VMwareNSX是專門為軟件定義的數據中心構建的網絡虛擬化平台

傳統的數據中心都是用物理網絡來分隔不同的業務系統,這就需要管理員預先規劃好數據中心的網絡拓撲結構,劃分好 VLAN,以確保各個業務系統之間是相互隔離的;並且在防火牆上配置上百條規則,針對每一個應用關閉不需要的網絡端口,以降低黑客攻擊的風險。

這是一個費時費力的工作,一旦某個業務系統需要增加一些新的功能,或者不同的業務系統之間需要互相訪問,就需要對數據中心內的網絡做出相應的調整,這個過程不但費時,而且需要非常小心,避免任何一個錯誤的配置而導致網絡中斷。

在基於 vSphere 的軟件定義數據中心中,各個虛機的網絡都連接在 Hypervisor 所提供的一個虛擬交換機上,這個交換機是橫跨整個 vSphere 集群的各個物理服務器的,所以稱之為分佈式交換機 (Distributed Switch)。

所有虛機的網絡通訊都是通過這個虛擬交換機來實現的,分佈式交換機負責把數據包通過底層的物理網絡轉發到應該去的目的地。既然所有的網絡通訊都是由虛擬交換機軟件來實現的,我們自然可以通過軟件來實現更多的網絡功能,這個軟件就是 VMware NSX,來自於 VMware 2012 年收購的 Nicia。

NSX 為虛機提供了虛擬化的網絡,把虛機和物理網絡相隔離,做到了網絡服務與具體的物理網絡設備無關,使得用戶在網絡設備的選擇和採購上有著更大的靈活性。NSX 在虛擬網絡上可以提供幾乎所有的網絡服務,如:路由器、負載均衡、防火牆等。除了這些常規的功能,NSX 還能夠提供一些傳統物理網絡無法實現或實現代價很高的功能。

東西向防火牆:通常我們把數據中心內部的網絡流量稱之為東西向流量,數據中心內部和外部的流量稱之為南北向流量。數據中心一般只在對外的網絡邊界上設置防火牆,因為原則上認為入侵風險來自於外部,數據中心內部是相對安全的。如果使用硬件防火牆的話,就需要在所有的業務系統之間設置防火牆,且不說這是一筆很大的硬件投資,就是防火牆規則的設置和維護也是一個巨大的工作量,所以沒有數據中心會這麼做。但是 NSX 可以很容易地通過軟件實現這一功能,把來自於數據中心內部的入侵風險降到最低,即使黑客能夠攻陷某一個應用,他也無法訪問到數據中心內部其他的系統。
網絡微分段:傳統的物理網絡是用物理網段或 VLAN 來隔離不同網絡的,而且只能隔離到物理服務器(同一服務器上的虛機之間還是沒有隔離的),當需要對網段進行調整時,需要調整物理網絡或 VLAN,這可不是一件輕鬆的工作。微分段 (Micro-segmentation) 是通過分佈式防火牆實現的功能,每個虛機都有一台防火牆,自然可以很輕鬆地隔離微分段之外的虛機。

NSX 所提供的虛擬化網絡平台不再要求各業務系統的網絡物理隔離,只需要標準化的交換機或路由器把整個數據中心聯成一張大網,NSX 會在虛擬網絡層上根據業務需求提供隔離(使用微分段技術)。數據中心網絡的規劃和管理大大簡化,既可以降低網絡設備的採購成本,也可以有效降低網絡的運營管理成本。

在 NSX 虛擬網絡上,傳統網絡中由硬件提供的路由 (RT – Routing) 、交換 (SW – Switching)、負載均衡 (LB – Load Balancing) 和防火牆 (FW – FireWall) 功能都改由軟件來實現了,具有更大的靈活性。

NSX 主要有三大應用場景:

數據中心網絡安全:如上所述,分佈式軟件防火牆和微分段大大簡化了數據中心的網絡安全管理,相比物理網絡環境能夠實現更高等級的安全防護。

IT 自動化:虛擬網絡的功能都是由軟件來實現的,所以能夠使用命令來動態地創建網絡設備,調整網絡配置和安全策略參數,實現數據中心的 IT 自動化。

業務持續性:虛機的網絡環境都是由虛擬網絡所提供的,當發生故障轉移 (failover) 時,虛機不用改變包括 IP 地址在內的任何網絡參數,NSX 會負責把虛機所依賴的整個虛擬網絡環境以及對應的網絡安全策略遷移到新的服務器上運行,從而保證業務的持續性。

相 關 文 章