如何进行NSX技术的浅析

77次阅读
没有评论

共计 2993 个字符,预计需要花费 8 分钟才能阅读完成。

这期内容当中丸趣 TV 小编将会给大家带来有关如何进行 NSX 技术的浅析,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。

VMware NSX 是 VMware 的网络虚拟化平台,他可以过滤任何在超级管理器中来往的流量。

VMware 的方法抽象了物理的零信任安全,同时使用分布式的基于超级管理器属性的网络覆盖。管理员可以在一个集中的关系系统中创建规则,而且强制跨分布式防火墙设备。最终实现集中管理的解决方案,每个超级管理程序可以扩展到两位数的 Gpbs。

VMware NSX,则更进一步通过网络提供对计算和存储实现的相同虚拟化功能。

NSX 网络虚拟化分 vSphare 环境下的 NSX(NSX-V)和多虚拟化环境下的 NSX(NSX-MH),是不同的软件,最新版本分别是 6.2.0 和 4.2.4,这点在部署之前就需要了解。其中,NSX-MH 更像原生态的 Nicira NVP 平台,主要在 KVM 和 Xen 之上,基于 OVS 实现网络虚拟化。

但是,无论使用 NSX- V 还是 NSX-MH,其基本逻辑架构都是相同的,不同点仅为数据平面中的一些组件(如 NSX- V 中,虚拟交换机为 vSphare 分布式交换机,而 NSX-MH 中,虚拟交换机为 OVS)。下图为 NSX 网络虚拟化架构的基本示意图。它建立在底层物理网络之上,在逻辑网络中,分数据平面、控制平面、管理平面。其中数据平面中,又分分布式服务(包括逻辑交换机、逻辑路由器、逻辑防火墙)和 NSX 网关服务。控制平面的主要组件是 NSX 控制器。而管理平面的主要组件是 NSX Manager。

有了这些组件,NSX 可以提供的功能服务如下:

交换:在网络中的任何位置实现大二层交换网络的扩展,而无需考虑底层物理网络。

路由:IP 子网之间的路由,可以在逻辑网络中完成,不需要有流量出到物理路由器或三层交换机。这种路由是在虚拟机的 Hypervisor 层执行的,CPU 消耗很小,可为虚拟网络架构内的路由表提供最佳路径。

防火墙:有了这个功能,安全防护就可以在 Hypervisor 层以及虚拟网卡层面执行。这将能够以可扩展的方式实施防火墙规则,而不会在物理防火墙设备上造成瓶颈。防火墙分布在 Hypervisor 层之上,只产生极少的 CPU 开销,并且能够线速执行。

逻辑负载平衡:支持四到七层的负载平衡,并且能够执行 SSL 端接。

×××服务:可实现二、三层×××服务。

NSX- V 的架构,其实非常简单,因为它的逻辑层次非常清晰——管理平面、控制平面、数据平面,每个平面中的组件也不多。

在 NSX- V 架构中,数据平面是基于 VDS 搭建的。VDS 需要在每一个 ESXi 的 hypervisor 上启用,而每一个 ESXi 主机,都有一个用户空间和一个内核空间。

我们通过将 VMware Installation Bundles(VIBs)安装到 ESXi 主机 hypervisor 的内核空间,以实现 NSX- V 的各种功能——分布式交换和路由、分布式防火墙和 VXLAN 的封装与解封装。

而用户空间,则是用于与控制平面、管理平面提供通讯路径的组件;

在 VMware NSX 平台中,我们使用 VETP 代理工作机制,负责将 VXLAN 流量从本地子网传输到另一个子网。而传输区域(Transport Zone)则是 VNI 的可配置的边界。相同传输区域中的 vSphere 集群,使用了相同的 VNI,一个传输区域可以包含不同 vSphere 集群中的 ESXi 主机,当然,一个 vSphere 集群也可以是不同传输区域的一部分。传输区域会告知主机或集群逻辑交换机被创建。

