VMwareNSX与CiscoACI真实客观对比

VMwareNSX与CiscoACI真实客观对比大家好，我叫范恂毅。由于喜欢三国的周瑜，因此自称“范大都督”。因此，如果听到有人喊“都督”，那就是在喊我啦。我主要负责数据中心售前工作，会涉及网络（包括Underlay和Overlay）、服务器虚拟化、存储、安全、应用交付等。毕竟经验尚浅，在大神们面前，难免有班门弄斧之嫌，有任何不对的地方，欢迎大家指正。最近，Cisco公司的好几个微信公众号，都在转载一篇文章——《省钱，还是高效？CiscoACI与VMwareNSX对比》。由于本人第一份工作就是Cisco金牌代理商，之后又考了安全、语音和数据中心3个方向的CCIE，因此朋友圈子里有很多Cisco代理商和原厂的朋友，加上之后研究服务器虚拟化、SDN、网络虚拟化、存储和应用交付认识的一些朋友，我看到了这篇文章在思科圈内甚至IT圈内疯狂转载。这篇文章，明显是Cisco公司内部工程师和市场部的员工写的软文，我全文都读了，感觉有失公允，我有点看不下去了……我需要公证客观地做一些评析。在这里，请读者不要怀疑我的判断能力和立场。首先，我既非Cisco公司亦非VMware公司的员工，是以旁观者的身份和身份看这个问题，还是比较公正和客观的。其次，我对第一代基于OpenFolw的SDN、下一代增加了网络虚拟化功能的SDN都有深入研究，对于CiscoACI与VMwareNSX的解决方案的理解还是非常深入的，并不是像一个IT行业记者或是只对Cisco、VMware的主要业务（网络、服务器虚拟化）有了解的一个工程师的视角看这个问题。那么，我们进入正题吧^_^。这篇文章，上来就做了一个概述，用三段话给读者注入一个强烈的impression，让所有不知内情的读者产生CiscoACI是业内最好的下一代SDN和网络虚拟化解决方案的印象。原文如下所述，笔者没有对里面的文字做出任何修改：思科ACI是一个集成的重叠网络模型，它在一个以应用为中心、由策略驱动的一致框架中，将物理网络和虚拟网络融合为一个网络。VMwareNSX是一种基于重叠网络的虚拟机监控程序模式，以VMware为中心，要求网络网关与裸机应用及其他网络端点进行通信。思科ACI提供单一管理平台，用于管理所有应用组件，包括物理网络和虚拟网络、第4层至第7层(L4-7)服务，在未来还会包括计算和存储。ACI将网络与应用的运行状况相关联，且具有深度可视性和故障排除功能。NSX引入的单纯是重叠网络，不具备对底层物理网络的直接可视性，需通过其他工具实现重叠网络与底层网络之间的关联。NSX仅为虚拟网络提供自动化，目前尚不提供任何对底层物理设备的管理。思科ACI提供开放式接口和应用编程接口(API)，支持多虚拟机监控程序环境。借助应用策略基础架构控制器（APIC-即ACI控制器的开放式北向和南向API），能够实现与现有管理、协调、第4-7层服务以及物理和虚拟设备的无缝集成。客户因此能够将现有的IT系统集成到ACI架构中，从而实现全面的投资保护。NSX仅针对基于vSphere和基于Linux的虚拟机监控程序提供不同的产品和功能，并且不支持MicrosoftHyper-V，因此会限制客户的选择。除此之外，NSX要求参与重叠网络的每台主机都具有许可证。NSX架构需要更强的计算能力才能在确保高级别可用性的情况下实施网关功能和运行管理组件。思科的集成重叠网络方法则可以实现架构精简，需要的组件更少，并为多种类型的工作负载提供自动化和可视性优势。这意味着，与NSX相比，ACI的购置成本会显著降低。首先，对于第一段，Cisco认为，自己的ACI解决方案是以应用为中心的，而VMwareNSX解决方案是以VMware为中心的。以应用为中心，确实是一个可以夺人眼球的观点，然而，这种以应用为中心，却不是真正实现数据中心中自动化部署应用和运维的手段。