2014年5月,在我加入VMware三個(gè)月之后,我涂鴉了一篇《818SDN的那些事兒》,當(dāng)時(shí)放言如果閱讀量過(guò)百就寫續(xù)篇。后來(lái)果然閱讀量沒(méi)過(guò)百,也就80多的樣子,其中好幾份還是我自戀地進(jìn)去查看閱讀量時(shí)貢獻(xiàn)的,估計(jì)也有幾份是老婆大人這類完全不懂IT的粉絲以示支持貢獻(xiàn)的。閱讀量沒(méi)過(guò)百,我也就心安理得地不需要有什么動(dòng)作了,直到有一天,我遇到了PeterYe。這位大哥真是蠻拼的,他轉(zhuǎn)發(fā)了這篇文章,結(jié)果閱讀量飆升,然后他就笑瞇瞇地對(duì)我說(shuō),你該履行諾言,寫續(xù)篇了。我雖然答應(yīng)了他,但一拖再拖,他倒好,也不急不惱,一催再催。我是得寫點(diǎn)東西了,為了回報(bào)Peter的這份執(zhí)著。
我當(dāng)初是被NSX這款產(chǎn)品打動(dòng)而加入VMware的,當(dāng)時(shí)就認(rèn)定它是一款SDN的產(chǎn)品。但隨著對(duì)產(chǎn)品理解的深入,我發(fā)現(xiàn)我當(dāng)初仍然失之淺薄。然后我才能理解RickChen一直在講的,我們并不是SDN或者NFV,我們只是網(wǎng)絡(luò)虛擬化。如果您碰巧是第一次看到NSX這幾個(gè)字,且隨我來(lái)浮光掠影地認(rèn)識(shí)一下它吧。
在服務(wù)器虛擬化之前,服務(wù)器和網(wǎng)絡(luò)相安無(wú)事,每個(gè)PoD里的服務(wù)器都是支撐同一個(gè)應(yīng)用的。然后,服務(wù)器開始了虛擬化,如果按每個(gè)虛擬機(jī)就是一臺(tái)Server的話,Server的數(shù)量比原來(lái)物理機(jī)時(shí)代提升了10~20倍,原來(lái)的一個(gè)PoD,現(xiàn)在可以支撐更多應(yīng)用了,原來(lái)單純的南北向流量,現(xiàn)在增加了很多的東西向流量。
這時(shí)候,網(wǎng)絡(luò)唯一做出的變化就是開始應(yīng)對(duì)資源池延伸的需求,提供大二層支持。當(dāng)應(yīng)用部分再一次申請(qǐng)?zhí)摂M機(jī)資源時(shí),很可能原來(lái)的二層域里的資源已經(jīng)分配殆盡,只能在其他二層域分配,這時(shí)需要大二層技術(shù)在跨三層的網(wǎng)絡(luò)上層疊出一個(gè)二層網(wǎng)絡(luò)來(lái)。這個(gè)層疊過(guò)程抑制了很多廣播包,兼顧了傳輸效率和延伸范圍。但當(dāng)今網(wǎng)絡(luò)界幾大梟雄,任兩家的大二層技術(shù)都不能互通,無(wú)論選擇誰(shuí),都只能被廠商綁定。
然后,NSX出現(xiàn)了。它的理念非常簡(jiǎn)單,把整個(gè)網(wǎng)絡(luò)分為兩層:底層的物理網(wǎng)絡(luò)提供所有的服務(wù)器之間的IP傳輸,上層的虛擬化網(wǎng)絡(luò)提供租戶間的隔離,以及租戶內(nèi)的連接。底層網(wǎng)絡(luò)的交換機(jī)變得非常簡(jiǎn)單,不需要那些高逼格的Features,只需要提供IP和OSPF多路徑即可,而這些,只是網(wǎng)絡(luò)廠商的入門券技術(shù)。上層的虛擬化網(wǎng)絡(luò),就是NSX要做的事情了。首先,它在底層的IP網(wǎng)絡(luò)之上再做一層VXLAN封裝,將同一租戶的幾個(gè)VXLAN之間路由起來(lái),不同租戶的VXLAN是互相看不到的,這就做到了多租戶之間的天然隔離。其次,在同一租戶內(nèi)部,它使用的分布式防火墻,在每個(gè)虛擬機(jī)的虛網(wǎng)卡上生效,即使做同一網(wǎng)段內(nèi)部的二層隔離,它也游刃有余。
