软件定义的网络虚拟化数据中心

1、软件定义的网络虚拟化数据中心打破壁垒，助于企业IT向云计算转型议程 理解软件定义的数据中心 数据中心网络现状及面临的挑战 网络虚拟化：概念和实现 更安全的数据中心 总结2理解软件定义的数据中心3企业主管希望他们的IT象亚马逊4No ITOutsourcedNew IT私有云/混合云or硬件定义的数据中心(HDDC)软件定义的数据中心(SDDC)或数据中心虚拟化层智能在软件数据中心虚机的操作模式：自动配置和管理什么是软件定义的数据中心 (SDDC)?智能在硬件专用芯片、品牌绑定的架构手工配置和管理软件硬件计算、网络和存储资源池化，独立于厂商，最佳性价比架构，配置和管理简单用我们学到的.软件硬件虚

2、机计算资源网络存储应用服务器虚拟化智能在虚拟化层X86资源独立于厂商革新的操作模式自动化配置和管理智能在硬件专用芯片，品牌绑定手工配置和管理手工操作模式自动化操作模式可编程的创建,快照,保存,迁移,删除,恢复构建软件定义的数据中心虚拟机虚拟网络虚拟存储计算资源网络资源存储资源应用位置无关数据中心虚拟化层池化的计算、网络和存储资源独立于厂商的最佳性能比架构简化的配置和管理软件硬件自动化操作模式可编程的创建,快照,保存,迁移,删除,恢复大多数敏捷、高效的数据中心采用了软件定义数据中心的设计方法8定制化应用Google / Facebook /Amazon Data Centers定制化平台Any

3、x86Any StorageAny IP network软件 / 硬件抽象软件 / 硬件抽象“新IT”的选择SDDC 还是 HDDC9硬件定义数据中心 (HDDC)任意应用HDDC 平台 集成的x86集成的存储品牌绑定的网络Vertical Integration软件定义数据中心 (SDDC)任意应用SDDC 平台任意 x86任意存储任意IP网络数据中心虚拟化层复杂的网络核心, 定期替换升级，价格高昂，品牌绑定与硬件、位置分离，简单的IP核心，智能的X86边缘，敏捷的服务定制化应用Google / Facebook /Amazon Data Centers定制化平台Any x86Any Sto

4、rageAny IP network软件 / 硬件抽象软件 / 硬件抽象软件定义数据中心的互连互通10数据中心互连混合云软件定义数据中心 (SDDC)任意应用SDDC 平台任意 x86任意存储任意IP网络数据中心虚拟化层任意 x86任意存储任意IP网络任意 x86任意存储任意IP网络任意应用任意应用软件定义数据中心愿景TEXT自助化应用组装应用蓝图应用发布标准化应用服务云自助服务门户服务目录无需管理员参与管理监控自动化虚拟化主机与存储软件定义网络应用服务基础架构服务软件定义数据中心基础架构云数据中心网络现状及面临的挑战12数据中心网络的现状13WAN/InternetL3L2L3L2POD A

5、： 应用APOD B：应用BL2L3POD C：应用CL2L3POD N：应用NX86服务器接入层汇聚层安全边界安全边界汇聚层接入层X86服务器虚拟化之前数百台物理服务器通过改变交换机端口的VLAN控制服务器的连接提供的Features取决于硬件功能 (ASIC芯片)配置复杂的网络服务数据流主要集中在南北向虚拟化之后数千台虚拟机服务器和物理交换机的连接变为VLAN Trunking不同的团队管理不同的网络组件Features仍然依赖于硬件功能绝对数量的服务器，加剧了复杂的网络服务（如防火墙等）的难度数据中心内部流量以东西为主，网络设计的流量则是南北为主减少了网络节点的可视性（策略执行和监控等）

6、网络成为通往云计算之路的壁垒虚拟化挑战传统网络设计和运行基础架构二层网络的规模限制大二层技术的限制安全边界打破，安全隔离成为难题业务部署计算和存储资源已经实现快速就绪网络就绪成为业务部署的瓶颈运维排障安全策略跟随虚拟机移动虚拟机的可视化管理命令行或GUI界面无法自动化部署Floor-1: VLAN1 10.x.x.xFloor-2: VLAN2 172.16.x.x网络虚拟化：概念和实现15通用X86服务器资源服务器虚拟化层需求: x86服务器x86 环境虚拟机应用分离硬件软件虚拟机应用虚拟机应用通用网络硬件网络虚拟化层需求：IP承载网络L2, L3, L4-7 网络服务虚拟网络负载虚拟网络负

