NSX能夠部署在任何IP網絡上,包括所有的傳統(tǒng)網絡模型以及任何供應商提供的新一代體系結構�,無需對底層網絡進行重構����。NSX來源于VMware對Nicira的收購����,Nicira NVP平臺本身對多種Hypervisor就有很好地支持,因此����,NSX可以部署在VMware vSphere、KVM��、Xen等諸多虛擬化環(huán)境中�����,同時跟OpenStack也有很好地集成�。
如上圖所示,NSX主要包含數據面板�、控制面板和管理面板。
數據面板主要組件是NSX虛擬交換機(vSwitch)�。虛擬交換機基于vSphere中的分布式交換機(VDS),或者基于非VMware虛擬環(huán)境中的OVS(Open vSwitch)��。通過將內核模塊安裝到Hypervisor之上,實現VXLAN���、分布式路由���、分布式防火墻等服務。數據面板還包含邊界網關設備(NSX Edge)�,作為虛擬網絡和物理網絡進行通信的網關。
控制面板主要組件是NSX 控制器�����。它是以虛機的形式安裝�,并以虛擬服務的形式與NSX 管理器集成?��?梢詫SX 控制器理解為BCF架構中的BCF控制器���,它只將信令發(fā)布給數據面板。
管理面板主要組件是NSX 管理器��。它提供Web界面配置和管理整個NSX網絡虛擬化環(huán)境中的所有組件����。NSX 管理器還提供REST API接口,為VMware或者第三方云管理平臺提供接口���。
這里特別提及一下NSX防火墻微分段技術����。以往的物理傳統(tǒng)防火墻都是架設在數據中心邊界���,可以通過策略設置有效提升南北流量的安全控制���,但是對于現代數據中心,東西流量要遠遠大于南北流量�,傳統(tǒng)的物料防火墻對內部的東西流量幾乎沒有任何安全控制。不少的安全廠商提出了虛擬防火墻技術�,但是這種技術的本質是在物理主機中安裝一臺虛擬機來實現,這意味著每一臺物理主機下屬所有虛機公用一臺虛擬防火墻����。微分段就是針對這些舊式的防火墻技術策略顆粒度太粗而提出的。
使用了基于NSX微分段的分布式防火墻之后�����,可以在每一臺虛機之上部署一臺防火墻����,并與虛機的每臺虛擬網卡(vNIC)進行策略關聯(lián)����,使得每臺虛機的流量在出棧和入棧時都可以得到安全防護�,執(zhí)行就近的允許、拒絕和阻斷策略��。微分段技術將防火墻的顆粒度精細到每臺虛機之上�,其策略與虛機綁定,這就意味著防火墻策略無需關心IP地址�����,可以隨虛機遷移而遷移����,就算在同一個網段內兩臺虛機之間也能實現與IP地址無關的安全策略,相比傳統(tǒng)防火墻技術��,基于NSX微分段的分布式防火墻是實實在在革命性的技術突破���,提供了2到4層的安全防護��。5-7層的安全防護可以通過集成合作伙伴的安全解決方案來實現����。
總之���,以NSX方案搭建數據中心網絡的最終效果就是:無論數據中心規(guī)模有多大�����,無論有多少物理或者虛擬服務器�����,無論底層的網絡有多復雜����,無論多站點數據中心跨越多少地域�,在NSX方案的幫助下,對于IT人員或者用戶來說��,這些運行在多個站點數據中心復雜網絡之上成千上萬的虛機��,就好像連在同一臺物理交換機上一樣!但是等等���,NSX是無法控制物理網絡交換設備的�����,底層物理網絡的連通性是部署NSX的前提����,如果在NSX環(huán)境中要修改物理網絡交換設備的配置怎么辦?嘿嘿,讓網絡管理員自己想辦法吧!
小結
戴爾硬件+BCF的SDN解決方案能夠快速部署和統(tǒng)一管理開放式以太網交換機���,但是無法管理非開放式以太網交換機;NSX網絡虛擬化解決方案可以在現有物理網絡設備上創(chuàng)建與之解耦的虛擬網絡�����,可以按需創(chuàng)建�、修改����、刪除虛擬網絡或者與之相關的組件,可以支持多種Hyperviosr�����,跟OpenStack有很好的集成��,但是無法管理物理網絡設備。
中國的私有云市場非常廣闊���,而在企業(yè)的私有云環(huán)境中����,戴爾硬件+BCF的SDN解決方案配合NSX網絡虛擬化解決方案是一個絕佳的網絡方案組合��,它不僅可以有效的保護和利用了客戶以往的投資���,讓客戶能更好地接受和投資開放式網絡,加快網絡設備的部署和應用上線�,還能統(tǒng)一、靈活�����、高效的管理網絡���,提供前所未有的安全性����,讓網絡隨著企業(yè)私有云的規(guī)模�、隨著業(yè)務的發(fā)展動態(tài)而擴展和變更。
