posted

0 Comments

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。

當企業認真開始考慮部署網路暨安全虛擬化,對於資料中心的規劃與運作當然是很重大的改變,且應該要全盤進行由建置、維運、移轉、費用等等不同面向的考量。VMware提供了許多詳細的資訊與相關的課程,可以讓大家對於NSX的規劃有更進一步的瞭解,幾個重要的來源可以和大家分享:

VMware公開的NSX架構設計資訊

大家可以到下面的網址下載NSX最新的公開Design Guide,這邊的內容也會隨著新的版本與技術而隨時更新: https://www.vmware.com/files/pdf/products/nsx/vmw-nsx-network-virtualization-design-guide.pdf 。此外,大家也可以用NSX Deep Dive的關鍵字在Internet上進行搜尋,例如,在Youtube上也有公布在VMworld內對於NSX相關技術與規劃的session錄影,裡面對於NSX規劃設計上也有很多的討論。

正式的NSX設計課程

在本網誌刊出的時候,NSX的正式設計課程已經推出了。在這個四天的課程內會詳細討論包括NSX在底層Infrastructure / 網路設備 / 安全考量 / 多站點應用 / 維運上的不同設計考量。此課程已經可以正式報名,各位若有興趣可以到下面網址 http://mylearn.vmware.com/mgrreg/courses.cfm?ui=www_edu&a=one&id_subject=61127 ,或到VMware網站上尋找VMware NSX: Design and Deploy 課程。當然,我們也非常歡迎大家直接來電VMware Office與我們的教育訓練經理Betty Hsu聯繫課程相關事宜。

與VMware以及有NSX設計與建置經驗的經銷商聯繫

當然,如果各位有網路暨安全虛擬化的建置需求,VMware以及我們認證的NSX經銷商也相當樂意與各位進行規劃、建置、維運等的經驗分享與討論,歡迎大家隨時與我們聯繫。

以一篇網誌來說,沒有辦法完整的和大家細部談每一個VMware NSX規劃時的細節,下面我們僅用隨筆的方式,將幾個常碰到、或常被忽略的幾個點拉出來與各位分享。本篇我們先就虛擬化Infrastructure的面向做討論。

網路Team與Infra Team都應參與並Review規劃。

NSX不是單純的網路產品、當然也不是單純的vSphere虛擬化產品。要能夠進行完整架構與維運機制規劃的團隊,必須同時懂導入NSX時,於vSphere環境以及底層網路環境的需求以及改變。常看到的悲劇是NSX的規劃僅由網路Team主導,但對vSphere的架構設計一無所悉;或反過來Infra Team主導,可是對於網路的架構與需求並不了解。企業導入NSX的團隊應該同時包括兩邊技術的人才,或諮詢有能力進行網路與虛擬化架構整體設計的專業VMware經銷商進行。

所以不要忽略了,vSphere基本的架構設計是最重要的。

以NSX for vSphere現有的架構來說是建立在現有vSphere環境上的新應用與功能。這代表了,如果vSphere的架構設計本身就不好有問題,NSX的運作肯定是有狀況的。這邊常看到,vSphere架構設計有問題的點常包括:

• 沒有區分管理與運算資源池,僅建立單一個vSphere Cluster,然後把運算的機器以及vCenter / NSX Manager / NSX Controller等等都丟在一起混用,也不做資源區分

• 沒有針對硬體損壞的狀況做好完整的資源保留與切換機制,像是HA / DRS等機制的導入

• 管理者對於vSphere系統現有的狀況或使用率完全不了解,雖然這些資訊很容易地就能由vCenter或是Operations Manager可以取得

• 即使已經是一個較大型的環境,但仍然用分散式、手動的方式管理資源池,比如說利用大量的VSS而非集中的VDS,採用多個vCenter而非集中的管理環境

NSX的運作並不佔用太多vSphere Host運算資源,但仍需要納入考慮。

一般來說,即使在vSphere Kernel內將NSX的網路功能 (Logical Switch / Distributed Logical Router) 以及安全功能 (Distributed Firewall) 等等功能全開,最多會比沒有這些功能時的原本CPU 使用量多出約20%的Loading。或是一個比較直接的計算方法,是把每一台vSphere Host內預先就將2個core的CPU以及3 GB的Memory劃出來作為NSX的功能使用。

若以一個全新的部署來說,虛擬化環境host全新採購時應該要將上面的NSX需求資源預先考量進去,而如果對於現有的環境上要安裝NSX,也應先確認現有vSphere Host的未使用資源空間是否足夠將這些網路與安全使用的資源納入。

伺服器硬體考量

基本上NSX本身不挑硬體,大家在虛擬化規劃內的vSphere Host設計僅需要考慮有符合vSphere的HCL (Hardware Compatibility List)。但如同前面網誌談到的,如果伺服器上具有10G網卡,我們建議網卡上需要具備VXLAN Offload以及RSS功能,才能大幅將CPU的Loading解放到網卡上以硬體進行。簡而言之,請大家預先檢查伺服器上選擇的10G網卡是否有在相容性清單內。檢查的方法我們列在下方:

• 連到下列網址: http://www.vmware.com/resources/compatibility/search.php?deviceCategory=io

• 於I/O Device Type內選擇Network,Features內選擇RSS以及VXLAN Offload。另外選擇 vSphere的版本以及網卡的供應商廠牌

• 按Update and View Results後,可以看到此廠牌有支援上述功能的網卡型號,如下圖,請檢視你們要採用的網卡有列在支援清單內

另外請大家注意在Cisco UCS Server以及Nexus 7000上的vPC架構設計,因為這種架構內Cisco不支援動態路由,在NSX的設計上會有特殊考量,如果大家的伺服器選擇是UCS與Nexus的搭配,請要參考 https://www.vmware.com/files/pdf/products/nsx/vmware-nsx-on-cisco-n7kucs-design-guide.pdf 這個Design Guide。

vSphere版本與其他搭配構件考量

NSX僅支援vSphere 5.5之後的版本,因此若現有環境並非5.5之後,需要先有虛擬化環境升級的作業才能採用NSX。另外雖然NSX的部署必要採用vSphere Distributed Switch,但只要客戶的環境是vSphere 6或是vSphere 5.5 U3之後的版本,在安裝NSX時都會自動將vDS的功能打開。因此無論各位是規劃採用vSphere Enterprise Plus / Enterprise / Standard或甚至Essential Plus都可以搭配NSX的使用。

另外如前面網誌所述,我們非常建議大家在採用NSX時,同時將vRealize的相關構件,包括Automation / Operations Manager / Log Insight等構件同時搭配使用,以建立完整的軟體定義資料中心,達成自動化與安全、維運的要求。進行NSX規劃時,也應討論上述的功能是否應該納入並且是否有效益。

大致想到的上面這些點希望對大家在系統虛擬化部分的規劃能有用處。下一篇網誌我們繼續討論在實體網路規劃的部分。