vmware-网络虚拟化-NSX

©2014VMwareInc.Allrightsreserved.网络虚拟化尤贵贤，SeniorSystemEngineerayou@vmware.comOct,2014打破壁垒，助于企业IT向云计算转型议程理解软件定义的数据中心金融行业数据中心网络现状及面临的挑战网络虚拟化：概念和实现更安全的数据中心金融行业用户案例总结CONFIDENTIAL2理解软件定义的数据中心3企业主管希望他们的IT象亚马逊4NoITOutsourcedNewIT私有云/混合云or硬件定义的数据中心(HDDC)软件定义的数据中心(SDDC)或数据中心虚拟化层智能在软件数据中心虚机的操作模式：自动配置和管理什么是软件定义的数据中心(SDDC)?智能在硬件专用芯片、品牌绑定的架构手工配置和管理软件硬件计算、网络和存储资源池化，独立于厂商，最佳性价比架构，配置和管理简单用我们学到的….软件硬件虚机计算资源网络存储应用服务器虚拟化•智能在虚拟化层•X86资源独立于厂商•革新的操作模式•自动化配置和管理智能在硬件专用芯片，品牌绑定手工配置和管理手工操作模式自动化操作模式可编程的创建,快照,保存,迁移,删除,恢复构建软件定义的数据中心虚拟机虚拟网络虚拟存储计算资源网络资源存储资源应用位置无关数据中心虚拟化层池化的计算、网络和存储资源独立于厂商的最佳性能比架构简化的配置和管理软件硬件自动化操作模式可编程的创建,快照,保存,迁移,删除,恢复大多数敏捷、高效的数据中心采用了软件定义数据中心的设计方法8定制化应用Google/Facebook/AmazonDataCenters定制化平台Anyx86AnyStorageAnyIPnetwork软件/硬件抽象软件/硬件抽象“新IT”的选择——SDDC还是HDDC9硬件定义数据中心(HDDC)任意应用HDDC平台集成的x86集成的存储品牌绑定的网络VerticalIntegration软件定义数据中心(SDDC)任意应用SDDC平台任意x86任意存储任意IP网络数据中心虚拟化层复杂的网络核心,定期替换升级，价格高昂，品牌绑定与硬件、位置分离，简单的IP核心，智能的X86边缘，敏捷的服务定制化应用Google/Facebook/AmazonDataCenters定制化平台Anyx86AnyStorageAnyIPnetwork软件/硬件抽象软件/硬件抽象软件定义数据中心的互连互通10数据中心互连混合云软件定义数据中心(SDDC)任意应用SDDC平台任意x86任意存储任意IP网络数据中心虚拟化层任意x86任意存储任意IP网络任意x86任意存储任意IP网络任意应用任意应用软件定义数据中心愿景自助化应用组装应用蓝图应用发布标准化应用服务云自助服务门户服务目录无需管理员参与管理监控自动化虚拟化主机与存储软件定义网络应用服务基础架构服务软件定义数据中心基础架构云金融行业数据中心网络现状及面临的挑战12金融行业数据中心网络的现状CONFIDENTIAL13WAN/InternetL3L2L3L2PODA：应用APODB：应用BL2L3PODC：应用CL2L3PODN：应用NX86服务器接入层汇聚层安全边界安全边界汇聚层接入层X86服务器•虚拟化之前–数百台物理服务器–通过改变交换机端口的VLAN控制服务器的连接–提供的Features取决于硬件功能(ASIC芯片)–配置复杂的网络服务–数据流主要集中在南北向•虚拟化之后–数千台虚拟机–服务器和物理交换机的连接变为VLANTrunking–不同的团队管理不同的网络组件–Features仍然依赖于硬件功能–绝对数量的服务器，加剧了复杂的网络服务（如防火墙等）的难度–数据中心内部流量以东西为主，网络设计的流量则是南北为主–减少了网络节点的可视性（策略执行和监控等）网络成为通往云计算之路的壁垒虚拟化挑战传统网络设计和运行基础架构二层网络的规模限制大二层技术的限制安全边界打破，安全隔离成为难题业务部署计算和存储资源已经实现快速就绪网络就绪成为业务部署的瓶颈运维排障安全策略跟随虚拟机移动虚拟机的可视化管理命令行或GUI界面无法自动化部署Floor-1:VLAN1–10.x.x.xFloor-2:VLAN2–172.16.x.x网络虚拟化：概念和实现15通用X86服务器资源服务器虚拟化层需求:x86服务器x86环境虚拟机应用分离硬件软件虚拟机应用虚拟机应用通用网络硬件网络虚拟化层需求：IP承载网络L2,L3,L4-7网络服务虚拟网络负载虚拟网络负载虚拟网络负载解决办法：虚拟化你的网络通过虚拟化层来映射虚拟与物理资源与传统的计算虚拟化类似:–实现物理资源池化并支持scale-out扩展–实现集中管理与配置–支持API可编程接口–虚拟网络之间完全隔离–可移动性–虚拟网络为软件容器,像虚拟机一样支持snapshot,备份与恢复实现按需/自动化部署虚拟网络按需动态部署虚拟网络，不受物理位置限制面向对象的QoS以及安全策略配置集中控制，系统性的可视,监控与管理逻辑区域完全隔离(L2&L3)95+%减少物理网络资源消耗（IP，VLAN，MAC地址等）智能边界，分布式转发网络虚拟化带来的价值打破壁垒：使网络及其相关服务部署不再受制于底层物理网络硬件和物理位置的限制VLAN1–10.x.x.xVLAN2–172.16.x.xVLAN2–192.168.x.x虚拟网络虚拟的Layer2–88.33.x.x(whatever)网络虚拟化的收益突破位置阻碍，灵活部署负载网络虚拟化的收益突破位置阻碍，提高资源利用率网络虚拟化之前的资源利用率大约是60%网络虚拟化之后的资源利用率能够达到90%以上网络虚拟化的收益分布式架构革新扫除了安全死角VMVMVMVMVMVMVMVMVMVMVMVMVMVMVM好处…•虚拟机与AD域用户感知•面向对象的安全策略定制•没有安全处理“瓶颈”•线速转发，水平扩展•安全策略部署越靠近应用，体系就越安全集中式安全管理•加快服务响应时间，有助