作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

當導入VMware NSX的時候,我們絕對不是僅在導入一個單一的安全方案或單一的網路零件。企業為什麼要考慮網路與安全虛擬化?說真的,最重要的原因之一是要導入自動化,能夠讓IT的系統快速地因應業務方面的變動及需求。試想看看,如果今天企業的業務或是開發、測試環境完全不需要變動,或是幾個月、三年、五年才變動一次,怎麼會有雲、或是自動化的需求呢?或是說在這樣的環境內,企業何必導入這些軟體定義以及虛擬化的方案?資訊單位就照著老方式,買一大堆實體機器,手動去裝機器與作業系統、手動去用Console線連網路設備、手動去改防火牆、加儲存就好啦。

 

但如果業務或資訊環境快速,而且經常性的改變,建立雲或是自動化的環境的效益當然就大幅出現了。這時候一個雲或是自動化的環境可以帶來怎樣的變化呢?

 

  • 當使用單位需要一台或多台機器,可以提出申請並且馬上自動建立
  • 這些機器如果需要獨立的網路作為開發或測試環境,對應的交換器網段以及路由接取也能立即並自動地建立
  • 若需要負載平衡功能,可以自動建立負載平衡器以及對應的設定
  • 所有機器可以自動套用企業的安全規範並納入管控,無需再進行額外的安全設定
  • 各台機器的底層設定如加入AD / DNS整合等等也都能自行建置

 

能夠在軟體層執行,並在雲管理平台下指令時,快速提供相關對應的安全、網路功能,這才是NSX真正在軟體定義資料中心內的價值。目前針對主要銷售的NSX-vSphere 6.1版本,我們能夠搭配的雲平台整合方案主要包括 

 

  • vRealize Automation
  • VMware Integrated Openstack

 

當然因為NSX的每一個動作都有對應的Restful API,照道理說任何一個雲平台、自動化環境都可以依照需求對NSX下達指令,達成網路及安全相關功能的自動建立。但上面的兩個方案已經是完整的產品結合,無須進行額外的客製與整合,對企業來說也當然較容易進行建置與維運。

 

接下來我們針對vRealize Automation (後面改以vRA進行說明) 的整合與大家進行說明。當企業採用vRA時,雲架構師或是資訊業務設計單位會建立藍圖 (Blueprint) 並且發布成為服務目錄 (Service Catalog) 給對應的使用單位。當使用單位需要建立新的機器或是新的系統時,可以到被授權的服務目錄內訂購所需要的項目。由下圖所示:

 

上圖內,當我們要建立一個”系統”時,雲架構師要建立的並非一個單一的虛擬機器藍圖,而會是一個對應到系統的多機器藍圖”Multi-Machine Blueprints”。這個藍圖內除了包括要建置的機器,比如說系統內的Web伺服器、Application伺服器、資料庫之外,同時也還能包括了

 

  • 網路的設計,包含所需求的網段、路由接取、NAT需求,以及各台機器應該放置在哪個網路上
  • 各機器應該要套用的安全政策,或是預先應加上的安全標籤
  • 負載平衡功能的設定

 

雲架構師 (Cloud Admin) 整合了與網路、安全管理者以及由AP、測試Team這邊的需求後可建出這個多機器藍圖並進行發布,接著業務單位 (Cloud Consumer) 當然就可以由發布的Service Catalog內,去要求建置相關的服務。

 

而業務單位發出要求後呢?除了vRA直接告知vCenter產出對應的資訊虛擬機器外,同時也必須與NSX進行連動,發出指令要求建立相關的網路、安全、負載平衡等設定。目前vRA與NSX結合的做法並非直接呼叫,而是由vRA先呼叫vRealize Orchestrator,而Orchestrator對應需要進行的任務Workflow來接取NSX的Restful API。下圖是一些目前Orchestrator內安裝NSX Plug-in後,能夠用來建立網路、安全設定、路由設定的Workflow範例。

 

vRA呼叫上述的這些Workflow進行設定後,各個Workflow再藉由NSX的Restful-API指揮NSX Manager進行相關對應的設定,藉此將用戶所需求之網路或安全功能建置出來。在下圖內顯示vRealize Automation / vRealize Orchestrator / NSX間的連動關係

 

目前要建立vRA與NSX的接取,我們驗證可以正常運作的版本如下:

 

暫時先打住。下一篇網誌我們與大家展示用vRA搭配NSX建立一個完整的三層式業務系統,並且搭配安全與負載平衡機制的建立。