作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。
本文我們先從當客戶考慮要採用微分段,在Sizing、資源需求、及安裝上常見的問題進行討論。在微分段導入前,通常企業已經有了vCenter/vSphere虛擬化環境,重要業務以虛機的方式在資源池內運作。此時以系統管理者的角度,要導入NSX分散式防火牆前,常會考慮下列的問題:
導入微分段機制時,對現有的虛擬化環境有哪些資源要求?
NSX分散式防火牆運作在標準VLAN實體網路上保護虛機時,有兩個基礎構件:
- NSX Manager虛機。生產環境建議三台,但單台亦可運作。Manager負責微分段內集中的政策配置與統計資訊收集。
- 在每台vSphere內會安裝NSX的運作元件,實際在每台虛機前進行安全防護。
因此以管理者的角色來看要考慮的資源需求包括
- NSX Manager虛機本身需求的CPU/Memory/Storage資源,以及對應之失效保護機制資源需求。
- 每台啟用NSX 的vSphere上,如果僅啟用L4防火牆,僅需保留1個CPU core就足夠了。但如果要啟用L7或甚至IDPS以上功能,請保留4個CPU core。Memory部分,分散式防火牆不會使用超過16 GB。而NSX元件安裝在各台vSphere內,不會佔用超過1 GB的儲存空間。
此外,NSX Manager與vCenter及vSphere間要能提供必要的L3路由連通。
NSX Manager一定要三台嗎?是否可以僅用單台省資源?
基本上在中大型生產環境,我們都會建議客戶採用三台NSX Manager做2+1保護,允許單台Manager失效時不影響環境運作。但如果是『純微分段、無Overlay的實體環境』,用單台NSX Manager是可以的。
先簡單解釋一下,如果NSX Management Cluster失效(三台Manager架構內有失效兩台以上的Manager,或單台Manager架構內失效了唯一的那台Manager虛機),此時的狀況是:
- 完整NSX安裝,如有Overlay網路運作的環境:現有虛機及防火牆都正常運作,但新的虛機在Overlay網路上的建立、遷移 (vMotion)、回復 (vSphere HA 或透過SRM還原) 等,都會因為vCenter / vSphere找不到NSX Management Cluster,而無法進行。防火牆會無法進行新的配置。
- 純安全於實體VLAN網路情境:虛機層及防火牆運作均不受干擾。防火牆會無法進行新的配置。
說真的大部分客戶環境,防火牆規則也不是天天改、隨時改。因此即使在NSX Manager僅有單台,而且有vSphere HA保護的前提下,一般來說即使這台Manager失效了,重新跑起來恢復運作大概頂多就是15分鐘內可還原的事情。如果企業可以忍受這15~20分鐘不能更動防火牆配置(但現有虛機的保護不受影響),那採用單台NSX Manager在純微分段、純VLAN的實體環境是可接受的(再次強調,請至少要有vSphere HA的保護)。
那反過來說,我想加強保護,NSX Manager可以裝五台,允許同時有兩台失效嗎?
基本上這邊不是學理上或技術上行或不行的問題,而是VMware在產品進行的相關品質測試及驗證,都是基於NSX Manager有三台,允許單台失效的場景。產品並沒有在超過三台NSX Manager的情境下完整測試,因此我們不建議也不鼓勵這樣做。
其次,如前所述,在純微分段、純VLAN的場景,NSX Manager的短暫失效影響並沒有那麼大。2+1的單台失效保護已經完全足夠了,做到3+2並沒有其必要性。
但如果大家因為系統維護、升級、異動IP地址、更動Sizing(如增加Manager虛機CPU/Memory等要求)的需求,短暫地增加NSX Manager到第四台以上(最多可六台),這是可允許的作業。但以常態來說,標準NSX Management Cluster內僅需要三台互為備援即可。
NSX Manager要採用哪種Size?Medium足夠嗎?
在純微分段、純VLAN的場景,NSX Manager就是一個單純的政策配置與資訊收集元件,不涉及Overlay網路內比如說Flow / 路由的配置這些事情。因此Medium Size ( 6 vCPU / 24 GB Memory) 就綽綽有餘了,沒問題,除非你的這台Manager要管超過128台vSphere Hosts以上。在台灣,也只有極少數客戶有到這種規模。
文長先暫停到此。一般在NSX導入時,與客戶及經銷商夥伴於Sizing、資源需求、及安裝上會需要互動討論說明的議題很多,下篇我們繼續介紹。
