作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

常會被問到 VMware NSX與之前的vCNS (vCloud Networking and Security) 的功能比較,或是如果用戶已經使用了vCNS,是不是一定要升級到NSX等等這類問題。我們會嘗試在這篇網誌內就NSX與vCNS內的不同面向差異做一個較全面的方案比較,當然不能說是百分之百完整,但也希望能讓大家了解到vCNS到NSX間功能有多麼大的突飛猛進。基本上我們會把NSX當作具備vCNS功能的全新產品,而不會僅把NSX視為是vCNS的升級版本。

 

但無論各位是否同意本網誌內的觀點,只要您是vCNS的現有客戶,請務必要知道下列的訊息:

 

  • vCNS目前已經是停止銷售(無論是單獨販售或是搭配vCloud Suite)
  • vCNS已經明確有停止支援 (End of General Support) 的日期,目前在VMware Lifecycle Matrix內的宣告是在16年3Q,如下圖所示

 

因此若您的環境內有使用現有的vCNS相關功能,請要考量後續的升級或變更計畫。當然,更新到NSX是我們會建議的最佳方案,VMware會支援由vCNS 5.5到NSX的升級路徑。下面我們就兩個產品間的比較進行說明

 

L2網路交換功能 

 

  • NSX的邏輯交換器功能是利用NSX Controller進行集中部署與管理,並提供外部雲平台進行設定。vCNS並沒有這種軟體定義網路、集中控管的概念
  • NSX雖然與vCNS都採用VXLAN協定作為在實體網路上建立邏輯網路overlay的方式,但vCNS要求底層的實體網路一定需要啟用L3 Multicast (PIM) 機制,而NSX並未這樣要求。大型生產環境內NSX僅要求啟用L2 Multicast (IGMP),而小型或測試環境內NSX甚至可以直接用Host間的Unicast機制來取代Multicast,在底層網路的需求上大幅簡化
  • NSX內有支援VXLAN邏輯交換器到VLAN實體網路間的L2 Bridging功能,vCNS沒有

 

L3網路路由功能 

 

  • NSX除了原來在Edge Service Gateway提供,在VM進行封包路由轉送的集中式路由器外,也支援分散式邏輯路由器,將路由轉送的運作直接在vSphere Kernel內,也就是各個VM之前進行,進而達成大幅增加封包傳送效率與封包路徑優化的好處。vCNS僅支援利用Edge Gateway達成的集中式路由
  • NSX除了靜態路由外,也支援動態路由協定包括OSPF與BGP。vCNS僅支援靜態路由

 

防火牆及其他安全功能 

 

  • NSX除了原來在Edge Service Gateway提供的VM-Based防火牆,更重要的是支援分散式防火牆,直接將防火牆封包檢查在vSphere Kernel內執行。vCNS除了Edge內的防火牆外,也支援vShield App功能,但是是將各個VM的網路封包送到同主機內的防火牆VM來進行安全防護,並非於Kernel執行。雖然兩個架構都能提供Micro-Segmentation功能,但NSX的架構變更讓防火牆封包檢查的Throughput由原先vCNS的1~3 Gbps能夠大幅提升至16~18 Gbps,有非常明顯的效能改善
  • vCNS雖然也是Virtualization Aware,但沒有像NSX的Service Composer這麼徹底與直接將安全規則與企業業務與稽核規則做連結。NSX Service Composer能夠自動地定義要保護的虛機,並針對群組內的虛機自動加上防火牆規則,並搭配整合的第三方廠商進行系統與網路安全之防護
  • NSX有支援身份識別 (Identity Awareness) 功能及活動監控 (Activity Monitoring) 功能,vCNS並未具備

 

負載平衡功能 

 

  • vCNS內的負載平衡器並未支援UDP連線以及HTTPS Offload等功能,健康檢查功能也不支援UDP / ICMP的檢查方式
  • vCNS內的負載平衡器僅支援Proxy Mode (One-Armed Mode),並未支援Transparent Mode
  • vCNS負載平衡器所支援的負載分享機制較少,不支援像是基於URL / HTTP Header的負載分享機制
  • vCNS負載平衡器的Server Pool內無法設定像是Weight / Connections Number等等連線參數

 

VPN功能 

 

  • vCNS僅支援IPSEC VPN以及SSL-VPN功能,不支援L2VPN機制

 

與雲管理系統 (Cloud Management System) 的整合 

 

  • vCNS 支援vCloud Director與vRealize Automation,但未支援與Openstack的整合
  • NSX於目前寫作的時間點,未支援vCloud Director。但NSX提供與vRealize Automation以及Openstack (當然我們講的是VIO, VMware Integrated Openstack) 的完整整合

上面的說明有點囉哩囉唆。但作為本文的總結,如果是我自己需要與客戶或是經銷夥伴介紹這兩個產品上的主要技術差異,會強調三點:

 

  • NSX是真正開始將網路與安全的功能放到vSphere Kernel內運作,而非傳統的VM-Based的服務模式。藉由購買Nicira取得的Logical Switch / Logical Router,以及重新開發的Distributed Firewall技術,NSX是真正在每個虛擬機器前面,直接利用kernel module就提供需求的網路與安全功能,大幅地提供了網路與安全功能的運作效率
  • NSX透過Service Composer功能整合vSphere內的Security Group / Security Tag等功能,提供了一個在虛擬環境內進行完整安全保護Framework,並且完整整合包括內建防火牆、協同合作的安全廠商方案並且提供各方案間的整體防禦與互動
  • 搭配在雲管理平台要達成自動化,這邊的自動化包括了網路的自動化、安全政策的自動化、負載平衡機制的自動化等等,NSX提供完整的方案以及完整的API與主要的雲管理平台進行整合

 

希望這邊的說明能讓大家對於由vCNS轉移到NSX的功能差異與必要性,有更進一步的瞭解。