posted

0 Comments

作者: Colin Jao 饒康立 – VMware 資深技術顧問,主要負責 VMware NSX 產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。

 

網路虛擬化是我們的信仰,我們百分之百相信現在與未來的資料中心的網路與安全功能都會逐步轉移到虛擬化與軟體環境裡面。但說實話,採用網路虛擬化的方案,與採用硬體、基於晶片的網路設備比較,當然仍然有一些在現有時間點力有未逮的地方。 下面我針對幾個硬體網路設備仍然佔有優勢的情境與大家做討論:

大型資料中心的南北向網路封包處理

在大的資料中心的前端面對 Internet 的入口,面對大量的業務量加上外面的豺狼虎豹攻擊,這種情境內效能是最重要的考量。我們當然可以堆一大票伺服器、一大堆 CPU,加上 NSX 來頂,但這種環境本來就是採用硬體晶片的網路設備,設計上包括快速的加解密以及因應同時大量連線檢查等,最適合的環境。

對於中小型的資料中心的 IPVPN 或 Internet 連線,我們可以很有信心地告訴大家,Edge Service Gateway 可以擔任這類資料中心或外點辦公室的南北向交通防護,包括路由器、防火牆、負載平衡器等,但在大型生產環境上,相信大家最希望的還是效能最強的硬體設備擋在前面保護自己的環境吧。站在長板橋上要是張飛才有用,放五個副將在這邊就擋不住曹操了。

NSX 目前最主要Focus的還是在資料中心內東西向(VM 到 VM)間的網路連線處理,透過分散式運算達成強大、彈性、安全的連線傳輸與保護,南北向上的網路與安全保護,NSX 雖然有提供但只是加分功能,如果客戶需要一百分的效能,當然還是硬體較好。

目前在特定的廠商硬體才支援的必要功能

NSX 內支援的是資料中心內主要的網路與安全功能,但某些功能,目前的時間點就是要搭配特定的廠商才具備,比如說 Global Load Balancing、比如說 Web Application Firewall、比如說 Web Cache or Compression、比如說 Mobile VPN Client Support。

如果業務單位的需求一定要採用這些特定的功能才能滿足,而 NSX 未能提供,那當然這是應該要使用硬體設備或是特定廠商設備的情境。但大家也可考慮另一種做法是考量採用這些廠商設備的虛擬化版本,尤其是能夠與 NSX 整合的廠商舉例來說 F5,這樣無論是在設備的快速部署以及後續與自動化系統的整合,都能達成較佳的整合。

需要超低網路延遲的應用

與原先在 vSphere Standard Switch / vSphere Distributed Switch 這種標準虛擬化環境交換器相比,我們採用 NSX Logical Switch 其實增加的網路延遲很低,都是在 千分之一秒(Millisecond)等級,一般來說在大家的資料中心生產或 PoC 環境,VM 間透過 Logical Switch 進行封包交換時 Round-Trip Latency 都可以低於 1ms 或是頂多約 1~2 ms 左右。

如果但是,各位的業務使用是 High Performance Computing,必須要有 Micro-Second 等級的網路延遲才能符合需求,那大家還是先不要考慮 NSX 吧,或更進一步說,可能連虛擬化都不見得能符合這樣的需求吧。

都是實體伺服器的資料中心

嗯,都是實體設備的話請大家先換成虛擬環境吧。哈哈!

NSX 的三大功能之二,包括 Logical Switch and Router / Logical FW,都是在 vSphere Kernel 內執行的,所以沒辦法服務實體設備。業務系統如果都還位於純粹的實體環境內,NSX 只有 Edge Service Gateway 能夠提供南北向的相關服務。

前面的網誌有提到,我們要再 recap 的是,事實上在傳統的資訊業務環境內,用實體伺服器、實體網路設備就能夠提供服務需求。但這時企業碰到的風險就是建置與變更時間極長、沒有彈性、整體成本高且沒有效率。如果企業覺得停留在實體環境仍然可以符合業務單位要求,那這邊當然不是網路與安全虛擬化的適用環境。網路與安全虛擬化是整個走向軟體定義資料中心的第二或第三步,企業需要先做伺服器虛擬化才行。但當然,如果企業要在同一個專案內同時把伺服器虛擬化與網路虛擬化等一次到位,我們當然是非常歡迎的。

上面是我們目前看到企業在考量是否採用網路虛擬化時,仍可能要考慮的一些適用場景。這些情境在目前的時間點,我們仍然會建議大家採用硬體網路設備,暫時是較理想的方法。但當然假以時日,我們相信這些問題逐步都會解決,就如同伺服器虛擬化的進展一般,也請大家拭目以待。