VMware NSX网络虚拟化 - NSX电子书-让微分段为您所用·客户案例分享
VMware NSX网络虚拟化设计指南
设计指南 / 3
VMware NSX 网络虚拟化设计指南
当然,也可以提供类似的优势。例如,就像虚拟机独立于底层 x86 平台并允许 IT 将物理主机视为计算容量池一样, 虚拟网络也独立于底层 IP 网络硬件并允许 IT 将物理网络视为可以按需使用和调整用途的传输容量池。与旧式体系 结构不同,可以编程方式调配、更改、存储、删除和还原虚拟网络,而无需重新配置底层物理硬件或拓扑。这种革命 性的联网方法能够与企业从熟悉的服务器和存储虚拟化解决方案获得的能力和优势相匹配,从而可发挥软件定义的数 据中心的全部潜能。 有了 VMware NSX,您就有了部署新一代软件定义的数据中心所需的网络。本文将重点介绍为了充分利用您的现有网 络投资并通过 VMware NSX 优化该投资,您应该考虑的设计因素。
数据板 ............................................................4 控制板 ..........................................................................................5 管理板 ..........................................................................................5 使用平台 ........................................................................................5 功能服务 ........................................................................................5 网络虚拟化设计注意事项 ............................................................................6 物理网络 ........................................................................................6
VMware网络虚拟化技术(NSX)
Without Network Virtualization 60% Asset Utilization
With Network Virtualization 90% Asset Utilization
29
NTT
Transform NTT’s cloud into a common computing platform that accelerates delivery of services and maximizes NTT’s worldwide assets, data centers and carrier-grade networks.
Internet
13
Confidential
A Virtual Network?
14
Confidential
No Change to Workloads
15
Confidential
Programmatically Provisioned
16
Confidential
Services Distributed to the Virtual Switch
17
Confidential
Virtual Network – A complete network in software
18
Confidential
Virtual Network – A complete network in software
19
Confidential
On ANY Network Hardware
30 Terabits per second
Distributed Switching
Distributed Virtual Routing
VMware NSX网络虚拟化 - 解决方案-微分段无比强大且易于添加的七个原因_Intel
普遍性、精确度和动态安全必须融入数据中心的 DNA 中VMware NSX® 网络虚拟化平台可提供诸多突破性益处,微分段便是其中之一。
NSX 可创建一个独立于底层 IP 网络硬件的虚拟网络。
管理员能够以编程方式对复杂网络执行创建、调配、拍摄快照、删除和还原操作,而且这一切都能以软件方式实现。
VMware 将微分段描述为一种“将安全机制植入网络的 DNA 中”的能力。
就好比在分子或细胞级别对植物进行工程设计,使之有能力抵御病虫害。
因为 hypervisor 已在数据中心内广泛分布,所以您可以通过 VMware NSX 在任意位置创建策略来保护任意数据,让安全真正无所不在。
从某种意义上说,物理安全就像戴上手套来防范细菌。
这是外在的、有限的保护措施(如果有人对着您的脸打喷嚏,您可能还是会感冒或染上流感)。
微分段就像是强化数据中心的免疫系统:让“细菌”(即恶意软件)对它无能为力。
或者,如果有漏网之鱼,该系统会在该恶意软件开始扩散之前就将其关闭。
策略绑定到虚拟机,执行效力可向下延伸至虚拟网卡 (NIC),这种精确度是传统的硬件设备无法比拟的。
