VMware_网络虚拟化平台NSX及其实现

VMware之软件定义网络：NSX网络虚拟化平台及实现2议 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 网络虚拟化需求VMwareNSX功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结/在VMware平台上的实现3网络虚拟化需求VMwareNSX功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结4用户需求…网络资源池灵活的IP地址管理零信任安全模式Micro-SegmentationIT自服务弹性计算公有云接入5当今企业的网络与安全vSphere用户远程后台服务-VLANs,ACLs,Firewalls,IDS/IPS,监控-服务器防病毒,客户安全访问-应用、数据、用户ID安全,合规-DMZfirewall,NAT,DDI-SiteanduserVPNs-Web负载均衡,WAF-桌面防病毒代理-DLP,FIM,白名单DMZWeb桌面池太复杂、人工操作、资源不能统一调度OUCH6我们需要…虚拟机数据中心网络运维模式独立于硬件Create,Delete,Grow,Shrink应用透明可编程监控可扩展向操作虚机一样管理网络…7介绍VMwareNSX借助NSX实现网络虚拟化L2SwitchL3RouterFirewallLoadBalancer像管理虚机一样管理网络硬件软件8网络虚拟化需求VMwareNSX功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结9VMwareNSX–网络与安全功能任何的应用(withoutmodification)虚拟网络VMwareNSX网络虚拟化平台IP承载网络任何的云管理平台各种Hypervisor逻辑交换–Layer2overLayer3,虚拟交换网络与物理网络脱钩逻辑路由–分布式的东西向One-hop路由，同时支持软件实现南北向的路由逻辑防火墙–高性能的分布式防火墙逻辑负载均衡–软件实现应用负载均衡逻辑VPN–软件实现Site-to-Site&RemoteAccessVPNNSXAPI–利用RESTfulAPI可以和各种云管理平台集成合作伙伴Eco-System10L2-L3L4-L7ControlMgmtNSX产品概述VMWCMPOpenStack云端物理层虚拟化层管理运维合作伙伴INTERNETWANLANPhysicalNSXEdgeEdgeServicesRouterToR/OVSDBNSXControllerClusterNSXManagerNSXManagerNSXManagerNSXAPIvCAC,NeutronPluginsConsumptionESX,KVM,XenvSphereNSXFirewallDFWNSXSwitchVDRVDSNSXSwitchOVS11网络虚拟化需求VMwareNSX:功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结12什么是逻辑交换网络13VMwareNSX逻辑交换•应用、多租户隔离•VM在线迁移需要二层网络•大的二层物理网络蔓延带来的问题–STP问题•硬件Memory(MAC,FIB)Table限制•可扩展的多租户网络•实现L2overL3Overlay架构•基于Overlay的技术VXLAN,STT,GRE,etc,•逻辑交换网络可以跨主机、交换机以及物理路由器挑战好处逻辑交换–ScaletheNetworkSegment1000XAnimatedSlideVMwareNSXLogicalSwitch1LogicalSwitch2LogicalSwitch314什么是逻辑路由网络15VMtoVMRoutedTrafficFlowVMwareNSX逻辑路由网络:分布式，多功能•数据中心东西向流量对传统的集中式路由模式带来挑战•VM漂移带来的挑战•多租户路由复杂度•Traffichair-pins•在Hypervisor层实现分布式路由•动态的,基于API的配置•动态路由–OSPF,BGP,IS-IS•LogicalRouter支持多租户•支持与物理路由器之间跑动态路由挑战好处分布式路由–灵活实现多租户网络控制器集群NSX管理器L2L2租户A租户BL2L2L2租户CL2L2L2AnimatedSlideCMP16分布式逻辑路由网络VMVMVMVMVMVMVMVMVMVMVMVMVMVM•虚拟网