VMware-NSX-V与NSX-T的比较

VMwareNSX-V与NSX-T的比较（转载&翻译）当今虚拟化领域中最令人兴奋的技术领域之一是软件定义网络（SDN）。软件定义的网络或SDN确实在改变着我们所知道的网络格局，并创造了一个世界，在该世界中，物理网络只是一个底层环境，在其上交换和路由虚拟网络数据包。VMware的NSX是软件定义的网络解决方案，可完全通过软件提供虚拟化网络和安全性。它是当今市场上最重要的企业数据中心SDN解决方案，它允许企业通过提供灵活的控件和技术解决方案来满足当今快速发展的网络需求，从而使企业数据中心实现现代化。如今，使用VMwareNSX，需要注意该产品的两个变体。它们是NSX-V和NSX-T。在这篇文章中，我们将看看以下内容：VMwareNSX-V和NSX-T有什么区别？他们实现了哪些不同的目标？如何实施？为什么选择一个而不是另一个解决方案？VMwareNSX技术概述VMware的NSX是功能强大的软件定义网络解决方案，它使当今的企业可以解决当今混合云数据中心中围绕安全性，自动化和敏捷性等非常复杂的问题。数据中心中的VMwareNSX具有四个主要优点，可以使网络现代化。微细分多云网络网络自动化云原生应用由于VMwareNSX是基于软件的解决方案，因此它吹捧了在代码中部署更改，配置，新设计和体系结构的所有好处和敏捷性，因为这些是在软件结构而非硬件中定义的。在涉及物理硬件的网络更改的传统日子里，繁琐，繁琐，耗时的过程通常涉及网络团队和其他更改控制要求，这些要求甚至对正在进行的网络基础结构进行简单更改也带来极大的复杂性。借助NSX等软件定义的解决方案，这些传统障碍不再是挑战，因为可以在软件结构中实现或进行更改。NSX代表着企业能够在其软件定义的数据中心基础架构中控制网络流量的方式上的一次革命性转变。借助使用VMwareNSX的网络虚拟化，您具有与网络虚拟机管理程序等效的功能，该功能允许虚拟地通过第7层网络服务配置完整的第2层设备集。这包括交换，路由，访问控制，防火墙，QoS以及在软件中完成所有这些操作。微细分微细分可帮助组织实施通常被称为“零信任”安全模型的安全模式，其中所有网络端点都被视为危险。在传统的网络安全中，您具有边缘防火墙，该防火墙将传统上被认为是“不可信”区域（例如Internet）和“可信”区域（例如您的LAN）分开。但是，如果攻击者成功渗透到局域网内部怎么办？凭借传统的网络安全思想，他们可以自由支配LAN中存在的所有“受信任”网络端点。使用微分段时，网络端点不受信任，仅允许与您定义的特定网络端点进行通信。无论您的目标是锁定关键应用程序还是创建逻辑DMZ，都可以使用NSX来完成。此外，您可以减少当今现代基础架构（如虚拟桌面环境）的攻击面。利用VMwareNSX进行微细分，可以使用构造来构建网络安全策略，而这是传统网络安全所根本不可能实现的。这些构造包括使用诸如ActiveDirectory对象名称，虚拟机名称，ActiveDirectory中存储的用户帐户，操作系统类型之类的内容来构建网络安全策略。多云网络现在，企业正在使用从内部部署到公共云乃至多个公共云的混合基础架构。他们如何在不放弃安全控制和其他网络策略的情况下有效地将网络流量扩展和扩展到云中？这就是NSX真正发挥作用的地方。它有助于在不同数据中心站点之间提供一致性，并允许跨数据中心和公共云扩展网络访问，企业可以在其中部署应用程序，并使用虚拟化基础架构独立于地理边界无缝地移动应用程序。网络自动化跟上当今企业数据中心的需求，您需要利用自动化。自动化允许简化IT操作，包括配置，配置和监视。VMwareNSX是完全由软件定义的解决方案，这意味着可以从编程API接口进行完全访问，配置和管理。NSX中包含的所有虚拟化网络和安全功能都可以实现自动化，这也有助于减少手动的，容易出错的任务。生命周期自动化可帮助您确保策略得到实施并与业务需求保持一致，并有助于消除手动配置和操作网络基础结构的瓶颈。