面對這些問題，我們今天就和大家來討論一下如何通過NSX構建下一代虛擬多云網(wǎng)絡，實現(xiàn)多云的統(tǒng)一運維管理，如何在多云的環(huán)境下實現(xiàn)一致的網(wǎng)絡和安全策略。

　　我們知道，NSX是一個基于SDN的網(wǎng)絡虛擬化的解決方案，通過NSX構建虛擬化網(wǎng)絡可以不依賴于底層的物理網(wǎng)絡架構，同時支持異構的虛擬化環(huán)境。我們可以通過NSX的控制臺非常方便的創(chuàng)建網(wǎng)絡中涉及的所有的網(wǎng)絡功能，包括分布式路由、虛擬交換機、防火墻、IDPS、負載均衡等，這些功能組件，全部可以采用軟件方式實現(xiàn)，在云中提供了L2-L7的網(wǎng)絡服務，并且支持企業(yè)內(nèi)部任意多樣化的應用部署形態(tài)。

　　接下來，我將通過幾個業(yè)務場景來給大家介紹一下如何通過NSX構建下一代虛擬化多云網(wǎng)絡。這些典型的業(yè)務場景包括：

　　那我們接下來看一下，如何通過NSX在數(shù)據(jù)中心內(nèi)部以及在多個數(shù)據(jù)中心之間融合多個資源池，構建一個統(tǒng)一融合的大資源池，業(yè)務在融合的資源池內(nèi)部遷移的時候，無需改變IP地址和安全策略，并且可以將這些應用部署在數(shù)據(jù)中心中的任意位置，同時統(tǒng)一網(wǎng)絡和運維管理。

　　要融合不同功能的資源池，將小資源池變成一個大的資源池，首先需要提供一個二層的網(wǎng)絡，因為二層網(wǎng)絡更加靈活，即插即用，但是很多企業(yè)采用的是傳統(tǒng)的三層網(wǎng)絡架構，如果在這種網(wǎng)絡架構上實現(xiàn)傳統(tǒng)的二層網(wǎng)絡非常復雜，在這里也簡單介紹一下傳統(tǒng)的二層網(wǎng)絡技術。最早實現(xiàn)二層網(wǎng)絡的技術是基于VLAN的，要考慮到網(wǎng)絡的冗余，使用了一個老掉牙的STP，對于使用過這個技術的工程師來說，這是一個不可維護的方案，網(wǎng)絡收斂速度慢，而且在二層還要阻塞交換機的端口來保證二層網(wǎng)絡無環(huán)路，現(xiàn)在這種技術幾乎沒人使用。

　　另外一種就是采用物理交換機的虛擬化，可以實現(xiàn)橫向和縱向的虛擬化，讓一張網(wǎng)絡變成一個大的虛擬的交換機，采用這種方案，底層物理網(wǎng)絡必須采用同一廠商網(wǎng)絡設備，在要求異構的網(wǎng)絡架構中，這種方案是不可取的。

　　還有一種就是采用fabricpath或者類似于OTV這些廠商私有的技術，但是傳統(tǒng)物理網(wǎng)絡廠商設備都不具備這種能力，所以要將資源池二層網(wǎng)絡打通，必須將所有的網(wǎng)絡設備替換掉，風險極高，因為這些網(wǎng)絡還可能承載其它非常重要的業(yè)務。

　　NSX是一個純軟件的解決方案，它利用了overlay的技術，以現(xiàn)有的物理網(wǎng)絡為基礎或不改變現(xiàn)有的物理網(wǎng)絡架構，可以非常方便的實現(xiàn)二層網(wǎng)絡的需求，從而將各個資源池所需的二層網(wǎng)絡打通，將小的資源池變成一個融合的資源池，工作負載可以部署在任意一個位置，同時NSX也使用RSS、TSO和DPDK來提升網(wǎng)絡整個性能，從而構建了一張高性能的融合資源池網(wǎng)絡。另外，我們還可以通過NSX的分布式防火墻來實現(xiàn)業(yè)務系統(tǒng)之間安全隔離，通過NSX高級負載均衡來滿足工作負載所需要的負載均衡的需求。如下圖所示：通過NSX將不同的區(qū)域的網(wǎng)絡整合為融合的資源池，將小的資源池變成了大的資源池。

　　

　　業(yè)務的連續(xù)性對企業(yè)至關重要，而采用傳統(tǒng)網(wǎng)絡構建雙活容災網(wǎng)絡非常復雜，在網(wǎng)絡上需要考慮的因素也比較多。傳統(tǒng)雙活災備數(shù)據(jù)中心面臨以下幾個問題：

　　那么通過NSX如何來構建這些跨站點的云間互聯(lián)網(wǎng)絡呢？這里我們提供了幾種方案，分別適用于中小規(guī)模數(shù)據(jù)中心、超大規(guī)模數(shù)據(jù)中心以及異構數(shù)據(jù)中心網(wǎng)絡的業(yè)務場景。