NSX在VMware被稱為下一個(gè)vSphere,是有足夠資本的。vSphere6.0推出了跨vCenter的vMotion,NSX立馬推出了跨vCenter的虛擬網(wǎng)絡(luò)。從現(xiàn)在開始,一個(gè)集群要設(shè)計(jì)多大,一個(gè)vCenter要設(shè)計(jì)多大?您不要拿這些話題來(lái)煩惱自己了,因?yàn)檫@無(wú)!所!謂!無(wú)論您如何設(shè)計(jì),大了還是小了,我們可以跨集群、跨vCenter來(lái)分配資源,并且把這些跨域的資源分配給同一個(gè)租戶,互相訪問(wèn)、往來(lái)遷移,全都妥妥的。
系統(tǒng)和網(wǎng)絡(luò),從來(lái)就是一對(duì)愛恨交織的兄弟,從前一起加班,一起共用變更窗口。打從服務(wù)器虛擬化起,系統(tǒng)的兄弟不加班了,這讓網(wǎng)絡(luò)的兄弟艷羨的很。系統(tǒng)做變更,竟然大白天就大剌剌地把虛機(jī)遷走,機(jī)器大卸八塊來(lái)修,下班前把修好的服務(wù)器再加電,虛機(jī)遷回來(lái),業(yè)務(wù)不用停,人卻撅著個(gè)腚飛了。不止如此,最近的KPI會(huì)議上,系統(tǒng)部也是領(lǐng)導(dǎo)眼里的紅人,他們上了自服務(wù)門戶,除了領(lǐng)導(dǎo)審批,其他的流程,象虛機(jī)申請(qǐng)、虛機(jī)交付,都是自動(dòng)化腳本一氣呵成,號(hào)稱五分鐘交付。然后就幸災(zāi)樂(lè)禍地把應(yīng)用團(tuán)隊(duì)指到網(wǎng)絡(luò)這邊來(lái)了,沒(méi)辦法,誰(shuí)讓網(wǎng)絡(luò)是公共平臺(tái)呢,得先申請(qǐng)變更窗口吧,最快得一周吧。五分鐘和七天一比,這日子沒(méi)法過(guò)了。
關(guān)鍵時(shí)刻,又是NSX挺身而出,偶也是軟件的,偶也是容器來(lái)的,倫家也可以被編程調(diào)用的。自此,自服務(wù)門戶上,用戶選了虛機(jī)選網(wǎng)絡(luò),最后把安全策略也捎上。交付時(shí),虛機(jī)交付多快,網(wǎng)絡(luò)就交付多快。相互隔離的多租戶網(wǎng)絡(luò),在增加、修改或刪除一個(gè)租戶/應(yīng)用的網(wǎng)絡(luò)時(shí),對(duì)其他租戶毫無(wú)影響。和變更窗口說(shuō)拜拜,晚上有時(shí)間約妹子了,哈哈。
這樣看來(lái),也只是大煙囪變小煙囪,五十步笑百步而已。NSX的出現(xiàn),讓一個(gè)統(tǒng)一的大資源池成為可能。這個(gè)統(tǒng)一的資源池,上面可以運(yùn)行互相不允許訪問(wèn)的幾塊業(yè)務(wù),如開發(fā)、測(cè)試和生產(chǎn)。NSX可以讓共享資源的顆粒度小到虛擬機(jī)為單位,而不是傳統(tǒng)上的以Host為單位。NSX可以讓資源池中甚至任意兩個(gè)虛擬機(jī)之間都互不信任,而不使用一臺(tái)物理防火墻?梢哉f(shuō),從虛擬化到云計(jì)算,網(wǎng)絡(luò)虛擬化是關(guān)鍵的一步。
NSX只要能傳輸IP的底層網(wǎng)絡(luò),已經(jīng)讓傳統(tǒng)的網(wǎng)絡(luò)廠商大為惱火了(我那些Features賣給誰(shuí)去?高大上和下里巴還怎么區(qū)別?),更別提底層網(wǎng)絡(luò)設(shè)備可以多廠商、多型號(hào)組網(wǎng),這顛覆了以前數(shù)據(jù)中心組網(wǎng)的特定廠商、特定型號(hào)的慣例。更要命的是,傳統(tǒng)網(wǎng)絡(luò)廠商孜孜以求的網(wǎng)絡(luò)感知虛機(jī),這是NSX的DNA中就自帶的,網(wǎng)絡(luò)虛擬化融合在服務(wù)器虛擬化的內(nèi)核中,這個(gè)可是傳統(tǒng)網(wǎng)絡(luò)廠商艷羨也沒(méi)辦法的呀。
