Jak wdrożyć VMware NSX w istniejącym środowisku?

Dodane 16/11/2016 by blogsadmin
OŚWIADCZENIE: ten artykuł jest starszy niż jeden rok i może nie być aktualny w przypadku ostatnich wydarzeń lub nowo dostępnych informacji.

Emil Gągała, EMEA SDDC Network Virtualization & Security Pre-Sales Architect, VMware

VMware NSX to rozwiązanie typu SDN (Software Defined Networking), którego podstawową funkcją jest wirtualizacji sieci oraz zabezpieczenie środowisk wirtualnych. Udostępnia typowe elementy sieciowe takie jak przełączniki, routery, load balancery, firewalle i VPN, doskonale znane ze świata fizycznego, dla środowiska maszyn wirtualnych. Przy czym wszystkie funkcje sieciowe realizowane są w postaci wirtualnej jako oprogramowanie zintegrowane z VMware vSphere.

Korzyści oferowanych przez VMware NSX jest wiele. Dotyczą one zarówno zwiększenia bezpieczeństwa środowiska wirtualnego, jak i optymalizacji czynności związanych z dostarczaniem nowym usług sieciowych poprzez ich automatyzację. Dzięki NSX możemy zapewnić mobilność IP naszych aplikacji oraz zwiększyć niezawodność lokalizacji naszego Data Center. Jeśli decyzję “Czy NSX?” mamy za sobą, to kolejne, naturalne pytanie jakie się pojawia, to “Jak wdrożyć NSX?”. W sposób możliwie najprostszy, nieinwazyjny, przy jak najmniejszych zmianach w istniejącym środowisku.

Jest to pytanie, które bardzo często pojawia się w rozmowach z naszymi klientami, którzy zaczynają swoją przygodę z NSX i zbierają pierwsze doświadczenia. Większość, szczególnie w przypadku krytycznych aplikacji wymagających zachowania ciągłości pracy, oczekuje raczej podejścia ewolucyjnego niż rewolucyjnego. I takie też może być wdrożenie NSX.

Możliwe są dwa podstawowe scenariusze. Pierwszy, to podejście ograniczające implementację NSX tylko i wyłącznie do funkcji związanych z bezpieczeństwem, w szczególności z rozproszonym firewallem. Drugi scenariusz, to pełne wdrożenie NSX, obejmujące potencjalnie wszystkie dostępne funkcjonalności, w szczególności również wprowadzenie sieci nakładkowych.

Wdrożenie NSX w modelu „tylko bezpieczeństwo”

Zaletą pierwszego podejścia jest brak konieczności dokonywania jakichkolwiek zmian w istniejącej konfiguracji sieci L2/L3. Cała konfiguracja VLAN’ów, routingu, punktu styku z siecią zewnetrzną pozostaje niezmieniona.

W tym modelu na hostach ESX instalowany jest tylko moduł rozproszonego firewalla. Instalacja i uruchomienie rozproszonego modułu firewalla nie powoduje przerwy w pracy maszyn wirtualnych, ponieważ firewall jest skonfigurowany z domyślną polityką akceptującą cały ruch. Dopiero w kolejnym kroku administrator NSX dokonuje wdrożenia pożądanych polityk bezpieczeństwa, modyfikując politykę domyślną.

egagala01_1

Przy tym modelu wdrożenia, jedyne komponenty NSX, które są wymagane to NSX Manager i moduły VIB rozproszonego firewalla instalowanie bezpośrednio w kernelu wirtualizatora ESX. Cała istniejącą konfiguracja sieciowa pozostaje bez zmian.

Pełne wdrożenie NSX

Drugi model, to model pełnego wdrożenia NSX, który zakłada uruchomienie sieci nakładkowej. Przy tym podejściu mamy możliwość korzystania nie tylko z dobrodziejstw mikrosegmentacji, ale również z rozproszonego routingu, możliwości rozciągania sieci L2 z wykorzystaniem komunikacji L3 w ramach jednej lub pomiędzy kilkoma lokalizacjami fizycznymi.

egagala01_2

To podejście wydaje się pozornie bardziej skomplikowanie. W rzeczywistości prowadzi do uproszczenia konfiguracji sieci i usług, poprzez klarowną separację infrastruktury sieci fizycznej i wirtualnej. W tym scenariuszu wymagane jest wcześniejsze jednorazowe przygotowanie transportowej sieci fizycznej do realizacji wirtualnych sieci nakładkowych.

Jak w kilku prostych krokach może wyglądać wdrożenie pełnego rozwiązania NSX?

Krok pierwszy to konfiguracja podkładowej sieci transportowej (zwiększenie MTU, zapewnienie komunikacji IP między końcami tuneli VXLAN).
Krok drugi to instalacja modułów NSX. W tym przypadku oprócz NSX managera, przygotowujemy również klaster kontrolerów NSX oraz instalujemy w kernelu ESX moduły VIB nie tylko odpowiedzialne za firewalla, ale również za przełączanie i rozproszony routing.
W kolejnym kroku konfigurujemy logiczne parametry sieci VXLAN (adresacja IP, pule VNI), po to żeby przygotować sieć transportową L3.
Po tym kroku mamy już gotową instalację NSX i możemy zacząć konfigurację wirtualnych sieci logicznych VXLAN. Nasze maszyny wirtualne są jednak cały czas podłączone do zwykłych sieci VLAN.

