作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

如果我們要把題目定帥氣一點,和客戶說明時有應用到最新的流行名詞,這邊我們應該取名為NSX “NFV” Gateway功能簡述。太太,妳說,是不是這樣~

 

Edge Service Gateway (或後文稱為Edge Gateway) 實際上對熟悉VMware產品的朋友不是個新東西,2010~11年就已經有最基本的產品出現,當時也已支援基本的Routing / Firewall / Load-Balancing / VPN,若客戶有採用vCNS的產品就會取得此功能。而發展到目前於NSX內,Edge Gateway已經具備了相當完整的網路服務機制,可以說許多於資料中心內需要的網路L3~L7功能均已包含在內了。下圖簡述了所有於NSX Edge Gateway內所提供的網路相關服務:

 

圖說:NSX Edge Gateway包含的網路服務

 

 

簡而言之,Edge Gateway是一個功能相當完整的NFV (Network Function Virtualization) Gateway,以VM的型態提供不同種類的網路服務。後續的文章內我們會針對不同服務功能進行更進一步深入的探討,但在這邊我們希望能夠讓讀者理解的主要資訊,是只要 NSX的用戶,都可以依照實際業務需求,隨時隨地建立一個新的Edge Gateway,並啟用所需的網路機制。舉三個例子來說:

 

  • 若用戶現在需要把主中心與租用機房間的網路直接Layer 2打通,希望能夠做到系統擴展、移轉、備援等功能,以前的作法是買兩個實體設備做L2VPN(貴而且時程長),或是甚至建個OTV相關技術(貴爆而且時程更長)。簡單的做法是起個NSX Edge Gateway,另一邊部署個NSX方案內的L2VPN-Client-VM,很短的時間內,在軟體層就把兩邊的多個網段成對bridge起來了。

 

  • 若用戶需要快速建立一個測試系統,也需要簡單的負載平衡器功能,起個NSX Edge Gateway,啟用Load-Balancing機制,幾分鐘後嶄新的軟體負載平衡器就可使用了。

 

  • 用戶需要臨時拉一個Internet線路提供小型系統服務,此時利用Edge Gateway,包括一個Internet Gateway設備需求的Routing / NAT / Firewall功能,都可以在此VM Gateway內直接提供喔~

 

但除了上述的這些常用Network Function Virtualization功能外,Edge Gateway在NSX架構裡的更重要意義是作為邏輯環境與實體環境的介接,也就是負責資料中心內的南北向交通。請參考下圖:Distributed Logical Router一般介接的完全是Logical Switch環境,但當需要連結到Internet環境時,利用Edge Gateway進行邏輯環境(VXLAN, Logical Switch)與實體環境(VLAN)的介接。

 

圖說:Edge Gateway介接邏輯交換器與實體VLAN網路

 

 

上面的架構實際上的意義可以這樣考量:想像一個大型的環境,用戶有200台vSphere Host跑業務虛擬機器,但另外有4個vSphere Host負責承載所有的管理VM以及Edge Gateways。如果我們沒有採用Edge Gateway作為邏輯與實體網路間的介接,那此時實體的VLAN跨越多個網路設備,接取到所有200台vSphere Host上,因為要與外部介接的運算虛擬機器可能會存在任何一台Host上。但光想要把單一VLAN藉由實體設備,拉到所有可能位於不同機櫃不同位置的vSphere Host上,就是一個極為麻煩且昂貴的工作。藉由Edge Gateway,各個運算虛擬機器需要與實體環境溝通時,先透過VXLAN將封包送到Edge上再傳送出去,此時整個邏輯網路環境與實體環境的介接就能夠單純化,設計也較簡單。

 

Edge Gateway有四種不同的大小:Compact / Large / Quad Large / X-Large。四種型態的Edge Gateway功能完全一樣,即使用最小的compact型態機器也可以跑全功能,選用哪一種型態的差異完全是基於需求資源以及效能間的考量。四種型態的資源需求與定位分別如下

 

 

以內部的測試,當採用最大的X-Large型態時,一些相關的performance資訊:

 

  • 最大路由數目可至25萬。當然不能當完整的BGP Router,但在企業內部應該足夠了。
  • 防火牆規則最多2,000條,同時連線數1,000,000。在有1,000條規則的測試條件下,網路throughput可超過9 Gbps (HTTP),connections per second約28,000。
  • 跑Layer 7的Load Balancing機制,HTTP可跑到6.5 Gbps,HTTPS (with SSL Offload)約2 Gbps,總連線數上限為60,000條

 

這邊的重點並不是和其他廠商的NFV Gateway比效能(雖然效能也不會輸),更重要的是Edge Gateway是”隨取所需”的。用戶可以依照實際的需求,不需要額外成本且在任意時間內,隨時產出多個Edge Gateway提供相關的服務。就算單台的效能無法完全滿足單一需求,用戶當然也可以產出多台Gateway來一同進行服務。我們不需要去找預算、去借設備,只要底層的硬體還有CPU / Memory / Storage空間,就可以馬上把需求的網路與安全功能提供出來。

 

最後在這篇文章簡單提到,但後續文章再詳述的,是Edge Gateway也支持HA的功能。這邊的HA並非vSphere的HA,而是可以直接在產出Edge Gateway時,除了Active的VM,另外有一台Standby VM,並強制放置於與Active Edge Gateway不同的vSphere主機。兩個Active / Standby VM間會有heart-beat確認狀態,並定期將如防火牆session table / Load Balancer sticky table等進行同步。因此Edge Gateway完全是可以在生產環境運作的多型態網路設備,適合各位在部署NSX的企業環境內使用。