在传统物理网络中,对于同一个主机内的一个 Web 服务器与 App 服务器的通信,由于他们处在不同网段,需要三层交换机来处理它们之间的流量,因此,流量在出主机后需要经过 ToR 二层交换机去往核心交换机,再回到二层交换机并重新进入主机,需要 4 跳连接。当然,如果 ToR 交换机开启了三层功能,通信则只需要 2 跳。而在 NSX 环境中,由于我们直接在主机的 hypervisor 层面实现了三层功能,因此,Web 服务器与 App 服务器是直连的,它们之间的通信连接是 0 跳,如下图所示。值得注意的是,无论 NSX- V 还是 NSX-MH 环境,就流量的跳数问题上,达成的效果都是一致的。

2016 年 5 月,VMware 悄无声息地对 NSX 的多 hypervisor 版本进行了重大更新,推出 NSX- T 取代 NSX-MH。NSX 网络虚拟化软件的多 hypervisor 版本支持 KVM、ESXi、Xen hypervisor,这是 VMware 在 2012 年收购 Nicira 及其网络虚拟化平台后在网络虚拟化领域的又一次大动作。然而,由于 NSX- T 提供了很多新功能,升级 NSX-MH 不是简单地本地更新。相反,可能会牵涉到完全重新安装整个产品,用户需要花更多的费用、精力做出技术调整以适应现有环境。

VMware nsx- t 旨在解决新兴应用框架和体系结构,异构终端和技术堆栈。除了这些环境的,也可能包括其他的虚拟机管理程序,容器,裸机和公共云。nsx- t 允许开发团队选择最适合其特定的应用技术。nsx- t 也设计用于管理,IT 运营和扩展。

NSX-T 一些关键架构重点包括以下内容:

管理平面:nsx- t 管理平面用先进的集群技术设计,使平台能够处理大规模并发 API 请求。

控制平面:nsx- t 控制平面跟踪实时虚拟网络和系统的安全状态。nsx- t 控制平面分离控制平面为中心的集群控制平面(CCP)和局部控制平面(LCP)。这大大简化了 CCP 的工作,使平台能够扩展异构端点。

数据平面的 nsx-t:数据平面不依赖于 vSwitch,所有的创建,读取,更新和删除(CRUD)操作是通过 nsx- t 来执行。

备注:NSX- T 里面的交换机不同于 - V 的 VDS。VDS 的创建、读取、更新和删除都是 vCenter 进行控制的,- T 里面这种功能会移到 NSX Mananger 来做,包括配置 uplink teaming 策略和定义 QoS 等等。所以才能够实现与 vSphere 的解耦合。分布式路由、分布式防火墙、、NAT、DHCP 都在 - T 集成。

多租户路由模型

nsx- t 支持多层次的路由器功能之间的逻辑分离的路由模型(已知在 NSX 作为 Tier0 路由器)和租户路由器的功能(称为一级路由器的 NSX)。Tier0 逻辑路由器,路由层可由云提供商控制,能够窥视与物理基础设施。

这一逻辑路由器,云租户提供了路由层,可以通过 GUI API / 每租户和附属于 Tier0 路由器配置。

nsx- t 实例化的 hypervisor 分布式路由器的路由可优化多层次的东西。

在异构环境中,nsx- t 具有一致的操作、监视界面,还有管理和故障排除、复杂环境的异构基础设施运行操作工具箱。nsx- t 有端口连接检测和 Traceflow,帮助用户跟踪连接虚拟和物理设备。

NSX 的 REST API 是强大的,是一个开放的规范,可以融合各种语言和绑定相应的插件,包括与 CMP 整合,也包括 OpenStack。

NSX OpenStack 插件可供开发建立和维护多租户云服务开发。

NSX 边缘节点提供极端的网关和服务性能,使用创新的英特尔 DPDK 技术。

NSX- T 是与 vCenter 无关的,可以对接其他不同的 PaaS 平台。

上述就是丸趣 TV 小编为大家分享的如何进行 NSX 技术的浅析了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注丸趣 TV 行业资讯频道。

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-16发表,共计2993字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)