vmware NSX介绍

内容摘要简介 (3)文档的目标读者和目的 (3)解决方案概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 VMware NSX 网络虚拟化平台概述 (3)Palo Alto Networks 新一代防火墙概述 (5)NSX 体系结构组件 (6)VMware NSX 体系结构 (6)数据平面 (6)控制平面 (6)管理平面 (6)使用平台 (6)NSX for vSphere 的功能性服务 (6)NSX 分布式防火墙保护 (7)网络隔离 (7)网络分段 (7)Palo Alto Networks 解决方案组件 (8)VMware NSX 与 Palo Alto Networks 如何集成 (9)高级安全服务注入、串联和引导 (9)Panorama 服务注册和 VM 系列部署 (9)Service Composer/安全组和动态地址组 (10)流量引导. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 VMware NSX 和 Palo Alto Networks 使用情形 (13)使用情形 1：具有跨层高级保护功能的 VXLAN 分段 (13)使用情形 2：具有防恶意软件保护功能的多层应用的微分段 (16)使用情形 3：企业多区域安全性（PCI、生产和开发区域） (18)使用情形 4：弹性应用的缩减/扩展 (19)流量可见性和运维效率 (21)解决方案优势. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23结束语 (24)参考案例 (24)简介本文档面向有意基于采用 Palo Alto Networks® 新一代防火墙和服务的 VMware® 网络虚拟化解决方案来部署云计算和软件定义的数据中心 (SDDC) 体系结构的虚拟化、安全性和网络架构师。

NSX断路器1. 简介NSX断路器是一种虚拟化网络技术，由VMware公司开发。

它提供了一个分布式的、基于软件的网络虚拟化平台，可以将网络和安全服务与基础设施解耦，并提供一整套的网络安全策略。

NSX断路器的设计理念是将网络规则管理从物理网络中解耦，通过将网络功能转移到软件定义网络（SDN）中实现网络虚拟化。

通过将网络功能抽象为软件，NSX断路器可以提供更高的灵活性和可伸缩性，并提供更好的网络安全性。

2. 功能特性2.1 虚拟网络划分NSX断路器允许将物理网络划分为多个虚拟网络，每个虚拟网络都可以有自己的路由和安全策略。

这种虚拟网络划分的方式可以有效地将不同的用户、不同的应用或不同的业务隔离开来，提供更好的网络性能和安全性。

2.2 分布式逻辑防火墙NSX断路器内置了分布式逻辑防火墙，可以通过规则和策略来保护虚拟网络中的应用和数据。

这使得网络安全管理更加灵活，可以根据应用的特点制定相应的安全策略，而不是依赖于物理设备的限制。

2.3 负载均衡NSX断路器还提供了负载均衡功能，可以将传入的请求分发到后端的多个服务器上，实现负载均衡和高可用性。

这种负载均衡的方式可以提高应用的性能和可靠性，同时也减轻了服务器的负载压力。

2.4 VPN连接NSX断路器支持虚拟私有网络（VPN）连接，可以通过建立安全的隧道连接来连接不同的虚拟网络，或连接虚拟网络与物理网络。

这种VPN连接的方式可以实现跨网络的通信，并提供了更高的网络安全性。

3. 部署和配置NSX断路器的部署和配置相对简单。

首先需要安装和配置NSX断路器的控制节点，然后配置物理网络和虚拟网络的连接，并设置相应的网络规则和安全策略。

3.1 安装控制节点安装控制节点是部署NSX断路器的第一步。

控制节点负责管理整个NSX断路器的功能，并提供网络和安全服务的管理接口。

安装控制节点需要根据VMware的官方文档进行相应的配置和操作。

3.2 配置网络连接配置物理网络和虚拟网络的连接是部署NSX断路器的关键步骤。

产品介绍/1VMware NSX™ 是提供虚拟机网络操作模式的领先网络虚拟化平台。

与虚拟机的计算模式相似，虚拟网络以编程方式进行调配和管理，与底层硬件无关。

NSX 可以在软件中重现整个网络模型，使任何网络拓扑（从简单的网络到复杂的多层网络），都可以在数秒钟内创建和调配。

它支持一系列逻辑网络元素和服务，例如逻辑交换机、路由器、防火墙、负载平衡器、VPN 和工作负载安全性。

用户可以通过这些功能的自定义组合来创建隔离的虚拟网络。

• 网络调配时间从数天缩减至数秒• 通过自动化功能提高运营效率• 可独立于物理拓扑分配和移动工作负载• 可以部署在任何虚拟化管理程序上并通过任何云计算管理平台使用• 可通过标准 API 实现与第三方网络和安全解决方案的集成• 通过现有的物理网络或下一代拓扑实现无中断部署数据中心网络连接难题当前网络和安全解决方案极不灵活并且十分复杂，通常是由某个特定供应商提供。