络之间实现三层路由互联•支持动态路由•在控制层面每个逻辑路由网络有个虚拟路由器•转发层：分布式部署在各个X86服务器的Hypervisor层•每个租户一个逻辑路由器•自动安装•利用NSXManagerUIorAPI灵活快捷部署Overview•每个逻辑路由器支持1000个逻辑网络端口•NSX支持3000个逻辑路由器•在X86服务器上可实现线速转发Scale&Performance•优化数据中心虚拟网络的路由与转发路径•高扩展的云网络自动化部署UseCases17VMwareNSX防火墙:分布式、高性能、可扩展的安全防护•集中式处理模式•人工配置•安全策略基于IP五元组•性能最多大概40Gbps•无法感知虚拟网络上的流量•分布在HypervisorLevel•动态的,可基于API的配置模式•可支持基于VM名称,用户ID的安全策略•每台主机线速转发，15Gbps•基于VM的vNIC级别管控，感知VM任意流量挑战好处性能与扩展能力–1,000+Hosts30TbpsofFirewall物理安全模式NSX分布式防火墙防火墙管理AnimatedSlideVMwareNSXAPICMP18利用NSXEdge与防火墙实现安全虚拟化Apps/DB层DMZ用户远程Web服务器•NSX防火墙:虚拟化防火墙与安全到主机虚拟化层•NSXEdge:虚拟化传统网关与服务(perVDCorvApp)19分布式虚拟防火墙VMVMVMVMVMVMVMVMVMVMVMVMVMVMVM好处…•没有“ChokePoint”•水平扩展•安全防护最靠近虚拟机20VMwareNSX负载均衡•应用（工作负载）移动性•多租户•人工配置，管理复杂•按需部署负载均衡服务•支持各种部署方式–one-armorinline•Layer7,SSL,…挑战好处负载均衡–支持多租户部署环境AnimatedSlideL2租户AVM1VM2VM1VM3VM2L2L2L3租户B21网络虚拟化需求VMwareNSX:功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结22NetworkVirtualization–运维管理特点：•呈现各个逻辑网络的健康状态•VMtoVM连接性•PerVM流量监控•流量分析•网络tunnel的健康状况•日志,事件管理与审计•物理网络连接问题可见性•升级管理统一的管理视图•统计信息•告警信息•网络性能与资源利用•与vCenterOperationsManager集成23网络虚拟化需求VMwareNSX:功能利用NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem总结24NSX架构扩展性:广泛的合作伙伴NSXControllerNSXAPI合作伙伴防火墙网关服务应用服务安全服务+CloudMgmtPlatforms25网络虚拟化需求VMwareNSX:功能NSX实现网络虚拟化NSX运维管理NSX合作伙伴Ecosystem小结26HypervisorX86Hosts线速转发PerhostPhysicalorVirtual逻辑交换网络硬件软件硬件软件任意的云管理平台线速转发Perhost优化东西向流量逻辑路由器线速转发Perhost集成于kernal25,000CPS2.5millionSessions15Gbps10kCPS100K并发FW,LB,VPN新型分布式的软件架构实现原有的硬件网络服务分布式交换分布式路由分布式防火墙EdgeServicesVMwareNSXSoftware虚拟网络现有物理网络交换路由防火墙LB,VPN边界网关服务VMwareNSXAPI27利用NSX实现典型网络案例DB逻辑交换网络NSXEdge设备(HA,FW,NAT,VPN,LBServices)OSPFWeb逻辑交换网络App逻辑交换网络外部网络L2桥接BridgedLogicalSwitchBridgedVLANVMTransitLogicalSwitchVM远程数据中心VLAN/VXLANL2VPNWebAppDB逻辑分布路由器LBBGP28如何实现多租户网络？