作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

常會聽到一個對NSX的反對意見是如果導入網路虛擬化,現有的網路管理維運機制都會失效,而且網路虛擬化目前的管理機制不足,企業的網路Team會非常的難以進行網路的監控與維護。此外,企業會需要維護兩套網路:實體網路以及邏輯網路,因此反而維運管理的複雜度會變高。

 

我不會說上面的觀點是完全錯的。但如果逐點來談,

 

現有的網路管理維運機制會失效 

 

是的,如果現有的網路管理機制沒有支援NSX,而且企業有使用NSX內邏輯交換器的功能。此時,現有的網路管理機制無法抓取NSX內構件的資訊,並且底層要用sniffer或任何封包監控機制時也僅能看到VXLAN的封包。但是這有解法的,如後所談。

 

網路虛擬化目前的管理機制不足 

 

我不會說網路虛擬化現有的管理機制是一百分,但明顯的會這樣講的人並不了解在VMware的管理產品”已經”做出了什麼。這是後面幾篇網誌的重點,我們會與大家討論vRealize Operation與vRealize Log Insight與NSX的整合,以及現在這個時間點已經可以做到的事情。我相信大家會發現,現有的網路虛擬化管理工具能做的事情可能遠遠超過大家原始的想像。

 

企業要維護兩套網路,維運管理的複雜度會變高 

 

嗯,企業真的是維護”兩套”網路嗎?如果我們用大家已經習以為常的伺服器虛擬化來類比,大家會覺得”我們又要維護實體伺服器,又要維護虛擬機器,複雜度真的太高了”嗎?

 

傳統的實體網路思維內,我們把”功能”與硬體綁定,因此不同的功能要採用不同的特定硬體,可能是不同廠商或是不同型號的設備。我們要把底層網路的架構變得複雜、組態變得困難,因為要滿足特定的資訊系統需求。所以實體環境的管理是複雜的。

 

但在完全虛擬化的環境內,實體網路只是在各台vSphere Host間的傳輸媒體。此時實體網路的要求僅有要提供足夠的頻寬、Redundant且快速回復。企業可以採用非常簡單且扁平的架構,網路設備的設定可以非常單純且能夠複製。更重要的是,這些設備僅需要第一次設定,後續的組態都在軟體裡,硬體設備無需變動。這邊的網管說實話只要關心兩件事:有沒有設備或線路壞掉,還有設備或是線路的容量還夠不夠。

 

而在軟體裡面的功能需求,我們是透過雲自動化系統下指令,或是在集中管理的介面統一進行設定,不需要像硬體裡面一台一台去設VLAN、設trunking,完全可以避免人為組態的錯誤。這樣的管理會比較複雜嗎?

 

我們只是害怕改變。

 

想像一下06/07年企業剛開始接觸伺服器虛擬化的時候,抗拒虛擬化的人談論的是什麼呢?虛擬化環境的效能不佳、IO不好、無法運作核心系統只能在測試環境跑、無法與系統管理工具進行整合…而現在上面還有任何一個是問題嗎?同樣的,安全與網路虛擬化的導入是一個對傳統架構的顛覆。我們理解或許客戶的資訊環境未必能一次全部由舊環境轉換進入新架構,但考量到轉換到虛擬化、雲自動化的環境能夠帶來多大的業務效率、安全、管理上的效益與彈性,由硬體轉換至軟體絕對是不會回頭、越走越寬的趨勢。

 

有些離題了。回頭思考一下,通常當我們談到企業內需要的網路管理,會有哪些部份要做?下圖內我們可以看到通常分為下面幾層,分別進行討論

 

網路構件與拓墣的監控與事件收集 

 

以傳統環境來說,通常就是SNMP Based的管理工具,定期收集系統與網路的狀態、拓墣、事件等等狀況。在這邊NSX主要對應的解決方案當然就是VMware的vRealize Operations,不僅僅是可以進行Data Center內的伺服器以及桌面虛擬機器的監控,同時也可以定期收集NSX內的各個構件metric,進而將虛擬以及實體網路拓墣、網路環境告警、系統狀態等等於同一個監控台進行呈現。

 

網路流收集與分析 

 

實體網路環境內的標準做法就是Netflow,支援Netflow的網路設備把個別網路流資訊送給網路流管理軟體,管理者可以由這些管理軟體看到整體或篩選過後的網路流統計資訊。

 

NSX以及vSphere Distributed Switch完整的支援Netflow機制,並且支援至IPFIX,也就是Netflow的第10版。現有的網路流管理軟體同樣可以收集這些由NSX or vDS發出的網路流資訊進行統計。

 

同時我們也有在前面的網誌內介紹,藉由NSX內Distributed FW機制的導入,NSX有支援Flow Monitoring的功能,甚至可以直接於NSX內顯示網路流的統計資訊。

 

網路封包的監聽 

 

傳統網路封包的監聽方式就是在實體交換器上面開Mirror Port,以SPAN / RSPAN把所有的網路封包送給監聽軟體,或是直接在網路線上裝一個Tap來進行封包攔截。如果導入NSX網路虛擬化,麻煩是實體網路上只會跑VXLAN封包(因此監聽軟體得要先做VXLAN解封包才能看到),更大的問題是可能很多同一台vSphere Host內VM對VM的封包傳送,在實體網路上是看不到的。

 

但這真的也不算大問題,vSphere Distributed Switch本身就有支援RSPAN功能可以把對應port-group的封包往監聽軟體送。另外前面的網誌也展示了如果真的要下指令,我們可以直接到vSphere裡面把對應VM網卡的封包擷取下來並匯出,再交由監聽軟體進行封包分析。

 

網路日誌的收集與組態稽核分析 

 

NSX各個構件的Log都可以用syslog往後送出,更重要的是,vRealize Log Insight可以看得懂NSX的Log並進行統計與分析,並且提供日誌的互動式查詢。

 

可以看出,實際上管理人員所需要的網路或安全管理工具,在NSX以及VMware的管理工具內是可以完全對應的。後面的網誌我們會分別對於vRealize Operations以及Log Insight與NSX的整合進行介紹。