您也可以使用灵活的参数来定义安全策略,例如虚拟机名称、工作负载类型和客户操作系统类型。
微分段无比强大且易于添加的七个原因1. 无需更换您目前拥有的设施,亦不会对其造成不利影响VMware NSX 可在任意网络硬件上运行,因此您无需购买或更换任何设备。
此外,NSX 不会给您的计算机和网络基础架构或应用造成中断。
2. 降低不断攀升的硬件成本为处理数据中心内日益增多的工作负载量而部署更多物理设备的成本过于高昂。
仅从资金开销的角度衡量,VMware NSX 可以让企业组织的实际开销节省 68%1。
这一节省比例基于以下估算,即 IT 管理员要实现接近微分段的控制力需要多大的物理防火墙开销。
3. 遏制防火墙规则剧增状况数量激增的防火墙规则是安全管理领域里的一个大问题。
年复一年,管理员积攒了不少不必要的和多余的规则,而且无法使用简单的方法来找出哪些规则是不再需要的。
VMware_网络虚拟化平台NSX及其实现
好处
• • • • • 在Hypervisor层实现分布式路由 动态的, 基于API的配置 动态路由– OSPF, BGP, IS-IS Logical Router 支持多租户 支持与物理路由器之间跑动态路由
分布式路由– 灵活实现多租户网络
15
分布式逻辑路由网络
Overview
VM
VM
• 虚拟网络之间实现三层路由互联
Physical or Virtual
逻辑交换网络 分布式交换
优化东西向流量
逻辑路由器
集成于kernal 25,000 CPS 2.5 million Sessions
FW, LB, VPN
分布式防火墙 分布式路由 虚拟网络
Edge Services
VMware NSX Software
软件 硬件
Hypervisor
运维模式
独立于硬件
Create, Delete, Grow, Shrink
应用透明 可编程监控 可扩展
向操作虚机一样管理网络…
6
介绍VMware NSX
L2 Switch
L3 Router
Firewall
Load Balancer
借助NSX实现网络虚拟化
像管理虚机一样管 理网络
软件 硬件
7
网络虚拟化 需求
任意网络硬件
自动化及运营管理
• • • •
本节偏重逻辑交换及路由功能 合作厂商可 扩展性 简单介绍4-7层服 务
•
NetX(VMware Network Extensibility Program )高级集成
32
NSX vSphere优化版组件
使用
CMP
VMware NSX网络虚拟化平台
产品介绍/1VMware NSX™ 是提供虚拟机网络操作模式的领先网络虚拟化平台。
与虚拟机的计算模式相似,虚拟网络以编程方式进行调配和管理,与底层硬件无关。
NSX 可以在软件中重现整个网络模型,使任何网络拓扑(从简单的网络到复杂的多层网络),都可以在数秒钟内创建和调配。
它支持一系列逻辑网络元素和服务,例如逻辑交换机、路由器、防火墙、负载平衡器、VPN 和工作负载安全性。
用户可以通过这些功能的自定义组合来创建隔离的虚拟网络。
• 网络调配时间从数天缩减至数秒• 通过自动化功能提高运营效率• 可独立于物理拓扑分配和移动工作负载• 可以部署在任何虚拟化管理程序上并通过任何云计算管理平台使用• 可通过标准 API 实现与第三方网络和安全解决方案的集成• 通过现有的物理网络或下一代拓扑实现无中断部署数据中心网络连接难题当前网络和安全解决方案极不灵活并且十分复杂,通常是由某个特定供应商提供。
这使实现软件定义数据中心的完全敏捷性成本极为昂贵。
在当前运营模型中,网络调配很慢,并且工作负载分配和移动受物理拓扑和手动调配的限制。
物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上,人为地阻碍了网络体系结构和容量利用率的优化。
手动调配和杂乱无章的管理界面降低了效率,限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。
VMware NSXVMware NSX 通过提供全新的网络运营模型,解决了这些数据中心难题。
该模型突破了当前物理网络障碍并且允许数据中心操作员将敏捷性和经济性提高若干数量级。
VMware NSX 提供了一整套简化的逻辑网络连接元素和服务,包括逻辑交换机、路由器、防火墙、负载平衡器、VPN 、服务质量、监控和安全保护。
这些服务可以在虚拟网络中通过基于 NSX API 的任何云计算管理平台进行调配,并且可以安排在任何隔离和多租户拓扑中。
虚拟网络可以通过任何现有的网络进行无中断部署,并且可以部署在任何虚拟化管理程序上。
VMware NSX网络虚拟化 - 设计指南-VMware NSX for vSphere (NSX-V) 网络虚拟化
