posted

0 Comments

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

上一篇網誌裡我們申論了為什麼建立邏輯網路、虛擬網路、軟體定義網路,只需要在虛擬化的環境內,而實體環境其實用原先穩定標準的實體網路架構即可。但當然,企業的環境少有是百分之百完全都虛擬化的,我們在vSphere pool內用NSX把邏輯網路建立起來,將虛擬機器間的東西向網路交通的switching / routing / firewall等等用得很開心,但企業的環境還是有很多地方是實體環境啊,難道比如說核心系統的重要資料庫目前還是用實體機(當然敝公司非常期待與各位討論與實作如何將關鍵應用系統轉向虛擬化),這個系統前端的Web / AP Servers難道就不能用虛擬機放在NSX邏輯網路內,不然會接不起來嗎?

 

當然不是。企業是否要建置VMware NSX從來就不是零與一的選擇,或是只能在百分之百虛擬化的環境內實作。我們建置在虛擬環境內的業務機器,連接NSX所建立的邏輯網路時,當然有非常多的方法可以與現有的實體環境進行連結。就用上面舉的例子,如果現在有一個新業務建立,此業務內的Web Server / AP Server都已經被虛擬化,而且分別放置在對應的邏輯網路區內。但是資料庫的機器仍然是實體機器,如下圖所示。此時,我們要採用哪種方式讓AP Server可以接取資料庫機器呢?

 

 

方法一:使用Edge Service Gateway以路由方式接取邏輯與實體環境 

 

NSX內的Edge Service Gateway原本就可以提供實體網路 (VLAN) 以及邏輯網路 (Logical Switch or VXLAN) 的接取。在下圖內,我們可以看到邏輯環境內的Web / AP等網段接取到邏輯路由器,透過L3路由交換與Edge Service Gateway連結。這邊的Edge Gateway可以被視為邏輯網段與實體網路間的邊界接取設備,AP Server到DB Server間的封包同樣的在Edge Gateway透過路由交換,與企業現有的實體網路環境連結,比如說透過企業內的實體路由器再接取到實體網段如下圖,或是當然,DB網段的VLAN也可以直接接取到Edge Service Gateway上。

 

 

大家或許會覺得上述的方法內,Edge Service Gateway會是一個網路流效能的bottleneck。但我們在之前網誌其實也提到過,Edge Service Gateway可以最多八組提供ECMP (Equal Cost Multi Path),也就是說在效能滿載的狀況下,約接近80 Gb的頻寬接取邏輯與實體環境。

 

方法二:使用Logical RouterL2 Bridging功能橋接邏輯交換器與實體VLAN

 

第二個方法更直覺的是我們可以建立一個DB的Logical SW。此時,我們可以使用一台Logical Router接取這個DB Logical SW與其他的Web / AP Logical Switch。而同樣的這一台邏輯路由器除了進行東西向的三個邏輯網段間的路由傳輸外,也可以於Logical Router VM所在的vSphere Host上提供L2 Bridging的功能來接取Logical Network / Physical Network。在下面的示意圖,同一個NSX Logical Router提供兩個功能:

 

  • L3路由功能提供給接取的Web Logical SW / AP Logical SW / DB Logical SW

 

  • L2 Bridging功能接取DB Logical SW與Physical DB VLAN

 

 

一點要請大家注意的是上述的功能請由NSX 6.2後再開始使用, Logical Router可以對同一個Logical SW同時提供Routing以及L2 Bridging是NSX 6.2之後的新功能。

 

方法三:使用協力廠商L2 HW VTEP橋接邏輯交換器與實體VLAN

 

第一或第二種方法可能會被覺得利用軟體的方式進行路由或橋接,即使頻寬可足夠大,但仍然會有在軟體內較高Latency的考量,而且實際網路的封包得要先走到Edge Service Gateway(第一種方法)或是到Logical Router VM所在的主機(第二種方法),VXLAN下車後再轉為VLAN內標準Ethernet封包送出去,這樣的網路路徑也不是最優化的。

 

客戶預算足夠下,可以考慮第三種方式。一些網路硬體廠商如Arista / Cumulus等會與NSX進行整合,將他們的Switch可作為一個L2 Hardware VTEP,也就是說,算是VXLAN與實體VLAN中間的一個硬體橋接器。因此,要傳送給DB Server的Ethernet Frame可以先透過VXLAN封裝,以東西向的最短路徑直接在這個HW VTEP SW下車,然後直接於硬體內轉換至對應的VLAN在傳出。效能上當然是以這種方式為最好,但當然企業就必須於整體方案規劃時,於各機櫃的Top-of-Rack Switch更換為可作為L2 HW VTEP的指定設備了。

 

NSX-vSphere將於6.2版後支援此功能,有興趣的客戶可以詳細注意各硬體廠商是否有發布與NSX 6.2版的整合以及相關規劃。

 

 

以上是我們對如何介接NSX內的邏輯網路環境以及企業現有實體環境不同方法的介紹。最後我還是要把幾個重點再強調一下:

 

  • 並非僅有百分之百虛擬化的環境才能使用NSX。NSX提供企業已經虛擬化的環境包括網路自動化、彈性部署、安全保護等重要的功能

 

  • 企業現有的實體環境仍然可以在原有的實體網路環境跑得很好。

 

  • NSX可以跑在現有的企業實體網路上,唯一對硬體設備可能有dependency是L2 HW VTEP的功能,若大家希望採用此功能,需要採用有與NSX整合的指定廠牌設備。

 

下篇網誌我們要談另一個問題:網路的效能是很重要的,而把網路與安全的功能作在軟體裡,和硬體使用ASIC等的效能差這麼多,那我們要怎麼信任軟體定義網路可以使用在大型生產環境裡呢?