如何进行NSX技术的浅析

共计 2993 个字符，预计需要花费 8 分钟才能阅读完成。

这期内容当中丸趣 TV 小编将会给大家带来有关如何进行 NSX 技术的浅析，文章内容丰富且以专业的角度为大家分析和叙述，阅读完这篇文章希望大家可以有所收获。

VMware NSX 是 VMware 的网络虚拟化平台，他可以过滤任何在超级管理器中来往的流量。

VMware 的方法抽象了物理的零信任安全，同时使用分布式的基于超级管理器属性的网络覆盖。管理员可以在一个集中的关系系统中创建规则，而且强制跨分布式防火墙设备。最终实现集中管理的解决方案，每个超级管理程序可以扩展到两位数的 Gpbs。

VMware NSX，则更进一步通过网络提供对计算和存储实现的相同虚拟化功能。

NSX 网络虚拟化分 vSphare 环境下的 NSX（NSX-V）和多虚拟化环境下的 NSX（NSX-MH），是不同的软件，最新版本分别是 6.2.0 和 4.2.4，这点在部署之前就需要了解。其中，NSX-MH 更像原生态的 Nicira NVP 平台，主要在 KVM 和 Xen 之上，基于 OVS 实现网络虚拟化。

但是，无论使用 NSX- V 还是 NSX-MH，其基本逻辑架构都是相同的，不同点仅为数据平面中的一些组件（如 NSX- V 中，虚拟交换机为 vSphare 分布式交换机，而 NSX-MH 中，虚拟交换机为 OVS）。下图为 NSX 网络虚拟化架构的基本示意图。它建立在底层物理网络之上，在逻辑网络中，分数据平面、控制平面、管理平面。其中数据平面中，又分分布式服务（包括逻辑交换机、逻辑路由器、逻辑防火墙）和 NSX 网关服务。控制平面的主要组件是 NSX 控制器。而管理平面的主要组件是 NSX Manager。

有了这些组件，NSX 可以提供的功能服务如下：

交换：在网络中的任何位置实现大二层交换网络的扩展，而无需考虑底层物理网络。

路由：IP 子网之间的路由，可以在逻辑网络中完成，不需要有流量出到物理路由器或三层交换机。这种路由是在虚拟机的 Hypervisor 层执行的，CPU 消耗很小，可为虚拟网络架构内的路由表提供最佳路径。

防火墙：有了这个功能，安全防护就可以在 Hypervisor 层以及虚拟网卡层面执行。这将能够以可扩展的方式实施防火墙规则，而不会在物理防火墙设备上造成瓶颈。防火墙分布在 Hypervisor 层之上，只产生极少的 CPU 开销，并且能够线速执行。

逻辑负载平衡：支持四到七层的负载平衡，并且能够执行 SSL 端接。

×××服务：可实现二、三层×××服务。

NSX- V 的架构，其实非常简单，因为它的逻辑层次非常清晰——管理平面、控制平面、数据平面，每个平面中的组件也不多。

在 NSX- V 架构中，数据平面是基于 VDS 搭建的。VDS 需要在每一个 ESXi 的 hypervisor 上启用，而每一个 ESXi 主机，都有一个用户空间和一个内核空间。

我们通过将 VMware Installation Bundles（VIBs）安装到 ESXi 主机 hypervisor 的内核空间，以实现 NSX- V 的各种功能——分布式交换和路由、分布式防火墙和 VXLAN 的封装与解封装。

而用户空间，则是用于与控制平面、管理平面提供通讯路径的组件；

在 VMware NSX 平台中，我们使用 VETP 代理工作机制，负责将 VXLAN 流量从本地子网传输到另一个子网。而传输区域（Transport Zone）则是 VNI 的可配置的边界。相同传输区域中的 vSphere 集群，使用了相同的 VNI，一个传输区域可以包含不同 vSphere 集群中的 ESXi 主机，当然，一个 vSphere 集群也可以是不同传输区域的一部分。传输区域会告知主机或集群逻辑交换机被创建。

