激活你的“云神經”
國內熱鬧非凡的云市場,這邊是公有云步步為營,那邊廂私有云攻城略地——在2015年,我國的政務云市場達到47億元的規模,根據政務云發展資料推測,預計對應私有云市場在2018年會接近1000億的規模,到2020年有望達到5500億元的規模。
來自《2016年企業云市場情況調查報告》的數據,在被調查的客戶中:44%的客戶正在使用或者計劃實現企業私有云,27%的客戶在評估企業私有云,而28%的客戶不考慮企業私有云;對待公有云的態度:37%的客戶正在使用或者計劃使用公有云,28%的客戶在評估公有云,而35%的客戶不考慮公有云。很明顯,私有云在企業中越來越被推崇,因為很多企業還是遵循著不敏感的非核心工作負載可以考慮放到公有云上,敏感的數據和信息放在傳統的本地端或者私有云,由此可以推斷未來很長一段時間,大部分企業會維持著私有云為主導的混合云模式。
人們對云計算的期望就像用水或者用電一樣按需使用,但是很多企業客戶往往更多地關注在私有云中的服務器/存儲虛擬化技術,而忽略了網絡方面的瓶頸。這就好比發電站功率再強勁,如果沒有電網的暢通傳送,用戶也無法享受到便利。
所以在云計算,特別是私有云業務環境中,企業需要靈活、可靠、高效的數據網絡來承載云計算業務。
大部分傳統網絡廠商由于自身產品已占有市場不少的份額,在SDN領域的推動與跟進方面缺乏動力,戴爾作為以開放式、標準化為理念的IT廠商則無歷史包袱,積極與業內領導的SDN軟件提供商Big Switch合作,推出基于戴爾硬件+Bigswitch軟件的SDN解決方案。
BCF(Big Cloud Fabric)是業界***個支持開放式以太網交換機的leaf/spine SDN架構。BCF控制器使用單一透明的網絡管理,方便故障排除,可視化和分析整個物理、虛擬網絡環境,給網絡的靈活性,自動化和運營效率帶來巨大的改善。除了提供2/3層(交換和路由)服務之外,BCF還支持通過插入與鏈合功能提供4-7層服務。BCF跟RedHat的Openstack平臺、VMware平臺深度集成,在Docker容器環境下也有很好的支持。對于企業客戶,戴爾+Bigswitch BCF的SDN解決方案有三大優勢:
1. 統一控制。安裝與配置速度提高從以前的幾天提高到幾個小時完成,與虛擬化、云計算天然集成,應用部署從1天提高到30分鐘以內;
2. 零接觸。采購及運維成本降低50%以上,可以做到在15分鐘內完成全網更新;
3. 開放式、標準化軟硬件平臺可以實現隨擴展付費。
在企業私有云環境中,這的確是一個很不錯的解決網絡方案。包括媒體、運營商、金融等領域都在嘗試將SDN作為IT建設的亮點。國內某省廣電網絡集團公司在節目播出平臺中采用了戴爾開放網絡交換機+BCF的SDN解決方案,以標準化設備為平臺,提供統一可管理網絡平臺,滿足該客戶傳統媒體和新興媒體在內容、渠道、平臺、經營、管理等方面的深度融合要求。
BCF雖然功能強大,但是它支持的是開放式以太網交換機,幾乎100%的企業客戶都會有老舊的交換機,這些交換機不支持開放式網絡,讓企業客戶擯棄之前的網絡設備,全部采購開放式以太網交換機搭建全新的網絡不太現實,所以一定要考慮SDN解決方案如何兼容舊式的交換設備或者傳統的網絡,網絡虛擬化可以做到這一點。就如同服務器虛擬化一樣,網絡虛擬化技術可以在現有的物理網絡之上創建一個與之解耦的獨立虛擬網絡,虛擬網絡獨立于底層網絡硬件平臺并允許將物理網絡視為可以按需(例如按使用量和用途)進行自動服務的傳輸容量池,實現網絡虛擬化后,與服務器虛擬化Hypervisor類似的”網絡虛擬化管理程序”可以在軟件中重現2到7層的整套網絡服務,包括交換、路由、訪問控制、防火墻、QoS、負載均衡等。因此,可以通過編程方式以任意組合來組合這些服務,只需短短數秒,即可生成***的隔離式虛擬網絡。VMware NSX就是網絡虛擬化技術中的杰出代表。
