作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。

閱讀本篇前,請大家務必先由前篇“NSX的備份與回復方式(一)”開始閱讀。我們在前篇談到了五個部署NSX時應該要進行備份的構件:NSX Manager / NSX Controller / Distributed Firewall / Service Composer / Distributed Switch,並且就NSX Manager與Controller的備份與還原方式與大家進行了說明。這篇我們再就尚未提到的三個構件:Distributed Firewall / Service Composer / Distributed Switch進行討論。

 

Distributed Firewall的備份與還原: 

 

Distributed Firewall本身規則的儲存非常直接,只要有任何的防火牆規則更改,系統會先問管理者要不要publish相關的變更到各台vSphere Host / VM。此時,旁邊就有一個Save Changes,管理者點擊後,就可以將目前的防火牆規則進行儲存。而且即使你不這樣幹,系統也會幫你做AutoSave。到Saved Configurations內,就可以看到不同時間內的防火牆設定檔儲存。

 

 

而如果要將之前自己或系統儲存的防火牆設定檔回復呢?在工具列上面有一個圖示是”Load Saved Configuration”,點擊後,會出現像下面的對話框,就可以選擇要回復到哪一個之前所儲存的防火牆政策了,非常簡單。

 

 

但上面的儲存、回復都是系統內本身的防火牆設定檔管理,如果我們需要進行分散式防火牆的組態備份,或是由儲存於外部的防火牆規則來回復一個新的組態,我們需要進行防火牆組態的匯出與匯入。到防火牆的Saved Configurations工作視窗內,可以看到工具列有兩個選項:Export Configuration與Import Configuration。利用Export Configuration我們可以將對應的防火牆組態檔匯出到管理者的本機進行儲存,而利用Import Configuration則可以由之前匯出的防火牆設定檔再重新匯入到系統內。

 

 

Service Composer的備份與還原: 

 

在Service Composer內有兩個重要的元件:Security Group定義要保護的系統元件,Security Policy則定義在這個Security Group內的元件的安全政策,包括防火牆政策、系統防護政策、網路檢查政策等。對於Service Composer的備份是針對Security Policy來進行,我們可以選擇同時備份一個或多個Security Policy,而在備份這些Policy時,有應用到這些Security Policy的Security Group也都同時會被備份到。

 

要進行Security Policy的備份也很直接,在Service Composer內的Security Policy下,選擇一個要備份的安全政策後,於Actions工作選項內可以看到Export Configuration這個選項。點下去就會有精靈出現,詢問要備份的Policies有哪些,儲存的檔名以及位置等等。而如果要回復也很直接,於Security Policy工作列內直接點擊Import Configuration圖示,就可以由本機選擇要匯入的組態檔,來進行Security Policy / Security Group的回復。

 

 

在上面我們對分散式防火牆以及Service Composer這邊的備份與回復作業都是利用手動在管理畫面裡面進行設定。但當然,NSX的所有動作都有對應的API進行,因此大家當然也可以寫個cron-job script利用NSX的restful API來定期進行相關組態的備份。有興趣的話,可以參考NSX的API Guide。

 

vSphere Distributed Switch的備份與還原: 

 

NSX的邏輯交換器是運作在vDS (vSphere Distributed Switch)上,分散式防火牆也是支援建置在vDS上的VM。因此在備份NSX的構件時,也不要忘記去進行vDS,甚至更進一步,vCenter Server本身的備份。vCenter的備份請大家查詢標準的vSphere 5.5 / 6.0文件,但針對vDS的備份,我們這邊進行一些簡單的說明:

 

  • 在vSphere Web Client內選擇Network項目,選擇要備份的Distributed Switch
  • 於中間頁面按Actions內,Settings裡面有Export Configuration,選擇後就會有精靈出現,可以選擇將Distributed Switch本身以及所有的Port Groups都一同備份
  • 同樣的,在Actions -> Settings內的Restore Configuration可以把之前已匯出的組態進行回復作業

 

 

以上是我們針對NSX的各個構件如何進行備份以及復原動作的相關說明,不知道大家有沒有覺得缺了什麼?如果大家對NSX的功能構件都很熟悉的話,應該會覺得少了一個東西:Edge Service Gateway。當我們要進行NSX環境的整體還原時,之前Edge Service Gateway沒有地方進行任何備份啊?那我們已經部署的這些網路服務VM,難道要全部重新重建嗎?我們不記得裡面的組態了,這要怎麼辦?

 

Edge Service Gateway並不是沒有備份,相關的組態備份是跟著NSX Manager走的。也就是說,當我們重新建立一個全新的NSX Manager,並從之前的備份資料還原這台NSX Manager時,Manager的紀錄內就已經會有Edge Service Gateway的資訊與組態了。但這些Edge Service Gateway的虛擬機器並不存在啊?

 

 

上圖內可以看到,在NSX Edge的選單內,Actions裡面有Redeploy的功能項。當我們進行系統還原時,只要用Redeploy指令,NSX Manager就會在現有的網路環境內重新部署Edge Service Gateway並還原至紀錄的組態。利用這個方式,我們可以重新建立好資料中心內與Edge Service Gateway相關的網路與安全服務。

 

這兩篇網誌內看起來我們要進行的NSX備份與回復作業看起來有點複雜,一般的網路設備可能只要做個匯出匯入就好,導NSX是不是反而讓大家比較難進行維運作業呢?不是的,因為

 

  • NSX是集中化的網路與安全虛擬化管理架構,我們上面的相關備份與還原,包含了”整個資料中心”的網路與安全虛擬化組態備份。

 

  • 一台交換器、一台路由器、一台防火牆的備份與還原或許簡單,但如果考慮一下,整個資料中心包含多少台網路設備、安全設備、負載平衡設備、VPN設備等等,各自要如何進行備份與還原,這時我相信與NSX來比較,其實NSX的備份與還原作業反而相當單純

 

以上是我們對NSX的備份、回復相關維運作業的討論與說明,希望讓大家就NSX的相關維運工作有更進一步的理解。