2014年5月,在我加入VMware三个月之后,我涂鸦了一篇《扒一扒SDN的那些事儿》,当时放言如果阅读量过百就写续篇。后来果然阅读量没过百,也就80多的样子,其中好几份还是我自恋地进去查看阅读量时贡献的,估计也有几份是老婆大人这类完全不懂IT的粉丝以示支持贡献的。阅读量没过百,我也就心安理得地不需要有什么动作了,直到有一天,我遇到了Peter Ye。这位大哥真是蛮拼的,他转发了这篇文章,结果阅读量飙升,然后他就笑眯眯地对我说,你该履行诺言,写续篇了。我虽然答应了他,但一拖再拖,他倒好,也不急不恼,一催再催。我是得写点东西了,为了回报Peter的这份执着。
【编者按】我得意的笑……
---Begin---
我当初是被NSX这款产品打动而加入VMware的,当时就认定它是一款SDN的产品。但随着对产品理解的深入,我发现我当初仍然失之浅薄。然后我才能理解Rick Chen一直在讲的,我们并不是SDN或者NFV,我们只是网络虚拟化。如果您碰巧是第一次看到NSX这几个字,且随我来浮光掠影地认识一下它吧。
在服务器虚拟化之前,服务器和网络相安无事,每个PoD里的服务器都是支撑同一个应用的。然后,服务器开始了虚拟化,如果按每个虚拟机就是一台Server的话,Server的数量比原来物理机时代提升了10~20倍,原来的一个PoD,现在可以支撑更多应用了,原来单纯的南北向流量,现在增加了很多的东西向流量。
这时候,网络唯一做出的变化就是开始应对资源池延伸的需求,提供大二层支持。做网络的人都知道,二层网络不能设计的过大,不是你的设计技术的问题,也不是网络设备性能的问题,而是同一个广播域里超过100台服务器时,由于以太网的技术特性会导致传播效率开始大幅下降。
当应用部分再一次申请虚拟机资源时,很可能原来的二层域里的资源已经分配殆尽,只能在其他二层域分配,这时需要大二层技术在跨三层的网络上层叠出一个二层网络来。这个层叠过程抑制了很多广播包,兼顾了传输效率和延伸范围。但当今网络界几大枭雄,任两家的大二层技术都不能互通,无论选择谁,都只能被厂商绑定。
然后,NSX出现了。它的理念非常简单,把整个网络分为两层:底层的物理网络提供所有的服务器之间的IP传输,上层的虚拟化网络提供租户间的隔离,以及租户内的连接。底层网络的交换机变得非常简单,不需要那些高逼格的Features,只需要提供IP和OSPF多路径即可,而这些,只是网络厂商的入门券技术。上层的虚拟化网络,就是NSX要做的事情了。
首先,它在底层的IP网络之上再做一层VXLAN封装,将同一租户的几个VXLAN之间路由起来,不同租户的VXLAN是互相看不到的,这就做到了多租户之间的天然隔离。其次,在同一租户内部,它使用的分布式防火墙,在每个虚拟机的虚网卡上生效,即使做同一网段内部的二层隔离,它也游刃有余。
NSX在VMware被称为下一个vSphere,是有足够资本的。vSphere 6.0推出了跨vCenter的vMotion,NSX立马推出了跨vCenter的虚拟网络。从现在开始,一个集群要设计多大,一个vCenter要设计多大?您不要拿这些话题来烦恼自己了,因为这无!所!谓!无论您如何设计,大了还是小了,我们可以跨集群、跨vCenter来分配资源,并且把这些跨域的资源分配给同一个租户,互相访问、往来迁移,全都妥妥的。
系统和网络,从来就是一对爱恨交织的兄弟,从前一起加班,一起共用变更窗口。打从服务器虚拟化起,系统的兄弟不加班了,这让网络的兄弟艳羡的很。系统做变更,竟然大白天就大剌剌地把虚机迁走,机器大卸八块来修,下班前把修好的服务器再加电,虚机迁回来,业务不用停,人却撅着个腚飞了。
不止如此,最近的KPI会议上,系统部也是领导眼里的红人,他们上了自服务门户,除了领导审批,其他的流程,象虚机申请、虚机交付,都是自动化脚本一气呵成,号称五分钟交付。然后就幸灾乐祸地把应用团队指到网络这边来了,没办法,谁让网络是公共平台呢,得先申请变更窗口吧,最快得一周吧。五分钟和七天一比,这日子没法过了。