这使实现软件定义数据中心的完全敏捷性成本极为昂贵。

在当前运营模型中，网络调配很慢，并且工作负载分配和移动受物理拓扑和手动调配的限制。

物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上，人为地阻碍了网络体系结构和容量利用率的优化。

手动调配和杂乱无章的管理界面降低了效率，限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。

VMware NSXVMware NSX 通过提供全新的网络运营模型，解决了这些数据中心难题。

该模型突破了当前物理网络障碍并且允许数据中心操作员将敏捷性和经济性提高若干数量级。

VMware NSX 提供了一整套简化的逻辑网络连接元素和服务，包括逻辑交换机、路由器、防火墙、负载平衡器、VPN 、服务质量、监控和安全保护。

这些服务可以在虚拟网络中通过基于 NSX API 的任何云计算管理平台进行调配，并且可以安排在任何隔离和多租户拓扑中。

虚拟网络可以通过任何现有的网络进行无中断部署，并且可以部署在任何虚拟化管理程序上。

VMware NSX网络虚拟化概览目录序言 (2)1. VMware NSX网络虚拟化解决方案简介 (2)1.1 VMware服务器虚拟化的前世今生 (2)1.2 服务器虚拟化的优势移植到了网络虚拟化 (8)1.3 NSX解决方案概览 (10)1.4 NSX网络虚拟化应用场景 (14)2．当前主流的Overlay隧道技术 (16)2.1 VXLAN技术 (16)2.2 NVGRE技术 (18)2.3 STT技术 (18)2.4 三种Overlay技术的对比和应用场景 (19)2.5 下一代Overlay技术——Geneve (20)3．各厂商的网络虚拟化解决方案 (22)3.1 Cisco ACI解决方案 (22)3.2 在MicrosoftHyper-V中实现网络虚拟化 (24)3.3 JuniperContrail解决方案 (25)3.4 各厂商网络虚拟化解决方案的比较 (26)4．与VMwareNSX相关的认证 (28)4.1 VMware认证体系简介 (28)4.2 与NSX相关的VMware认证与考试 (30)总结 (31)序言网络虚拟化技术诞生后，有不少厂商都推出了所谓的网络虚拟化解决方案。

这些厂商实现“网络虚拟化”的方式各异，有些是自己研发的项目，有些是通过收购，有些是利用开源项目进行再开发。

而VMware NSX网络虚拟化平台的基本架构到底是怎样的，它与别的厂家有哪些不同？这些问题会在本章进行探讨。

1. VMware NSX网络虚拟化解决方案简介尽管VMware NSX网络虚拟化平台是通过收购Nicira而获得的，但是在收购一年多时间之后，NSX才正式发布。

在这一年多时间里，VMware的研发人员与前Nicira的极客们一起通力合作，将VMware服务器虚拟化平台与Nicira网络虚拟化平台进行了融合，我们现在会发现NSX架构和技术细节（尤其是用于vSphere平台的NSX-V），其实与早期的Nicira NVP平台还是有很大区别，它增加了很多VMware的基因在里面。

5.1 NSX逻辑路由详解105●基于三层QoS选择流量的优先级；●将本地消息发送至传输层。

这些功能本应都由路由器来提供，而现在我们有了NSX平台，NSX的逻辑路由功能取代了物理路由器，将处于不同逻辑二层子网中的终端连接起来。

负责逻辑路由功能的NSX 组件称为NSX逻辑路由器，它分为分布式逻辑路由器和Edge路由器。

本节将对NSX逻辑路由器功能进行详细阐述，读者也可以与之前章节讲解的NSX分布式逻辑交换机进行对比，看看它们在处理流量转发的过程中，有什么区别。

5.1.1 NSX逻辑路由概览NSX逻辑路由器可以很容易将本该属于不同独立网络中的设备、终端连接起来，而通过将越来越多的独立网络连接到一起，网络规模将变得更大（参考运营商网络）。

由于NSX 网络虚拟化平台可以在这种超大规模的网络上实现一套独立的逻辑网络，因此NSX平台非常适合应用在超大规模数据中心或运营商网络中。

在NSX Manager中可以使用简化的UI来配置逻辑路由器，这非常便于配置和维护，在这里可以使用动态路由协议对NSX逻辑路由进行发现和宣告的操作，当然也可以使用静态路由。

控制平面仍然运行在NSX Controller集群中，而数据平面交给ESXi主机的Hypervisor来处理。

换言之，在虚拟化平台内部就可以进行各种路由操作，包括路由算法、邻居发现、路径选择、收敛等，而无需离开虚拟化环境，在物理网络平台中进行处理。

有了NSX逻辑路由功能，就可以方便地在逻辑的三层网络中，为路由选择最佳路径。

此外，NSX逻辑路由还能更好地实现多租户环境，比如在虚拟网络中，不同的VNI中就算有相同的IP地址，也可以部署两个不同的分布式路由器实例，一个连接租户A，一个连接租户B，保证网络不会发生任何冲突。

NSX Manager首先配置了一个路由服务。

在配置过程中，NSX Manager部署了一个控制逻辑路由的虚拟机（DLR Control VM）。

它是NSX Controller的一个组件，支持OSPF与BGP协议，负责NSX-V控制平面中的路由工作，专门用来处理分布式路由。