　　在中小規(guī)模的多數(shù)據(jù)中心場景中，我們使用NSX multi-site方案，下圖是multi-site的方案的架構。

　　

　　在這個網(wǎng)絡架構中，同樣與底層物理網(wǎng)絡架構解耦，無需修改底層物理網(wǎng)絡，可以通過軟件定義的方式，將分布式路由、分布式邏輯交換機和分布式防火墻延伸到多個站點，這些站點由統(tǒng)一的控制器進行網(wǎng)絡的配置，并將網(wǎng)絡安全配置下發(fā)到應用所運行的地方，多個數(shù)據(jù)中心提供統(tǒng)一的網(wǎng)絡和安全策略。

　　在雙活容災的場景中，采用NSX multi-site將業(yè)務部署到兩個數(shù)據(jù)中心，在下圖中，我們可以讓藍色網(wǎng)段的業(yè)務南北向流量走站點A，綠色網(wǎng)段的業(yè)務流量南北向走站點B，跨數(shù)據(jù)中心以及數(shù)據(jù)中心內(nèi)部的東西向流量不走NSX Edge邊界網(wǎng)關，實現(xiàn)跨數(shù)據(jù)中心二層互通，業(yè)務跨站點部署，統(tǒng)一資源池，兩個數(shù)據(jù)中心互為備份。同時與SRM集成，通過SRM提供保護組和恢復計劃，對一些關鍵的業(yè)務實現(xiàn)容災，自動化跨站點映射網(wǎng)絡，實現(xiàn)一鍵式容災，無需對底層物理網(wǎng)絡進行修改。對于一些通過域名發(fā)布的業(yè)務，我們可以在每個站點部署NSX ALB GSLB來實現(xiàn)業(yè)務在不同站點的雙活，將來自客戶端的請求流量發(fā)送的離客戶端最近數(shù)據(jù)中心。

　

　　第二個多云跨站點的虛擬網(wǎng)絡解決方案是采用NSX federation方案，適合于超大規(guī)模的數(shù)據(jù)中心的云間互聯(lián)。下邊將介紹一下NSX federation方案。

　　

　　NSX federation提供了超大規(guī)模數(shù)據(jù)中心云間互聯(lián)網(wǎng)絡，實現(xiàn)一致的網(wǎng)絡和安全策略。在多數(shù)據(jù)中心的場景下，每個數(shù)據(jù)中心都有一個獨立的控制平面，即在每個數(shù)據(jù)中心都有各自的NSX管理器，網(wǎng)絡管理員可以通過本地的NSX管理器來管理本地的網(wǎng)絡資源，可以創(chuàng)建分布式路由或者每個本地業(yè)務所需要的安全策略。對于這種方案，除了在每個站點部署各自的管理平面以外，還需要一個全局的NSX管理器，通過一個全局的NSX管理器，我們可以創(chuàng)建全局的網(wǎng)絡資源，可以將二層網(wǎng)絡延伸，全局的分布式路由以及全局的網(wǎng)絡安全策略，這時我們可以將業(yè)務虛擬機連接到全局的對象上，實現(xiàn)跨數(shù)據(jù)中心的網(wǎng)絡二三層網(wǎng)絡互聯(lián)。我們通過全局NSX管理器，簡化的多云數(shù)據(jù)中心的運維管理。在federation的方案中，我們不需要修改數(shù)據(jù)中心物理網(wǎng)絡互聯(lián)的MTU，就可以將業(yè)務延伸部署到任意的一個數(shù)據(jù)中心里。

　　在NSX federation的方案里，我們可以將多個云數(shù)據(jù)中心劃分為邏輯的Region，并且可以邏輯的劃分不同租戶，每個租戶可以跨數(shù)據(jù)中心部署，并且實現(xiàn)租戶級別的安全隔離以及虛擬機網(wǎng)卡級別的安全隔離，非常靈活。

　　

　　另外，NSX federation在每個站點都有各自的edge設備，主要負責每個數(shù)據(jù)中心南北向的流量輸導，在這個方案中，提供了非常方便的流量控制措施，滿足不同應用場景對流量的需求，對于同一個網(wǎng)段的流量，在nsx multi-site方案中，大多數(shù)情況下只能在一個站點出入，而在federation方案中，我們可以實現(xiàn)跨不同地址位置的云數(shù)據(jù)中心中同網(wǎng)段的流量本地出，優(yōu)化了網(wǎng)絡流量的路徑。如下圖所示，在每個數(shù)據(jù)中心T0運行在active/actives模式，而位也運行在primary/primary模式，這樣，每個數(shù)據(jù)中心的edge都承載流量。

　　

　　前面介紹的兩個跨云方案，數(shù)據(jù)中心云間網(wǎng)絡以及云內(nèi)網(wǎng)絡采用的都是NSX，那么如果其中一個數(shù)據(jù)中心的云網(wǎng)絡采用NSX，而另外一個數(shù)據(jù)中心已經(jīng)采用了其它廠商的網(wǎng)絡方案，我們是否可以實現(xiàn)跨異構廠商的云間網(wǎng)絡互通呢？答案是可以的。我們可以采用BGP-EVPN來實現(xiàn)和其它廠商的網(wǎng)絡對接，實現(xiàn)云間互聯(lián)。

