作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

即使企業開始走向虛擬化與軟體定義資料中心,如果現有的實體網路與安全架構用得好好的,對業務與維運沒有任何影響,那當然大家應該繼續沿用現有方案,不需要花力氣進行相關的架構與設計變更。但近年SDN與Network Virtualization議題被VMware與相關廠商炒得越來越熱,

其實最主要的原因就是大家發現傳統硬體網路的做法已經不易支撐雲運算與虛擬化架構了。原因是什麼?大致上分成下列數點與各位進行說明:

 

網路與安全的設定難以與雲端業務結合,進行自動化或集中化的組態: 

 

想像每天都有新的業務需求生出,比如說研發單位要求要馬上建立一個測試系統,或公有雲企業收到一個新的租戶申請。目前vSphere虛擬化加上部署自動化機制(比如說vRealize Automation),於新業務所需的虛擬機器都能夠自動產出並部署了。但網路與安全的需求呢?先不考慮為了每個特定系統或租戶去採購獨立的網路或安全設備(這太恐怖了),但即使是在現有硬體上進行組態變更,這些新業務所需要的網段、路由、安全設定、負載平衡設定、VPN設定…難道是要網路與安全工程師每天去進行底層網路與安全設備組態變更嗎?我們能否做到

 

  • 資訊系統或租戶的網路與安全需求,能整合部署自動化機制同時動態建立,或至少,是在一個集中化的介面就可建立
  • 新的資訊系統與租戶建立時,無需變動底層設備網路或安全設定

 

圖說:想像一下你是每天,而非每三個月,都要進行下面的組態變更動作

硬體式網路架構難以彈性地回應雲租戶或軟體定義資料中心內的業務需求: 

 

大家可以自問下面的需求容不容易在不額外採購軟硬體的情境下達成

 

  • 系統內有多個租戶,每個租戶都有多個網段的需求,整個環境內的網段數目需求超過VLAN數目4096的上限
  • 環境內是IPv4,但部分的測試系統要求要跑IPv6
  • 測試系統要求與生產環境採用同樣的IP。或是各個租戶系統內採用同樣的IP網段
  • 每個租戶或是業務要求要有獨立的防火牆、獨立的負載平衡器、獨立的VPN設備、獨立的DHCP伺服器

 

傳統硬體網路架構並未達成資料中心內的傳輸路徑最優化: 

 

真正資料中心內虛擬環境的傳輸路徑最優化,必須讓各個虛擬機器在互相溝通時,無論是在同網段或不同網段,

 

  • 若兩台VM位在同一台伺服器上,就直接於此台伺服器的記憶體內進行封包交換
  • 若位在同一個機箱內的兩台刀鋒伺服器,應該在此機箱的Inter-Connect Switch進行
  • 同一個機櫃內的兩台不同伺服器,封包交換應該在機櫃的ToR (Top-of-Rack)交換器進行
  • 僅有在兩個不同機櫃的不同伺服器上,封包交換才需要透過核心交換器

 

但目前的資料中心網路架構是無法符合上述要求的。即使就在同樣的伺服器上,兩個不同網段間的封包交換都要走到核心交換器,或至少是distribution switch上才能進行。也因此企業會被教育到核心交換器必須要買很大,backplane要足夠,核心防火牆throughput要多,因為所有的封包都要走到核心設備去。這就是核心設備的巨艦大砲主義。但如果我們只是要從台北到香港,結果被要求飛到北京再轉機回來,這是合理的設計嗎?

 

圖說:不同網段間的VM傳輸,都得送到核心交換器進行

 

虛擬環境內的安全檢查要如何進行完整防護: 

 

搭配不同安全廠商的防護方案,企業必定可以依照需求做到非常完整的安全檢查機制。但目前會碰到的問題不在於安全防護機制完不完整,而是這些安全廠商要如何取得虛擬環境內的網路封包才能進行相對應的檢查?現有的安全架構能否

 

  • 無需變動現有網路架構下,在每個虛擬機器前都進行L2~L7的完整安全檢查
  • 業務單位能依據業務需求建立檢查規則,而不是用網路的地址、網段等來做定義。更何況,如果是多租戶架構內,且租戶的網路有重複(overlap)的狀況下,我們要如何用網路地址來定義防火牆規則呢?

 

如果上面的任何一點是您目前遭遇的問題,且正在找尋相關的產品與不同的架構來解決,VMware NSX會是我們非常建議您應該評估與了解的方案。我們也希望透過後續不同部落格文章的介紹,能與大家詳細說明上述的需求如何能夠在一個包含NSX搭建的軟體定義資料中心方案內被滿足。