vmware-网络虚拟化-NSXPPT课件

网络虚拟化,尤贵贤，SeniorSystemEngineerayouOct,2014,打破壁垒，助于企业IT向云计算转型,议程,理解软件定义的数据中心金融行业数据中心网络现状及面临的挑战网络虚拟化：概念和实现更安全的数据中心金融行业用户案例总结,.,2,理解软件定义的数据中心,3,企业主管希望他们的IT象亚马逊,4,数据中心虚拟化层,智能在软件数据中心虚机的操作模式：自动配置和管理,什么是软件定义的数据中心(SDDC)?,智能在硬件专用芯片、品牌绑定的架构手工配置和管理,软件,硬件,计算、网络和存储资源池化，独立于厂商，最佳性价比架构，配置和管理简单,用我们学到的.,软件,硬件,虚机,计算资源,网络,存储,应用,服务器虚拟化,智能在虚拟化层X86资源独立于厂商革新的操作模式自动化配置和管理,智能在硬件专用芯片，品牌绑定手工配置和管理,手工操作模式,自动化操作模式,可编程的创建,快照,保存,迁移,删除,恢复,构建软件定义的数据中心,虚拟机,虚拟网络,虚拟存储,计算资源,网络资源,存储资源,应用,位置无关,数据中心虚拟化层,池化的计算、网络和存储资源独立于厂商的最佳性能比架构简化的配置和管理,软件,硬件,自动化操作模式,可编程的创建,快照,保存,迁移,删除,恢复,大多数敏捷、高效的数据中心采用了软件定义数据中心的设计方法,8,软件/硬件抽象,“新IT”的选择SDDC还是HDDC,9,复杂的网络核心,定期替换升级，价格高昂，品牌绑定,与硬件、位置分离，简单的IP核心，智能的X86边缘，敏捷的服务,软件/硬件抽象,软件定义数据中心的互连互通,10,数据中心互连,混合云,软件定义数据中心(SDDC),任意应用,SDDC平台,任意x86,任意存储,任意IP网络,数据中心虚拟化层,任意x86,任意存储,任意IP网络,任意x86,任意存储,任意IP网络,任意应用,任意应用,软件定义数据中心愿景,TEXT,自助化应用组装,应用蓝图,应用发布标准化,应用服务云,自助服务门户,服务目录,无需管理员参与,管理,监控,自动化,虚拟化主机与存储,软件定义网络,应用服务,基础架构服务,软件定义数据中心,基础架构云,金融行业数据中心网络现状及面临的挑战,12,金融行业数据中心网络的现状,.,13,WAN/Internet,L3L2,PODB：应用B,X86服务器,接入层,汇聚层安全边界,安全边界汇聚层,接入层,X86服务器,虚拟化之前数百台物理服务器通过改变交换机端口的VLAN控制服务器的连接提供的Features取决于硬件功能(ASIC芯片)配置复杂的网络服务数据流主要集中在南北向虚拟化之后数千台虚拟机服务器和物理交换机的连接变为VLANTrunking不同的团队管理不同的网络组件Features仍然依赖于硬件功能绝对数量的服务器，加剧了复杂的网络服务（如防火墙等）的难度数据中心内部流量以东西为主，网络设计的流量则是南北为主减少了网络节点的可视性（策略执行和监控等）,网络成为通往云计算之路的壁垒虚拟化挑战传统网络设计和运行,基础架构二层网络的规模限制大二层技术的限制安全边界打破，安全隔离成为难题业务部署计算和存储资源已经实现快速就绪网络就绪成为业务部署的瓶颈运维排障安全策略跟随虚拟机移动虚拟机的可视化管理命令行或GUI界面无法自动化部署,Floor-1:VLAN110.x.x.x,Floor-2:VLAN2172.16.x.x,网络虚拟化：概念和实现,15,通用X86服务器资源,服务器虚拟化层,需求:x86服务器,x86环境,分离,硬件,软件,解决办法：虚拟化你的网络,通过虚拟化层来映射虚拟与物理资源与传统的计算虚拟化类似:实现物理资源池化并支持scale-out扩展实现集中管理与配置支持API可编程接口虚拟网络之间完全隔离可移动性虚拟网络为软件容器,像虚拟机一样支持snapshot,备份与恢复,实现按需/自动化部署虚拟网络按需动态部署虚拟网络，不受物理位置限制面向对象的QoS以及安全策略配置集中控制，系统性的可视,监控与管理逻辑区域完全隔离(L2&L3)95+%减少物理网络资源消耗（IP，VLAN，MAC地址等）智能边界，分布式转发,网络虚拟化带来的价值,打破壁垒：使网络及其相关服务部署不再受制于底层物理网络硬件和物理位置的限制,VLAN110.x.x.x,VLAN2172.16.x.x,VLAN2192.168.x.x,虚拟网络,虚拟的Layer288.33.x.x(whatever),网络虚拟化的收益突破位置阻碍，灵活部署负载,网络虚拟化的收益突破位置阻碍，提高资源利用率,网络虚拟化之前的资源利用率大约是60%,网络虚拟化之后的资源利用率能够达到90%以上,网络虚拟化的收益分布式架构革新扫除了安全死角,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,加快服务响应时间，有助于吸引更多的生意提高客户满意和忠诚度，从而吸引更多的新