作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。
上篇網誌內,我們討論了一個基礎的NSX-T PoC或是小型生產環境內,要預先準備的軟體、網路設備要求、以及伺服器的數量。本篇我們要專心討論一個問題:配置NSX-T時的伺服器規格有沒有特別要求。
硬體需求:伺服器規格
以前大部分的VMware方案在進行部署時,我們通常和客戶說明硬體方面的要求都比較簡單:各個構件必須在vSphere相容性清單內。如果各位是已經使用VMware多年的客戶或夥伴,想必對這個相容性清單工具很熟悉,網址如下:
https://www.vmware.com/resources/compatibility/search.php
但在NSX-T內,各台伺服器除了作為虛機與容器的運算資源池外,同時也要擔任能夠快速處理網路封包的作業。要支援Intel的DPDK (Data Plane Development Kit)技術,要能夠將乘載虛機的大小封包快速傳送,同時不要吃掉太多的CPU處理能力。因此一台NSX-T環境內的vSphere實體伺服器,我們會要求除了各個構件要能符合相容性清單外,還有以下的額外條件:
1.CPU是Intel的,而且必須是Westmere之後的版本
說的精確一點:如果有乘載Edge VM的vSphere Host,必須要符合上面的條件,不然Edge VM裝不進去。目前符合的CPU世代包括了如Xeon 56xx, Xeon E7-XXXX, Xeon E5-xxxx等(請以最新的NSX-T Data Center Installation Guide為準)。
原因是Edge VM是用來作為邏輯網路與實體企業網路間介接的橋樑,預期會有非常大量的網路封包要透過Edge VM傳輸。因此在NSX-T的設計內,Edge VM必須支援Intel DPDK 的功能,而包含這些技術的AES-NI (Advanced Encryption Standard – New Instruction) 指令集在Westmere世代後才有支援
2.每台伺服器請最少有4個網路界面,2個管理用,另外2個給NSX-T用
這是我們請客戶準備環境時最常碰到的問題,客戶有Server,但上面可能只有兩個網路埠。可是我還是要請大家堅持這個條件,因為是有好處的,理由解釋如下:
NSX-T並沒有使用vSphere原生的VSS / VDS,而是採用自己的N-VDS (NSX-T Virtual Distributed Switch)。所有受NSX-T控管的虛機與容器,是透過N-VDS進行網路傳輸與安全控制。但是vSphere本身仍然有VMkernel必須要進行包含管理、vMotion、Storage / vSAN等等需求啊。因此要四張網卡的原因是
- 兩張網卡專門用來作vSphere相關的管理用途,如上頭的vmnicA / vmnicB。兩張網卡互為備援,而這兩張卡由原生的VSS或是VDS來管理都可以
- 兩張網卡專門用來乘載虛機或是容器的業務網路傳輸,如上頭的vmnicX / vmnicY。這兩張網卡互為備援,由N-VDS來進行管理。虛機可以透過N-VDS創造出的邏輯交換器(用Geneve進行封裝的Overlay-Based,或是用基礎VLAN-Based的方式均可)來互相連接
要更多網卡當然也行,比如說我有用戶的配置是兩個1G介面做管理互為備援 (VSS or VDS),兩個10G介面做VSAN / vMotion功能 (VDS),兩個10G介面用來乘載虛機(N-VDS)。重點是如果少於四個網路埠的話,可能的問題是
- 管理與業務的網路都透過N-VDS來控管。安裝複雜麻煩不說,核心的危險性是如果不小心N-VDS上面有網路配置錯了,不小心會連核心管理網路都影響到,然後你就連不到vSphere了
- 管理介面一個網路Port (VSS or VDS),業務介面一個網路Port (N-VDS)…嗯這樣沒有備援啊,PoC就算了,生產拜託不要這樣搞
- 管理與業務的網路都透過N-VDS來控管。安裝複雜麻煩不說,核心的危險性是如果不小心N-VDS上面有網路配置錯了,不小心會連核心管理網路都影響到,然後你就連不到vSphere了
1G或10G / 40G介面的網路埠要選哪種我們不管,但把管理與業務分開,有備援設計,應該是比較安全的配置方式。
3.生產環境內,由NSX-T控管的網路卡應該支援Geneve相關優化功能
也就是說上圖內的vmnicX / vmnicY,因為要做大量的Geneve封裝、解封裝動作,如果希望這個動作效能好,不要吃太多CPU,那希望在網卡的硬體內就可以把這個動作解決掉。因此,配置網卡時,可以在VMware相容性清單內選擇合適的網卡。以下面的步驟來說:
- 到VMware相容性清單網頁,選擇要進行IO Device的選擇:https://www.vmware.com/resources/compatibility/search.php?deviceCategory=io
- 各個窗口內,選擇使用的vSphere版本、選擇介面卡廠牌、選擇IO Device是Network、選擇Features至少包含GENEVE-Offload / GENEVE-RxFilter
- 按下面的Update and View Results,就可以看到支援的卡片種類。有支援這些功能的廠商與卡片其實相當多
如果是PoC,上面的動作並非必要。但如果要測效能或是在生產環境,請務必在網卡的選擇上多加注意。
這兩篇我們做了安裝前的軟硬體準備。下一篇,我們要說明在安裝前的實體網路設備與VSS / VDS上的網路配置動作。
