面对这些问题,我们今天就和大家来讨论一下如何通过NSX构建下一代虚拟多云网络,实现多云的统一运维管理,如何在多云的环境下实现一致的网络和安全策略。
我们知道,NSX是一个基于SDN的网络虚拟化的解决方案,通过NSX构建虚拟化网络可以不依赖于底层的物理网络架构,同时支持异构的虚拟化环境。我们可以通过NSX的控制台非常方便的创建网络中涉及的所有的网络功能,包括分布式路由、虚拟交换机、防火墙、IDPS、负载均衡等,这些功能组件,全部可以采用软件方式实现,在云中提供了L2-L7的网络服务,并且支持企业内部任意多样化的应用部署形态。
接下来,我将通过几个业务场景来给大家介绍一下如何通过NSX构建下一代虚拟化多云网络。这些典型的业务场景包括:
- 融合资源池多云网络,这包括融合数据中心内部不同区域以及跨数据中心资源池的融合
- 跨站点双活容灾多云网络
- 云间的工作负载迁移以及网络延伸
融合资源池多云网络
那我们接下来看一下,如何通过NSX在数据中心内部以及在多个数据中心之间融合多个资源池,构建一个统一融合的大资源池,业务在融合的资源池内部迁移的时候,无需改变IP地址和安全策略,并且可以将这些应用部署在数据中心中的任意位置,同时统一网络和运维管理。
要融合不同功能的资源池,将小资源池变成一个大的资源池,首先需要提供一个二层的网络,因为二层网络更加灵活,即插即用,但是很多企业采用的是传统的三层网络架构,如果在这种网络架构上实现传统的二层网络非常复杂,在这里也简单介绍一下传统的二层网络技术。最早实现二层网络的技术是基于VLAN的,要考虑到网络的冗余,使用了一个老掉牙的STP,对于使用过这个技术的工程师来说,这是一个不可维护的方案,网络收敛速度慢,而且在二层还要阻塞交换机的端口来保证二层网络无环路,现在这种技术几乎没人使用。
另外一种就是采用物理交换机的虚拟化,可以实现横向和纵向的虚拟化,让一张网络变成一个大的虚拟的交换机,采用这种方案,底层物理网络必须采用同一厂商网络设备,在要求异构的网络架构中,这种方案是不可取的。
还有一种就是采用fabricpath或者类似于OTV这些厂商私有的技术,但是传统物理网络厂商设备都不具备这种能力,所以要将资源池二层网络打通,必须将所有的网络设备替换掉,风险极高,因为这些网络还可能承载其它非常重要的业务。
NSX是一个纯软件的解决方案,它利用了overlay的技术,以现有的物理网络为基础或不改变现有的物理网络架构,可以非常方便的实现二层网络的需求,从而将各个资源池所需的二层网络打通,将小的资源池变成一个融合的资源池,工作负载可以部署在任意一个位置,同时NSX也使用RSS、TSO和DPDK来提升网络整个性能,从而构建了一张高性能的融合资源池网络。另外,我们还可以通过NSX的分布式防火墙来实现业务系统之间安全隔离,通过NSX高级负载均衡来满足工作负载所需要的负载均衡的需求。如下图所示:通过NSX将不同的区域的网络整合为融合的资源池,将小的资源池变成了大的资源池。
跨站点双活容灾多云网络
业务的连续性对企业至关重要,而采用传统网络构建双活容灾网络非常复杂,在网络上需要考虑的因素也比较多。传统双活灾备数据中心面临以下几个问题:
- 在灾备的场景中,数据中心地位不均等,包括生产中心和备中心,备中心只有生产中心故障的时候才启用,造成投资浪费。
- 维护成本高,每次生产中心网络、安全和负载均衡策略变更时,备中心需要同步更改,这些更改配置无法自动同步到备中心,造成数据中心的配置不一致。
- 切换时间长,当生产中心业务出现故障后,业务切换到备中心需要几个小时的时间,无法满足RTO和RPO的需求。
那么通过NSX如何来构建这些跨站点的云间互联网络呢?这里我们提供了几种方案,分别适用于中小规模数据中心、超大规模数据中心以及异构数据中心网络的业务场景。
在中小规模的多数据中心场景中,我们使用NSX multi-site方案,下图是multi-site的方案的架构。
