2014年5月,在我加入VMware三个月之后,我涂鸦了一篇《818SDN的那些事儿》,当时放言如果阅读量过百就写续篇。后来果然阅读量没过百,也就80多的样子,其中好几份还是我自恋地进去查看阅读量时贡献的,估计也有几份是老婆大人这类完全不懂IT的粉丝以示支持贡献的。阅读量没过百,我也就心安理得地不需要有什么动作了,直到有一天,我遇到了PeterYe。这位大哥真是蛮拼的,他转发了这篇文章,结果阅读量飙升,然后他就笑眯眯地对我说,你该履行诺言,写续篇了。我虽然答应了他,但一拖再拖,他倒好,也不急不恼,一催再催。我是得写点东西了,为了回报Peter的这份执着。
我当初是被NSX这款产品打动而加入VMware的,当时就认定它是一款SDN的产品。但随着对产品理解的深入,我发现我当初仍然失之浅薄。然后我才能理解RickChen一直在讲的,我们并不是SDN或者NFV,我们只是网络虚拟化。如果您碰巧是第一次看到NSX这几个字,且随我来浮光掠影地认识一下它吧。
在服务器虚拟化之前,服务器和网络相安无事,每个PoD里的服务器都是支撑同一个应用的。然后,服务器开始了虚拟化,如果按每个虚拟机就是一台Server的话,Server的数量比原来物理机时代提升了10~20倍,原来的一个PoD,现在可以支撑更多应用了,原来单纯的南北向流量,现在增加了很多的东西向流量。
这时候,网络唯一做出的变化就是开始应对资源池延伸的需求,提供大二层支持。当应用部分再一次申请虚拟机资源时,很可能原来的二层域里的资源已经分配殆尽,只能在其他二层域分配,这时需要大二层技术在跨三层的网络上层叠出一个二层网络来。这个层叠过程抑制了很多广播包,兼顾了传输效率和延伸范围。但当今网络界几大枭雄,任两家的大二层技术都不能互通,无论选择谁,都只能被厂商绑定。
然后,NSX出现了。它的理念非常简单,把整个网络分为两层:底层的物理网络提供所有的服务器之间的IP传输,上层的虚拟化网络提供租户间的隔离,以及租户内的连接。底层网络的交换机变得非常简单,不需要那些高逼格的Features,只需要提供IP和OSPF多路径即可,而这些,只是网络厂商的入门券技术。上层的虚拟化网络,就是NSX要做的事情了。首先,它在底层的IP网络之上再做一层VXLAN封装,将同一租户的几个VXLAN之间路由起来,不同租户的VXLAN是互相看不到的,这就做到了多租户之间的天然隔离。其次,在同一租户内部,它使用的分布式防火墙,在每个虚拟机的虚网卡上生效,即使做同一网段内部的二层隔离,它也游刃有余。
NSX在VMware被称为下一个vSphere,是有足够资本的。vSphere6.0推出了跨vCenter的vMotion,NSX立马推出了跨vCenter的虚拟网络。从现在开始,一个集群要设计多大,一个vCenter要设计多大?您不要拿这些话题来烦恼自己了,因为这无!所!谓!无论您如何设计,大了还是小了,我们可以跨集群、跨vCenter来分配资源,并且把这些跨域的资源分配给同一个租户,互相访问、往来迁移,全都妥妥的。
系统和网络,从来就是一对爱恨交织的兄弟,从前一起加班,一起共用变更窗口。打从服务器虚拟化起,系统的兄弟不加班了,这让网络的兄弟艳羡的很。系统做变更,竟然大白天就大剌剌地把虚机迁走,机器大卸八块来修,下班前把修好的服务器再加电,虚机迁回来,业务不用停,人却撅着个腚飞了。不止如此,最近的KPI会议上,系统部也是领导眼里的红人,他们上了自服务门户,除了领导审批,其他的流程,象虚机申请、虚机交付,都是自动化脚本一气呵成,号称五分钟交付。然后就幸灾乐祸地把应用团队指到网络这边来了,没办法,谁让网络是公共平台呢,得先申请变更窗口吧,最快得一周吧。五分钟和七天一比,这日子没法过了。
关键时刻,又是NSX挺身而出,偶也是软件的,偶也是容器来的,伦家也可以被编程调用的。自此,自服务门户上,用户选了虚机选网络,最后把安全策略也捎上。交付时,虚机交付多快,网络就交付多快。相互隔离的多租户网络,在增加、修改或删除一个租户/应用的网络时,对其他租户毫无影响。和变更窗口说拜拜,晚上有时间约妹子了,哈哈。
这样看来,也只是大烟囱变小烟囱,五十步笑百步而已。NSX的出现,让一个统一的大资源池成为可能。这个统一的资源池,上面可以运行互相不允许访问的几块业务,如开发、测试和生产。NSX可以让共享资源的颗粒度小到虚拟机为单位,而不是传统上的以Host为单位。NSX可以让资源池中甚至任意两个虚拟机之间都互不信任,而不使用一台物理防火墙。可以说,从虚拟化到云计算,网络虚拟化是关键的一步。
NSX只要能传输IP的底层网络,已经让传统的网络厂商大为恼火了(我那些Features卖给谁去?高大上和下里巴还怎么区别?),更别提底层网络设备可以多厂商、多型号组网,这颠覆了以前数据中心组网的特定厂商、特定型号的惯例。更要命的是,传统网络厂商孜孜以求的网络感知虚机,这是NSX的DNA中就自带的,网络虚拟化融合在服务器虚拟化的内核中,这个可是传统网络厂商艳羡也没办法的呀。