外部网络简单、可复制、自动化部署实现云网络29VMwareNSX–适用案例IT自助服务DevXDevATestXAcquisitionADevOps云On-boardingM&A快速实现应用场景灵活IP地址管理易用关键功能例子数据中心自动化基于应用需求实现Micro-segmentation数据中心资源真正池化DMZ部署可编程、快速部署提供丰富网络功能方便可视的运维管理关键功能例子公有云XaaS云混合云多租户部署可编程的L2,L3,和安全服务支持IP和MAC地址重复AnyHypervisor,AnyCMP关键功能例子基于NSX实现VMware环境下的网络虚拟化31NSX的两种应用模型云管理系统网络虚拟化服务器虚拟化任意应用vCloudDirectorvSphereNSXvSphereKVMXen/XenServerOpenStackCloudstackCustom任意网络硬件集成的VMware软件栈跨虚拟化平台跨云管理系统NSX12为vSphere优化的NSX32NSXvSphere优化版–功能一览丰富的网络及安全服务•可扩展的逻辑二层交换不依赖于物理网络多播抑制广播（ARP）流量•物理网络到虚拟网络的桥接•分布式、动态三层路由支持OSPF,BGP,IS-IS等路由协议1hop、linerate路由转发•分布式防火墙、逻辑负载均衡器、逻辑VPN自动化及运营管理•API驱动的集成•可配置的服务（NSXServiceComposer）•运行状态及性能监控•故障 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 修复及可见性合作厂商可扩展性•NetX（VMwareNetworkExtensibilityProgram）高级集成网络硬件和拓扑无关•任意网络硬件•任意物理网络拓扑任意应用(无须修改)虚拟网络VMwareNSX网络虚拟化平台逻辑二层任意网络硬件任意云管理平台逻辑防火墙逻辑负载均衡器逻辑三层逻辑VPNVMwarevSphere本节偏重逻辑交换及路由功能简单介绍4-7层服务33NSXvSphere优化版组件控制层NSXController运行时状态•管理逻辑网络和网络传输节点•控制数据层的路由和交换•位于数据传输路径之外数据层NSXEdgeESXiVDS虚拟机服务器扩展模块防火墙分布式逻辑路由器VXLANNSXvSwitch•虚拟机形式的网关设备•“南-北”向流量的数据层•路由及其他高级网络服务•实现逻辑网络交换功能•智能、分布式网关实现•“linerate”转发性能管理层NSXManager•管理配置的单一入口•提供REST应用程序接口和用户界面CMP使用•自服务门户•云管理系统•VMwarevCAC,VCD34NSX组件集成1Controller配置(逻辑交换机，分布式逻辑路由器)NSXManagerNSXControllervSphere集群1NSXEdgevCentervSphere集群2vSphere集群N12控制层数据（VNI，MAC，路由等）23负载均衡、防火墙、VPN等配置335NSXController功能集成了NiciraNVP技术以虚拟机的形式部署，集成到NSXManager工作流控制数据层的交换和路由•加速控制层的转发信息收敛•控制逻辑网络BUM流量转发•支持虚拟网络广播流量（ARP）抑制•汇集和分发路由到数据层数据层不依赖于控制器网络可见性和故障检测为vSphere优化的NSX控制器高可扩展、高可靠的控制器，针对Overaly网络和“东-西”向流量36NSXvSwitch功能分布式数据层实现通过NSXManager一键式安装–安装全部虚拟机服务器模块全部模块都能达到“linerate”性能VXLAN模块–基于VXLAN协议提供Overlay网络传输，实现逻辑交换功能分布式逻辑路由器模块–实现“东-西”向流量的1-hop路由防火墙模块–内建的分布式防火墙，由NSXManager集中式管理NSXvSwitchESXiVDS虚拟机服务器扩展模块防火墙分布式逻辑路由器VXLANNSXvSwitch37NSXEdge功能….防火墙负载均衡SSL及IPSec（site-to-site）VPN路由二层和三层网关L2/L3GatewayVMVMVMVMVM集成的3-7层网络服务，实时的服务实例化虚拟机的形式，利用vSphere的资源隔离、动态调度、及高可用性服务。部署管理便捷，集成到NSXManager工作流，支持最多2500多租户实例支持双机热备及运行时状态同步支持多种路由协议：BGP、OSPF、ISIS高性能：•单租户吞吐量：10Gb/s+；防火墙、负载均衡、NAT：100kCPS•单机架：960Gb/s加密吞吐量，300Gb/s防火墙、负载均衡、NAT吞吐量•500M并发连接NSXEdgeDNS、DHCP、…38NSX逻辑交换–BUM流量转发模式•无需物流网络特殊配置–快速部署NSX•由虚拟机服务器复制转发BUM报文•在典型数据中心环境下具备良好的规模扩展1单播模式NSX基础设施子网1子网2子网32混合模式NSX基础设施子网1子网2子网3•要求物理交换机支持IGMPSnooping•本地子网的多播转发交由物理交换机完成•适合密集部署或高负载BUM流量环境3VXLAN多播模式39Edge机架NSX逻辑路由功能视图L2L2L2逻辑路由器控制虚拟机每个逻辑路由器专属于单个租户，可有多个位于不同主机的数据层实例。