作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

同樣直接跳到重點:VMware NSX平台內的系統構件請看下面這張圖:

圖說:NSX的功能構件

 

在前文我們有提到NSX將系統分為不同的Layer,由上圖可以看到包括Data Plane (資料轉發層)、Control Plane (控制層)、Management Plane (管理層)、以及Consumption Layer (使用層)。以下分別由下至上,對各層以及裡面的系統構件進行說明

 

Data Plane 

 

讀者可以想像NSX Data Plane就如同在實體網路設備裡的Line Card,負責真正網路封包的交換與傳送。只是這邊的Line Card不再是由硬體交換機或是ASIC組成,而是把封包轉發的工作放到軟體的Hypervisor上,或是直接於虛擬機器內。

 

針對在Hypervisor上就可提供的東西向網路服務包括邏輯交換器、邏輯路由器、分散式防火牆等,主要是建立在NSX Virtual Switch上。 實際上NSX Virtual Switch就是由原先的vSphere Distributed Switch (vDS) 再加上數個在Hypervisor內執行的模組,提供較原有vDS更多的功能如VXLAN / Distributed Routing / Distributed Firewall等功能直接於vSphere Hypervisor內執行。同樣的L2 Bridge的功能(將虛擬的VXLAN網段與實體的VLAN網段屆接起來)也是在Hypervisor內進行需求的作業。

 

但若是南北向的網路服務,包括南北向路由器、防火牆、負載平衡器、VPN等功能,則是直接由NSX Edge Service Gateway,以VM的方式提供。

 

Control Plane 

 

同樣用實體交換器進行類比,NSX Control Plan 就像是supervisor引擎了。這邊最主要的構件就是NSX Controller,包括進行虛擬網路以及VXLAN的管理,另外包括集中進行邏輯網路、虛擬機器、路由資訊的儲存與轉發。雖然Controller不進行任何實際網路封包的轉送,也就是說即使Controller下線也不會影響到現有已經建立的網路流傳輸;但如果Controller出問題的話,新的網路流的建立或是現有網路的變更仍然會出問題。因此在vSphere NSX內的設計內Controller會有三個放置於不同的硬體伺服器,且任何網路資訊會至少儲存於兩台Controller上。因此有單台硬體失效造成Controller下線,不會影響到現有網路的運作。

 

此外雖然東西向的路由模組是建立在Hypervisor上,但是各個租戶或系統所需要的這些分散路由模組仍會有一個對應的虛擬機器 (NSX Logical Router Control VM),負責與其他的虛擬或實體伺服器進行路由交換,並將所學習建立的路由表透過Controller轉發給各個Hypervisor上的路由模組。這個Control VM同樣是在控制層內不負責封包轉發,但如果下線造成動態路由資訊中斷同樣會造成困擾,因此如果客戶需要,可以建立HA的機制以Active / Standby的方式進行保護。

 

圖內的User World Agent是安裝於vSphere Hypervisor上,負責各台Hypervisor與Controller之間的信息交換。

 

Management Plane 

 

管理層負責提供整個NSX系統的維運及管理工作,並且提供API供外部系統進行網路與安全功能的呼叫。藉由NSX Manager,所有的網路與安全設定工作都可以在同一個環境內完成,而不需要到不同的設備或介面上去分開進行設定。甚至透過與vCenter的整合,軟體定義資料中心的管理者可以同樣在vCenter的管理介面內同時進行虛擬機器以及虛擬網路的管理。

圖內的Message Bus Agent安裝於vSphere Hypervisor上,負責各台Hypervisor與NSX Manager間的信息交換,比如說Hypervisor的模組安裝與準備、分散式防火牆的組態更新等。

 

Consumption Layer 

 

藉由NSX Manager所提供的Restful API,不僅僅由vCenter管理介面能進行網路組態的管理與變更,用戶也可以選擇利用希望使用的雲管理平台 (Cloud Management Platform) 在建立業務系統時,同時呼叫NSX Manager進行所需求的網路與安全設定。若客戶選擇利用vRealize Automation (之前的vCAC, vCloud Automation Center) 或是Openstack作為雲平台的選擇,都可以考慮進行與NSX的整合,做到真正的部署自動化。

 

以上是對NSX內不同系統構件的介紹。下一篇開始我們會對各個NSX的功能做更進一步的說明。