作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

在前面系列文內我們就NSX Federation這個新方案的架構,以及在網路與安全上的配置變化進行說明,也以一個展示範例討論在站點失效時的切換方式。在本文內,我想對NSX Federation介紹時常碰到的一些客戶與合作夥伴的詢問,進行整理與回覆。

NSX Federation需要額外的授權嗎?

NSX Federation是NSX Data Center Enterprise Plus授權的一部分,如果客戶的環境想要規劃採用Federation,在每個站點內的vSphere CPU上都需要有NSX DC Enterprise Plus的授權

NSX Federation在使用時,所有的配置都一定需要到Global Manager上嗎?

不需要,在使用Federation時,管理者在Global Manager上配置全域物件,這些物件會發送到每個Location的Local Manager內。但同時,對於『僅在單一站點內』的配置,管理者可以在Local Manager上配置即可。

討論詳細一點,一般來說,我們可以針對整個業務來做區分,如果這個業務需要跨站點的營運及保護,可以採用Global Objects來配置,但如果討論的是單一站點內就可以進行運作與保護,那用原本的Local Objects配置即可。

  • Global Objects:在Global Manager上才可配置,配置後,依據選定的Region (Location),會發送給指定地點的Local Managers。在這些Local Managers內,可以看到與運作這些Global Objects,但不能進行修改。
  • Local Objects:僅在Local Manager上配置,其他站點的Local Manager以及Global Manager不會知道這些配置。這邊的配置方式就和大家原本熟知的NSX配置一模一樣。

NSX Federation目前有哪些功能限制呢?NSX的每個功能都可以用嗎?

在本文寫作時(3.1版)NSX Federation仍是剛發佈的新方案,初期支持的是最基本的網路與安全需求功能。在前文的介紹內大家已經可以看到標準的T0 / T1 Gateway / Segment / 路由,以及防火牆、群組等功能都是有支援的。但一些較為進階的像是Identity Firewall或是L2 Bridge等目前就還沒有。下表是目前在NSX 3.1版Federation內有支援與沒有支援的功能簡述,我相信在後續版本內功能會更加完整。

另一個大家可能要注意的是在不同外部自動化工具對於現有NSX Federation的功能支援。NSX是一個軟體定義方案,因此Federation的相關功能都已經有很完整的API可呼叫,但外部的自動化工具可能尚未把這些API整合進來作為可呼叫的模組。就我知道目前Terraform已經可以支援NSX Federation的呼叫,但其他的自動化與組態管理工具則應都還需要一些時間。

NSX Federation是否會取代NSX Multisite的功能呢?已經部署NSX Multisite的客戶後續得要移轉到Federation環境嗎?

不會的,NSX Multisite與NSX Federation雖然都是Focus在多站點的架構,但本身訴求的客戶不同。在前面網誌一開始的比較,

  • NSX Multisite著重在中型客戶,Campus的環境。Multisite的環境內NSX Manager僅需要一組部署在單一站點,但除非客戶可以提供有三個Lan-Like的分散環境可部署,NSX Management Cluster可能在站點失效時會失去功能,管理者需要在其他站點以還原備份的方式重建,時間較長。

    同時,NSX Multisite功能無法在站點間不支持加大MTU的狀況下進行Overlay邏輯網路延伸,技術上限制較大。但Multisite方案不需要耗用過多管理資源,也無需強制需要Enterprise Plus授權,是這個方案的優點。
  • NSX Federation是大型客戶有多站點,每個站點都有自己的Local Managers,並透過Global Manager可集中管理。整個站點失效時,雖需進行手動切換,但業務中斷時間較短。同時站點間沒有強制要求大MTU的Carrier線路,也是其優點。

    但如同前述,Federation需要部署大量Managers耗用大量管理資源,且授權等級要求較高,這些也都是客戶需要考慮的

NSX Federation可支持的範圍?

在本文寫作時的3.1版,Federation架構可以支持到最多4個Location,所有Location加起來650個vSphere Hosts。已經初具規模了。

大概到此為止,NSX Federation還是一個很年輕的方案,但藉由這樣的機制,確實可以解決滿多客戶實際業務運作在多站點時會碰到的問題。我在本系列文一開始提到大部分企業在多站點運作時的網路與安全架構考量:必須可忍受站點等級失效,應該要可以跨站點集中管理,應該要能夠做到二層跨站點網路延伸;在前面的網誌應該都有交代到Federation可以做到的功能。如果大家有相關的需求,也歡迎與我們進一步討論。