作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

繼續往下進行NSX其他功能介紹前,我想暫時跳出來討論如果大家想要進行一個完整的NSX安裝,需要怎麼樣的環境準備。當NSX建置完成,相關的如邏輯交換器、邏輯路由器等的設定是很簡單快速的,但NSX本身的初次安裝確實有很多需要預先準備及考慮的地方。

 

首先我們來看一下,在一個典型的NSX-vSphere環境內,應該會具備的管理VM有哪些?

 

表一:NSX-vSphere環境內需求的管理VM

 

各自簡單說明一下

 

vCenter Server:ㄟ 我們應該不需要討論什麼是vCenter Server吧…

 

NSX Manager:NSX的管理層構件,負責下達指令給NSX Controller,以及接收外部系統(用戶手動操作指令或Cloud Management Platform)的組態變更需求 

 

NSX Controller:NSX的控制層構件,負責儲存邏輯網路的拓樸、傳送邏輯路由器之轉送表,以及回應各台Host對於目標虛機所在伺服器的請求。NSX Controller在規劃上重要的考量資訊如下:

 

  • 在生產環境內的NSX Controller一定是三台,互為備援。任何邏輯網路資訊會儲存在其中的兩台上。
  • 在生產環境內,NSX Controller應該受vSphere HA保護,而且應該設定anti-affinity rule,強制各台Controller是位於不同的伺服器上。這邊的目的是避免單台伺服器硬體失效時,同時有兩台以上controller失效,此時會造成有儲存在這兩個失效的controller上的網路資訊逸失的問題
  • NSX Controller的虛機是由NSX Manager於安裝過程中進行部署,vCPU / Memory無須增加或變更,也不應該手動進行VMtools的更新。

 

VMware vRealize Log Insight:不是絕對必要,但強烈建議在NSX方案內應該導入的構件。Log Insight負責收集所有NSX Manager / Controller / Edge Server / Host Kernal Module所發出的syslog,進行互動分析,並且可以看懂NSX Log並且製作對應圖表與提供稽核紀錄查詢。在一個VMware SDDC環境內我們可以說Log Insight是不可或缺的構件。

 

VMware vRealize Operations Manager:同樣不是絕對必要,但更強烈建議在NSX方案內應該導入的構件。不僅僅是vSphere環境,Operations Manager也可以從NSX取得包括網路拓樸、路徑分析、物件狀態、事件記錄的資訊與即時告警等功能。在一個VMware SDDC環境內我們更應該說Operations Manager是超級不可或缺的構件。什麼你的vSphere環境內還沒有用這個功能?還不趕快去買?

 

Domain Controller:Active Directory 是必要的底層架構需求,包括NSX的用戶身份認證、身份識別防火牆等功能都會需要與AD進行詢問。同樣其他NSX會用到的Infrastructure服務包括了DNS / DHCP / NTP等,也需要在NSX建置前確認已有這些服務。

 

Guest Inspection / Data Security / Third Party Security Modules:NSX的安全功能內包含兩種

 

  • 虛擬機器的IO檢查:比如說虛擬機器內的防毒檢查、File Integration Check、機敏資料檢查等等。
  • 虛擬機器的L7網路封包檢查:比如說IPS / Web Inspection / Network Anti-virus Check等等功能 (L2~L4的防火牆檢查已經內建在vSphere Kernel Module內,不需其他虛擬機器)

 

如果要啟動上述的功能,需要在每台伺服器上安裝對應的安全模組虛擬機器。Guest Inspection Module / Data Security Module是NSX內建的模組,而其他如Palo Alto Network NGFW或是Trend Micro Deep Security VM等如果有與廠商購買,同樣於每台伺服器上需要各安裝一台VM。第三方廠商的服務VM需要多少的硬體資源,需要與各廠商進行洽詢。

 

Panorama / Deep Security Manager:第三方廠商的中心端安全管理軟體,通常也是需要一台獨立的管理虛機。

 

要注意的是上面僅列出了管理需求的VM。而其他需要考慮納入規劃的用戶VM有哪些呢?

 

表二:NSX-vSphere環境內需求的用戶VM

 

 

上面的用戶虛機數量以及需求的Edge Gateway / Logical Router Control VM數量決定於實際的用戶環境與架構。企業建置NSX前應該要略作估計,可能會有多少路由器虛機需要被建置,並保留所需要的資源空間。

 

接著,就一般來說NSX的環境,拓樸大概會長成像下面這樣:

 

圖一:NSX環境的拓樸架構

 

要用上面這張圖與各位展現的重點只有一個:生產環境內,請把放置管理VM的Cluster (Management and Edge Cluster) 與用戶VM的伺服器 (Compute Cluster) 獨立分開。如果你的環境夠大,請更進一步,把管理VM的Cluster與接取實體網路的Edge Cluster也分開。如果在一個中小型環境內僅能容許有兩組叢集 – Management & Edge Cluster / Compute Clusters,我們對這兩組cluster內伺服器的要求可整理如下:

 

表三:NSX建置環境內的伺服器需求

 

 

以上我們列出了在進行含NSX功能的vSphere環境規劃時,對應到伺服器的容量需求是如何。後續文章我們會繼續討論軟體與底層網路組態的需求。