客户加速业务创新及部署为企业云计算之路打下网络基础化繁为简帮助企业向移动云端模式转型新模式将改变一切可扩展，自动化，运维监控及优化适应移动新业务需求，突破位置地域限制网络不再限制业务发展对上层新旧应用来说是透明的（无需做任何修改）投资保护，降低成本减少升级改动新版本升级无需改动底层硬件，降低复杂性兼容客户现有网络按业务需求水平扩展，方便监控与计费,对企业带来的价值,带来更多的效益,降低成本,VMwareNSX:背景介绍,Nicira是业界领先的网络虚拟化公司创造以及发明了如下产品与技术发明了OpenFlow发明了OpenvSwitch领导研发OpenStack网络驱动模块Quantum/Neutron分布式的虚拟网络基础架构(DVNI)业界第一个与硬件无关，支持多种X86虚拟化层的网络虚拟化架构大规模部署的客户案例AT&T,Fidelity,NTTandRackspaceVMware在2011年与思科等厂商一起推出网络虚拟化封装协议VXLANVMware在2012年12亿美元收购NiciraVMware在2013年9月推出网络虚拟化平台NSX,硬件网络,计算资源.,PhysicalNetworkTopology,数据中心虚拟化层,PhysicalNetworkTopology,网络虚拟化层,网络虚拟化层,PhysicalNetworkTopology,网络视角的虚拟机操作模式,网络虚拟化层,虚拟网络软件容器，如虚机虚拟网络拓扑,PhysicalNetworkTopology,虚拟网络,无中断的部署,28,NSXvSwitch,Hypervisor,NSXvSwitch,Hypervisor,物理网络,VM,UserSpace,VM,VM,虚拟网络,可编程的部署,29,NSXvSwitch,Hypervisor,VM,VM,VM,物理网络,云管理平台,NSXvSwitch,Hypervisor,VM,UserSpace,VM,VM,NSXController,VirtualNetwork,服务分布于VirtualSwitch,30,PhysicalHost,NSXvSwitch,VM,VM,VM,NSXvSwitch,UserSpace,VM,VM,Hypervisor,UserSpace,Hypervisor,NSXController,云管理平台,简单的IP骨干，没有VLAN,没有ACL，没有防火墙策略,物理网络,软件定义数据中心的部署,VM,VM,VM,VM,WebTier,AppTier,DBTier,L3Subnet,L3Subnet,L3Subnet,全软件构建,PhysicalNetwork,NAT,Internet,无中断的部署网络服务分布,分布式的力量,新的标准：更安全的数据中心,利用软件定义数据中心的网络和安全优势，构建基于分布式服务的安全数据中心,.,34,数据中心边界,问题：数据中心网络安全,以边界为中心的网络安全已经无法满足需求，操作上无法实现零信任关系。,边界内部几乎没有横向控制,Internet,Internet,安全策略不足,操作上无法实现,数据中心边界,36,Internet,Hypervisor,PhysicalHost,VM,VM,VM,vSwitch,Hypervisor,PhysicalHost,vSwitch,VM,VM,VM,安全策略,边界防火墙,VM,云管理平台,办法：利用软件定义数据中心的方法定义零信任关系,基于虚拟化软件的，位于内核的分布式防火墙基于平台的自动部署、负载增加/移动和改变,自动策略匹配和操作，分布式执行基于内核的性能，分布式容量扩展(20Gbps/host),这是巨大的不同,37,Hypervisor,Host,VM,VM,VM,传统防火墙：规则匹配和操作物理防火墙(2100Gbps),传统防火墙：规则匹配和操作虚拟防火墙(13Gbps),虚拟防火墙,物理防火墙,分布式防火墙,vCloudAutomationCenterIaaSPaaSDaaS,Hyper-visors,CMS,IaaSPaaSDaaS,VMwareNSX网络与安全虚拟化平台,NSXforvSphere功能组件,VMwareNSX逻辑交换,应用、多租户隔离VM在线迁移需要二层网络大的二层物理网络蔓延带来的问题STP问题硬件Memory(MAC,FIB)Table限制,可扩展的多租户网络实现L2overL3Overlay架构基于Overlay的技术VXLAN,STT,GRE,etc,逻辑交换网络可以跨主机、交换机以及物理路由器,挑战,好处,逻辑交换ScaletheNetworkSegment1000X,AnimatedSlide,VMwareNSX,VMwareNSX逻辑路由网络:分布式，多功能,数据中心东西向流量对传统的集中式路由模式带来挑战VM漂移带来的挑战多租户路由复杂度Traffichair-pins,在Hypervisor层实现分布式路由动态的,基于API的配置动态路