在这个网络架构中,同样与底层物理网络架构解耦,无需修改底层物理网络,可以通过软件定义的方式,将分布式路由、分布式逻辑交换机和分布式防火墙延伸到多个站点,这些站点由统一的控制器进行网络的配置,并将网络安全配置下发到应用所运行的地方,多个数据中心提供统一的网络和安全策略。
在双活容灾的场景中,采用NSX multi-site将业务部署到两个数据中心,在下图中,我们可以让蓝色网段的业务南北向流量走站点A,绿色网段的业务流量南北向走站点B,跨数据中心以及数据中心内部的东西向流量不走NSX Edge边界网关,实现跨数据中心二层互通,业务跨站点部署,统一资源池,两个数据中心互为备份。同时与SRM集成,通过SRM提供保护组和恢复计划,对一些关键的业务实现容灾,自动化跨站点映射网络,实现一键式容灾,无需对底层物理网络进行修改。对于一些通过域名发布的业务,我们可以在每个站点部署NSX ALB GSLB来实现业务在不同站点的双活,将来自客户端的请求流量发送的离客户端最近数据中心。
第二个多云跨站点的虚拟网络解决方案是采用NSX federation方案,适合于超大规模的数据中心的云间互联。下边将介绍一下NSX federation方案。
NSX federation提供了超大规模数据中心云间互联网络,实现一致的网络和安全策略。在多数据中心的场景下,每个数据中心都有一个独立的控制平面,即在每个数据中心都有各自的NSX管理器,网络管理员可以通过本地的NSX管理器来管理本地的网络资源,可以创建分布式路由或者每个本地业务所需要的安全策略。对于这种方案,除了在每个站点部署各自的管理平面以外,还需要一个全局的NSX管理器,通过一个全局的NSX管理器,我们可以创建全局的网络资源,可以将二层网络延伸,全局的分布式路由以及全局的网络安全策略,这时我们可以将业务虚拟机连接到全局的对象上,实现跨数据中心的网络二三层网络互联。我们通过全局NSX管理器,简化的多云数据中心的运维管理。在federation的方案中,我们不需要修改数据中心物理网络互联的MTU,就可以将业务延伸部署到任意的一个数据中心里。
在NSX federation的方案里,我们可以将多个云数据中心划分为逻辑的Region,并且可以逻辑的划分不同租户,每个租户可以跨数据中心部署,并且实现租户级别的安全隔离以及虚拟机网卡级别的安全隔离,非常灵活。
另外,NSX federation在每个站点都有各自的edge设备,主要负责每个数据中心南北向的流量输导,在这个方案中,提供了非常方便的流量控制措施,满足不同应用场景对流量的需求,对于同一个网段的流量,在nsx multi-site方案中,大多数情况下只能在一个站点出入,而在federation方案中,我们可以实现跨不同地址位置的云数据中心中同网段的流量本地出,优化了网络流量的路径。如下图所示,在每个数据中心T0运行在active/actives模式,而位也运行在primary/primary模式,这样,每个数据中心的edge都承载流量。
前面介绍的两个跨云方案,数据中心云间网络以及云内网络采用的都是NSX,那么如果其中一个数据中心的云网络采用NSX,而另外一个数据中心已经采用了其它厂商的网络方案,我们是否可以实现跨异构厂商的云间网络互通呢?答案是可以的。我们可以采用BGP-EVPN来实现和其它厂商的网络对接,实现云间互联。
通过在NSX T0 Gateway与其它厂商的边界建BGP-EVPN邻居关系,可以将NSX里的租户的路由传递给其它厂商的租户网络里,使得同一个租户可以跨异构厂商的网络进行互通,同时可以实现租户之间的隔离。当在NSX中有很多租户的情况下,我们只需要在NSX T0 Gateway上配置一个BGP邻居关系即可,可以传递所有类型5的路由信息,实现租户内部跨云互通。
云间工作负载的迁移
