作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

接續前篇就客戶考慮採用NSX微分段時,在相關Sizing、資源需求、及安裝上常見的議題討論,本文繼續著重於虛擬交換器部分的考量。

運作NSX微分段時,虛擬環境內一定要採用VDS嗎,用Standard Switch行不行?

VDS (vSphere Distributed Switch) 是必要的。NSX從3.2版開始架構變得單純,NSX Manager會直接接管vSphere環境內的VDS,並在上面建立需要的Overlay或VLAN網路。因此在運作NSX前,必須先啟用VDS功能。

如果為了管理簡便性或快速回復等考量,vSphere本身的管理 / vMotion等介面希望運作在原本的Standard Switch上,沒有問題。但要受NSX微分段防護的業務虛機,務必要運作在基於VDS的網路環境內。

因此請大家在安裝前需要考慮:

  • 若是在全新虛擬化環境內部署NSX。在vCenter / vSphere部署流程中,即請先建立VDS的相關配置(業務網段 – Segments可由NSX進行配置)
  • 若是在現有虛擬化環境內要部署NSX,且現有環境僅運作Standard Switch,則需要先完成Standard Switch to VDS的Migration作業。流程不複雜,也有對應的UI介面工具,但管理者會需要考量比如底層網卡、實體連接線路、及逐步移轉步驟等相關的流程問題。

分散式防火牆可否直接運作在現有 VDS Port Group內的虛機

在寫作目前的時間點 (NSX版本4.1.0.2),除了特殊的NSX Easy-Adoption快速安裝架構之外,分散式防火牆機制不會運作在純VDS Port Group的虛機上,而僅會於NSX內配置的VLAN Segment / Overlay Segment上生效。

因此即使我們只是要將微分段功能運作在現有實體網路環境的虛機上,在安裝時仍會稍嫌繁瑣。包含在前面問題內討論的,流程大概是

  • 在vCenter/vSphere環境內配置VDS交換器。
  • 安裝NSX Management Cluster,
  • 連接vCenter,接管VDS交換器,並進行vSphere內構件安裝。
  • 對應到現有實體網路VLAN,建立對應的NSX VLAN Segments。
  • 移轉或改接各台業務虛機,將虛機網卡連接到所在的NSX VLAN Segments上。

過程小麻煩,但業務虛機改接網卡時通常很快速,不會有太長的中斷影響,也無需異動現有的網路IP與路由配置架構。因此通常我們的PSO及經銷夥伴專家在進行專案過程中,也都能很平順地進行此處的網卡改接步驟。

而就我們所知,產品開發團隊已經在評估是否在後續版本,所有被NSX接管的VDS交換器,包含基本的VDS Port Group上虛機都可直接運作分散式防火牆。若大家對此功能有需求也敬請期待。

部署微分段功能時,vSphere伺服器與實體交換器間的網路介接是否有特殊需注意點?

沒有,反而應該這麼說,我們非常建議vSphere伺服器與實體交換器間就是用最基本最單純的方式來介接。比如說在VMware Validated Design (https://docs.vmware.com/en/VMware-Validated-Design/5.1/sddc-architecture-and-design/GUID-7F2703BA-99D1-4C55-AE37-B8038C888FE1.html) 內,建議

  • 在實體交換器與vSphere伺服器間運作Trunk Mode (802.1q)。
  • 實體交換器上加大MTU提供更好的傳輸速率
  • 不需要運作任何EtherChannel (Link Aggregation/vPC) 配置在實體交換器上,vSphere / NSX本身即可提供實體網卡的Active / Active機制

近十年大概碰過五六次客戶抱怨說一裝了NSX,微分段防火牆什麼規則都還沒有配置,虛機就會掉包。幾乎每次我們的專家下去看,都是實體交換器上設定了奇怪或不相容的Link Aggregation配置,拿掉就沒問題了。供大家參考。

運作微分段功能時,虛機在網路上的延遲時間 (Latency) 會增加多少?

基本上大家可以將微分段防火牆當作在虛擬交換器上的一個額外封包處理程序 (dvfilter process)。一般來說只要虛擬機器以正常的模式通過VDS連接到實體網路,與實體機或是虛機採用SRIOV模式直接連到實體網卡相比,大概就會有個150~200 micro-seconds的額外延遲時間。而如果再加上了防火牆的處理程序,

  • 以標準三四層防火牆規則來說,約會加上40~50個micro seconds的延遲時間。
  • 如果啟用進階安全功能如七層防火牆、IDPS等等,由於需要複雜的封包內容比對,一般來說額外的500~700個micro seconds是必要的。

實際狀況是,如果大家的虛機在標準VDS Port Group內運作正常,我沒有看過純粹跑四層防火牆時,客戶有抱怨說效能大幅降低(但七層與IDPS是有的)。除了特殊交易量非常大、效能要求極高的機器外,運作四層防火牆加上的那幾十個micro seconds通常都可以忽略不計;而且說真的,如果業務的特性是會敏感到這些少量延遲就會造成影響,管理者通常也會決定不要將這些機器虛擬化,而採用原本的實體機運作方式。

常見對於微分段方案內NSX Sizing、資源需求、及安裝準備上會需要互動討論說明的議題就大致討論到這邊。下篇我們進入另一個微分段常見議題:許多客戶的環境已經由單一站點移轉至跨站點環境了,此時我們要如何確保雙中心的災備演練或實際切換能在短時間內完成,並且微分段防火牆規則能夠跨站點自動同步呢?後續繼續討論。