7、载虚拟网络负载解决办法：虚拟化你的网络通过虚拟化层来映射虚拟与物理资源与传统的计算虚拟化类似:实现物理资源池化并支持 scale-out扩展实现集中管理与配置支持API 可编程接口虚拟网络之间完全隔离可移动性虚拟网络为软件容器, 像虚拟机一样支持 snapshot, 备份与恢复实现按需/自动化部署虚拟网络按需动态部署虚拟网络，不受物理位置限制面向对象的QoS以及安全策略配置集中控制，系统性的可视, 监控与管理逻辑区域完全隔离 (L2 & L3)95+% 减少物理网络资源消耗（IP，VLAN，MAC地址等）智能边界，分布式转发网络虚拟化带来的价值打破壁垒：使网络及其相关服务部署不再受制于底层物理

8、网络硬件和物理位置的限制VLAN1 10.x.x.xVLAN2 172.16.x.xVLAN2 192.168.x.x 虚拟网络虚拟的 Layer 2 88.33.x.x (whatever)网络虚拟化的收益 突破位置阻碍，灵活部署负载网络虚拟化的收益 突破位置阻碍，提高资源利用率网络虚拟化之前的资源利用率大约是60%网络虚拟化之后的资源利用率能够达到90%以上网络虚拟化的收益分布式架构革新扫除了安全死角VMVMVMVMVMVMVMVMVMVMVMVMVMVMVM好处虚拟机与AD域用户感知面向对象的安全策略定制没有安全处理 “瓶颈”线速转发，水平扩展安全策略部署越靠近应用，体系就越安全集中式安

9、全管理加快服务响应时间，有助于吸引更多的生意提高客户满意和忠诚度，从而吸引更多的新客户 加速业务创新及部署为企业云计算之路打下网络基础化繁为简帮助企业向移动云端模式转型 新模式将改变一切可扩展，自动化，运维监控及优化适应移动新业务需求，突破位置地域限制网络不再限制业务发展对上层新旧应用来说是透明的（无需做任何修改）投资保护，降低成本 减少升级改动新版本升级无需改动底层硬件，降低复杂性兼容客户现有网络按业务需求水平扩展，方便监控与计费对企业带来的价值带来更多的效益降低成本硬件网络InternetPhysical Network Topology计算资源.InternetPhysical Netw

10、ork Topology数据中心虚拟化层InternetPhysical Network Topology网络虚拟化层Internet网络虚拟化层Physical Network Topology网络视角的虚拟机操作模式Internet网络虚拟化层虚拟网络软件容器，如虚机虚拟网络拓扑Physical Network Topology虚拟网络无中断的部署27NSX vSwitchHypervisorNSX vSwitchHypervisorVMUser SpaceVMVM物理网络VMUser SpaceVMVM虚拟网络可编程的部署28NSX vSwitchHypervisorVMVMVM物理网络

11、云管理平台NSX vSwitchHypervisorVMUser SpaceVMVMNSX Controller分布式网络服务分布式网络服务Virtual Network服务分布于Virtual Switch29Physical HostNSX vSwitchVMVMVMNSX vSwitchUser SpaceVMVMHypervisorUser SpaceHypervisorNSX Controller云管理平台简单的IP骨干，没有VLAN, 没有ACL，没有防火墙策略物理网络无中断的部署网络服务分布分布式的力量新的标准：更安全的数据中心利用软件定义数据中心的网络和安全优势，构建基于分布式

12、服务的安全数据中心32数据中心边界问题：数据中心网络安全以边界为中心的网络安全已经无法满足需求，操作上无法实现零信任关系。边界内部几乎没有横向控制InternetInternet安全策略不足操作上无法实现数据中心边界34InternetHypervisorPhysical HostVMVMVMvSwitchHypervisorPhysical HostvSwitchVMVMVM安全策略边界防火墙VM云管理平台办法：利用软件定义数据中心的方法定义零信任关系基于虚拟化软件的，位于内核的分布式防火墙基于平台的自动部署、负载增加/移动和改变自动策略匹配和操作，分布式执行基于内核的性能， 分布式容量扩展