关键时刻,又是NSX挺身而出,偶也是软件的,偶也是容器来的,伦家也可以被编程调用的。自此,自服务门户上,用户选了虚机选网络,最后把安全策略也捎上。交付时,虚机交付多快,网络就交付多快。相互隔离的多租户网络,在增加、修改或删除一个租户/应用的网络时,对其他租户毫无影响。和变更窗口说拜拜,晚上有时间约妹子了,哈哈。
从前从Unix转到虚拟化时,说人家是烟囱式应用,但由于缺乏有效的隔离机制,我们的虚拟化资源池其实也是一小块一小块的,中间用物理防火墙隔离。
这样看来,也只是大烟囱变小烟囱,五十步笑百步而已。NSX的出现,让一个统一的大资源池成为可能。这个统一的资源池,上面可以运行互相不允许访问的几块业务,如开发、测试和生产。
NSX可以让共享资源的颗粒度小到虚拟机为单位,而不是传统上的以Host为单位。NSX可以让资源池中甚至任意两个虚拟机之间都互不信任,而不使用一台物理防火墙。可以说,从虚拟化到云计算,网络虚拟化是关键的一步。
NSX只要能传输IP的底层网络,已经让传统的网络厂商大为恼火了(我那些Features卖给谁去?高大上和下里巴还怎么区别?),更别提底层网络设备可以多厂商、多型号组网,这颠覆了以前数据中心组网的特定厂商、特定型号的惯例。更要命的是,传统网络厂商孜孜以求的网络感知虚机,这是NSX的DNA中就自带的,网络虚拟化融合在服务器虚拟化的内核中,这个可是传统网络厂商艳羡也没办法的呀。
下一篇,仍然是大白话,介绍NSX的工作原理。
---End---
【编者按】
如果NSX部署到vSphere环境里,可以无缝地与云管理vRealize Automation集成。除此之外,NSX也能部署到其他Hypervisor环境里,如Xen Server、KVM等,成为其他云管理解决方案,如OpenStack和CloudStack的选择。
OpenStack的核心项目Netron,原名Quantum,是与虚拟网络有关的项目。其技术主管便是VMware NSX的Dan Wendlandt。
细心的读者会发现,实际上VMware软件定义存储的理念SPBM(Storage Policy Based Management)与软件定义网络NSX非常类似,将服务器虚拟化的理念渗透到存储虚拟化和网络虚拟化,在提高灵活性、可扩展性的同时,还确保了安全性(隔离)。
VMware SPBM可以让VSAN提供的共享存储资源,以虚机甚至以vmdk的颗粒度来分配,而不是传统上的以存储上的Lun(逻辑卷)为单位。这其实也是一种悄然发生的颠覆性的变化,使得用户原来围绕着以硬件为中心,从下至上的使用存储的习惯,变革为,围绕着以应用(或虚机)为中心,从上至下的,更加简便,自动化更高的使用方式。
其实,还不止如此,VMware还提供了丰富的API,供前端应用/虚机或者Hypervisor或者云管理平台灵活调用。这正是VMware软件定义数据中心的整体战略目标:数据中心由软件来自动控制。也是VMware在与其他软件定义方案的竞争中,独一无二的优势。只有全部的IT基础架构,都是实现并能很好的配合其他组件,才能更好地响应云计算、大数据时代对于IAAS资源的要求:灵活性和敏捷性。
封面图片Cross-Cloud vMotion备注:在2015年9月初举办的VMworld 2015大会上,VMware存储与可用性部门副总裁暨总经理李严冰基于目前的技术预览版本,现场展示了新的vMotion功能。她和工作团队们通过在vSphereWeb Client页面执行的几个设定步骤,即可将VM从用户的私有云环境,以不停机的状态迁移到vCloudAir公有云服务,也可反向操作。正在运作的工作负载能被在线迁移,当中即是运用了基于vMotion的迁移方式,而VMware将这种作法,称为可跨越不同云环境的vMotion(Cross-Cloud vMotion)。其中,NSX功不可没!
标签:虚拟化,租户,网络,NSX,服务器,VMware From: https://www.cnblogs.com/lcword/p/17040796.html