VMware®NSX for vSphere (NSX-V) 网络虚拟化设计指南目标受众 (4)概述 (4)网络虚拟化简介 (5)NSX-v 网络虚拟化解决方案概述 (5)控制平面 (5)数据平面 (5)管理平面和使用平台 (6)NSX 功能性服务 (6)NSX-v 功能组件 (7)NSX Manager (7)Controller 集群 (8)VXLAN 入门 (10)ESXi Hypervisor 与 VDS (11)用户空间和内核空间 (12)NSX Edge 服务网关 (12)传输域 (14)NSX 分布式防火墙 (DFW) (15)NSX-v 功能性服务 (21)多层应用部署示例 (21)逻辑交换 (22)多目标流量的复制模式 (23)多播模式 (23)单播模式 (25)混合模式 (26)填充 Controller 表 (27)单播流量(虚拟到虚拟通信) (28)单播流量(虚拟到物理通信) (29)逻辑路由 (32)逻辑路由组件 (33)逻辑路由部署选项 (37)物理路由器作为下一个跃点 (38)Edge 服务网关作为下一个跃点 (38)逻辑防火墙 (40)网络隔离 (41)网络分段 (41)充分利用抽象化 (42)高级安全服务注入、串联和引导 (43)跨物理和虚拟基础架构的一致的可见性和安全模式 (44)通过 NSX DFW 实现的微分段用户场景和实施 (45)逻辑负载均衡 (49)虚拟专用网络 (VPN) 服务 (52)L2 VPN (53)L3 VPN (54)NSX-v 设计注意事项 (55)物理网络要求 (56)简易性 (57)分支交换机 (57)主干交换机 (58)可扩展性 (58)高带宽 (58)容错 (59)差异化服务–服务质量 (60)NSX-v 部署注意事项 (61)NSX-v 域中的 ESXi 集群设计 (62)计算、边缘和管理集群 (62)NSX-v 域中的 VDS 上行链路连接 (64)NSX-v 域中的 VDS 设计 (68)ESXi 主机流量类型 (68)VXLAN 流量 (69)管理流量 (69)vSphere vMotion 流量 (69)存储流量 (70)适用于 VMkernel 接口 IP 寻址的主机配置文件 (70)边缘机架设计 (71)NSX Edge 部署注意事项 (72)NSX 第 2 层桥接部署注意事项 (80)总结 (82)目标受众本文档面向有兴趣在 vSphere 环境中部署 VMware® NSX 网络虚拟化解决方案的虚拟化和网络架构师。
VMware NSX网络虚拟化概览
VMware NSX网络虚拟化概览目录序言 (2)1. VMware NSX网络虚拟化解决方案简介 (2)1.1 VMware服务器虚拟化的前世今生 (2)1.2 服务器虚拟化的优势移植到了网络虚拟化 (8)1.3 NSX解决方案概览 (10)1.4 NSX网络虚拟化应用场景 (14)2.当前主流的Overlay隧道技术 (16)2.1 VXLAN技术 (16)2.2 NVGRE技术 (18)2.3 STT技术 (18)2.4 三种Overlay技术的对比和应用场景 (19)2.5 下一代Overlay技术——Geneve (20)3.各厂商的网络虚拟化解决方案 (22)3.1 Cisco ACI解决方案 (22)3.2 在MicrosoftHyper-V中实现网络虚拟化 (24)3.3 JuniperContrail解决方案 (25)3.4 各厂商网络虚拟化解决方案的比较 (26)4.与VMwareNSX相关的认证 (28)4.1 VMware认证体系简介 (28)4.2 与NSX相关的VMware认证与考试 (30)总结 (31)序言网络虚拟化技术诞生后,有不少厂商都推出了所谓的网络虚拟化解决方案。
这些厂商实现“网络虚拟化”的方式各异,有些是自己研发的项目,有些是通过收购,有些是利用开源项目进行再开发。
而VMware NSX网络虚拟化平台的基本架构到底是怎样的,它与别的厂家有哪些不同?这些问题会在本章进行探讨。
1. VMware NSX网络虚拟化解决方案简介尽管VMware NSX网络虚拟化平台是通过收购Nicira而获得的,但是在收购一年多时间之后,NSX才正式发布。
在这一年多时间里,VMware的研发人员与前Nicira的极客们一起通力合作,将VMware服务器虚拟化平台与Nicira网络虚拟化平台进行了融合,我们现在会发现NSX架构和技术细节(尤其是用于vSphere平台的NSX-V),其实与早期的Nicira NVP平台还是有很大区别,它增加了很多VMware的基因在里面。
Vmwarensx应用
Data Plane Distributed switching, routing, firewall
Physical workloads and VLANS
Until now: Micro-segmentation with NSX
Control Plane NSX Manager
但传统的防火墙架构下 micro-segmentation是不可行的
A typical data center has:
vs …
2 firewalls 1000 workloads
Directing all traffic (virtual + physical) through chokepoint firewalls is inefficient. The inefficiency of “chokepoint” firewalls has been the proliferation of firewall rules with almost certain misconfiguration (admin error) and time/effort of ongoing maintenance
5
Threats can lie dormant, waiting for the right moment to strike.
6
Server-server traffic growth has outpaced clientserver traffic. The attack spreads and goes unnoticed.
