1、王培久 资深系统工程师,网络虚拟化- VMware NSX 在金融的应用和案例分享,议程,数据中心云计算对网络的要求 网络虚拟化总体架构 案例分析 总结,CONFIDENTIAL,2,SDN,新一代数据中心发展的业务和技术驱动,企业IT向云架构转型,逻辑,计算,存储,网络,?,资源池化 提高资源利用率 简化运维 动态迁移 自动均衡资源,物理,逻辑,计算与存储虚拟化,专用硬件和品牌厂商绑定 CAPEX OPEX高,网络对上层 应用封闭,手工配置 和管理,应用部署 周期长,应用和网络 紧耦合,云计算驱动下 数据中心的过去、现在和将来,阶段四: 灵活的计算 + 灵活的网络,NOW,任何网络硬件平台,
2、灵活网络服务:防火墙、路由、LB等,基于应用 灵活快速地定义网络,阶段一: 传统的计算 + 传统的网络,1995,阶段二 : 灵活的计算 + 传统的网络,2001,阶段三: 灵活的计算 + 大二层网络,2010,计算虚拟化对数据中心网络的真正挑战是什么?,CONFIDENTIAL,6,敏捷性: 应用可以按需定义特定应用的网络切片和逻辑 拓扑结构,实现数据中心应用的快速灵活部署Any application any where 不受二层网络STP、二层广播风暴、MAC地址表 和VLAN数量的限制,实现any application any where东西向路由优化 利用分布式路由技术实现虚拟化环
3、境中 Web/APP/DB层的东西向流量的优化,而不是 所有南北和东西向流量都送到汇聚层交换机处理精细化网络服务 基于虚拟机颗粒度和应用颗粒度的精细化安全控制 基于虚拟机层面的服务均衡和SSL加密等自动化 向上提供标准API接口,实现网络资源和服务的 自动化部署,传统网络存在的不足,CONFIDENTIAL,传统网络架构存在的不足,缺乏业务快速部署能力,传统竖井式架构,业务区严格隔离,不支持业务的灵活快速部署更不支持基于多租户多应用的网络切片功能,灵活性不足,由于二层技术的限制各业务区尽量把二层域限制得越小越好,无法支持跨业务区的vmotion等功能,业务的灵活性大大受限,缺乏虚拟资源安全和管
4、理的监控手段,对于网络部门来说,虚拟机的接入完全是个黑盒子,缺乏有效的虚拟机之间的安全管理和监控的手段,不支持网络资源的自动化部署,所有网络的配置都是通过命令行手动完成,配置和运维管理非常复杂,导致当各种虚拟资源位置变化时,管理员不堪重负,资源利用率低,各业务区网络为各业务区专用,不支持一个物理网络为多租户/多应用服务,CONFIDENTIAL,阶段三: 灵活的计算 + 大二层网络,2010,大二层网络架构带来的好处,灵活性高,借助大二层技术,虚拟资源可以跨业务区部署,同时支持vmotion等功能,业务的灵活性大大提高,大二层网络架构存在的不足,过渡技术,应用案例非常少,从数据中心发展看已经成
5、为过渡技术,各厂商目前都在Vmware主导的VXLAN上寻求更好的解决方案,缺乏虚拟资源安全和管理的监控手段,对于网络部门来说,虚拟机的接入完全是个黑盒子,缺乏有效的虚拟机之间的安全管理和监控的手段,不支持网络资源的自动化部署,所有网络的配置都是通过命令行手动完成,配置和运维管理非常复杂,导致当各种虚拟资源位置变化时,管理员不堪重负,技术本身存在局限性,无论是IETF TRILL还是思科的FabricPath都没有解决二层网的三个根本问题:Flooding、MAC表项扩展和VLAN扩展,大二层网络带来的好处和存在的不足,NOW 软件定义的虚拟化网络,CONFIDENTIAL,9,阶段四: 灵活
6、的计算 + 灵活的网络,NOW,任何网络硬件平台,灵活网络服务:防火墙、路由、LB等,基于应用 灵活快速地定义网络,敏捷性: 应用可以按需定义特定应用的网络切片和逻辑 拓扑结构,实现数据中心应用的快速灵活部署Any application any where 不受二层网络STP、二层广播风暴、MAC地址表 和VLAN数量的限制,实现any application any where东西向路由优化 利用分布式路由技术实现虚拟化环境中 Web/APP/DB层的东西向流量的优化,而不是 所有南北和东西向流量都送到汇聚层交换机处理精细化网络服务 基于虚拟机颗粒度和应用颗粒度的精细化安全控制 基于虚拟机