于吸引更多的生意–提高客户满意和忠诚度，从而吸引更多的新客户–加速业务创新及部署–为企业云计算之路打下网络基础–化繁为简•帮助企业向移动云端模式转型–新模式将改变一切–可扩展，自动化，运维监控及优化–适应移动新业务需求，突破位置地域限制–网络不再限制业务发展–对上层新旧应用来说是透明的（无需做任何修改）•投资保护，降低成本–减少升级改动–新版本升级无需改动底层硬件，降低复杂性–兼容客户现有网络–按业务需求水平扩展，方便监控与计费对企业带来的价值带来更多的效益降低成本VMwareNSX:背景介绍•Nicira是业界领先的网络虚拟化公司•创造以及发明了如下产品与技术–发明了OpenFlow–发明了OpenvSwitch–领导研发OpenStack网络驱动模块Quantum/Neutron•分布式的虚拟网络基础架构(DVNI)–业界第一个与硬件无关，支持多种X86虚拟化层的网络虚拟化架构•大规模部署的客户案例–AT&T,Fidelity,NTTandRackspace•VMware在2011年与思科等厂商一起推出网络虚拟化封装协议VXLAN•VMware在2012年12亿美元收购Nicira•VMware在2013年9月推出网络虚拟化平台NSX硬件网络…Internet计算资源….Internet数据中心虚拟化层…Internet网络虚拟化层Internet网络视角的虚拟机操作模式Internet无中断的部署28可编程的部署29服务分布于VirtualSwitch30软件定义数据中心的部署WebTierAppTierDBTierL3SubnetL3SubnetL3Subnet全软件构建PhysicalNetworkNATInternet新的标准：更安全的数据中心利用软件定义数据中心的网络和安全优势，构建基于分布式服务的安全数据中心CONFIDENTIAL34问题：数据中心网络安全以边界为中心的网络安全已经无法满足需求，操作上无法实现零信任关系。边界内部几乎没有横向控制InternetInternet安全策略不足操作上无法实现36Internet安全策略边界防火墙云管理平台办法：利用软件定义数据中心的方法定义零信任关系•基于虚拟化软件的，位于内核的分布式防火墙•基于平台的自动部署、负载增加/移动和改变这是巨大的不同…37vCenterOperationsMgmtvCloudAutomationCenterIaaSPaaSDaaSApplicationDirectorMgmtvCloudDirector/ConnectorvCenterSiteRecoveryManagervSphereCloudServiceProvidersHyper-visorsCMSNSXIaaSPaaSDaaSVMwareNSX–网络与安全虚拟化平台支撑任意的应用(无需修改)虚拟网络VMwareNSX网络虚拟化平台逻辑交换网络任意网络硬件架构云管理平台（vCAC,OpenStack,Cloudstack）逻辑防火墙逻辑负载均衡逻辑路由网络逻辑VPNX86虚拟化层NSXNSXforvSphere功能组件消费•自服务门户•云管理平台•vCloudAutomationCenter管理平面NSXManager•单点配置•RESTAPI和UI接口vCenterServer控制平面NSXController•ManagesLogicalnetworks•Run-timestate•DoesnotsitintheDataPath•Control-PlaneProtocolNSXLogicalRouterControlVMUserWorldAgent数据平面NSXEdgeServicesGatewayESXiVDSHypervisorKernelModulesFirewallDistributedLogicalRouterVXLANNSXvSwitch•NSXEdge•VMformfactor•DataPlaneforNorthSouthtraffic•RoutingandAdvancedservices•NSXvSwitch•分布式网络边缘•线速性能VMwareNSX逻辑交换•应用、多租户隔离•VM在线迁移需要二层网络•大的二层物理网络蔓延带来的问题–STP问题•硬件Memory(MAC,FIB)Table限制•可扩展的多租户网络•实现L2overL3Overlay架构•基于Overlay的技术VXLAN,STT,GRE,etc,•逻辑交换网络可以跨主机、交换机以及物理路由器挑战好处逻辑交换–ScaletheNetworkSegment1000XAnimatedSlideVMwareNSXLogicalSwitch1LogicalSwitch2LogicalSwitch3VMtoVMRoutedTrafficFlowVMwareNSX逻辑路由网络:分布式，多功能•数据中心东西向流量对传统的集中式路由模式带来挑战•VM漂移带来的挑战•多租户路由复杂度•Traffichair-pins•在Hypervisor层实现分布式路由•动态的,基于API的配置•动态路由–OSPF,BGP,IS-IS•LogicalRouter支持多租户•支持与物理路由器之间跑动态路由挑战好处分布式路由–灵活实现多租户网络控制器集群NSX管理器L2L2租户A租户BL2L2L2租户CL2L2L2AnimatedSlideCMPVMwareNSX防火墙:分布式、高性能、可扩展的安全防护•集中式处理模式•人工配置•安全策略基于IP五元组•性能最多大概40Gbps•无法感知虚拟网络上的流量•分布在HypervisorLevel•动态的,可基于API的配置模式•可支持基于VM名称,用户ID的安全策略•每台主机线速转发，15Gbps•基于VM的vNIC级别管控，感知VM任意流量挑战好处性能与扩展能力–1,000+Hosts30TbpsofFirewall物理安全模式NSX分布式防火墙防火墙管