作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

直接跳到重點:NSX平台內的網路與安全功能構件請看下面這張圖:

圖說:NSX的功能構件

後續文章會進行更進一步對各構件的細部功能做說明,這邊我們先簡單對各個構件進行解釋:

 

Logical Switch 

 

不僅僅能搭配實體網路以及VMware vDS內的VLAN,NSX可進一步動態建立於虛擬層內的邏輯交換機,提供資料中心內東西向的跨伺服器封包交換。這些邏輯交換機具備下面的特性

 

  • 內建於Hypervisor內
  • 可以橫跨任何一台受NSX控管的伺服器主機,建立於此邏輯交換機上的虛擬機器無論vMotion / HA / DRS到哪一台伺服器主機,都無需變更網段與IP
  • 設定完全與底層網路分離,所有Logical Switch的建立、變更都無需於底層網路設備進行任何異動。你只要在NSX介面按幾個按鈕就好了
  • 沒有如VLAN般的4096個數量限制,Logical Switch的理論值數量超過一千六百萬個,目前在單一vCenter內支援一萬個  (現行vCenter限制)
  • 底層透過不同的封裝協定 (目前主要採用VXLAN),跨L2或甚至L3網段提供伺服器間的虛擬交換器封包交換。並且與之前vCNS內的需求不同,底層網路無需支援Layer-3 Multicast即可支援VXLAN功能提供跨L3網路的溝通

 

Logical Router 

 

NSX方案內提供兩種路由機制:分散式邏輯路由器 (Distributed Logical Router) 提供資料中心內東西向的路由交換,並且直接於各台Hypervisor Kernel內執行。而集中式邏輯路由器 (Edge Router) 則以虛擬機器的形式,提供南北向,也就是虛擬環境對實體環境內的路由交換。特性是

 

  • 這是邏輯路由器,你想要幾台就有幾台。每個業務每個租戶都自己有自己的路由器當然也沒問題
  • 支援Static Route / OSPF / BGP / IS-IS
  • 支援實體網段 (VLAN) 與虛擬網段 (VXLAN) 的路由交換,也支援VLAN到VXLAN間的橋接 (L2 Bridge)
  • 支援Active / Standby的High Availability機制,主路由器失效時Standby路由器會進行接手
  • 設定同樣,只要在NSX介面按按鈕,或是到雲平台上下指令就可以了

 

Logical Firewall 

 

NSX內提供L2~L4的標準防火牆 功能。同樣的,防火牆功能可以直接內建於Hypervisor內,於每個虛擬機器前就提供安全防護,但也可以用虛擬機器的方式提供,提供南北向的邊界防火牆保護。簡單的特性整理

 

  • 這是邏輯防火牆,你想要幾台就有幾台,每個虛擬機器前都等同有防火牆在
  • L2~L4,包含IPv4 / IPv6的防火牆檢查功能
  • 搭配AD進行基於身份識別的防火牆政策
  • 完全可採用虛擬環境或是基於業務群組作為防火牆的來源與目的設定,防火牆規則不再需要藉由IP / Network來進行設定
  • 可將封包轉送給第三方合作廠商的方案,進行L4~L7的安全檢查,比如說IPS / Application Check / Web Inspection等等
  • 無論分散式或集中式防火牆,都可集中於統一介面進行設定,當然不需要一台一台去設摟
  • 封包檢查分散至每台伺服器,且可達到Line-Rate Performance

 

Logical Load Balancer 

 

NSX利用虛擬機器的方式,也提供許多於資料中心內需求的Local Load Balancing功能。包括了

 

  • 這是邏輯負載平衡器不是硬體設備,你想要幾台就有幾台(到底要寫幾遍)
  • L4以及L7的負載平衡功能,包括HTTP / HTTPS / FTP
  • 不同種類的負載平衡機制支援、Session Persistent支援、HTTPS Offload支援、Health Check支援
  • 可以寫Application Rule,如果你很愛寫script的話~

 

Logical VPN 

 

同樣的,NSX利用虛擬機器提供VPN功能,特性為

 

  • 這是邏輯VPN不是硬體設備,你想要幾台就有幾台(啊到底要寫幾遍啊)
  • SSL-VPN (Windows / MAC / Linux Client支援)、IPSEC VPN、L2VPN

 

其他功能:

 

此外其他於資料中心內的網路設備功能包括如DHCP / NAT等當然也包含在NSX方案內摟

 

行文於此,還是要再度強調一下,VMware NSX主打的不僅是功能,更是提供於軟體定義資料中心內的核心網路與安全平台。因此雖然NSX本身已經提供相當豐富完整的功能,企業當然可以依據喜好或需求選擇其他第三方網路或安全方案的產品。比如說安全機制NSX僅提供了L2~L4的防火牆,企業可以搭配Trend-Micro  or Palo-Alto Network的上層檢查與防毒機制;負載平衡的功能若有不足,當然也可以選用與F5的Big-IQ平台進行搭配。

最後,讀者們應該有注意到, 企業在資料中心內主要需求的網路與安全功能,其實在NSX平台上都提供了,而且都是利用軟體建置,沒有要求客戶買額外的硬體盒子。這也是我們在這個專欄一開始就不斷重複與各位說明的概念:在軟體定義資料中心內,需求的功能不再侷限於硬體;當客戶已經建置了所需的硬體資源池與軟體定義資料中心的架構,上層系統所需要的運算、儲存、網路、安全等功能,都可以動態、彈性地依業務需求建立及調整。在NSX平台內可以提供的網路及安全功能會越來越完善,但企業可以在無須購置新的軟硬體與變更系統架構下,直接就享受到更好更完整的相關功能。這樣有沒有讓大家更心動了呢?

下一篇我們會再談NSX內有哪些系統構件 。