7、层面的服务均衡和SSL加密等自动化 向上提供标准API接口,实现网络资源和服务的 自动化部署,议程,数据中心云计算对网络的要求 网络虚拟化总体架构 案例分析 总结,CONFIDENTIAL,10,11,软件定义的虚拟化网络总体架构,vCloud Automation CenterIaaS PaaS DaaS,Hyper- visors,CMS,IaaS PaaS DaaS,软件定义的虚拟化网络组成要素,VM,VM,vSphere,vSphere,KVM,XenServer,HW,SW,NSX Manager,VLAN,VLAN,Layer 3 IP Network,软件定义的虚拟化网络工作原理
8、,External Networks,简单, 易复制,自动化地实现多租户云网络,软件定义的虚拟化网络-敏捷性,根据应用需求利用vxlan技术按需定义应用 的网络切片和逻辑拓扑结构(Web/App/DB) 实现数据中心应用的快速灵活部署,VLAN1 10.x.x.x,VLAN2 172.16.x.x,VLAN2 192.168.x.x,Virtual Network,Virtual Layer 2 88.33.x.x (whatever),软件定义的虚拟化网络- 真正的Any application any where,利用VXLAN解决数据中心网络存在的三大问题: Any applicatio
9、n any where 大二层架构下存在的:MAC地址表、VLAN和 二层Flooding三大问题 数据复制支持unicast、hybrid和multicast模式 解决目前vxlan没有control plane带来的flooding问题,Data Center Perimeter,传统的边界防火墙已经被证实为不足够安全, 而用传统方式实现 micro-segmentation 基本上不可行,对内部流量不管控,Internet,Internet,安全性不充分,管理上不可能,Data Center Perimeter,软件定义的虚拟化网络-分布式防火墙Micro-Segmentation,VM
10、,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,软件定义的虚拟化网络-分布式防火墙Micro-Segmentation,软件定义的虚拟化网络-分布式路由,软件定义的虚拟化网络-分布式防火墙,CONFIDENTIAL,20,软件定义的虚拟化网络-自动化,通过标准的REST API 向上支持多种企业云管理平台 (Vcloud Director,vCAC,OpenStack,Cloudstack) 实现网络虚拟化资源的自动部署,软件定义的虚拟化网络-集中化运维和监控,议程,数据中心云计算对网络的要求 网络虚拟化总体架构 案例分析 总结,CONFIDENTIAL,
11、22,NSX Customers,EOR POD,TOR POD,服务器机房,三层交换核心,EOR POD,TOR POD,服务器机房,某保险公司:利用NSX实现虚拟化资源的精细化安全管理和监控,缺乏虚拟机颗粒的安全管理和监控手段尽管南向安全可以通过汇聚层防火墙控制 但虚拟化应用规模越来越大,缺乏有效的 东西向流量安全控制手段,同时希望虚拟机vmotion时,安全策略随动,不需要任何变更 行业监管的要求,需要监控特定虚拟化环境 中特定虚机的进出流量 同时希望虚机可以跨机房和三层网络随意 Vmotion,NSX:Vxlan,EOR POD,TOR POD,服务器机房,三层交换核心,EOR POD
12、,TOR POD,服务器机房,NSX Controller,某保险公司:利用NSX实现虚拟化资源的精细化安全管理和监控,利用NSX分布式虚拟防火墙功能,实现虚拟机环境的精细化 安全管理,同时实现虚拟机vmotion时,安全策略随动,不需要任何变更 支持基于特点应用或虚机的span和rspan功能实现流量的实时监控 满足行业监管的要求借助vxlan技术实现跨机房和三层网络随意Vmotion,某商业银行:利用NSX构建新一代金融互联网渠道,客户需求: 随着金融互联化的快速发展,越来越多业务子系统向网银区迁移,同时大量的新业务也不断快速推出,现有网银出口架构在以下几个方面存在诸多问题:扩展性不足 现
13、有架构无法满足创新型互联网应用不断推出的要求:移动应用、手机APP、地图、网上商城、大数据等部署不灵活 原有架构下DMZ区主要集中在某一机房,跨楼层或跨机房部署相对困难,同时更无法支持虚拟资源跨机房的灵活调度互联网DMZ区普遍采用虚拟机方式,缺乏针对虚机的安全控制和精细化管理不支持应用快速和自动化部署,基础架构层面的标准化可复制和快速部署 采用基于POD的标准架构 网络资源的可复制和快速部署 采用NSX架构按需要快速复制应用网络和 相关的网络服务 VXLAN实现DMZ区到数据中心任何位置的按需扩展 配置管理有NSX通过图形界面统一完成 采用分布式防火墙技术实现虚机层面的安全管理和策略的随动 为
14、了NSX将和企业云平台集成,实现应用的 自动化部署,某商业银行:利用NSX构建新一代金融互联网渠道,CONFIDENTIAL,28,某商业银行:利用NSX实现业务系统网络P2V的迁移,硬件环境 业务网络层次: 核心层: Cisco N7000核心路由器两台,AA方式提供核心路由。 汇聚层: H3C F5000多层防火墙两台,互为主备方式提供3层接入和防火墙功能。 H3C 12508交换机两台,堆叠方式提供2层接入。 现有架构下服务器资源以基于x86的物理服务器和小型机为主 客户在未来两年内要完成90%业务系统P2V的迁移,现有环境下客户面临的问题: 现有物理机环境下设备采购和运维成本过高 应用
15、部署周期长(1-2个以上) 资源利用率低P2V迁移客户重点关注的问题: 虚机层面的安全控制和管理监控 虚机层面东西向的路由优化 虚机跨三层的vmtion 现有物理环境和虚机环境的无缝迁移,CONFIDENTIAL,29,某商业银行:利用NSX实现业务系统网络P2V的迁移,P2V改造后物理架构,P2V改造后逻辑架构,CONFIDENTIAL,30,物理连线部分承载目前管理业务区使用的不进行网关变更的VLAN。,老网关,新建环境流量,L2-Bridge 迁移规划,Edge GW 新部署规划,Edge Cluster,Compute Cluster,VTEP,迁移环境流量,物理连线,原有物理环境,新
16、建x86环境,Cisco N7K,F5K,12508,12510,M9K,某商业银行:利用NSX实现业务系统网络P2V的迁移,议程,数据中心云计算对网络的要求 网络虚拟化总体架构 案例分析 总结,CONFIDENTIAL,31,Hypervisor,X86 Hosts,硬件,软件,硬件,软件,云管理平台,NSX 的价值,分布式交换,分布式路由,分布式防火墙,网关服务,VMware NSX Software,虚机网络,现有的网络架构,交换,路由,防火墙,LB, VPN 网关服务,30 Terabits per second,VMware NSX API,Hypervisor,X86 Hosts,Hardware,Software,Hardware,Software,NSX 的价值,现有网络架构,简洁的IP转发网络,No VLAN, No ACL, No Firewall Rules,业务敏捷,创造价值 投资保护,降低成本 简化运维,提升效率,分布式交换,分布式路由,分布式防火墙,网关服务,VMware NSX Software,谢谢!,