W jaki sposób przełączyć teraz maszyny wirtualne podłączone do sieci VLAN i podpiąć je do logicznych przełączników NSX VXLAN? Z pomocą przychodzi tutaj kolejny komponent NSX – L2 bridge. Dzięki temu elementowi możemy połączyć istniejące w naszej sieci VLAN’y z nowo utworzonymi podsieciami VXLAN. Przełączenie maszyny wirtualnej z tradycyjnej sieci do domeny VXLAN, to proces który gwarantuje ciągłość pracy i nie wymaga żadnych przerw. Co więcej, taki wspólny segment L2 VLANVXLAN jest przezroczysty z punktu widzenia maszyn wirtualnych, które „widzą” go jak zwykły segment Ethernet. Takie połączenie może być wykorzystane nie tylko w trakcie migracji maszyn wirtualnych, ale również do połączenia serwerów fizycznych (bare metal serwer).

Efektem końcowym tego kroku jest przepięcie wszystkich maszyn wirtualnych do logicznych przełączników NSX kontrolowanych przez klaster kontrolerów NSX. W kolejnym etapie przygotowujemy konfigurację zarówno rozproszonego routera (Distributed Logical Router) jak i routera brzegowego NSX (Edge).
Większość naszych klientów wymaga zachowania dotychczasowej adresacji IP maszyn wirtualnych, dlatego naszą nową bramą domyślną będzie rozproszony router DLR. Na tym etapie mamy również możliwość uruchomienia dynamicznego routingu między routerem rozproszonym a routerem brzegowym.
Przeniesienie adresu IP domyślnej bramy z dotychczasowego urządzenia fizycznego (routera, przełącznika L3 lub firewalla) do rozproszonego routera NSX to jedyny etap w trakcie całej migracji powodujący przerwę w ruchu.
Sam proces konfiguracji rozproszonego firewalla przy pełnym wdrożeniu NSX odbywa się dokładnie tak samo, jak w przypadku pierwszego, uproszczonego modelu implementacji.
Na tym etapie mamy już gotową instalację NSX z przygotowanymi elementami sieci logicznej L2, rozproszonego firewalla, rozproszonego i brzegowego routera. Możemy przystąpić do konfiguracji pożądanej polityki bezpieczeństwa dla naszego środowiska wirtualnego.

O tym, jak to zrobić oraz jakie narzędzia mogą nam w tym pomóc w następnym odcinku.

Bardziej szczegółowe rozważania dotyczące obu modeli wdrożenia NSX można znaleźć tutaj >

Chcesz się dowiedzieć więcej o rozwiązaniu VMware NSX? Zarejestruj się na nasze webinaria >


Kategoria: Aktualności

Tagi: , ,

Podobne artykuły

Dodane 08/08/2019 przez VMwarePOL

5 zasad udanej migracji do chmury obliczeniowej

 Po wielu latach rynkowej debaty, firmy pogodziły się z myślą, że aplikacje mobilne i środowiska chmurowe to dzisiaj biznesowy niezbędnik. Sam cloud computing to nieoderwalny element strategii cyfryzacyjnej każdej organizacji. Według badań Taneja Group, ponad 65 proc. firm na świecie już teraz część swoich danych i systemów przechowuje w chociaż jednej chmurze publicznej. Obecnie podstawowe […]

Dodane 15/02/2017 przez blogsadmin

Unikalne funkcjonalności VMware NSX – Część 1: Natywne szyfrowanie ruchu Ethernet.

Piotr Jabłoński, Senior Systems Engineer, VMware Nikt nie chciałby, aby ktoś niepowołany mógł zmienić nasze dane, zrobić ich kopię lub je podsłuchać. Dotyczy to zwłaszcza danych przesyłanych między ośrodkami obliczeniowymi. Nie każdy ma własne światłowody, a nawet jeśli, to i tak nie gwarantuje to uniknięcia wycieku danych. Zdarza się, że przy łączeniu data center ze […]

Dodane 28/05/2020 przez VMwarePOL

Zarabiaj więcej dzięki VMware Cloud Foundation

Nick Cross, wiceprezes SDDC EMEA Popyt na lepsze, szybsze i bardziej zaawansowane usługi sprzyja rozwojowi aplikacji. Liczba aplikacji w 2023 roku przewyższy liczbę aplikacji, które powstały przez cztery ostatnie dekady. Coraz częściej widzimy, jak organizacje błyskawicznie wdrażają nowe usługi, by reagować na zmieniające się potrzeby biznesowe. Wymaga to kompleksowej, ale i elastycznej infrastruktury IT, ponieważ organizacje cały […]

Komentarze

Brak komentarzy

Dodaj komentarz

Your email address will not be published.

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy