您當前的位置是:  首頁 > 資訊 > 文章精選 >
 首頁 > 資訊 > 文章精選 >

大咖博聞薈 | NSX多云網(wǎng)絡 - 魔術?"小池子" 變"大池子"

2020-04-01 09:13:27   作者:   來源:CTI論壇   評論:0  點擊:

  大家好,上一系列文章我們介紹了如何通過NSX實現(xiàn)企業(yè)級云安全,如何為云化環(huán)境“戴口罩”以及云化環(huán)境安全隔離的剛需和必要性。本期帶大家進入NSX的魔幻世界,NSX還會變魔術?對,沒看錯, 今天的文章就來聊一聊NSX如何讓您的云化資源池從一個個獨立的“小池子”變成融合的“大池子”,實現(xiàn)資源的高效利用和靈活調(diào)度,同時保障業(yè)務的安全隔離,”口罩“的正確姿勢戴起來。節(jié)省企業(yè)資源池的成本。
  我們首先來看一下當企業(yè)演進到多中心多云部署會碰到哪些挑戰(zhàn)呢?
  中心內(nèi)多硬件安全區(qū)域,一個個的”小池子“,資源浪費
  資源池被割裂到每個物理隔離的硬件網(wǎng)絡區(qū)域,煙囪式部署,不同資源池利用率不均,無法跨池進行資源調(diào)度,造成忙的池子要等待,要擴容,而閑的池子又不能加以利用,資源浪費。造成這樣問題的原因,一方面來源于傳統(tǒng)硬件網(wǎng)絡的技術為了保證穩(wěn)定和可用而不得不折中選擇”小網(wǎng)絡“部署,避免一個池子的網(wǎng)絡問題擴散至全網(wǎng),這也是網(wǎng)絡世界讓網(wǎng)工又愛又恨的經(jīng)典”二層“網(wǎng)絡問題,STP,后邊我們在討論一下。另一方面就是不同業(yè)務間的安全隔離需要將不同池子內(nèi)部的應用隔離開。難道就沒有兩全其美的辦法?
  多中心多站點池子更難融合
  一個中心內(nèi)部都是一個個的小資源池,當企業(yè)建設多站點時,池子在多站點進一步被割裂,很難實現(xiàn)跨站點的資源調(diào)用。而采用傳統(tǒng)硬件廠商的多站點”大二層“技術昂貴,復雜,需要特定的網(wǎng)絡硬件以及手工的CLI部署,網(wǎng)絡割接改造等。另外一個需要考慮的問題?僅僅的二層延伸就可以實現(xiàn)多站點資源池融合嘛?并不足夠。一個應用能夠?qū)ν馓峁┓⻊眨粌H需要二層鏈接,還需要三層路由,L4-7安全,抗病毒,IPS,SLB服務發(fā)布,這些都需要多活部署。而傳統(tǒng)硬件方式很難實現(xiàn)。
  站點或者局部故障恢復時間過長
  企業(yè)都希望業(yè)務能夠7*24小時不間斷運行,無論是計劃內(nèi)的運維調(diào)整,還是計劃外的故障,業(yè)務的恢復時間太長,而每分鐘業(yè)務的離線都是昂貴的成本和糟糕的客戶體驗。
  跨站點跨云安全風險高
  當應用跨站點分布式多活部署時,每個站點都通過硬件火墻實現(xiàn)安全隔離,多中心的安全策略需要手工進行同步,復雜度高,如果跨云部署,甚至采用不同的安全平臺或者運維管理工具,應用跨站跨云部署安全策略不能有效實時同步帶來潛在的安全隱患。
  而過去幾年,一談到多中心,大家馬上想到的一個詞兒就是”大二層“,好像大二層就是靈丹妙藥,可以解千愁,只要有了大二層打穿兩個中心,就能雙活?缺的還很多。
  那我們就先談談為什么L2二層網(wǎng)絡讓網(wǎng)工們又愛又恨。
  為何愛?
  • L2網(wǎng)絡對比3層路由確實簡單,基本可以做到即插即用
  • 一些特定的集群類應用需要2層網(wǎng)絡,或者一些應用在開發(fā)時就沒有考慮到網(wǎng)絡,應用必須在一個2層里
  • 過去十年來基礎架構演進需要網(wǎng)絡提供二層,云化中心需要通過基礎架構提供VM的高可用,DRS,這些需要VM在一個二層里才能遷移
  什么是大二層?
  • 我們先談談什么不是大二層:)
  • 大二層并不是在一個二層網(wǎng)絡容納更多的業(yè)務和vm
  大二層是?
  • Any Subnet,Any L2,Any Workload,anywhere,這個大的意思是靈活延伸,業(yè)務任意部署,遷移
  • 減少網(wǎng)絡故障域,降低業(yè)務影響
  • 提升網(wǎng)絡性能,擴展性
  為什么現(xiàn)在95%以上的企業(yè)內(nèi)部二層都大不起來呢?
  • 傳統(tǒng)的二層網(wǎng)絡協(xié)議太魔鬼,STP讓網(wǎng)工望而卻步
  • 任意交換機,鏈路故障,導致整網(wǎng)全局影響,業(yè)務全網(wǎng)中斷。
  • 樹形拓撲,一半的帶寬失效
  • 排錯太難,網(wǎng)絡不穩(wěn)定
  一個中心的網(wǎng)絡二層大了都不穩(wěn),誰敢在多中心間實現(xiàn)網(wǎng)絡2層延伸呢?當然硬件網(wǎng)絡廠商在過去10年看到商機,一路以來演進faric,從STP,到vPC,堆疊,M-lag,到Trill,F(xiàn)abricpath,到現(xiàn)在的BGP EVPN with Vxlan。但是解決的主要是網(wǎng)絡問題,很難全面延伸完整應用所需要的L2-7網(wǎng)絡,安全環(huán)境。
  所以就誕生了如下圖右下角一個個隔離的硬件網(wǎng)絡,一個個隔離的小池子,同時如剛才介紹,不同的業(yè)務需要進行隔離,每個小池子腦袋上要頂個硬件防火墻。之前的文章我們討論過,這樣的安全區(qū)域太大,小區(qū)內(nèi)沒有任何業(yè)務間隔離。
  通過NSX可以完美的解決傳統(tǒng)二層網(wǎng)絡及安全隔離需求,讓小池子變大。
  第一個業(yè)務場景,單中心融合資源池
  如下圖所示,上邊我們談到了由于傳統(tǒng)2層網(wǎng)絡以及業(yè)務隔離需要,現(xiàn)在企業(yè)基本上采用硬件隔離的小網(wǎng)絡和小池子的架構,通過NSX可以將一個個獨立硬件隔離的小池子融合為一個大池子,通過NSX將整個云化中心實現(xiàn)L2-7的網(wǎng)絡,安全虛擬化實現(xiàn)資源池整合,讓傳統(tǒng)不同安全分區(qū)內(nèi)部的業(yè)務可以在大池子內(nèi)部任意調(diào)度,提升資源利用率,同時通過NSX安全微分段”口罩“為每個業(yè)務設置安全隔離策略,既安全又高效。
  • NSX通過純軟件實現(xiàn),無任何硬件依賴性,無需替代企業(yè)現(xiàn)有的任何網(wǎng)絡設備
  • 提升云化中心內(nèi)部安全性,不僅實現(xiàn)大區(qū)之間的業(yè)務隔離,甚至在區(qū)域內(nèi)部可實現(xiàn)業(yè)務間東西向安全微隔離,以及分布式抗病毒,IPS等
  • 小池子變大池子,資源高效利用及靈活調(diào)度,可為企業(yè)IT部分節(jié)省投資
  • NSX實現(xiàn)不僅僅是大二層,而是完全應用所需網(wǎng)絡環(huán)境都”大“了起來
 
  第二個業(yè)務場景,多中心融合資源池
  通過NSX純軟件網(wǎng)絡及安全虛擬化跨越多站點多云實現(xiàn)網(wǎng)路及安全策略自由延伸,從而實現(xiàn)企業(yè)無縫多站點鏈接,跨站點融合資源池,以及業(yè)務的在線遷移、災難避免和故障恢復。
  通過NSX背后的強大技術,跨中心將每個中心的資源池融合成一個統(tǒng)一資源池,讓業(yè)務可以在多中心之間分布式部署,提升資源利用率,使得資源甚至可以在多中心間自由遷移,實現(xiàn)站點之間的計劃內(nèi)遷移,災難避免,以及站點故障的全自動化故障恢復,大大降低RTO故障恢復時間。
  而NSX為企業(yè)的應用可提供層次化的多活災備方案,適用多種場景如下:
  • 業(yè)務層雙活部署:針對新應用,或者可域名發(fā)布多中心的分布式應用,可通過NSX ALB(前AVI云負載均衡)實現(xiàn)多中心業(yè)務雙活部署,通過AVI GSLB實現(xiàn)業(yè)務多活多中心接入,通過NSX實現(xiàn)業(yè)務跨中心交付統(tǒng)一的L2-7層安網(wǎng)路及安全策略。當站點或者中心出口故障,通過NSX可將業(yè)務在秒級進行切換至第二中心,極大降低業(yè)務的RTO故障恢復時間。
  • 基礎架構雙活部署:對于傳統(tǒng)單體應用,無法實現(xiàn)業(yè)務級多活部署,通過NSX+VSAN延伸集群跨站實現(xiàn)計算,存儲,網(wǎng)絡多活延伸,存儲同步復制,vsphere/vsan延伸集群保護應用,當站點故障時,業(yè)務可自動化恢復至第二中心,實現(xiàn)分鐘級RTO,RPO為0無數(shù)據(jù)丟失,全自動化故障恢復,通過NSX將全棧L2-7網(wǎng)絡策略延伸至多中心。
  • 基礎架構容災部署:對于次優(yōu)先級的應用,可采用SRM+NSX實現(xiàn)存儲和網(wǎng)絡的容災部署,通過SRM實現(xiàn)災備調(diào)度,通過底層VR實現(xiàn)存儲復制,通過NSX將業(yè)務的全棧網(wǎng)絡策略延伸至災備中心,當主站點故障時,可實現(xiàn)全自動化的計算,存儲,網(wǎng)絡的站點恢復,極大降低RTO故障恢復時間至分鐘或者小時級別
 
  第三個業(yè)務場景,跨云融合
  VMware與多個公有云提供商合作,構建VMware SDDC全棧onAWS,阿里云,騰訊云,通過云中內(nèi)置的NSX HCX云間互聯(lián)方案,幫助企業(yè)自由的實現(xiàn)零業(yè)務中斷的實時業(yè)務遷移,同時提供批量業(yè)務從企業(yè)自建中心向公有云端遷移。同時通過HCX可實現(xiàn)自動化將私有云業(yè)務備份至公有云端。實現(xiàn)自動化災備測試,容災恢復。
  HCX的獨享價值如下:
  • 硬件無關,無需特定硬件廠商的復雜昂貴硬件,云中內(nèi)置云間互聯(lián)和遷移方案,無需調(diào)整跨云設備的MTU
  • 高性能遷移方案,HCX內(nèi)置廣域網(wǎng)優(yōu)化,實現(xiàn)加密,去重,壓縮,甚至在云間可使用internet線路,無需昂貴的專線云間互聯(lián)。
  • 無束縛,支持跨云任意的vSphere版本,任意的服務器硬件,CPU,vSphere SSO,任意的網(wǎng)絡硬件。
  最后,總結一下NSX多云網(wǎng)絡價值:
  • 跨站點跨云融合大資源池,提升資源利用率,打破傳統(tǒng)網(wǎng)絡壁壘,資源靈活調(diào)度及高效利用
  • 100% 純軟件,支持任意底層硬件網(wǎng)絡,提供“大2-7層網(wǎng)絡延伸” ,簡化運維
  • 多層次雙活方案適配任意企業(yè)應用,災備一體化自動化降低故障恢復時間,降低災難影響
  "NSX多云網(wǎng)絡節(jié)目預告:
  • 基于NSX-T+AVI實現(xiàn)企業(yè)雙活中心
  • 基于NSX-T多站點容災方案實現(xiàn)
  • 基于HCX的VMware云際漫游"
  文章來源于企業(yè)云網(wǎng)絡 ,作者何濤
 
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

專題

CTI論壇會員企業(yè)