法有：DNS解析、服务重定向、地址映射转换和服务访问代理等几种方法。NSX负载均衡NSX负载均衡服务之特色NSX 负载平衡服务具有以下特点，能够满足客户的应用负载平衡需求。完全

60、可通过 API 进行编程与其他 NSX 网络服务相同的单个集中管理/监控点多体系结构支持单臂模式（称为代理模式）双臂模式（称为透明模式）大型功能集，可支持大量应用支持任何 TCP 应用包括但不限于 LDAP、FTP、HTTP、HTTPS多种负载平衡分配算法循环、最少连接数、源 IP 地址散列、URI多种运行状况检查TCP、HTTP、HTTPS，包括内容检查持久性源 IP、MSRDP、Cookie、SSL 会话 ID连接调节最大连接数和每秒连接数第 7 层操纵包括但不限于 URL 阻止、URL 重写、内容重写优化SSL 负载分流专为虚拟化和云计算平台所设计，以虚拟设备的形式进行部署，按照其所服务