您当前的位置是:  首页 > 资讯 > 文章精选 >
 首页 > 资讯 > 文章精选 >

大咖博闻荟 | NSX多云网络 - 魔术?"小池子" 变"大池子"

2020-04-01 09:13:27   作者:   来源:CTI论坛   评论:0  点击:


  大家好,上一系列文章我们介绍了如何通过NSX实现企业级云安全,如何为云化环境“戴口罩”以及云化环境安全隔离的刚需和必要性。本期带大家进入NSX的魔幻世界,NSX还会变魔术?对,没看错, 今天的文章就来聊一聊NSX如何让您的云化资源池从一个个独立的“小池子”变成融合的“大池子”,实现资源的高效利用和灵活调度,同时保障业务的安全隔离,”口罩“的正确姿势戴起来。节省企业资源池的成本。
  我们首先来看一下当企业演进到多中心多云部署会碰到哪些挑战呢?
  中心内多硬件安全区域,一个个的”小池子“,资源浪费
  资源池被割裂到每个物理隔离的硬件网络区域,烟囱式部署,不同资源池利用率不均,无法跨池进行资源调度,造成忙的池子要等待,要扩容,而闲的池子又不能加以利用,资源浪费。造成这样问题的原因,一方面来源于传统硬件网络的技术为了保证稳定和可用而不得不折中选择”小网络“部署,避免一个池子的网络问题扩散至全网,这也是网络世界让网工又爱又恨的经典”二层“网络问题,STP,后边我们在讨论一下。另一方面就是不同业务间的安全隔离需要将不同池子内部的应用隔离开。难道就没有两全其美的办法?
  多中心多站点池子更难融合
  一个中心内部都是一个个的小资源池,当企业建设多站点时,池子在多站点进一步被割裂,很难实现跨站点的资源调用。而采用传统硬件厂商的多站点”大二层“技术昂贵,复杂,需要特定的网络硬件以及手工的CLI部署,网络割接改造等。另外一个需要考虑的问题?仅仅的二层延伸就可以实现多站点资源池融合嘛?并不足够。一个应用能够对外提供服务,不仅需要二层链接,还需要三层路由,L4-7安全,抗病毒,IPS,SLB服务发布,这些都需要多活部署。而传统硬件方式很难实现。
  站点或者局部故障恢复时间过长
  企业都希望业务能够7*24小时不间断运行,无论是计划内的运维调整,还是计划外的故障,业务的恢复时间太长,而每分钟业务的离线都是昂贵的成本和糟糕的客户体验。
  跨站点跨云安全风险高
  当应用跨站点分布式多活部署时,每个站点都通过硬件火墙实现安全隔离,多中心的安全策略需要手工进行同步,复杂度高,如果跨云部署,甚至采用不同的安全平台或者运维管理工具,应用跨站跨云部署安全策略不能有效实时同步带来潜在的安全隐患。
  而过去几年,一谈到多中心,大家马上想到的一个词儿就是”大二层“,好像大二层就是灵丹妙药,可以解千愁,只要有了大二层打穿两个中心,就能双活?缺的还很多。
  那我们就先谈谈为什么L2二层网络让网工们又爱又恨。
  为何爱?
  • L2网络对比3层路由确实简单,基本可以做到即插即用
  • 一些特定的集群类应用需要2层网络,或者一些应用在开发时就没有考虑到网络,应用必须在一个2层里
  • 过去十年来基础架构演进需要网络提供二层,云化中心需要通过基础架构提供VM的高可用,DRS,这些需要VM在一个二层里才能迁移
  什么是大二层?
  • 我们先谈谈什么不是大二层:)
  • 大二层并不是在一个二层网络容纳更多的业务和vm
  大二层是?
  • Any Subnet,Any L2,Any Workload,anywhere,这个大的意思是灵活延伸,业务任意部署,迁移
  • 减少网络故障域,降低业务影响
  • 提升网络性能,扩展性
  为什么现在95%以上的企业内部二层都大不起来呢?
  • 传统的二层网络协议太魔鬼,STP让网工望而却步
  • 任意交换机,链路故障,导致整网全局影响,业务全网中断。
  • 树形拓扑,一半的带宽失效
  • 排错太难,网络不稳定
  一个中心的网络二层大了都不稳,谁敢在多中心间实现网络2层延伸呢?当然硬件网络厂商在过去10年看到商机,一路以来演进faric,从STP,到vPC,堆叠,M-lag,到Trill,Fabricpath,到现在的BGP EVPN with Vxlan。但是解决的主要是网络问题,很难全面延伸完整应用所需要的L2-7网络,安全环境。
  所以就诞生了如下图右下角一个个隔离的硬件网络,一个个隔离的小池子,同时如刚才介绍,不同的业务需要进行隔离,每个小池子脑袋上要顶个硬件防火墙。之前的文章我们讨论过,这样的安全区域太大,小区内没有任何业务间隔离。
  通过NSX可以完美的解决传统二层网络及安全隔离需求,让小池子变大。
  第一个业务场景,单中心融合资源池
  如下图所示,上边我们谈到了由于传统2层网络以及业务隔离需要,现在企业基本上采用硬件隔离的小网络和小池子的架构,通过NSX可以将一个个独立硬件隔离的小池子融合为一个大池子,通过NSX将整个云化中心实现L2-7的网络,安全虚拟化实现资源池整合,让传统不同安全分区内部的业务可以在大池子内部任意调度,提升资源利用率,同时通过NSX安全微分段”口罩“为每个业务设置安全隔离策略,既安全又高效。
  • NSX通过纯软件实现,无任何硬件依赖性,无需替代企业现有的任何网络设备
  • 提升云化中心内部安全性,不仅实现大区之间的业务隔离,甚至在区域内部可实现业务间东西向安全微隔离,以及分布式抗病毒,IPS等
  • 小池子变大池子,资源高效利用及灵活调度,可为企业IT部分节省投资
  • NSX实现不仅仅是大二层,而是完全应用所需网络环境都”大“了起来
 
  第二个业务场景,多中心融合资源池
  通过NSX纯软件网络及安全虚拟化跨越多站点多云实现网路及安全策略自由延伸,从而实现企业无缝多站点链接,跨站点融合资源池,以及业务的在线迁移、灾难避免和故障恢复。
  通过NSX背后的强大技术,跨中心将每个中心的资源池融合成一个统一资源池,让业务可以在多中心之间分布式部署,提升资源利用率,使得资源甚至可以在多中心间自由迁移,实现站点之间的计划内迁移,灾难避免,以及站点故障的全自动化故障恢复,大大降低RTO故障恢复时间。
  而NSX为企业的应用可提供层次化的多活灾备方案,适用多种场景如下:
  • 业务层双活部署:针对新应用,或者可域名发布多中心的分布式应用,可通过NSX ALB(前AVI云负载均衡)实现多中心业务双活部署,通过AVI GSLB实现业务多活多中心接入,通过NSX实现业务跨中心交付统一的L2-7层安网路及安全策略。当站点或者中心出口故障,通过NSX可将业务在秒级进行切换至第二中心,极大降低业务的RTO故障恢复时间。
  • 基础架构双活部署:对于传统单体应用,无法实现业务级多活部署,通过NSX+VSAN延伸集群跨站实现计算,存储,网络多活延伸,存储同步复制,vsphere/vsan延伸集群保护应用,当站点故障时,业务可自动化恢复至第二中心,实现分钟级RTO,RPO为0无数据丢失,全自动化故障恢复,通过NSX将全栈L2-7网络策略延伸至多中心。
  • 基础架构容灾部署:对于次优先级的应用,可采用SRM+NSX实现存储和网络的容灾部署,通过SRM实现灾备调度,通过底层VR实现存储复制,通过NSX将业务的全栈网络策略延伸至灾备中心,当主站点故障时,可实现全自动化的计算,存储,网络的站点恢复,极大降低RTO故障恢复时间至分钟或者小时级别
 
  第三个业务场景,跨云融合
  VMware与多个公有云提供商合作,构建VMware SDDC全栈onAWS,阿里云,腾讯云,通过云中内置的NSX HCX云间互联方案,帮助企业自由的实现零业务中断的实时业务迁移,同时提供批量业务从企业自建中心向公有云端迁移。同时通过HCX可实现自动化将私有云业务备份至公有云端。实现自动化灾备测试,容灾恢复。
  HCX的独享价值如下:
  • 硬件无关,无需特定硬件厂商的复杂昂贵硬件,云中内置云间互联和迁移方案,无需调整跨云设备的MTU
  • 高性能迁移方案,HCX内置广域网优化,实现加密,去重,压缩,甚至在云间可使用internet线路,无需昂贵的专线云间互联。
  • 无束缚,支持跨云任意的vSphere版本,任意的服务器硬件,CPU,vSphere SSO,任意的网络硬件。
  最后,总结一下NSX多云网络价值:
  • 跨站点跨云融合大资源池,提升资源利用率,打破传统网络壁垒,资源灵活调度及高效利用
  • 100% 纯软件,支持任意底层硬件网络,提供“大2-7层网络延伸” ,简化运维
  • 多层次双活方案适配任意企业应用,灾备一体化自动化降低故障恢复时间,降低灾难影响
  "NSX多云网络节目预告:
  • 基于NSX-T+AVI实现企业双活中心
  • 基于NSX-T多站点容灾方案实现
  • 基于HCX的VMware云际漫游"
  文章来源于企业云网络 ,作者何涛
 
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题

CTI论坛会员企业