作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。

本篇網誌內我想和大家談vRealize Network Insight內的另一個網路相關亮眼功能:虛實環境網路整合檢視。時常在進行網路問題排除前,管理人員得要先確認一件事情:整個網路流到底有流經哪些設備與介面?傳統的方法大家會透過ping / traceroute / CDP,或搭配圖形化網管工具來確認網路路徑。在實體環境內這樣的方式能夠運作無礙,但到了虛擬環境內就會出現非常多問題,比如說

  • 兩個虛機間的網路流直接於同一個Host內的虛擬交換器就交換了,根本沒有到實體設備
  • 網路封包流出vSphere Host時不確定是走哪一個實體網路介面
  • 網路流無法連接,不確定是被實體防火牆擋掉,還是直接被NSX微分段的防火牆擋掉了

如果我們能夠提供一個工具,同時收取到虛擬環境以及實體網路設備的配置,並且能夠很快速簡潔地將虛機間Hop-by-Hop的連結方式快速繪出,相信對大家來說會是一個實用的網路維運方案。很榮幸地和大家介紹,Network Insight已經具備了上述功能了。隨時在搜尋介面內,只要我們打出”show VM XXX to VM YYY”這樣的指令,Network Insight就能動態繪出像是下面的可視化連線圖

上圖內,我們可以看到由DBAdmin-VM1到Prod-DB-2這兩個虛機之間,網路封包路徑分別依據編號經過了

  • DBAdmin的內部埠號4000號的虛擬網卡
  • 連結到名稱為vlan-629的Port Group
  • 由ush-t0-vm-h02-group-net這台vSphere Host的vmnic2實體網卡送出
  • 連到10.45.0.253的這台閘道器
  • 連到pan-core-vr這台防火牆
  • 連到10.254.146.129的這台閘道器
  • 由vmnic1實體網卡流入ddc1-podesx002.dm.democompany.net這台vSphere Host
  • 連結到名稱為ESX_Edge_Vlan10的Port Group
  • 連到Provider Edge 1這台NSX Edge路由器
  • 由Corporate-Transit-Network邏輯交換器連到LDR-Corporate這台NSX分散式邏輯路由器
  • 再由Prod-DB這個邏輯交換器送至Prod-DB-2的內部埠號4000號的虛擬網卡。同時此Flow也通過了Palo-Alto-Network以及NSX的分散式防火牆

在圖內,不僅僅只是用視覺化的方式顯示整個網路流的路徑,同時在每一個節點如果我們希望馬上去搜尋對應的相關資訊,只要直接點擊就會顯示。在前面圖,如果我們點擊實體vSphere Host內的網卡,這張網卡相關的重要資訊像是MAC Address / Interface speed等等就會直接顯示出來,管理人員不用再去找其他的工具或儀表板查詢這些資訊,如下圖

同時,對於Network Insight所支援、可以接取的網路設備,Network Insight能夠用SSH以及SNMP的方式將設定及狀態拉出並能集中顯示。在上圖內的5號實體網路設備,同樣地當我們直接點擊,此設備的相關資訊也能夠直接展示出來。在下圖內,我們可以看到這是一台Cisco N7K交換器,而所有相關的路由表資訊也能直接顯示。

或是我們直接點擊虛機前面的Palo Alto虛擬防火牆,那邊所設定的防火牆規則也可以直接於Network Insight看到,不需要到Panorama裡面看。

我個人不會告訴大家Network Insight是定位來進行實體設備監控的方案。基本上,Network Insight的主要用途還是在vSphere / NSX環境內整體的狀態搜尋、虛擬網路流監控、事件檢視等等。但搭配到這些支援的硬體設備,網路與系統管理員確實能夠在同一個介面把網路虛實環境統合進行維運及檢視。當然此時大家肯定就希望確認,有哪些實體網路及安全廠商是Network Insight目前支援的呢?以寫作此時的vRealize Network Insight 3.3版本,有正式支援的廠商與設備列表如下:

這是本系列介紹vRealize Network Insight的最後一篇。希望在這連續四篇的網誌介紹能讓大家理解對Network Insight於軟體定義資料中心內的應用方式、使用情境及產品定位。無論是在VMware軟體定義資料中心的維運管理及搜尋、資料中心及VDI環境內搭配NSX微分段進行安全方案規劃、監控及政策配置,以及網路環境內的虛實監控整合,我相信Network Insight都是一個必要,值得大家一試的好產品。