作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

本篇是上一篇網誌:NSX 6.2版功能簡介(一)的第二篇。上篇網誌內我們已經針對跨資料中心的邏輯網路功能做了說明,本篇我們再就Load Balancer新功能、路由機制改進、VM間網路流追蹤及troubleshooting、以及集中化command line介面進行簡要的說明

 

移除對VMtools的倚賴性: 

 

雖然我們一直告知客戶,為了更好的效能、支援性以及可視性,在VMware的環境內虛擬機器一定要裝VMtools,但客戶確實可能會因為不同的考量,而有未安裝VMtools的虛擬機器,或是虛擬機器內具有administrator / root權限的使用者,手動將VMtools移除。

 

在6.1版之前,未安裝VMtools的虛機僅能採用IP的方式來進行防火牆保護,採用vCenter Object的方式,比如說直接選定哪些虛擬機器、哪個vApp、哪個Cluster內的機器,像這樣的做法在沒有VMtools的機器是會失效的(而這些未安裝VMTools的機器就僅會被設定IP的防火牆規則控管)。在6.2版之後,NSX另外支援了自動化的IP探索機制,包括ARP Snooping / DHCP Snooping等等方式來偵測IP位址以及MAC Address的對應,進而確認此IP為只是屬於哪一台虛擬機器。即使在虛擬機器上沒有VMtools或是VMtools服務被停止, 相關安全防護仍然都能正常運作,管理者也同樣可以利用vCenter Object的方式來設定防火牆規則。

 

但要強調的是,如果企業希望要整合第三方的系統防護功能或NSX本身的Activity Monitoring / Data Security功能,也就是會使用到Guest Introspection Module的話,VMtools還是必要的。我們當然還是建議大家在虛擬化環境內,虛擬機器應該一定要安裝VMtool。

 

Edge Service GatewayLoad Balancer的功能改進: 

 

在NSX內有好幾項不同的Edge Service Gateway內之Load Balancer功能改進,像是增加Virtual IP的數目、Health Check的回報寫的更詳盡、與F5 Big-IP的整合等等,但我覺得最重要的是Edge Service Gateway的Load Balancer目前可以支援的服務增加了Port Range的功能。舉例來說,Exchange RPC Client Access除了走TCP 135 Port外,預設還會用6005~59530間的動態選定Port來走。像這樣會需要多個動態Port,需要在一定Port範圍內進行Load Balancer的服務,NSX 6.2版後就可以支援了。

 

路由機制的功能強化: 

 

幾個於路由機制內的新功能簡述如下:

 

  • 靜態路由的admin distance之前一定是1不能修改,現在可以將靜態路由的AD值拉高,支援floating static route功能(用來作為動態路由的備援)。這個功能在Router的Control VM失效,而Standby VM還沒接手時,當動態路由失效,高AD值的static route就會浮出於路由表,避免網路流中斷
  • 之前在Distributed Logical Routing內一定需要1~2個Router Control VM用來做路由協定的交換。在6.2版之後,如果我們在DLR內僅需要靜態路由,此時是可以不要這個Router Control VM的。尤其在像是VIO (VMware Integrated Openstack)或是大型雲環境,但路由協定需求單純的狀況,可以有大量的硬體資源節省
  • 一些機制的改進,比如說Router Control VM的管理介面不要在Routing Updates內送出,show ip bgp內把AS path也顯示出來,等等

 

NSX管理構件間的連線運作偵測 

 

NSX 6.2版可以就NSX Manager / Controller / Control-Plane Agent / Firewall Agent各個構件間的連線是否運作正常進行偵測,管理者可以利用此工具確認是否管理構件間能正常進行連動,或進行必要的troubleshooting作業。

 

VM間的網路流追蹤: 

 

這是用來做troubleshooting的非常棒的功能。NSX 6.2內,我們可以做VM與VM間的網路流追蹤,看到底如果網路連線有中斷,是斷在哪一段。管理者可以利用這個工具作為找問題的第一步,確認網路斷線是停在防火牆、邏輯交換器、邏輯路由器、還是實體網路,再藉此進行下一步的問題判斷。

 

舉例來說,我們可以在Traceflow介面去選擇兩個不同VM的虛擬網卡介面,然後進行網路流的Trace如上圖。而流程內會逐步列出由歷程中的host / 防火牆 / 防火牆規則 / logical switch,然後經過實體網路到達另一台主機,又經過防火牆等到達目的地VM,而在過程當中是在目的地的防火牆規則出現問題。有這樣的工具應該能協助大家快速地進行問題的查找。

 

Command Line介面的集中化: 

 

之前我們必須要到不同的Command Line介面內去下指令進行troubleshooting。其實這邊在使用上並不方便,因為我們在找問題時,可能得要到NSX Manager / 三台不同的Controller / 不同的Edge Service Gateway or Router Control VM / ESXi介面內去進行。但在NSX 6.2內,上述的指令都可以統一在單一介面進行查找:我們僅需到NSX Manager的Command Line內,就可輸入原本在Controller / Edge Service Gateway / ESXi介面內才能查詢的NSX指令。藉由此功能,可大幅減少管理人員進行troubleshooting的時間與複雜性。

 

最後就6.2版NSX的新功能做一個簡單的總結:

 

  • NSX 6.2版主要對應vSphere 6內針對Multi-Datacenter運作提供新的架構,能夠跨越多個資料中心建立全域邏輯網路,進一步達成VM的可遷移性,以及在雙中心 / 混合雲內的使用。
  • 現有網路與Load Balancer的功能強化,並且解除於沒有VMtools時的安全漏洞
  • 提供集中化的網路流追蹤以及troubleshooting介面

 

希望相關介紹讓大家對NSX的新版功能有進一步的理解。