同一主机上的多个逻辑路由器实例由单一内核模块实现。逻辑路由器控制虚拟机：逻辑路由器有单独的控制虚拟机，运行路由协议。L2L2L2WEBDBAPPWEBWEBDBAPPController集群1K单个逻辑路由支持的端口数3K逻辑路由器数量LineRate数据吞吐量，微秒级延迟基础设施视图逻辑视图数据中心边缘路由器OSPF/BGP40物理工作负荷VLAN100物理网关逻辑到物理网络的二层桥接AnimatedSlideVXLAN5001计算机架Edge机架逻辑路由器控制虚拟机（主）逻辑路由器控制虚拟机（备）逻辑路由器统一管理分布式路由和桥接为防止环形回路，每个逻辑路由器只有一个桥接接口桥接接口附着于逻辑路由器控制虚拟机，提供高可用性保障创建逻辑路由器1仅需在逻辑路由器上创建桥接接口，并指定桥接的逻辑网络和VLAN逻辑网络到VLAN的1:1映射桥接接口在虚拟机服务器内核实现，从桥接流量学习物理子网中的MAC地址桥接逻辑网络2工作负荷到逻辑网络迁移，对应用的网络配置和地址分配无影响物理子网到逻辑网络的无缝拓展用例341VMwareNSX三步就绪计算12部署网络基础设施二层及三层物理网络部署VMwareNSX控制集群及网关服务NSXEdgeNSXController虚拟基础设施NSX基础设施3应用创建和使用虚拟网络通用管理接口自服务可编程的虚拟网络部署逻辑网络+42NSX部署配置流程部署VMwareNSXNSXEdgeNSXController虚拟基础设施部署NSXManager1部署NSXController集群2组件部署主机准备1逻辑网络准备2vSphere预备配置一次性工作预备要求：•物理网络–IP网络，MTU•vCenter和ESXi5.5•VDS可编程的逻辑网络部署逻辑网络+++使用对应用或租户部署逻辑交换机1部署逻辑路由器3逻辑网络及安全服务部署NSXEdge2配置4-7层网络及安全服务443小结（如果您忘了其它内容，请记住以下三点…）NSX的路由及交换功能 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 针对虚拟数据中心的高性能和规模扩展需求2NSXvSphere优化版部署管理便捷，易于自动化1NSX产品已经就绪344参考材料45WANInternet计算管理及控制Edge机架NSX高可用性AnimatedSlideNSX为生产环境工作负荷提供高可用性保障vSphere集群NSX组件高可用性•NSXController：高可用集群，并可利用vSphere主机和应用程序级HA。数据层可独立于Controller工作。•NSXManager：StorageHA，配置备份。不涉及网络运行时状态。•NSXEdge:支持主-备HA配置和运行时状态同步，可利用vSphereHA。•NSXvSwitch：分布式架构，故障被隔离于单个主机。•主机故障：虚拟机可迁移到其他主机并保持全部网络状态。最佳实践：•将管理、控制、和Edge组件部署到有冗余的物理集群，配置vSphereHA。46NSX运营功能NSXvSphere优化版逻辑网络健康状况用户界面：NSXManager命令行工具：NSXController,NSXEdge，ESX主机虚拟机-虚拟机连通性NSXManager、ESX主机命令行工具数据流可见性IPFIX(VDS)流监控单虚拟机流量分析RSPAN/ERSPAN(虚拟机流量)主机报文抓取（传输网络报文）网络 目录 工贸企业有限空间作业目录特种设备作业人员作业种类与目录特种设备作业人员目录1类医疗器械目录高值医用耗材参考目录 列表，故障管理NSXManager，SNMP（端口、交换机MIB）各个层次的日志，事件 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 及审计syslog导出（NSXcontroller,NSXManager,NSXEdge）传输（Overlay）网络健康状况NSXManager网络连通性测试NSXController及hostCLI升级管理NSXManager(AutomatedVIBandControllerupgrades)API可见性NSXManager应用程序接口文档外部工具客户工具，VCOPs，LogInsight