无论在本地还是在公共云或私有云中，只要存在工作负载，这都能在整个环境中提供一致性和安全性。总体而言，这有助于使业务流程更加敏捷，并有助于加快开发速度。通过使用PowerCLI和其他脚本和配置管理工具（例如vRealizeAutomation），可以以流畅的，软件定义的方式自动化和配置NSX。云原生应用如今，企业正在容器等现代基础架构技术中构建云原生应用程序。无论工作负载存在于何处或在什么平台上运行，NSX均允许企业应用一致的网络策略和规则。由NSX启用的云原生应用程序可以从微分段等相同的网络优势中受益。NSX管理控制和数据平面在NSX的体系结构中，存在三种不同的操作平面：管理，控制和数据。存在于三种类型的节点上的各种软件组件，代理，流程和模块-包括NSXManager和传输节点，它们分别属于上述集成平面之一，我们将在下面对其进行定义。每个节点都托管一个管理平面代理NSXManager节点托管在管理平面中找到的API服务和集群后台驻留程序NSXController节点托管中央控制平面群集守护程序传输节点承载本地控制平面守护程序和转发引擎NSX组件NSX基础结构由各种组件组成。这些是：NSXManager–NSXManager提供对NSX解决方案的管理平面的访问，还提供对可以从编程角度进行交互的API的访问。NSXManager部署为NSX-V和NSX-T平台中的虚拟设备NSX-T2.4引入了包含NSXManager和NSXController的组合设备NSXController–NSXController是NSX基础结构组件，它使用网络封装协议创建覆盖网络，以承载跨物理网络各个部分的虚拟网络流量对于NSX-T2.4，该控制器与NSXManager结合使用NSXEdge–NSXEdge为NSX基础结构以及DHCP，NAT，HA和负载平衡器提供路由和网关服务VMwareNSX-V与NSX-T的差异如果您过去几年一直与VMwareNSX保持同步，那么您会意识到原始的VMwareNSX解决方案称为NSX-V。NSX-V是原始的软件定义的网络解决方案，基于VMware在2012年收购Nicira。NSX-V是围绕VMwarevSphere生态系统构建的，并且包含VMwarevSphere中所期望的要求，例如拥有vCenterServer和ESXi主机。VMwareNSX-V解决方案现已更名为NSX-V数据中心，它是从vSphere产品线衍生而来的两种技术中的较老版本。NSX-T是下一代软件定义的网络解决方案，它提供了VMware的软件定义网络的下一代演进。NSX-T中的“T”用于“变形金刚”。如果您当前正在寻找新的NSX部署进行绿地安装，那么考虑使用NSX-T是完全有意义的，因为正如我们将在后面描述的那样，写在墙上的是NSX-V可以简单地折叠到NSX-T提供的功能。NSX-T现在更名为NSX-T数据中心。NSX-T和NSX-V的主要区别在于，NSX-T已从VMwarevSphere中“解锁”。换句话说，您不必具有vCenterServer即可部署NSX-T。这使VMware可以进入云和更多混合基础架构的新领域。当前，NSX-T包含对不同虚拟机管理程序和环境的支持。NSX-T专注于支持云原生应用程序，裸机工作负载，多管理程序环境，公共云和多云环境。实际上，ESXi，KVM，裸机服务器，Kubernetes，OpenShift，AWS和Azure支持NSX-T。最近，亚马逊宣布了AmazonOutposts产品，该产品即将在数据中心内进行配置。AmazonOutposts的一个鲜为人知的事实是，即使不提供本地版本的AWS上的VMwareCloud的Amazon“仅”解决方案也具有由VMwareNSX-T驱动的网络。NSX-T2.4版本是NSX-T的里程碑版本。在2.4发行之前，NSX-V始终具有比NSX-T更多的功能，这始终是两者之间的一个差异点，而对NSX-V的关注最多。