NSX能夠部署在任何IP網絡上,包括所有的傳統網絡模型以及任何供應商提供的新一代體系結構,無需對底層網絡進行重構。NSX來源于VMware對Nicira的收購,Nicira NVP平臺本身對多種Hypervisor就有很好地支持,因此,NSX可以部署在VMware vSphere、KVM、Xen等諸多虛擬化環境中,同時跟OpenStack也有很好地集成。
如上圖所示,NSX主要包含數據面板、控制面板和管理面板。
數據面板主要組件是NSX虛擬交換機(vSwitch)。虛擬交換機基于vSphere中的分布式交換機(VDS),或者基于非VMware虛擬環境中的OVS(Open vSwitch)。通過將內核模塊安裝到Hypervisor之上,實現VXLAN、分布式路由、分布式防火墻等服務。數據面板還包含邊界網關設備(NSX Edge),作為虛擬網絡和物理網絡進行通信的網關。
控制面板主要組件是NSX 控制器。它是以虛機的形式安裝,并以虛擬服務的形式與NSX 管理器集成。可以將NSX 控制器理解為BCF架構中的BCF控制器,它只將信令發布給數據面板。
管理面板主要組件是NSX 管理器。它提供Web界面配置和管理整個NSX網絡虛擬化環境中的所有組件。NSX 管理器還提供REST API接口,為VMware或者第三方云管理平臺提供接口。
這里特別提及一下NSX防火墻微分段技術。以往的物理傳統防火墻都是架設在數據中心邊界,可以通過策略設置有效提升南北流量的安全控制,但是對于現代數據中心,東西流量要遠遠大于南北流量,傳統的物料防火墻對內部的東西流量幾乎沒有任何安全控制。不少的安全廠商提出了虛擬防火墻技術,但是這種技術的本質是在物理主機中安裝一臺虛擬機來實現,這意味著每一臺物理主機下屬所有虛機公用一臺虛擬防火墻。微分段就是針對這些舊式的防火墻技術策略顆粒度太粗而提出的。
使用了基于NSX微分段的分布式防火墻之后,可以在每一臺虛機之上部署一臺防火墻,并與虛機的每臺虛擬網卡(vNIC)進行策略關聯,使得每臺虛機的流量在出棧和入棧時都可以得到安全防護,執行就近的允許、拒絕和阻斷策略。微分段技術將防火墻的顆粒度精細到每臺虛機之上,其策略與虛機綁定,這就意味著防火墻策略無需關心IP地址,可以隨虛機遷移而遷移,就算在同一個網段內兩臺虛機之間也能實現與IP地址無關的安全策略,相比傳統防火墻技術,基于NSX微分段的分布式防火墻是實實在在革命性的技術突破,提供了2到4層的安全防護。5-7層的安全防護可以通過集成合作伙伴的安全解決方案來實現。
總之,以NSX方案搭建數據中心網絡的最終效果就是:無論數據中心規模有多大,無論有多少物理或者虛擬服務器,無論底層的網絡有多復雜,無論多站點數據中心跨越多少地域,在NSX方案的幫助下,對于IT人員或者用戶來說,這些運行在多個站點數據中心復雜網絡之上成千上萬的虛機,就好像連在同一臺物理交換機上一樣!但是等等,NSX是無法控制物理網絡交換設備的,底層物理網絡的連通性是部署NSX的前提,如果在NSX環境中要修改物理網絡交換設備的配置怎么辦?嘿嘿,讓網絡管理員自己想辦法吧!
小 結
戴爾硬件+BCF的SDN解決方案能夠快速部署和統一管理開放式以太網交換機,但是無法管理非開放式以太網交換機;NSX網絡虛擬化解決方案可以在現有物理網絡設備上創建與之解耦的虛擬網絡,可以按需創建、修改、刪除虛擬網絡或者與之相關的組件,可以支持多種Hyperviosr,跟OpenStack有很好的集成,但是無法管理物理網絡設備。
中國的私有云市場非常廣闊,而在企業的私有云環境中,戴爾硬件+BCF的SDN解決方案配合NSX網絡虛擬化解決方案是一個***的網絡方案組合,它不僅可以有效的保護和利用了客戶以往的投資,讓客戶能更好地接受和投資開放式網絡,加快網絡設備的部署和應用上線,還能統一、靈活、高效的管理網絡,提供***的安全性,讓網絡隨著企業私有云的規模、隨著業務的發展動態而擴展和變更。
