作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

HCX的部署可能是地對空可能是地對地,或許來源與目的端在不同資料中心也可能在同一個資料中心。無論如何,當我們要把虛機透過各種前幾篇討論的機制,大規模批次移轉到目的端時,一定會面對一個問題:來源端的業務網路與目的端的業務網路是不是同一個,簡單的說,虛機移過去後,『要不要改IP與Gateway』?

To change, or not to change IP address, that is the question.

對於客戶的重要業務機器來說,移到新環境時是不是一定需要採用原本的IP定址,本身就是個大哉問,這不單純牽涉到技術,還包含到原本AP的設計及維運。有些舊AP連開發團隊都不在了,裡面構件間的IP關聯也寫死了沒有用FQDN,拜託客戶改IP像是要他們的命一樣。而且這邊的決定未必是Infra團隊可以自行討論,通常一定需要以AP維運團隊的意見為主。所以通常在業務移轉過程中,會需要開好幾次會,做下列的選擇:

  • 業務虛機在移轉的過程中『可以停機,IP也可以異動』。此時最簡單,來源與目的端環境可以使用不同的IP業務網段,這些機器無論是採用HCX內的Cold Migration / Bulk Migration都沒問題。在前面關於Bulk Migration的網誌內大家也看到,HCX本身就有設計可以在移轉時進行各個虛機IP / Gateway的修改,過程中可以自動執行網路異動的作業
  • 業務虛機在移轉的過程中因為種種因素『IP不能異動,最好移轉時也不要停機』。此時要滿足上述的條件,業務網路勢必需要能夠在來源與目的地間可以二層延伸,且通常我們會在HCX內採用 vMotion / RAV的方式來進行虛機移轉。

如果在與AP團隊討論後的結論是IP地址無法更動,此時我們就會進入下一個課題,需要找網路Team一同討論:這種將來源業務網路延伸至目的端的需求要怎麼達成呢?一般來說有下面幾種選擇的機制:

  • 最簡單的方式,就是底層的業務網段,可以vlan整個大二層延伸到新環境內,Gateway也停留在原本的來源端實體網路設備上。這架構超級簡單容易理解,但重點在客戶網路團隊的實體環境能否支持,很可能會因為設備與實際機房配置的狀況做不到,或是需要非常複雜的組態異動
  • 而且上面通常即使可行,也通常僅在單一資料中心的不同機櫃間。如果我們要討論跨資料中心的二層網路延伸,那有幾種手段。一般來說大部分會首先提出的不外乎兩種:首先是能否與電信商租用指定線路,直接把二層網路透過指定線路拉到另一端。這是可行的,但通常費用相當高,要異動的設備也很多。
  • 另一種機制是在兩邊的設備間以軟硬體網路設備的方式透過封裝,比如說OTV、VXLAN+BGP、或狀況允許(MTU可以加大)下用NSX的邏輯網路封裝。這種方式有些會牽涉到需採購特定的網路設備,或是碰到底層電信商網路的限制,也不易進行。而且想一想,兩邊都是客戶自己的資料中心也就算了,如果目的端環境是公有雲,客戶有可能自己在公有雲端擺個實體網路設備,和來源端做OTV嗎?應該可以看出這邊的限制也很多。
  • 一個比較簡單的方式可能是採用L2VPN,NSX本身就有支援,客戶也可以透過某些支持的硬體廠商設備功能來做。但手動設定L2VPN又很複雜,在大規模的虛機移轉時如果牽涉到很多業務網路,這邊光配VPN就配不完啊。

所以這就是HCX Network Extension能夠解決的問題:

  • 採用HCX的環境內,目的端網路一定有NSX。HCX可以極為方便地在來源端與目的端以NSX技術快速建立二層網路延伸(且無須手動設定複雜的L2VPN配置),將來源端的VLAN or Overlay網路延伸到目的地的NSX Overlay網路
  • 虛機以不同機制移轉到目的地NSX Overlay網路內,由於目的與來源業務網路已作成二層連通,虛機移轉過程中無須改動 IP / Gateway。
  • 在所有此網段的業務虛機都移轉完成後,客戶可以考慮直接把整個業務網路路由(Gateway)移轉到目的NSX上。此時不僅是虛機移轉完成,連業務網段都一起切換到目的地了。

怎麼做到的呢?在下篇網誌我們會繼續與大家就Network Extension技術進行實際的討論。