Control Plane NSX Manager
Management Plane vCenter
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IlliniCloud 选择了由 VMware 提供支持、以 VMware NSX 为基础构建的软件定义的数据中心。
性,帮助 IlliniCloud 节约了资金。 此外,它还可以使 IlliniCloud 推迟投入硬件资金的时间,因为 VMware NSX 可以在现有的基础架构内使用。
助微分段,FireHost 可以针对租户工作负载调配网络和安
全服务及策略(包括第 2 层和第 3 层的分段和防火墙),
5
提升敏捷性
由于 VMware NSX 以软件形式运作,因此能够更快交付网络和安全服务。
6
JOIN Experience 构建了软件定义的
基础架构,以抢占未来市场
“ JOIN Experience 是一家移动通信市场
网络虚拟化使微分段成为可能
VMware® NSX™ 是适用于软件定义的数据中心的网络虚拟 化平台,可创建独立于底层 IP 网络硬件的虚拟网络。 IT 可以将物理网络视为一个容量传输池。
“网络 hypervisor”与服务器虚拟化模式极为类似,它采 用软件方式重现了第 2 至第 7 层的网络连接服务。 这些服 务可在几秒内组建为任意组合,以生成新的网络配置。 您 能够以编程方式对复杂网络执行创建、调配、拍摄快照、 删除和还原操作。
2
改善安全性
VMware NSX 的微分段可帮助阻止恶意软件在数据中心内扩散。 这也能有效阻止其 扩散到端点。
3
Synergent 改善托管金融服务应用的安全性
Synergent 是一家面向信用合作社行业的 IT 服务机构,该 机构服务于各种规模的客户,从小型信用社一直到全美最大 型的几家信用合作社。 Synergent 需要立即解决几个云计 算网络和安全挑战,不成熟的、专有的硬件定义解决方案对 他们来说不能解决燃眉之急。 他们面临的一个障碍是,许 多核心应用都是基于传统技术的,本质上不是多租户的,换 句话说,它们不适合现代的云计算基础架构。
使用 VMware NSX 微分段的组织能够获得诸多益处:
• 改善安全性 • 提升敏捷性 • 提高灵活性
开发网络 测试 生产
应用 数据库
微分段让您能够保护虚拟机之间及虚拟机与物理主机之间的流 量。 您可以创建并应用安全策略,并向下延伸至虚拟网卡级 别。 策略将自动随工作负载移动,即使物理 IP 地址变化也无 妨。 与采用物理安全方式相比,使用微分段可更容易地将其他 类型的安全产品集成到数据中心。
1. 企业在安全方面持续大举投入。 仅在美国,企业每年总 共要在安全方面花费数十亿美元,并且每年的安全支出 还在显著增加。
2. 攻击不断得逞。 普华永道 (PriceWaterhouseCoopers) 所做的一项全球性调查 显示,普通公司每周会经历两次得逞的攻击。1
3. 攻击造成的损失越来越大。 根据 Ponemon Institute 的调查,公司承受的数据泄露成本也在持续上升。
数据泄露的平均成本
300 万 350 万
美元
美元
2013 年
2014 年
图 1: 2014 年数据泄露成本研究,Ponemon Institute,2014 年
保护边界的复杂安全机制(如物理防火墙)并不足以胜任保 护数据中心。 物理设备无法同时保护所有位置: 在数据中 心的每个角落都安装防火墙无疑过于复杂和昂贵。 一旦恶 意软件突破防火墙,就可以在工作负载之间轻松蔓延。 这 种横向移动之所以能够实现,是由于没有足够的内部网络控 制功能来管控服务器间(东西向)的网络流量。
全、可靠地移动应用。
” — Trever Jackson,Synergent 企业基础架构设计师
4
FireHost 安全云服务保护医疗保健、支付和其他受严格监
并且能在虚拟网络接口强制执行这些策略。 VMware NSX
管行业的安全
为第三方安全服务提供可延展的支持,使 FireHost 能够快
FireHost 负责保护全世界一些最大型公司的敏感数据,其
的关键。 我们曾经试图在硬件级别实现微分
户部署应用,且无需在客户现场部署其他物理基础架构。
段,但很快意识到这不可行。 VMware
利用 VMware NSX 网络虚拟化平台,可以对这些应用进行 远程调配、管理、编排和控制。
NSX 将帮助我们在安全性和敏捷性方面保持 竞争优势,尤其是帮助我们在云环境中安
化平台,并将该平台视为其高度安全的云计算基础架构的重
NSX,我们可部分。 借助 VMware NSX,FireHost 在为医疗保
行必要的移动、添加和更改。 我们是真正的安全云
健、支付和其他受严格监管行业的企业提供安全的代管云服
服务提供商,而这项技术是我们有别于其他提供商的