现在我们已经可以通过NSX multi-site或者NSX federation方案来构建一个多云的互联网络,那么我们接下来面临的问题是如何将工作负载从一个云数据中心迁移到另外一个云数据中心来重新平衡工作负载,或者将工作负载从私有云平滑的迁移到公有云做容灾或者临时的云突发。这里我们有几个业务场景,比如本地数据中心vsphere版本为6.0,而远程数据中心为vsphere7.0,或者本地数据中心为KVM环境,而远程数据中心为vsphere环境;或者本地数据中心为vsphere环境,而远程数据中心是阿里的公有云VMware On Ali,这是一种混合云的架构。在这几个业务场景当中,要让工作负载在不同的站点之间平滑迁移基本是不可能的,因为云的技术栈完全不一样。而VMware HCX可以打破对VMware技术栈的依赖,实现了一套工作负载的云间迁移方案,除了可以实现云间迁移,还可以实现云间的二层网络延伸。
如上图所示,我们可以通过VMware HCX来实现跨多个云启用动态资源池,我们可以将传统数据中应用迁移到私有云或者将私有云的业务迁移到公有云,或者在公有云之间进行迁移。
采用HCX进行工作负载迁移,将有多种迁移模式,比如采用vmotion按序在线迁移,也可以使用RAV实现批量的工作负载在线迁移等等,并且在迁移的过程中,在云间建立隧道,可以迁移的数据加密、云重、压缩以提升迁移的效率。
对于HCX解决方案来说,至少要有两个站点,站点之间可以使用Internet,也可使用专线互联。下图是一个HCX的架构图,在迁移的目标站点必须采用NSX,而对于源站点NSX是选的。
要实现云间工作负载迁移的能力,必须在源和目的站点之间部署HCX组件来和对端数据中心形成对等关系。这些组件的作用如下:
- HCX-IX:它提供了高性能、安全和优化的多云连接,使用VMware VR、vMotion和NFC(Network File Copy)协议提供虚拟机的迁移能力,可以实现在线批量虚拟机迁移;
- HCX-NE:实现在数据中心之间的二层扩展能力,实现未迁移和已迁移的工作负载二层互通,同时提供移动优化的网络能力,即MON;
- HCX-WO:HCX广域网优化通过应用广域网优化技术(如重复数据消除、压缩)改善广域网的性能,并且进行数据传输的加密;
除了这些,HCX还通过复制技术实现了跨云工作负载的容灾,即可以实现将关键应用保护到云上,当云下工作负载故障,云上的工作负载副本自动启动,实现了业务的无缝切换。同时HCX还能与SRM集成,SRM制定恢复计划,将HCX中配置的保护组应用到SRM的保护组中,那么在源站点没有部署NSX的时候,也能将公有云或远程数据中心做为容灾站点。
以下是几个常用的HCX的应用场景,由于篇幅所限,不过多介绍,只列出相应的业务场景。
- 不同 vsphere版本的私有云之间工作负载迁移
- 将私有云的工作负载迁移到公有云,并使用公有云做容灾
- 从传统数据中心(没有部署NSX)将工作负载迁移到私有云或公有云
- 传统虚拟化环境转切换到VMware VCF
- 将KVM/Hyper-V环境的虚拟机迁移到VMware虚拟化环境
- 将NSX-V迁移到NSX-T的环境
- 将工作负载从公有云迁移到公有云,以平衡工作负载
- 在源数据中心没有NSX的情况下,实现云间的二层网络延伸能力
总结
企业多云环境将是企业数字化转型的标配,在多云的环境中,可以通过NSX来实现云内网络和云间网络的连接,使多个孤立的小型的云融合为统一的资源池,同时可以提供跨不同类型的云的网络容灾,除了云内和云间网络连接能力,HCX还提供了云间工作负载迁移的能力,在不同技术栈的云之间搭建云梯,实现不同技术栈的云间的工作负载的迁移,实现应用的上云。VMware NSX和HCX的结合将成为未来云网络连接的首选解决方案,实现简单,软件定义、高效、灵活。
end
诚邀您参加我们于 3 月 26 日下午 14:30 举办的 “VCN虚拟云网络” 网络论坛。在本次论坛中,网络和安全资深架构师张浩先生将采取一种简单而实用的方式,详细介绍通过 NSX 构建下一代虚拟多云网络方案。
