server room electric 3d rendering
虛擬雲網路

網路虛擬化NSX 技術文章系列二百五十一:在中小型環境內的純微分段NSX部署架構(一)

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

NSX-T Data Center在設計時,是定義要支持一個大型私有雲內的軟體定義網路及安全方案。因此在架構設計上保留了許多大型環境內的考量,除了包含完整的網路及安全功能外,當然也考慮了管理控制層的備援,多個虛擬化環境的統合支持,高自由度具備彈性的安裝方式等等。但不可諱言地在多個客戶環境尤其是台灣,其實絕大部分的部署環境『沒有那麼大』,而且需求的功能也『沒有那麼多』。因此反過來,許多客戶也會和我們反應是不是在安裝上能更簡化,吃的資源不要那麼多,因為他們部署NSX其實也不是要多高大上的功能,就只是要微分段保護虛機啊。

很直接的比較就像是之前的NSX for vSphere。雖然本文刊出的時候產品已經接近End of Support且我們告訴所有客戶請移轉至NSX-T,但常常得到的反饋會是

  • NSX for vSphere安裝很簡單,只要Manager裝起來接上vCenter,Host Preparation做完就可以用
  • 現有的虛機只要是接在VDS Port Group上,馬上受到防火牆機制保護,不用做網卡改接(至NSX Segment)的動作
  • 如果只用防火牆功能,NSX for vSphere內只需要裝Manager不需要三台Controller,需求的資源很少
  • 其實在vCenter同一個介面內可以管NSX還滿方便的,不一定需要一個獨立的NSX管理介面跳來跳去
  • 雖然NSX-T功能很強大沒錯,但其實我們環境內就只有用到微分段…可不可以有一個純提供安全微分段的授權?

這些反饋都非常有價值。我們希望在每一個vSphere虛擬化環境無論大小,企業都會預設就把NSX安裝上去。但也因此,方案本身的簡便、易於使用也相當的重要。VMware當然也有聽到這些客戶聲音,因此從NSX-T 3.1版開始,逐步就中小型,尤其是純微分段使用情境的用戶,進行下列的優化:

  • 提出於中小型環境內部署NSX的Easy Adoption Design Guide,就這類環境的架構配置需求提出官方建議
  • 在NSX-T 3.2及vCenter 7.0U3開始,提供於vCenter內直接進行NSX安裝部署及初步配置的精靈流程,並可於同一vCenter介面內進行NSX管理
  • 同樣在上述架構內,讓NSX直接讀取vSphere Distributed Switch (VDS) 的Port Group配置,虛機連接基本VDS Port Group時直接納入防火牆保護
  • 提供純安全功能、成本較低的NSX Security訂閱授權。

在本系列幾篇網誌內,我想就上述的新架構、新功能、新授權等,和大家進行介紹。但首先開宗明義,這邊我們強調的是『中小型環境』。好,什麼是這裡定義的『中小型』環境呢?如果各位的虛擬化環境內:

  • 只有單一台vCenter。或是大家不會考慮要用一組NSX支持兩座以上的vCenter。簡而言之,vCenter與NSX是1:1的關係
  • 2~50台vSphere Hosts。不會超過1,000台虛機,或大部分狀況,低於500台虛機。
  • 已經有使用VDS或會移轉至VDS。vCenter / vSphere / VDS均可升級至最新版本
  • 對NSX的最主要功能需求是微分段(分散式東西向防火牆)

如果各位管理的環境符合上述條件,這系列內的文章是專門為各位設計的。在我個人經驗內,其實超過九成以上的台灣客戶環境符合上述描述。接下來數篇網誌會再就前面提到的新功能及架構做進一步說明。

相关文章

评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.