由OSPF,BGP,IS-ISLogicalRouter支持多租户支持与物理路由器之间跑动态路由,挑战,好处,分布式路由灵活实现多租户网络,控制器集群,NSX管理器,AnimatedSlide,CMP,VMwareNSX防火墙:分布式、高性能、可扩展的安全防护,集中式处理模式人工配置安全策略基于IP五元组性能最多大概40Gbps无法感知虚拟网络上的流量,分布在HypervisorLevel动态的,可基于API的配置模式可支持基于VM名称,用户ID的安全策略每台主机线速转发，15Gbps基于VM的vNIC级别管控，感知VM任意流量,挑战,好处,性能与扩展能力1,000+Hosts30TbpsofFirewall,物理安全模式,NSX分布式防火墙,防火墙管理,AnimatedSlide,VMwareNSX负载均衡,应用（工作负载）移动性多租户人工配置，管理复杂,按需部署负载均衡服务支持各种部署方式one-armorinlineLayer7,SSL,挑战,好处,负载均衡支持多租户部署环境,AnimatedSlide,VMwareNSX工作原理,VM,VM,vSphere,vSphere,KVM,XenServer,HW,SW,NSXManager,VLAN,VLAN,Layer3IPNetwork,NSX架构扩展性:广泛的合作伙伴,NSXAPI,合作伙伴,CloudMgmtPlatforms,集中化管理运维您的应用网络,NSX如何帮助企业IT向云端转型?,如何快速按需部署multi-tiers网络来满足例如Web,APP和Database的应用？如何不用专有硬件就可以部署L4到L7层服务?如何在网络边界部署QoS与安全策略来支撑保护我的应用与数据？是否支持面向对象的策略定义(传统的基于IP/MAC地址和VLAN的策略难以管理维护)?如何快速延伸业务二层网络到远端的分支机构，不需要新的硬件投资?如何实现控制与管理?各种业务网络需相互隔离各部门或BU的虚拟数据中心网络要相互隔离我是云提供商,需要支持多租户我的数据中心VLAN资源有限，NSX如何帮助实现扩展?我的网络IP资源有限，各组应用共享一个VLAN，如何实现多租户隔离micro-segmentation?,NSX提升效率加速创新分布式转发与安全处理,快速响应业务需求,ExternalNetworks,实现控制与管理无需新的硬件投资,ExternalNetworks,简单,易复制，自动化地实现多租户云网络,用户案例,.,50,2013NSX客户,eBay,“,NSX帮助我们实现按需部署搭建测试网络从以前的数天到现在的几分钟,JCMARTINCLOUDARCHITECT,EBAY,7daysto30seconds,将部署复杂的测试、开发环境的时间缩短。,“,NSX,与OpenStack一起改变了我们的观念与运维.帮助我们实现企业私有云,LEWMOORMANPRESIDENT,RACKSPACE,Rackspace云网络每年1500万-2000万美元的成本节省,在公有多租户的云里部署企业级的私有网络。,NTT,“,网络虚拟化是实现云计算的关键NSX功能超越了我们的预期.,EIJIKUWANAVICEPRESIDENT,GENERALMANAGER,SECUREPLATFORM,跨数据中心VM迁移跨数据中心灾备,将NTT的云转换为通用计算平台，加速服务部署，将NTT在世界范围内的资产、数据中心和运营商级的网络的效益最大化。,国内银行案例,某大型国有银行,部署前有Cisco/Juniper等三种以上防火墙有超过两万条安全策略安全策略集中部署，不分南北或东西流量应用提出的安全需求无法全部满足部署后近一万条东西流量的安全策略可以部署到NSX的分布式防火墙上，跟随虚机移动安全策略更灵活、更快捷支持多租户、多应用的全网部署,某大型商业银行,部署前同一组应用的虚机无法跨网段部署无法支撑多租户的应用网络部署速度慢，无法满足快捷应用的需求部署后虚拟机部署不再受网络的限制方便灵活地支持多租户/多应用网络部署速度和虚机部署速度同步自动化部署、调度以及资源回收,.,55,总结,56,Hypervisor,X86Hosts,硬件,软件,硬件,软件,云管理平台,NSX的价值,分布式交换,分布式路由,分布式防火墙,网关服务,VMwareNSXSoftware,虚机网络,现有的网络架构,交换,路由,防火墙,LB,VPN网关服务,30Terabitspersecond,VMwareNSXAPI,Hypervisor,X86Hosts,Hardware,Software,Hardware,Software,NSX的价值,现有网络架构,简洁的IP转发网络,NoVLAN,NoACL,NoFirewallRules,业务敏捷，创造价值投资保护，降低成本简化运维，提升效率,分布式交换,分布式路由,分布式防火墙,网关服务,VMwareNSXSoftware,谢谢！