作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

又要開新系列了,開心~~(灑花轉圈圈)~~

 

VMware 在2019年7月正式宣佈收購Avi Networks,對我們員工來說是一個非常振奮,覺得有好多事情可以做,來大幹一場吧的好消息。Avi Networks是應用遞送方案(ADC, Application Delivery Controller)市場內技術非常革新的公司,對於導入新應用架構需要高流量負載平衡、採用自動化編排、部署於虛機容器混合環境、甚至公有雲的企業來說,是非常值得考慮的方案。

 

簡單的說,Avi Networks並不是『又一家』應用遞送方案公司。大家的資料中心內可能已經使用了F5 / Citrix Netscaler / Radware / A10等方案且運作順暢,沒有問題。但傳統的遞送應用方案有許多早期的設計與包袱,對應到新世界應用的擴充性、隨需部署、自動化編排等要求就沒有那麼方便了。

 

這麼說:現在我們建議大家對於任何的IT底層基礎方案,都應該要對應後續新應用架構,考量下面的事項:

請大家想想:先不談Avi,NSX Data Center的設計是不是符合上面的要求呢?

 

  • 我們需要網路與安全的配置能自動化編排,易於快速部署、異動、Scale Up/Down、Scale Out/In、刪除。因此首要必須要把網路與安全構件的管理集中化(NSX Management Cluster),提供現代化的API(支援Swagger – OpenAPI),而且可以很容易的被自動化工具調用(vRealize Automation / Ansible / Terraform)

 

  • NSX Data Center能夠同時管理虛機與容器,無論用戶的應用會採用哪種底層,都能讓維運團隊可以統合管理,並且容易橫向擴充。而且功能應該要資源池化隨需調用,不鎖定特定硬體才能部署。

 

  • NSX Data Center不僅在企業私有雲環境內可以使用,也可以擴充到公有雲環境(VMC on AWS, NSX Cloud)

 

可以這樣講,上述的要求(易於自動化、原生就可支援虛機/容器環境、可部署至不同公有雲)已經是各種新IT方案都基礎應被考量的需求。而當我們在理解Avi Networks的方案與架構時,可以很直接的說,上述的需求都有被納入設計。Avi的架構根本與NSX Data Center如出一轍,甚至在幾個地方走得更快,與VMware產品的願景與理念是天作之合。

 

而且應用遞送服務是企業IT環境重要的一環,這卻是原本VMware的產品較為欠缺的。原本NSX Data Center方案內,應用遞送服務僅有本地負載平衡的功能。但下圖內,大家可以看到Avi Networks的完整功能列表:

  • 本地負載平衡功能:當然有喔。四層七層負載平衡、SSL Offload、基於URL的轉址、Web Cache/Compression、

 

  • 全域負載平衡:有喔

 

  • Web Application Firewall與安全功能:有喔,OWASP Top 30弱點的防護,連線數/連線頻寬限制、來源地址限制

 

  • 連線日誌與分析:做得超好的,我認為比許多友商的應用遞送方案的分析功能更好

 

說真的,目前Avi Networks與其他的傳統應用遞送方案或是Application Switch等比較,功能面上大概還沒有做的就是SSL-VPN與 WAN-Link Load-Balancer吧。但這反而不是『應用遞送』的需求重點了。

 

在這個系列內,我們會用比較粗淺的方式,與大家進行下列的介紹:

 

  • Avi方案的技術架構簡述

 

  • Avi方案在大型應用上的效益

 

  • Avi方案的應用分析與日誌

 

  • Avi方案在公有雲上的應用

 

  • Avi方案在自動化編排上的優勢

 

目前,Avi Vantage方案已經在VMware正式更名為NSX Advanced Load Balancer。因此在後面的文章,無論我們是講Avi、NSX Advanced Load Balancer、NSX ALB等等,都是指同一個方案。此外,如果您已經是NSX Data Center的用戶,一定會詢問那原本NSX DC內的Load Balancer功能還會支援嗎?這邊請不用擔心,NSX DC內的負載平衡功能都會持續提供與維護,但如果在進階的新功能上,後續就會主要做在Avi的產品內了。

 

那麼,接下來就開始吧!