但是，NSX-TDataCenter2.4改变了一切。它标志着每个人都在等待的主要版本NSX-T。与NSX-V达到相对功能均等的版本终于在这里。现在，NSX-T2.4已发布，前进的道路是NSX-T数据中心。如上所述，您应该在NSX-T上进行绿地部署。NSX-T代表了明天的SDN技术，因为它专注于云并且与特定的虚拟机管理程序或平台无关。NSX-V是VMware提供的功能强大的SDN解决方案，但它代表了今天和昨天而不是明天的技术。明天的工作负载将集中在云上，并且与虚拟机管理程序无关。VMware意识到了这一点，并在战略上对NSX-T进行了工程设计，以应对本地，混合和多云环境的软件定义网络挑战。部署方式与在vSphere环境中部署NSX-V或NSX-T的高层比较，该过程看起来非常相似。对于每个NSX解决方案，部署都是从部署NSXManager开始的，但是相似之处从此结束。NSX-V要求您向VMwarevCenter注册NSXManagerNSX-T允许您将NSX-T解决方案指向VMwarevCenter以注册您的传输节点或ESXi主机NSX-VManager是一个独立的解决方案，需要部署其他NSXController带有NSX-T2.4的NSX-TManager是组合的设备，在同一虚拟设备中同时包含NSXManager和Controller功能NSX-T具有必须完成的N-VDS附加配置，包括上行链路配置文件等比较NSX-V与NSX-T许可有趣的是，NSX-V和NSX-T的许可完全相同。因此，如果您具有NSX-V的许可证密钥，则可以将此许可证密钥插入NSX-T，它将起作用。至少在这一点上，VMware尚未从许可角度区分解决方案。这也包括每个产品的许可版本。VXLAN和GENEVE当在进行了封装的情况下查看NSX-V与NSX-T时，NSX-V使用更传统的VXLAN封装，而NSX-T采用了一种称为GENEVE的更新封装协议。VXLAN或虚拟可扩展LAN是一种虚拟网络封装协议，可帮助解决与传统虚拟LAN或VLAN相关的许多限制和挑战。VXLAN使用一种封装，该封装允许将第2层帧封装在UDP数据报内，从而允许跨物理网络边界或网段逻辑地形成网络。用VXLAN创建的虚拟网络被称为VXLAN隧道，并通过软件或实际的物理交换机端口终止，该端口可以理解并可以与启用VXLAN的网络通信。这些终结点定义为VXLAN隧道终结点或VTEP。传统的VLAN有大约4000个网段的限制，可以创建这些网段来划分流量。在当今以云为中心的网络环境中，此数字可能会遇到限制。但是，对于VXLAN，标头包含一个24位字段，该字段保留给唯一标识VXLAN的VXLAN网络标识符（VNI）。这样就可以创建大约1600万个唯一的细分。这远远超出了传统VLAN。由IETFVXLAN规范定义的VXLAN标头（图片由IETF提供）使用以VXLANVTEP终止的VNI构造，您可以创建跨越整个物理基础架构并以与传统第2层VLAN几乎相同的方式运行的“逻辑”网络。该覆盖网络在物理底层的顶部流动。VXLAN逻辑网络创建逻辑第2层网段（图片由Arista提供）VXLAN的MTU值必须为1600或更高，以容纳额外的封装头空间什么是GENEVE？GENEVE是一种虚拟网络封装协议，其明确目标是仅定义封装数据格式。它不包含控制平面的任何信息或规范。GENEVE封装的数据格式使其具有尽可能高的灵活性和可扩展性。GENEVE经过精心设计，可以承载的不仅仅是虚拟网络标识符信息。毫无疑问，新的要求和需求将在封装协议中被抛弃。具有灵活性，可扩展性并可以将元数据作为TLV（类型，长度，值）字段插入，从而使GENEVE能够根据网络的需求随时间推移而发展。GENEVE可以通过标准网络设备进行封装和传输。它可以使用单播或多播寻址。GENEVE标头的示例事实证明，即使与具有VXLAN卸载功能的硬件相比，GENEVE封装协议的性能也比VXLAN更好，吞吐量更高，CPU利用率更低。VMware建议使用