,BackupSlides:网络虚拟化与数据中心网络设计,NSX软件定义新架构:整个数据中心一个虚拟网络交换机,交换网络端口,交换背板,交换机控制管理层面,控制引擎,控制引擎,数据中心网络能否像管理一台交换机那样容易？,NSX软件定义新架构：整个数据中心一个虚拟网络交换机,交换机端口,交换背板,NSXControllerCluster,VM1,交换机管理与控制平面,物理网络架构：L3等价多路径网络架构。像交换机背板一样简单、高效、可靠、易管理,中央管理与控制集群:分布式扩展、高可用,每台X86服务器上部署vswitch等转发模块:分布式的线速包转发,分布式防火墙、水平扩展架构,传统的接入/汇聚/核心网络,WAN/Internet,L3L2,L3L2,PODA,PODB,基于POD的模块设计每个POD内VLANs部署范围过大Layer2范围越大越Failure-Domain就越大VLANs变动都会影响网络配置（L2/L3/高可用/安全）应用的L2网络被限制在一个POD内基于POD的隔离可能会限制工作负载的东西向通信与水平扩展,物理网络架构演进-扁平化,多路径,向2层或者3层的spine/leaf架构演进高密度，高带宽L3等价多路径(或者Layer2)降低网络收敛比（Oversubscription）一次性配置与连线统一配置管理,AnimatedSlide,NSXforvSphere功能组件,NSX与vSphere集群设计-扁平化物理网络架构,WANInternet,AnimatedSlide,vCenter1,vCenter2,MaxsupportednumberofVMs,MaxsupportednumberofVMs,InfrastructureClusters(Storage,vCenterandCloudManagement),EdgeClusters(LogicalRouterControlVMsandNSXEdges),Leaf,Spine,EdgeLeaf(L3toDCFabric,L2toExternalNetworks),L3L2,L3L2,L3L2,ComputeClusterA32Hosts,计算集群详细设计(一）：Layer3ECMP网络架构,ComputeClusterB32Hosts,ComputeClusterX32Hosts,ComputeClusterY32Hosts,L3L2,VMkernelVLANScope,VMkernelVLANScope,ComputeClusterA32Hosts,计算集群详细设计（二）：传统的汇聚层、接入层网络架构,ComputeClusterB32Hosts,VMkernelVLANScope,VMkernelVLANScope,ComputeClusterX32Hosts,ComputeClusterY32Hosts,L3L2,PODA,PODB,管理集群与网关集群网络设计,WANInternet,Leaf,L2,L3,L2,L3,L2,L3,L2,Edge2,Edge1,VMkernelVLANs,VLANsforEdgeVMstoPhysicalNetwork,VMkernelVLANs,EdgeN,EdgeN,管理集群管理功能部件需要L2网络：例如vCenterServer,NSXControllers,NSXManagerandIPStorage,Leaf,Mgmt1,VMkernelVLANs,VLANsforManagementVMs,VMkernelVLANs,边界网关集群数据中心南北向流量由边界网关连接外部802.1QVLANsEdge网关需部署HA心跳网络（VXLANorVLAN）,Edge3,Edge4,MgmtN,L2,MgmtN,Mgmt2,Note:ValuesforVLANs,IPaddressesandmasksareprovidedasanexample.R_idistherackorclusternumber,举例：vSphereNetworkAddressing,架顶交换机TOR与计算主机的VLAN设计：VMkernelNetworking,L3ToRSwitch,Routeduplinks(ECMP),VLANTrunk(802.1Q),SVI66:10.66.1.1/26SVI77:10.77.1.1/26SVI88:10.88.1.1/26SVI99:10.99.1.1/26,AnimatedSlide,QuickRecap:vCenterScaleBoundaries,vCenterServer,VDS1,VDS2,Cluster,DCObject,Max.32hosts,Max.500hosts,10,000poweredonVMs*1,000ESXihosts128VDS,*Dependsonrateofprovisioningcalls,ManualvMotion,DRS-basedvMotion,NSXforvSphereScaleBoundaries,CloudManagementSystem,ManualvMotion,DRS-basedvMotion,VDS,VDS,VDS,LogicalNetworkSpan,vCenterServer,NSXAPI(Manager),vCenterServer,NSXAPI(Manager),ControllerCluster,ControllerCluster,1:1mappingofvCentertoNSXCluster,3-Tier应用逻辑架构与物理架构映射,74,EdgeVMs,LogicalRouterControlVMs,AnimatedSlide,NSXDeliverstheOperationalModelofaVMfortheNetwork,.,75,Abstracts,pools,automatesnetworkingfortheSDDCFaithfulreproductionofL2/3networking,L4-7servicesRunsacrossexisting/anynetworkinghardwareScaleout/distributedswitching,routing,firewallingSeamlessserviceinsertionforapplicationdelivery,security,networksecuritypartners,NSXDistributedFirewallingPerformance,76,20GbpsPerHostofFirewallPerformancewithNegligibleCPUImpact,NSXDistributedFirewallingPerformance,.,77,80KCPSwith100+RulesperHostATypicalVirtualAppliancedoes6KCPSperVMAPhysicalApplianceperforms300K400KCPSperappliance,SDDCPlatformNativeSecurityCapabilities,78,Hypervisor,PhysicalHost,Hypervisor-based,inkerneldistributedfirewallingHighthroughputratesonaperhypervisorbasisEveryhypervisoraddsadditionaleast-westfirewallingcapacityNativefeatureoftheVMwareNSXplatformPlatform-basedautomationAutomatedprovisioningandworkloadadds/moves/changesAccuratefirewallpoliciesfollowworkloadsastheymove,20GbpsFirewallingthroughputperhost,Datacentermicro-segmentationbecomesoperationallyfeasible,NSXvSwitch,VM,VM,VM,Dev,Test,Production,Isolation,Web,App,DB,NoCommunicationPath,ControlledCommunicationPath,Web,App,DB,AdvancedServicesControlledCommunicationPath,Segmentation,SegmentationwithAdvancedServices,79,NSXController,AdvancedServicesInsertionExample:PaloAltoNetworksNGFW,Internet,Hypervisor,PhysicalHost,VM,VM,vSwitch,Hypervisor,PhysicalHost,vSwitch,VM,VM,SecurityPolicy,SecurityAdmin,TrafficSteering,D,D,D,AutomatedSecurityinaSoftware-DefinedDataCenterDataCenterMicro-Segmentation,.,81,A,A,A,W,W,W,AutomatedSecurityinaSoftware-DefinedDataCenterDataCenterMicro-Segmentation,.,82,AutomatedSecurityinaSoftwareDefinedDataCenterQuarantineVulnerableSystemsuntilRemediated,83,SoftwareDefinedDataCenter,SecurityGroup=QuarantineZoneMembers=Tag=ANTI_VIRUS.VirusFound