　　

　　通過在NSX T0 Gateway與其它廠商的邊界建BGP-EVPN鄰居關系，可以將NSX里的租戶的路由傳遞給其它廠商的租戶網(wǎng)絡里，使得同一個租戶可以跨異構廠商的網(wǎng)絡進行互通，同時可以實現(xiàn)租戶之間的隔離。當在NSX中有很多租戶的情況下，我們只需要在NSX T0 Gateway上配置一個BGP鄰居關系即可，可以傳遞所有類型5的路由信息，實現(xiàn)租戶內(nèi)部跨云互通。

　　云間工作負載的遷移

　　現(xiàn)在我們已經(jīng)可以通過NSX multi-site或者NSX federation方案來構建一個多云的互聯(lián)網(wǎng)絡，那么我們接下來面臨的問題是如何將工作負載從一個云數(shù)據(jù)中心遷移到另外一個云數(shù)據(jù)中心來重新平衡工作負載，或者將工作負載從私有云平滑的遷移到公有云做容災或者臨時的云突發(fā)。這里我們有幾個業(yè)務場景，比如本地數(shù)據(jù)中心vsphere版本為6.0，而遠程數(shù)據(jù)中心為vsphere7.0，或者本地數(shù)據(jù)中心為KVM環(huán)境，而遠程數(shù)據(jù)中心為vsphere環(huán)境；或者本地數(shù)據(jù)中心為vsphere環(huán)境，而遠程數(shù)據(jù)中心是阿里的公有云VMware On Ali，這是一種混合云的架構。在這幾個業(yè)務場景當中，要讓工作負載在不同的站點之間平滑遷移基本是不可能的，因為云的技術棧完全不一樣。而VMware HCX可以打破對VMware技術棧的依賴，實現(xiàn)了一套工作負載的云間遷移方案，除了可以實現(xiàn)云間遷移，還可以實現(xiàn)云間的二層網(wǎng)絡延伸。

　　

　　如上圖所示，我們可以通過VMware HCX來實現(xiàn)跨多個云啟用動態(tài)資源池，我們可以將傳統(tǒng)數(shù)據(jù)中應用遷移到私有云或者將私有云的業(yè)務遷移到公有云，或者在公有云之間進行遷移。

　　采用HCX進行工作負載遷移，將有多種遷移模式，比如采用vmotion按序在線遷移，也可以使用RAV實現(xiàn)批量的工作負載在線遷移等等，并且在遷移的過程中，在云間建立隧道，可以遷移的數(shù)據(jù)加密、云重、壓縮以提升遷移的效率。

　　對于HCX解決方案來說，至少要有兩個站點，站點之間可以使用Internet，也可使用專線互聯(lián)。下圖是一個HCX的架構圖，在遷移的目標站點必須采用NSX，而對于源站點NSX是選的。

　　

　　要實現(xiàn)云間工作負載遷移的能力，必須在源和目的站點之間部署HCX組件來和對端數(shù)據(jù)中心形成對等關系。這些組件的作用如下：

　　除了這些，HCX還通過復制技術實現(xiàn)了跨云工作負載的容災，即可以實現(xiàn)將關鍵應用保護到云上，當云下工作負載故障，云上的工作負載副本自動啟動，實現(xiàn)了業(yè)務的無縫切換。同時HCX還能與SRM集成，SRM制定恢復計劃，將HCX中配置的保護組應用到SRM的保護組中，那么在源站點沒有部署NSX的時候，也能將公有云或遠程數(shù)據(jù)中心做為容災站點。

　　以下是幾個常用的HCX的應用場景，由于篇幅所限，不過多介紹，只列出相應的業(yè)務場景。

　　企業(yè)多云環(huán)境將是企業(yè)數(shù)字化轉(zhuǎn)型的標配，在多云的環(huán)境中，可以通過NSX來實現(xiàn)云內(nèi)網(wǎng)絡和云間網(wǎng)絡的連接，使多個孤立的小型的云融合為統(tǒng)一的資源池，同時可以提供跨不同類型的云的網(wǎng)絡容災，除了云內(nèi)和云間網(wǎng)絡連接能力，HCX還提供了云間工作負載遷移的能力，在不同技術棧的云之間搭建云梯，實現(xiàn)不同技術棧的云間的工作負載的遷移，實現(xiàn)應用的上云。VMware NSX和HCX的結合將成為未來云網(wǎng)絡連接的首選解決方案，實現(xiàn)簡單，軟件定義、高效、靈活。

　　誠邀您參加我們于 3 月 26 日下午 14:30 舉辦的 “VCN虛擬云網(wǎng)絡” 網(wǎng)絡論壇。在本次論壇中，網(wǎng)絡和安全資深架構師張浩先生將采取一種簡單而實用的方式，詳細介紹通過 NSX 構建下一代虛擬多云網(wǎng)絡方案。