作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

在每一個與客戶或是夥伴說明與展示NSX Intelligence的場合,一定會被問到的問題是,那這和vRealize Network Insight的差異在哪邊呢?Network Insight可以持續地利用Netflow機制檢視各虛機的網路流資訊,也可以進行Firewall Rule Recommendation,只是沒有按一下就把規則推送到NSX上面的功能。客戶環境內也已經在使用Network Insight了,那為什麼需要更換到NSX Intelligence呢?

 

這一篇,我們就是要不逃避,直面回答這個問題~~但兩個重點需要聲明在先:

 

  • NSX Intelligence與vRNI之間並不是前後代產品,誰會取代誰的關係。兩個方案可以擇一使用,或在一個環境內兩個都用,是沒有問題的

 

  • 當客戶購買了NSX Data Center Enterprise Plus的授權,裡面會包含NSX Intelligence,也會包含vRealize Network Insight的Advance版。

 

所以與其說比較或是代換,應該是就大家的現有環境與需要達到的效益,部署這兩個產品哪個對各位的效益較大?而如果需要做的事情單一產品不足夠,想要兩個都用也行,並沒有非黑即白的要求。所以接下來,我們就要用不同的面向,來和大家討論這兩個方案各自更適合哪種情境。

 

方案監控範圍僅在純NSX環境還是包含實體設備/公有雲環境?

 

NSX Intelligence僅僅針對新部署的NSX-T Data Center環境內的網路進行監控、分析與提供可視化介面。vRealize Network Insight設計上雖然最重要在vCenter / NSX的環境,但同時也可透過SSH/SNMP等機制抓取實體設備資料,透過標準Netflow連結實體交換器的網路流,或透過如FlowLog等機制監控AWS上的應用網路資訊。

 

也就是說,vRealize Network Insight是VMware對應到泛用環境網路維運的工具。當然是以vCenter / NSX為中心,但也可以支持多種其他友商設備與不同環境。NSX Intelligence則是NSX-T Data Center內的專屬網路監控分析工具。

 

那只考慮VMware NSX-T / NSX for vSphere / 或是僅有vCenter的環境內,應該選哪種呢?

 

NSX Intelligence僅支援NSX-T。vRealize Network Insight可以在NSX-T或是NSX for vSphere環境內運行,而如果客戶還沒有安裝NSX僅有vCenter,只要客戶環境內有採用vDS (vSphere Distributed Switch),vRNI同樣可以抓取vDS的Netflow資料進行分析。

 

但當然,大概從2019年下半年起,我們在台灣客戶新的NSX部署已經大概都開始使用NSX-T方案了。因此新環境應該不會由於採用NSX for vSphere,而限制到監控方案的選用。

 

而這會導到下一題

 

如果我只是需要一個方案能就現有環境內,核心業務的網路流先進行收集與評估,應該選那種?

 

應該選vRNI。

 

主要的原因很簡單,只要這個核心業務已經在vCenter環境內運作,且底層虛擬交換器已經是採用vDS,此時在不需要做任何的業務機器移轉狀況下,只要把vRNI裝起來,與vCenter接起來,馬上可以開始收集資料,核心業務運作不會受到任何影響

 

而NSX Intelligence運作的前提,是需要先把NSX-T安裝起來,邏輯網路 (VLAN or Overlay) 設定好,將核心業務的機器由原本的環境轉移至NSX-T的邏輯交換器上,NSX Intelligence裝起來,此時才能開始進行資料的收集與分析。各位應該不會只為了『評估』的作業,把生產環境這樣天翻地覆的轉一遍吧。

 

很明確的,如果只是要快速地進行業務網路流收集,在客戶環境已經有vDS的狀況下,用vRNI是簡易且對業務沒有影響的。甚至在沒有vDS僅有vSS,但底層實體交換器可以開Netflow的狀況下,vRNI也可以由實體交換器來收集資訊。這邊的彈性遠大於使用NSX Intelligence

 

而如果我們全新的虛擬化環境已經建好,NSX-T部署完成,逐步要把應用移進來,那此時要使用vRNI還是NSX Intelligence呢?

 

兩種都很好,但以我個人意見來說,如果只選一種,在應用網路流監控的這方面我更建議NSX Intelligence

 

因為單純以一個應用住進來,要進行應用網路流的收集、觀測、防火牆政策推薦與發佈,NSX Intelligence即使在目前的初始版本,功能都比較多。包括了

 

  • NSX Intelligence對於網路流的分析比較深。如同前篇介紹,Intelligence不僅收集網路流,還會與現有的安全機制(防火牆規則)進行比對,管理者不僅可以看到有哪些網路流,還可以看到哪些已被防護(防火牆規則有了),哪些規則仍未建立

 

  • NSX Intelligence在防火牆規則推薦的部分比較完整,推薦完畢後可以直接進行規則修正、群組定義的介面也較直覺。同時,雖然不一定要這麼做,但Intelligence就是可以直接發佈規則到NSX-T內,而vRNI只提出建議。

 

但反過來說,vRealize Network Insight除了網路流監控,還有很多不同的特異功能,像是簡易的自然語法搜尋介面,多樣式的dashboard與可視化介面,也都是非常吸引人。但如果單就網路流監控這一塊,vRNI基本上限制於Netflow的資訊,不會做更深。而NSX Intelligence因為是用系統內部的格式把所有看得到的資訊都餵進來,可做的事情就更多了。

 

所謂NSX Intelligence後續可以做更多事情,大概包括哪些呢?

 

現在的時間點 (NSX-T 3.0版,NSX Intelligence 1.1版),各位已經看到的功能包括了網路流的收集、現有防火牆規則的比對、防火牆規則的推薦與發佈。而隨著NSX-T微分段功能由標準L4防火牆到L7防火牆再到IDPS,這些微分段內的新功能都會逐步地在NSX Intelligence的分析內呈現。

 

也就是說,後續在NSX Intelligence內我們不僅選擇一批虛機後,可以看到彼此間的網路流,還包含了

 

  • 這些網路流有被哪些防火牆規則防護(現在就有)

 

  • 透過L7 Context引擎,確認網路流的真實應用種類

 

  • 確認這些網路流是不是有安全告警與異常問題(由NSX IDPS的資訊),以及進階的安全防護機制推薦

 

  • 目前版本僅支援虛機間的網路流分析,後續當然也會將容器網路流納入

 

文長,大概停在這邊。在本系列文內我們從vRealize Network Insight的功能回顧,到NSX Intelligence的介紹,本篇再做統整的方案比較。以我同事與客戶說明的一句話作為總結:vRealize Network Insight做得廣,可以支援多種類的環境;NSX Intelligence做得深,對應NSX-T Data Center管理的環境內的網路可視化與安全防護更完整。如果各位有興趣想要更進一步資訊,歡迎與我們或是VMware經銷夥伴們進行聯繫。