2
当前的模式已然行不通
网络安全违规事件越来越常见,给人们带来了方方面面的影 响。 从零售业、金融业到医疗保健和政府部门,各行各业 都受到了冲击。 无论是世界上最大型、最复杂的组织,还 是其他规模较小的公司,都深受其害。
数据泄露的成本动辄数百万美元,有时甚至会达到数亿美 元。 这其中可能包括了专家司法鉴定、内部调查、客户丢 失、客户获得率降低以及为加强信任而提供免费的信用或身 份监控订阅的费用。 如果安全违规事件导致宝贵的客户或 员工信息被盗,损失将会不可估量。 光是各种新闻报道就 表明目前的策略已经行不通,还有其他一些数据也支持这一 结论:
速添加高级安全层,以满足客户的各种风险和合规性要求。
中包括一些必须遵从 HIPAA、PCI 和其他法规标准的组
“ 织。 FireHost 希望在网络实现计算虚拟化后,能够扩展已
经实现的自动化和敏捷性。 这家安全代管云提供商正在实施 VMware NSX™ 网络虚拟
VMware NSX 将网络的安全性、配置和逻辑全部 转移到软件中,不再像以前一样受限于僵化的硬件, 这让我们能够塑造自己的环境。 借助 VMware
务时,安全状况得到了改善。
关键。
FireHost 将利用 VMware NSX 的内置安全优势(隔离、 微分段和高级安全服务插入),为客户提供更好的保护,降
” — Jason Rieger,FireHost 首席云计算架构师
低多租户环境中的风险。 VMware NSX 将虚拟网络与虚拟
网络隔离,并且在默认情况下也与底层物理网络隔离。 借
的新晋公司。 该公司在卢森堡拥有 4G 牌照,他们将自己
在 VMware NSX 正式发布之前,我们就制定 了战略决策,即在软件层实现全面智能化,因
定位为“第三代”电信运营商,提供移动和 IT 云计算服
为软件比硬件更易调配。 我们可以动态地创建
务。 该公司的目标是成为业务覆盖欧洲的运营商,进入
不同的资源。 一切都是在软件层中实现的:负
M2M 市场,并为其他移动虚拟运行商提供服务。 为了管理 产品组合并应对未来的增长,他们需要一个灵活稳健的 IT 基础架构。
载均衡、防火墙…… 如果采用物理硬件,肯定 会限制敏捷性。 但借助软件定义的基础架构, 我们可以做更多事情,包括安全性。 例
JOIN Experience 选择了一种尽可能灵活、自适应的基础 架构和底层管理平台。 虚拟化是关键。 他们将目光投向新 一代 VMware 软件定义的解决方案。
VMware 虚拟化和软件定义的解决方案可编排从网络到存 储等各种资源的分配和安全运维。 JOIN Experience 能够 调配所有类型的通信和 IT 云计算服务。 客户可以通过透明
如,VMware NSX 体系可以检测系统中的故 障,隔离相关的虚拟机,使它不能与其他虚拟
机进行通信。
” — Michael Mossal,JOIN Experience 首席信息官
仅仅几周时间,VMware NSX 网络虚拟化就在 IlliniCloud 的生产环境中完成了部署。 VMware NSX 平台使
IlliniCloud 能够将数据中心网络与底层物理硬件分离,从而 获得较大的规模,同时简化网络设计和运维操作。
该部署显著增强了安全性,从而更好地保护在 IlliniCloud 环境中共享、存储和处理的有关学生和学校的敏感数据。 VMware NSX 可提供基于精细策略的微分段,让 IlliniCloud 能够在其数据中心内部实现安全性。
8
它还为 IlliniCloud 现有的物理网络提供了虚拟化所具备的 所有运维敏捷性,以及精确的控制能力。 而且,它与该组 织现有的计算和网络基础架构、应用和安全产品无缝协作。
借助 VMware NSX,IlliniCloud 可以选择需要的硬件,并
“ 按照需要随时随地部署硬件,这大大提高了基础架构的灵活
“ 因此,Synergent 决定采用 VMware NSX 平台独有的基
于策略的分布式防火墙以及第 3 层路由,让他们为信用社客 户托管的金融服务应用实现多租户机制。 借助 VMware
我们从事金融工作,安全对我们来说非常重 要,微分段功能是我们选择 VMware NSX
NSX,无论是现在还是将来,Synergent 都能够为多位客
的单一接口和登录机制,动态地调整其所订阅的服务级别或
类型。
7
学校将节约的 IT 开销用于 孩子和教室
IlliniCloud 是一家非营利机 构,它根据需求向各学区提 供先进的基础架构、计算资源和其他服务。 通过社区云服 务,学区能够以可接受的成本使用新型计算资源,例如虚拟 服务器、在线存储、高速网络连接、关键应用和服务以及灾 难恢复。
“
年全球信息安全状态调查”(Global State of Information Security Survey