Cisco的所谓“以应用为中心”，无非是将应用所在的虚拟机看成一个EP（EndPoint），一些类似的EP，可以打包成一个组，叫做EPG（EndPointGroup），Cisco针对这些EP或者EPG，使用策略驱动模型，实现了一个更好的，无关虚拟机IP地址和端口的QoS功能，Cisco认为这就是以应用为中心。毕竟之前，QoS策略在网络层面之上需要进行全局配置，并应用到端口或VLANIP地址之上，在虚拟化环境中，由于虚拟机经常会进行迁移，这样的QoS配置很难满足用户需求，Cisco的策略驱动模型已经做的够好了，但是NSX环境中也能做到无关虚拟机IP地址和端口的QoS和安全策略，并且我认为，只实现了应用的QoS不是真正的以应用为中心。真正的以应用为中心的解决方案，必须结合F5BIG-IP/BIG-IQ平台（或类似专注应用交付解决方案的公司的产品），实现软件定义应用服务（Software-DefiedApplicationServices，SDAS），即应用的自动化部署和运维。在这一点上，ACI和NSX都需要与F5这样的厂商合作。如果没有F5这样的合作厂商，ACI环境中除了实现了更好的QoS外，没有对应用交付提出更好的优化功能，而NSX中却可以自己实现分布式或集中式的负载均衡，做到简单的应用交付。此外，文中Cisco指责NSX解决方案是“以VMware为中心”的。NSX网络虚拟化平台，支持运行在所有的物理网络设备和所有的虚拟化平台（除了Hyper-V）之上——如果允许在KVM或Xen平台之上，连vSphere和vCenter都不需要购买，何来以VMware为中心一说？但是ACI呢？底层物理网络必须是Nexus9000设备，这难道不是以Nexus9000为中心吗？其次，对于第二段，Cisco认为，自己的ACI解决方案，实现了物理网络和虚拟网络的统一管理，而NSX无法实现对底层物理网络的管理。首先，Cisco实现底层物理网络管理的方法是ACI解决方案必须使用Nexus9000系列设备，一旦使用其他厂商的物理交换机设备，甚至Cisco其他系列的交换机（如Nexus7000、Nexus5000、Catalyst6500系列），都无法实现ACI解决方案，更别说物理网络和虚拟网络的统一管理了。此外，数据中心中在基础架构层面，最重要的三个平台，必然是网络平台（包括物理网络和虚拟网络）、计算平台（换句话说就是x86服务器虚拟化）、存储平台。ACI实现了物理网络和虚拟网络的统一管理，但是并无法管理和调度计算资源和存储资源。而NSX在管理层面上，完全成为了vCenter的一个插件，实现了虚拟网络和服务器虚拟化的统一管理和调度，这么比较的话，ACI和NSX完全打了个平手——各能管理和调度两块平台。如果数据中心内用户使用了VMwareVSAN的解决方案，VMware甚至连存储资源也做到了统一管理和调度。Cisco这篇文章的作者很聪明，写了一句“在未来还会包括计算和存储”，给用户画了个饼。那么，NSX未来其实也可以深度集成物理硬件的，NSX解决方案的前身Nicira公司正是SDN概念的提出者和Openflow、OpenvSwitch的开发者，这意味着只要物理硬件支持Openflow和OVSDB协议，就都可以将自己交给NSXController进行管理，只是现在多数物理硬件厂商没有与VMware进行联合开发而已。Arista和Brocade公司已经实现了将自己的物理网络硬件产品以服务的形式交给NSXController管理，相信之后这串名单会越来越上，这其实也算“NSX在未来能实现所有物理网络硬件设备的统一管理”。如果Cisco喜欢谈未来Roadmap，那么为什么别人不能谈呢？况且NSX与Arista、Brocade公司的合作已经成型，不是单纯的Roadmap了。而对于ACI，管控其他厂商网络硬件甚至自己厂商的非Nexus9000设备的硬件设备，在Roadmap上吗？再者，对于第三段，Cisco的写手又抓住了很多读者对API不熟悉的现状，大书特书。