13、 (20 Gbps/host)这是巨大的不同35HypervisorHostVMVMVM传统防火墙：规则匹配和操作物理防火墙 (2 100 Gbps)传统防火墙：规则匹配和操作虚拟防火墙 (1 3 Gbps)虚拟防火墙物理防火墙分布式防火墙HostVMVMVMHypervisorHostVMVMVMHypervisorHostVMVMVMHypervisorHostVMVMVMHypervisor每个组件都在特定的层进行操作。NSX 概述：层使用模式数据层管理层控制层数据层负责处理端点间的数据流。NSX 概述：数据层组件使用模式数据层NSX Edge 服务网关ESXi分布式交换机虚拟化管理程序

14、内核模块 防火墙分布式 逻辑路由器VXLANNSX Virtual SwitchVMware NSX Edge 网关虚拟机规格处理南北向流量的数据层 路由服务和高级服务交换机安全性VMware NSX Virtual Switch分布式网络边缘 线速性能 管理层控制层控制层负责处理执行任务。NSX 概述：控制层组件 使用模式数据层NSX Edge 服务网关ESXi分布式交换机虚拟化管理程序内核模块 防火墙分布式 逻辑路由器VXLANNSX Virtual Switch管理层控制层NSX Edge 网关虚拟机规格处理南北向流量的数据层 路由服务和高级服务交换机安全性NSX Virtual Swi

15、tch分布式网络边缘 线速性能 NSX ControllerNSX 逻辑路由器控制虚拟机用户环境代理管理逻辑网络运行时状态不在数据路径中控制层协议管理面板处理用户管理输入。NSX 概述：管理层组件使用模式数据层NSX Edge 服务网关ESXi分布式交换机虚拟化管理程序内核模块 防火墙分布式 逻辑路由器VXLANNSX Virtual Switch管理层控制层NSX 逻辑路由器控制虚拟机用户环境代理NSX ManagervCenter Server消息总线代理NSX Controller单点配置REST API 和用户界面管理逻辑网络运行时状态不在数据路径中控制层协议NSX Edge 网关虚拟

16、机规格处理南北向流量的数据层 路由服务和高级服务交换机安全性NSX Virtual Switch分布式网络边缘 线速性能 这些层构建了一个可供客户使用的虚拟网络。NSX 概述：使用使用模式数据层NSX Edge 服务网关ESXi分布式交换机虚拟化管理程序内核模块 防火墙分布式 逻辑路由器VXLANNSX Virtual Switch管理层控制层NSX 逻辑路由器控制虚拟机用户环境代理消息总线代理NSX Controller自助式门户云计算管理VMware vCloud Automation Center单点配置REST API 和用户界面管理逻辑网络运行时状态不在数据路径中控制层协议NSX E

17、dge 网关虚拟机规格处理南北向流量的数据层 路由服务和高级服务交换机安全性NSX Virtual Switch分布式网络边缘 线速性能 NSX ManagervCenter ServerVMware NSX 逻辑交换应用、多租户隔离 VM 在线迁移需要二层网络大的二层物理网络蔓延带来的问题 STP问题硬件 Memory (MAC, FIB) Table 限制可扩展的多租户网络实现 L2 over L3 Overlay架构 基于Overlay的技术VXLAN, STT, GRE, etc, 逻辑交换网络可以跨主机、交换机以及物理路由器挑战好处逻辑交换Scale the Network Segm

18、ent 1000XAnimated SlideVMware NSXLogical Switch 1Logical Switch 2Logical Switch 3VM to VM Routed Traffic FlowVMware NSX 逻辑路由网络: 分布式，多功能数据中心东西向流量对传统的集中式路由模式带来挑战VM 漂移带来的挑战多租户路由复杂度Traffic hair-pins在Hypervisor层实现分布式路由动态的, 基于API的配置动态路由 OSPF, BGP, IS-ISLogical Router 支持多租户支持与物理路由器之间跑动态路由挑战好处分布式路由 灵活实现多租户网

