VMware网络虚拟化平台NS及其实现

VMware之软件定义网络：NSX网络虚拟化平台及实现2议题网络虚拟化需求VMwareNSX功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结/在VMware平台上的实现3网络虚拟化需求VMwareNSX功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结4用户需求…网络资源池灵活的IP地址管理零信任安全模式Micro-SegmentationIT自服务弹性计算公有云接入5当今企业的网络与安全vSphere用户远程后台服务-VLANs,ACLs,Firewalls,IDS/IPS,监控-服务器防病毒,客户安全访问-应用、数据、用户ID安全,合规-DMZfirewall,NAT,DDI-SiteanduserVPNs-Web负载均衡,WAF-桌面防病毒代理-DLP,FIM,白名单DMZWeb桌面池太复杂、人工操作、资源不能统一调度OUCH6我们需要…虚拟机数据中心网络运维模式独立于硬件Create,Delete,Grow,Shrink应用透明可编程监控可扩展向操作虚机一样管理网络…7介绍VMwareNSX借助NSX实现网络虚拟化L2SwitchL3RouterFirewallLoadBalancer像管理虚机一样管理网络硬件软件8网络虚拟化需求VMwareNSX功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结9VMwareNSX–网络与安全功能任何的应用(withoutmodification)虚拟网络VMwareNSX网络虚拟化平台IP承载网络任何的云管理平台各种Hypervisor逻辑交换–Layer2overLayer3,虚拟交换网络与物理网络脱钩逻辑路由–分布式的东西向One-hop路由，同时支持软件实现南北向的路由逻辑防火墙–高性能的分布式防火墙逻辑负载均衡–软件实现应用负载均衡逻辑VPN–软件实现Site-to-Site&RemoteAccessVPNNSXAPI–利用RESTfulAPI可以和各种云管理平台集成合作伙伴Eco-System10L2-L3L4-L7ControlMgmtNSX产品概述VMWCMPOpenStack云端物理层虚拟化层管理运维合作伙伴INTERNETWANLANPhysicalNSXEdgeEdgeServicesRouterToR/OVSDBNSXControllerClusterNSXManagerNSXManagerNSXManagerNSXAPIvCAC,NeutronPluginsConsumptionESX,KVM,XenvSphereNSXFirewallDFWNSXSwitchVDRVDSNSXSwitchOVS11网络虚拟化需求VMwareNSX:功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结12什么是逻辑交换网络13VMwareNSX逻辑交换•应用、多租户隔离•VM在线迁移需要二层网络•大的二层物理网络蔓延带来的问题–STP问题•硬件Memory(MAC,FIB)Table限制•可扩展的多租户网络•实现L2overL3Overlay架构•基于Overlay的技术VXLAN,STT,GRE,etc,•逻辑交换网络可以跨主机、交换机以及物理路由器挑战好处逻辑交换–ScaletheNetworkSegment1000XAnimatedSlideVMwareNSXLogicalSwitch1LogicalSwitch2LogicalSwitch314什么是逻辑路由网络15VMtoVMRoutedTrafficFlowVMwareNSX逻辑路由网络:分布式，多功能•数据中心东西向流量对传统的集中式路由模式带来挑战•VM漂移带来的挑战•多租户路由复杂度•Traffichair-pins•在Hypervisor层实现分布式路由•动态的,基于API的配置•动态路由–OSPF,BGP,IS-IS•LogicalRouter支持多租户•支持与物理路由器之间跑动态路由挑战好处分布式路由–灵活实现多租户网络控制器集群NSX管理器L2L2租户A租户BL2L2L2租户CL2L2L2AnimatedSlideCMP16分布式逻辑路由网络VMVMVMVMVMVMVMVMVMVMVMVMVMVM•虚拟网络之间实现三层路由互联•支持动态路由•在控制层面每个逻辑路由网络有个虚拟路由器•转发层：分布式部署在各个X86服务器的Hypervisor层•每个租户一个逻辑路由器•自动安装•利用NSXManagerUIorAPI灵活快捷部署Overview•每个逻辑路由器支持1000个逻辑网络端口•NSX支持3000个逻辑路由器•在X86服务器上可实现线速转发Scale&Performance•优化数据中心虚拟网络的路由与转发路径•高扩展的云网络自动化部署UseCases17VMwareNSX防火墙:分布式、高性能、可扩展的安全防护•集中式处理模式•人工配置•安全策略基于IP五元组•性能最多大概40Gbps•无法感知虚拟网络上的流量•分布在HypervisorLevel•动态的,可基于API的配置模式•可支持基于VM名称,用户ID的安全策略•每台主机线速转发，15Gbps•基于VM的vNIC级别管控，感知VM任意流量挑战好处性能与扩展能力–1,000+Hosts30TbpsofFirewall物理安全模式NSX分布式防火墙防火墙管理AnimatedSlideVMwareNSXAPICMP18利用NSXEdge与防火墙实现安全虚拟化Apps/DB层DMZ用户远程Web服务器•NSX防火墙:虚拟化防火墙与安全到主机虚拟化层•NSXEdge:虚拟化传统网关与服务(perVDCorvApp)19分布式虚拟防火墙VMVMVMVMVMVMVMVMVMVMVMVMVMVMVM好处…•没有“ChokePoint”•水平扩展•安全防护最靠近虚拟机20VMwareNSX负载均衡•应用（工作负载）移动性•多租户•人工配置，管理复杂•按需部署负载均衡服务•支持各种部署方式–one-armorinline•Layer7,SSL,…挑战好处负载均衡–支持多租户部署环境AnimatedSlideL2租户AVM1VM2VM1VM3VM2L2L2L3租户B21网络虚拟化需求VMwareNSX:功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结22NetworkVirtualization–运维管理特点：•呈现各个逻辑网络的健康状态•VMtoVM连接性•PerVM流量监控•流量分析•网络tunnel的健康状况•日志,事件管理与审计•物理网络连接问题可见性•升级管理统一的管理视图•统计信息•告警信息•网络性能与资源利用•与vCenterOperationsManager集成23网络虚拟化需求VMwareNSX:功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结24NSX架构扩展性:广泛的合作伙伴NSXControllerNSXAPI合作伙伴防火墙网关服务应用服务安全服务+CloudMgmtPlatforms25网络虚拟化需求VMwareNSX:功能NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem小结26HypervisorX86Hosts线速转发PerhostPhysicalorVirtual逻辑交换网络硬件软件硬件软件任意的云管理平台线速转发Perhost优化东西向流量逻辑路由器线速转发Perhost集成于kernal25,000CPS2.5millionSessions15Gbps10kCPS100K并发FW,LB,VPN新型分布式的软件架构实现原有的硬件网络服务分布式交换分布式路由分布式防火墙EdgeServicesVMwareNSXSoftware虚拟网络现有物理网络交换路由防火墙LB,VPN边界网关服务VMwareNSXAPI27利用NSX实现典型网络案例DB逻辑交换网络NSXEdge设备(HA,FW,NAT,VPN,LBServices)OSPFWeb逻辑交换网络App逻辑交换网络外部网络L2桥接BridgedLogicalSwitchBridgedVLANVMTransitLogicalSwitchVM远程数据中心VLAN/VXLANL2VPNWebAppDB逻辑分布路由器LBBGP28如何实现多租户网络？外部网络简单、可复制、自动化部署实现云网络29VMwareNSX–适用案例IT自助服务DevXDevATestXAcquisitionADevOps云On-boardingM&A快速实现应用场景灵活IP地址管理易用关键功能例子数据中心自动化基于应用需求实现Micro-segmentation数据中心资源真正池化DMZ部署可编程、快速部署提供丰富网络功能方便可视的运维管理关键功能例子公有云XaaS云混合云多租户部署可编程的L2,L3,和安全服务支持IP和MAC地址重复AnyHypervisor,AnyCMP关键功能例子基于NSX实现VMware环境下的网络虚拟化31NSX的两种应用模型云管理系统网络虚拟化服务器虚拟化任意应用vCloudDirectorvSphereNSXvSphereKVMXen/XenServerOpenStackCloudstackCustom任意网络硬件集成的VMware软件栈跨虚拟化平台跨云管理系统NSX12为vSphere优化的NSX32NSXvSphere优化版–功能一览丰富的网络及安全服务•可扩展的逻辑二层交换不依赖于物理网络多播抑制广播（ARP）流量•物理网络到虚拟网络的桥接•分布式、动态三层路由支持OSPF,BGP,IS-IS等路由协议1hop、linerate路由转发•分布式防火墙、逻辑负载均衡器、逻辑VPN自动化及运营管理•API驱动的集成•可配置的服务（NSXServiceComposer）•运行状态及性能监控•故障检测修复及可见性合作厂商可扩展性•NetX（VMwareNetworkExtensibilityProgram）高级集成网络硬件和拓扑无关•任意网络硬件•任意物理网络拓扑任意应用(无须修改)虚拟网络VMwareNSX网络虚拟化平台逻辑二层任意网络硬件任意云管理平台逻辑防火墙逻辑负载均衡器逻辑三层逻辑VPNVMwarevSphere本节偏重逻辑交换及路由功能简单介绍4-7层服务33NSXvSphere优化版组件控制层NSXController运行时状态•管理逻辑网络和网络传输节点•控制数据层的路由和交换•位于数据传输路径之外数据层NSXEdgeESXiVDS虚拟机服务器扩展模块防火墙分布式逻辑路由器VXLANNSXvSwitch•虚拟机形式的网关设备•“南-北”向流量的数据层•路由及其他高级网络服务•实现逻辑网络交换功能•智能、分布式网关实现•“linerate”转发性能管理层NSXManager•管理配置的单一入口•提供REST应用程序接口和用户界面CMP使用•自服务门户•云管理系统•VMwarevCAC,VCD34NSX组件集成1Controller配置(逻辑交换机，分布式逻辑路由器)NSXManagerNSXControllervSphere集群1NSXEdgevCentervSphere集群2vSphere集群N12控制层数据（VNI，MAC，路由等）23负载均衡、防火墙、VPN等配置335NSXController功能集成了NiciraNVP技术以虚拟机的形式部署，集成到NSXManager工作流控制数据层的交换和路由•加速控制层的转发信息收敛•控制逻辑网络BUM流量转发•支持虚拟网络广播流量（ARP）抑制•汇集和分发路由到数据层数据层不依赖于控制器网络可见性和故障检测为vSphere优化的NSX控制器高可扩展、高可靠的控制器，针对Overaly网络和“东-西”向流量36NSXvSwitch功能分布式数据层实现通过NSXManager一键式安装–安装全部虚