作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

VMware NSX的6.2版正式於2015年8月與大家見面。雖然只是由6.1到6.2的版號改變,但改善並且提升了相當多的新功能。在接下來的網誌就幾個重要的新功能與大家做介紹。當然,詳細的正式說明還是請大家看NSX 6.2的release note原廠文件。

 

接下來先列出將要和大家介紹的新功能,再逐步進行介紹。這邊列出的新功能並非完整的列表,僅是將我們認知最具代表性的項目:

 

  • 結合vSphere 6,建立跨vCenter的邏輯網路與安全防護
  • 移除對VMtools的倚賴性
  • Edge Service Gateway內Load Balancer功能的改進
  • 路由機制的功能強化
  • NSX管理構件間的連線運作偵測
  • VM間的網路流追蹤
  • 集中化的Command Line介面

 

結合vSphere 6,建立跨vCenter的邏輯網路與安全防護: 

 

在vSphere 6裡面有幾個非常重要的關於vMotion功能的更新:可以長距離vMotion、可以跨vCenter / vDS做vMotion、可以跨L3網路進行vMotion。我們用下面這張圖和大家進行說明。

 

 

看起來很棒,我們終於可以在兩個獨立的資料中心來進行VM的飄移,而且資料中心間的網路限制也大幅放寬,雙中心與混合雲的應用看來大有可行性。但大家在上圖不知道有沒有看出一個問題:虛擬機器所使用的業務網路(藍色雲),於雙中心間還是必須L2打通的。不然當我們把VM由左邊飄到右邊,而兩邊所接取的業務網路沒有L2連通,這時候肯定VM業務馬上服務中斷,因為網路連不到啦…

 

這樣問題等於沒有完全解決。我們告訴大家vMotion所使用的VMKernel網路可以跨L3,但是VM本身使用的業務網路卻不能跨L3,那其實意義是,兩個Data Center之間網路還是必須要L2連通,企業還是必定得考慮Dark Fiber / DWDM / OTV等等技術。但等等,如果我們可以建立跨兩個資料中心的邏輯交換器,NSX的Logical Switch採用VXLAN封裝技術,是能夠跨越底層L3網路的。

 

但在原來NSX for vSphere的架構內, NSX Manager是與 vCenter做一對一的對應,也就是說,這個NSX Manager可以看到、管理到、部署到的相關範圍,僅是在這個vCenter所管理轄下的所有實體伺服器與虛擬機器。而當今天兩個資料中心各自有自己的vCenter,也就是說各自有自己的NSX Manager,此時我們會需要跨越不同NSX Manager來建立各自都理解的邏輯交換器設定。這邊就是在NSX 6.2版所推出的新功能:我們可以在一個到多個vCenter (NSX Manager)間,建立全域的邏輯交換器與邏輯路由器。邏輯交換器可以跨L3網路運作,結合vSphere 6的新功能,我們能夠在兩個資料中心間僅採用L3網路,就達成VM的遷移並且業務不中斷。

 

同樣,當我們把一個虛擬機器由左邊的Data-Center飄移到右邊去時,原來應用在此虛機上的防火牆機制,也不應該飄到右邊後就不生效了。因此NSX 6.2也支援全域的邏輯防火牆功能如下圖。但在6.2版本內,目前初步僅先支援IP的防護規則,虛擬物件的防護規則暫不支援。

 

最後在這個功能內的一個特點是NSX可以支援Locale的功能,也就是在雙中心架構內,讓網路流在離開資料中心時會依據目前VM是在哪一個資料中心,讓網路流的routing在本地進行處理。

 

機制上,兩個Site的Router Control VM會依據自己所在的位置,回報Controller路由資訊時帶不同的Locale ID。而NSX Controller會告知各台ESXi Host Kernel內的DLR Instance依據所在的Locale,走本地的Edge Service Gateway出口到實體網路,而非走另一個Site的Edge Service Gateway。這樣的機制能避免於虛擬網路環境內,不必要的兩中心間的hair-pin traffic,更進一步地達成在雙中心內的網路流優化並減少不必要的網路延遲。

 

藉由上面網誌所述的支援Cross-vCenter的虛擬網路與安全功能,企業在雙中心架構內可以多了很多虛擬環境的應用場景:

 

  • 業務網路可以跨底層實體L3網路到另一個資料中心,代表業務虛擬機器可以延伸到兩個不同地點的中心進行部署,並且同時提供運作
  • 即使搭配SRM這類的Active-Standby雙中心架構,全域邏輯交換器功能可以集中進行雙中心間業務網路的集中建置,無需分別在兩個中心各自重複進行網路設定
  • 搭配vSphere 6功能,業務虛擬機器可以在兩個中心間進行vMotion,且兩個中心間並非必須要L2連通。

 

暫先停在這邊,下一篇我們繼續就不同的其他NSX 6.2新功能做介紹。