19、络控制器集群NSX 管理器L2 L2租户A租户 BL2 L2 L2租户 CL2 L2 L2Animated SlideCMPVMware NSX 防火墙: 分布式、高性能、可扩展的安全防护集中式处理模式人工配置安全策略基于IP五元组性能最多大概40 Gbps 无法感知虚拟网络上的流量分布在Hypervisor Level动态的,可基于API的配置模式可支持基于VM 名称, 用户ID的安全策略每台主机线速转发，15Gbps基于VM的vNIC级别管控，感知VM任意流量挑战好处性能与扩展能力 1,000+ Hosts 30 Tbps of Firewall 物理安全模式NSX 分布式防火墙防火墙管理

20、Animated SlideVMware NSXAPICMPVMware NSX 负载均衡应用（工作负载）移动性多租户人工配置，管理复杂按需部署负载均衡服务支持各种部署方式 one-arm or inline Layer 7, SSL, 挑战好处负载均衡 支持多租户部署环境Animated SlideL2租户AVM1VM2VM1VM3VM2L2L2L3租户B集中化管理运维您的应用网络NSX 提升效率加速创新分布式转发与安全处理, 快速响应业务需求 VMManagement VLANL2 VPNBGPExternalNetworks 实现控制与管理无需新的硬件投资ExternalNetworks

21、 简单, 易复制，自动化地实现多租户云网络 用户案例48NSX客户eBay“NSX 帮助我们实现按需部署搭建测试网络从以前的数天到现在的几分钟JC MARTINCLOUD ARCHITECT, EBAY7 days to 30 seconds将部署复杂的测试、开发环境的时间缩短。“NSX, 与OpenStack一起改变了我们的观念与运维. 帮助我们实现企业私有云LEW MOORMANPRESIDENT, RACKSPACERackspace 云网络每年1500万-2000万美元的成本节省在公有多租户的云里部署企业级的私有网络。NTT“网络虚拟化是实现云计算的关键NSX 功能超越了我们的预期.E

22、IJI KUWANAVICE PRESIDENT, GENERAL MANAGER, SECURE PLATFORM跨数据中心VM迁移跨数据中心灾备将NTT的云转换为通用计算平台，加速服务部署，将NTT在世界范围内的资产、数据中心和运营商级的网络的效益最大化。国内银行案例某大型国有银行部署前有Cisco/Juniper等三种以上防火墙有超过两万条安全策略安全策略集中部署，不分南北或东西流量应用提出的安全需求无法全部满足部署后近一万条东西流量的安全策略可以部署到NSX的分布式防火墙上，跟随虚机移动安全策略更灵活、更快捷支持多租户、多应用的全网部署某大型商业银行部署前同一组应用的虚机无法跨网段部署

23、无法支撑多租户的应用网络部署速度慢，无法满足快捷应用的需求部署后虚拟机部署不再受网络的限制方便灵活地支持多租户/多应用网络部署速度和虚机部署速度同步自动化部署、调度以及资源回收53总结54HypervisorX86 HostsLine ratePer hostPhysical orVirtual10K Logical Switches硬件软件硬件软件云管理平台Line ratePer hostNo Tromboning1,000Logical RoutersPer domainLine ratePer hostKernel Integrated25,000 CPS2 millionSessio

24、nsScale-OutLine ratethroughput1M CPS10M ConcurrentFW, LB, VPNNSX 的价值1101001,000Hosts30 Gbps300 Gbps3 Tbps30 TbpsThe Power of a Distributed System分布式交换分布式路由分布式防火墙网关服务VMware NSX Software 虚机网络现有的网络架构交换路由防火墙LB, VPN网关服务30 Terabits per secondVMware NSX APIHypervisorX86 HostsHardwareSoftware投资运维成本HardwareSoftware转发效率敏捷与速度NSX 的价值1101001,000Hosts30 Gbps300 Gbps3 Tbps30 Terabits per secondThe Power of a Distributed System现有网络架构简洁的IP转发网络No VLAN, No ACL, No Firewall Rules业务敏捷，创造价值投资保护，降低成本简化运维，提升效率分布式交换分布式路由分布式防火墙网关服务VMware NSX Software NSX解决的网络挑战跨3层网络边界提供2层网络连接，提供灵活的网络设计不再依赖VLAN进行多租户的隔离提供了虚机之