在传统物理网络中，对于同一个主机内的一个 Web 服务器与 App 服务器的通信，由于他们处在不同网段，需要三层交换机来处理它们之间的流量，因此，流量在出主机后需要经过 ToR 二层交换机去往核心交换机，再回到二层交换机并重新进入主机，需要 4 跳连接。当然，如果 ToR 交换机开启了三层功能，通信则只需要 2 跳。而在 NSX 环境中，由于我们直接在主机的 hypervisor 层面实现了三层功能，因此，Web 服务器与 App 服务器是直连的，它们之间的通信连接是 0 跳，如下图所示。值得注意的是，无论 NSX- V 还是 NSX-MH 环境，就流量的跳数问题上，达成的效果都是一致的。

2016 年 5 月，VMware 悄无声息地对 NSX 的多 hypervisor 版本进行了重大更新，推出 NSX- T 取代 NSX-MH。NSX 网络虚拟化软件的多 hypervisor 版本支持 KVM、ESXi、Xen hypervisor，这是 VMware 在 2012 年收购 Nicira 及其网络虚拟化平台后在网络虚拟化领域的又一次大动作。然而，由于 NSX- T 提供了很多新功能，升级 NSX-MH 不是简单地本地更新。相反，可能会牵涉到完全重新安装整个产品，用户需要花更多的费用、精力做出技术调整以适应现有环境。

VMware nsx- t 旨在解决新兴应用框架和体系结构，异构终端和技术堆栈。除了这些环境的，也可能包括其他的虚拟机管理程序，容器，裸机和公共云。nsx- t 允许开发团队选择最适合其特定的应用技术。nsx- t 也设计用于管理，IT 运营和扩展。

NSX-T 一些关键架构重点包括以下内容：

管理平面：nsx- t 管理平面用先进的集群技术设计，使平台能够处理大规模并发 API 请求。

控制平面：nsx- t 控制平面跟踪实时虚拟网络和系统的安全状态。nsx- t 控制平面分离控制平面为中心的集群控制平面（CCP）和局部控制平面（LCP）。这大大简化了 CCP 的工作，使平台能够扩展异构端点。

数据平面的 nsx-t：数据平面不依赖于 vSwitch，所有的创建，读取，更新和删除（CRUD）操作是通过 nsx- t 来执行。

备注：NSX- T 里面的交换机不同于 - V 的 VDS。VDS 的创建、读取、更新和删除都是 vCenter 进行控制的，- T 里面这种功能会移到 NSX Mananger 来做，包括配置 uplink teaming 策略和定义 QoS 等等。所以才能够实现与 vSphere 的解耦合。分布式路由、分布式防火墙、、NAT、DHCP 都在 - T 集成。

多租户路由模型

nsx- t 支持多层次的路由器功能之间的逻辑分离的路由模型（已知在 NSX 作为 Tier0 路由器）和租户路由器的功能（称为一级路由器的 NSX）。Tier0 逻辑路由器，路由层可由云提供商控制，能够窥视与物理基础设施。

这一逻辑路由器，云租户提供了路由层，可以通过 GUI API / 每租户和附属于 Tier0 路由器配置。

nsx- t 实例化的 hypervisor 分布式路由器的路由可优化多层次的东西。

在异构环境中，nsx- t 具有一致的操作、监视界面，还有管理和故障排除、复杂环境的异构基础设施运行操作工具箱。nsx- t 有端口连接检测和 Traceflow，帮助用户跟踪连接虚拟和物理设备。

NSX 的 REST API 是强大的，是一个开放的规范，可以融合各种语言和绑定相应的插件，包括与 CMP 整合，也包括 OpenStack。

NSX OpenStack 插件可供开发建立和维护多租户云服务开发。

NSX 边缘节点提供极端的网关和服务性能，使用创新的英特尔 DPDK 技术。

NSX- T 是与 vCenter 无关的，可以对接其他不同的 PaaS 平台。

上述就是丸趣 TV 小编为大家分享的如何进行 NSX 技术的浅析了，如果刚好有类似的疑惑，不妨参照上述分析进行理解。如果想知道更多相关知识，欢迎关注丸趣 TV 行业资讯频道。