作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。

接下來本篇網誌內我們要和大家談論在NSX-T內的不同核心構件。大家會發現在後續幾篇討論NSX-T的網誌內,主要的基礎概念仍會與NSX for vSphere的設計概念相近。建議大家要先熟悉NSX for vSphere的相關技術與架構,再進入後續介紹會更快。而兩個產品間的不同處,我們也會特別列出與大家做介紹。

與NSX for vSphere一樣,我們同樣可以把NSX-T的架構分解成下列不同層的構件:雲平台層、管理層、控制層、轉發層、以及底部的基礎架構層,如下圖所示:

雲平台層 (Cloud Consumption):

這層的構件並非NSX產品的一部分,我們在談論的是像Openstack / K8S或其他能夠以Restful API方式呼叫NSX-T的自動化或組態管理產品。管理者可以利用標準的瀏覽器以UI的方式連接到NSX Manager進行手動的配置,但更進一步則是由上層的雲 / 自動化管理平台 / 組態工具直接連接NSX,以預先定義的藍圖或劇本在部署業務系統時,同時進行網路與安全的配置。

管理層 (Management Plane):

NSX Manager是整個系統的北向API呼叫介面,外部的雲平台、NSX管理者都是直接與NSX Manager以Restful API進行連線進行組態配置。NSX Manager要負責下列的功能:

  • 儲存所有用戶配置的持續性 (Persistent) 組態
  • 提供外部系統與管理者的接取介面
  • 進行系統部署與升級的相關安裝及維運作業

NSX Manager可以是一台(2.0版現況)或多台建立管理叢集(後續版本)。此外有兩點特別和大家Highlight NSX-T的Manager與NSX for vSphere版不同處:

  • NSX Manager的UI管理介面是獨立的網頁,與vCenter介面完全脫鉤。因此網路 / 安全管理團隊可採用獨立的介面進行網路暨安全虛擬化的維運作業
  • NSX-T內的Restful API為全部重新開發,改為採用可讀性更高的JSON格式進行資訊的輸出及輸入

控制層 (Control Plane):

控制層內透過來自Management Plane的用戶組態,以及實際上偵測自Data Plane內虛機 / Container / OVS等的相關資訊,進行

  • 網路暫態資訊的運算與派送,像是TEP、VM or POD的Mac Address、IP地址間的對應,並把運算出的結果送到每個轉發層的節點
  • 防火牆配置的IP運算

實際上,控制層內的構件包含了在集中管理端的CCP Node (Central Control Plane Node,大家可以想像為在NSX for vSphere上的NSX Controller),以及部署在各個data-plane hypervisor / Edge上的LCP (Local Control Plane) Agent負責各個Data Plane節點與Controller間的溝通,並監控這個節點上的狀態比如說一個虛機網卡是否運作。CCP Node可以是三台(現況)或更多台,但目前實務上並沒有部署超過三台的必要性。

此外,在NSX-T的架構內,NSX Controller的功能會包含Distributed Firewall的規則運算,因此即使用戶僅僅使用微分段防火牆的功能,NSX Controller也是必須要配置的。

轉發層 (Data Plane):

轉發層負責快速、無狀態 (Stateless)的網路封包轉發。控制層由網路用戶的配置(有哪些邏輯交換器、路由器…)、動態路由表、系統用戶的配置(有哪些虛機、哪些POD…),運算出網路轉發資訊,再送給各個轉送節點 (Transport Node) 內的轉發引擎 (Forwarding Engine)來進行快速的封包配送。

在轉發層內的Transport Node可能包含不同的組件,目前的版本包含了在vSphere內的ESXi vSwitch / KVM內的OVS (Open vSwitch),與實體網路介接的EDGE Node (可以是虛機或是Bare-Metal實體機),或是在後續版本內,可能是在公有雲虛機內的OVS或是一台Bare-Metal實體機內的OVS。在這些構件內,vSwitch會負責下列的功能:

  • 邏輯交換器的配置以及邏輯網路內 (Overlay) 封包的封裝與解封裝
  • 本地邏輯路由器
  • 分散式防火牆進行虛機或Container的安全防護

幾個與現在NSX for vSphere的主要設計差異

  • NSX-T內不再使用vDS (vSphere Distributed Switch)。各個Transport Nodes是採用專為NSX-T設計的vSwitch來提供網路及安全功能
  • NSX-T內的邏輯網路封裝協定不再採用VXLAN,而是改為採用Geneve,提供可變的TLV (Type / Length / Value)項目彈性供路由選擇或其他需求來使用

網路基礎架構 (Physical Infrastructure):

與之前相同,NSX-T可以跑在任何支援IP,且可以啟用Jumbo Frame至少大於1600的網路之上。我們對基礎架構的要求就是一個穩定、高速、可備援且易於維護的底層網路。

以上是對NSX-T的基礎構件的簡單說明。後續待NSX-T的實際應用成熟,我們會逐步對NSX-T內的各項功能以及與NSX for vSphere間的差異作進一步討論。