开放式接口和应用编程接口(API)不是Cisco一家独有的，几乎所有物理硬件和虚拟化软件厂商，都能提供这样的接口，ACI和NSX都可以针对这些接口进行再编程、再开发，并控制其设备和运行的应用。这里Cisco写手又抓住了NSX目前不支持Hyper-V环境进行攻击。Cisco喜欢说“未来支持”，那么我想说的是，NSX对Hyper-V的支持，很快也会发布了……就算不支持，其实也无伤大雅，因为微软也有自己的网络虚拟化平台HNV（Hyper-VNetworkVirtualization），部署了Hyper-V的用户，不大会再使用ACI或NSX解决方案的，且这个市场很小——Hyper-V大量使用在微软自己的Azure云中，在企业中很少使用，因为Hyper-V基于WindowsServer，而WindowsServer最大的问题是需要经常停机进行补丁和升级，这令很多企业用户敬而远之。因此，ACI现今和NSX未来对Hyper-V的支持，都只是锦上添花，没必要拿出来进行特别的对比。最后，对于第四段，Cisco的写手又说了，NSX需要每台主机都购买License，且对于一些网关设备，需要另外购买主机，这样会增加成本。没错，NSX解决方案确实需要NSXLicense，这个问题我们需要分两种情况进行讨论。第一种情况，毕竟vSphere是最主流、功能最为强大的商业虚拟化解决方案，在全球hypervisor的市场份额远超半成，因此NSX和ACI解决方案，都很有可能使用vSphere作为底层虚拟化平台，但需要读者了解的是，无论NSX还是ACI，实现虚拟网络都需要vSphere支持分布式交换机（VDS），而vSphereEnterprisePlus版本才支持VDS，但是NSXlicense自动携带了VDS功能，这就意味着我们在Standard版本的vSphere环境中也可以部署NSX解决方案，但ACI就惨了，需要购买昂贵的vSphereEnterprisePlus版本来支持。第二种情况，是ACI和NSX都支持开源的虚拟化平台KVM和Xen，那么在KVM和Xen的环境下，ACI就真的省钱了吗？ACI只能使用Nexus9000设备作为底层物理平台，限制了其的使用——只有新建数据中心时用户才会考虑ACI，如果是改造，哪个用户会将所有的物理网络设备全换掉呢？换掉这些物理硬件的费用，成本远远超过了NSXLicense吧，就算是新建数据中心，购买Nexus9000的成本也是存在的，而NSX可以在廉价甚至白牌交换机的平台之上实现SDN和网络虚拟化，这样算起来，两者成本其实半斤八两。对于Cisco写手提到的NSX网关设备需要增加计算机资源的问题，在NSX6.2版本之上已经得到解决——基于VXLAN的NSX分布式路由器可以直接作为外部物理设备的VLAN的网关，因此我们无需特别配置Edge设备作为与外界通讯（包括二层和三层通讯）的桥梁，Edge设备仅会作为实现高级功能（类似NFV的那些功能）的形式出现，这些功能包括负载均衡、NAT、VPN等，而ACI解决方案中的Nexus9000系列交换机则都不能实现，除非再引入Cisco的路由器或防火墙，才能实现NAT和VPN（负载均衡则完全不能实现），但流量需要绕过这些路由器或防火墙进行处理，并不是优化的。之后的内容，Cisco写手一直抓住NSX目前对物理网络设备的管控能力较差进行大书特书，却选择性的忽略ACI平台无法支持虚拟化中计算资源的管理和调度能力。限于篇幅，我们就不一一列举并评论了，相信读者看了前4段分析，脑海中应该有一些概念浮现。最后，Cisco写手设计了一个场景，证明自己的解决方案是省钱的，却选择性忽略了这种解决方案只适用于数据中心新建，而不是改造——ACI解决方案只能使用Nexus9000系列交换机，且还需要支持ACI的板卡。此外，Cisco认为，NSXEdge会导致计算机数量的增加，却不提自己需要至少三台APIC控制器的成本——APIC控制器集群，是至少三台超高性能的CiscoUCS服务器加上ACI相关软件的成本。再者，Cisco设计的场景中，NSX的底层平台使用的是Ar