虛擬雲網路

網路虛擬化NSX 技術文章系列二百零六: NSX – V轉T事前規劃及工具討論(三)

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

客戶在採用NSX for vSphere時可能有使用不同的功能與搭配各種情境,因此在移轉時,強制只以一種機制去 cover 所有的場景也並不合理。考量到這些,NSX-T內的V2T Migration Coordinator有數種不同的配置,對應到不同的環境與移轉方法。本篇與後面的網誌文章會和大家就不同方式的優劣點快速進行說明與比較。

但其實總歸一句話:各位在進行V2T作業規劃時,是想要採用In Place (原地移轉),或是 Lift and Shift (先建後拆)的機制呢?

In Place (原地移轉):

原地移轉方案的重點在於,客戶環境內沒有新的伺服器,要在現有的資源池內原地進行轉換。比如說原本的環境是10台伺服器安裝了vSphere以及NSX-V,在採用In Place移轉方式時,沒有多餘的硬體,就是在這10台伺服器上安裝NSX-T的需求元件,並在移轉過程中拆除V版的運作模組。

在In Place架構內的優點很直接:

  • 不需要採購新的硬體,成本低廉

但雖然省錢皇帝大,請大家選擇這種方法時務必仔細規劃,因為在節省成本的同時,這種方法隱藏了很多風險:

  • 在現有的硬體內進行移轉,移轉過程中額外需安裝的NSX-T資源需求,現有硬體的計算與儲存容量是否可以滿足?
  • V2T移轉本身不會升級vSphere,那現有的vSphere環境是否與T版安裝時有版本適配問題?是否需要先進行vSphere本身的升版?
  • NSX-T本身在底層伺服器硬體上有CPU / 網卡效能等的適配性。舉例來說,我們會建議大家在選擇網卡上,應該要有支援Geneve-Offload / Receive Size Scaling等功能。原本環境內的硬體與對應驅動程式可否滿足這些需求?是否需要做硬體更換與driver升級?
  • 因為是在相同的伺服器硬體內,真正的移轉發生時,Migration Coordinator會把vSphere上的V版元件移除,並安裝T版驅動工具。這代表什麼呢?代表『無法回頭』,核心移轉一開始,就只能往前走到底。如果過程中有因為上述軟硬體的適配性或是其他奇異的因素,雖然機率很低,但造成某個地方有移轉失敗,生產環境內業務的可靠性非常可能會受到影響。

所以,雖然是個人意見,如果客戶問我,我一定是建議下面這種方法:Lift and Shift (先建後拆)

Lift and Shift (先建後拆):

如同名稱內指出,這個架構就是客戶要買新的伺服器,新建一組環境。這組環境內,完全從頭開始建立vCenter / vSphere以及最新版的NSX-T Data Center,因為是獨立硬體,所有安裝上的問題都不會影響現有原有環境運作。接著進行NSX內的配置移轉,移轉完成後,以vMotion或HCX等不同機制,逐步將核心業務系統從V版環境移轉到T版環境內。移轉過程中,兩個環境全部都運作,客戶可以依據實際需求進行移轉時程規劃。等到業務全部移轉到新環境,運作一段時間都沒有問題後,原本V版環境就可以移除,伺服器可以轉移到其他的環境使用,或在相容性容許下,用來擴充T版這邊的資源池

Lift and Shift架構的優點是這樣:

  • 新的環境內,客戶可以採用與T版相容,功能強、CP值最好的硬體,可以安裝最近版本最安全的vCenter / vSphere / NSX-T。
  • 整個T版資源池的建立與現有生產環境無關,團隊可以在不會影響生產環境業務的限制下,進行新環境安裝、調適與測試。
  • 虛機移轉的作業採用vMotion或是搭配HCX,在客戶允許的時程、流程內逐步移轉。
  • 最重要的,原本V版的環境一直都在,如果T版的環境出現了未預期的問題,業務機器永遠可以轉回V版環境運作。這個架構是可以回頭 (Rollback) 的。

缺點有兩個:

  • 需要花錢買新硬體。講錢就傷感情了。
  • 在目前版本的V2T Migration Coordinator內,Lift and Shift架構只有支援DFW相關構件的移轉 (DFW rule / Security Group / IPSET / Security Tag…)。網路部分如Overlay Network / Routing-Gateway的移轉,目前只能利用手動,或是搭配上層自動化系統如vCloud Director環境來移轉。所有配置都”全部轉移” 的機制,目前只有在In Place的架構內支持。

但我不覺得這是大問題,在台灣的客戶內,很多有相當複雜的DFW防火牆規則需要有工具輔助移轉,但絕大部分網路這邊配置都較為單純,手動移轉相對比較不是問題。

上面花這麼大篇幅討論這兩種架構優缺點,因為這是在移轉前架構最重要的考量點,要選擇哪一種會直接影響到整個V2T的後續規劃及設計。我個人當然是推薦先建後拆方式,但不同的客戶有不同的重點考量,各位在進行V2T作業前,務必請對這裡不同選擇的優缺點進行討論。

除了是要先建後拆還是原地改建的差異外,NSX V2T Migration Coordinator還有其他不同的移轉選項,比如說是要所有配置移轉還是只轉安全這部分,要不要搭配上面的自動化平台,像是這些。不同移轉的方式我們在後面會繼續做介紹,但在下一篇,我想就一個最典型,可能台灣大部分NSX客戶都會使用到的移轉情境來做較為詳盡討論:先建後拆,只轉防火牆。文章已長,就先停在這邊。

相关文章

评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注