VMware NSX-T解决方案

VMware NSX-T解决方案1 NSX-T技术框架及其演进 VMware NSX网络虚拟化平台是通过收购Nicira而获得的，但是在收购一年多时间之后，NSX才正式发布。其与早期的Nicira NVP平台还是有很大区别，它增加了很多VMware的基因在里面。NSX属于VMware提出的overlay网络虚拟化方案，Overlay是在传统网络上虚拟出一个虚拟网络来，传统网络不需要在做任何适配,这样物理层网络只对应物理层的计算（物理机、虚拟化层管理网），虚拟的网络只对应虚拟计算（虚拟机的业务IP）。Overlay的技术路线，其实是从架构上对数据中心的建设模式进行了颠覆，对物理设备的要求降至最低，业务完全定义在层叠网络上。1.1 NSX-T的框架演进NSX网络虚拟化分为vSphere环境下的NSX（NSX-V）和多虚拟化环境下的NSX（NSX-MH），无论使用NSX-V还是NSX-MH，其基本逻辑架构都是相同的，不同点仅体现在安装软件和部署方式、配置界面，以及数据平面中的一些组件上（NSX-V中的虚拟交换机为vSphere分布式交换机，而NSX-MH中的虚拟交换机为OVS）。它分为数据平面、控制平面、管理平面。其中数据平面中，又分分布式服务（包括逻辑交换机、逻辑路由器、逻辑防火墙）和NSX网关服务。控制平面的主要组件是NSX Controller（还会包含DLRControl VM），而管理平面的主要组件是NSX Manager（还会包含vCenter）NSX-V的架构和图NSX_HM架构对比如图1.1所示。图1.1 NSX-V和NSX_HM架构对比2016年5月，VMware对NSX的多hypervisor版本进行了重大更新，推出NSX-T取代NSX-MH。NSX-T不仅仅是NSX-HM的简单升级，它包含了原有的NSX-V中的一些功能，和NSX-MH相比 NSX-T支持更多的hypervisor，同时更新了对OpenStack Newton和Mitaka的支持，并且能够通过容器网络接口（CNI）插件使用NSX和容器。图1.2是NSX-T网络虚拟化架构的基本示意图，它分为数据平面、控制平面、管理平面。图1.2 NSX-T架构示意图除了相比NSX-HM架构方面的变化，NSX-T主要进行了以下方面的功能更新：（1）DHCP 服务器 DHCP 服务器功能支持动态 IP 地址以及静态 IP 到 MAC 地址绑定。 （2）元数据代理服务器 元数据代理服务器功能让虚拟机可以从 Openstack Nova 服务器中快速检索实例特定的元数据。 （2）Geneve 常规网络虚拟化封装 (Geneve) 协议用于在传输节点之间建立隧道以传送覆盖流量。Geneve 替代在早期版本中使用的 STT 协议。 （3）MAC 发现 逻辑交换机上的 MAC 发现功能提供了到以下部署的网络连接：在一个逻辑交换机端口后面配置多个 MAC 地址，例如，在嵌套的管理程序部署中。 （4）IPFIX 精细的 IPFIX 配置支持。在逻辑交换机或逻辑端口级别启用 IPFIX。 （5）端口镜像 支持捕获传输节点上的流量以进行故障排除。用户可以在传输节点上运行的虚拟机中部署一个嗅探器工具，然后配置端口镜像以将虚拟机或上行链路流量发送到该嗅探器工具以进行故障排除。 （6）备份和还原 支持自动备份。您可以定义定期备份计划以将备份文件发送到远程服务器。 （7）技术支持包 在一个集中位置从 NSX Manager、NSX Controller 和传输节点中收集日志包以进行故障排除。 （8）API 规范/模式 Open API/Swagger 规范支持帮助第三方生成语言绑定以及其他工具，例如，PowerShell 组件和 Postman 集合。用户可以使用所选的编程语言基于 NSX-T 功能构建自动化管理。1.2 NSX-T架构分析NSX-T 的工作方式是实现三个单独但集成的层面：管理、控制和数据。这三个层面是作为位于三种类型的节点上的一组进程、模块和代理实现的：管理器、控制器和传输节点。1.2.1管理平面管理平面为系统提供了一个API入口点。用户可以通过它维护用户配置，处理用户查询，在所有管理、控制和数据平面节点上执行操作任务。管理层面负责处理查询、修改和永久保留用户配置，而控制层面负责将该配置向下传播到正确的数据层面子集。这意味着，某些数据属于多个层面，具体取决于它处于哪个阶段。管理平面还处理从控制层面和数据层面中查询到的状态和统计信息。NSX-T Manager是为NSX-T生态系统实现管理平面的一个虚拟设备也是NSX-T的集中网络管理组件，用于创建、配置和监控 NSX-T 组件（如逻辑交换机和 NSX Edge 服务网关）。NSX Manager 提供了一种方法用于监控连接到 NSX-T 创建的虚拟网络的工作负载以及进行故障排除。所有安全服务（无论是内置还是第三方服务）都是由 NSX-T 管理层面部署和配置的。管理层面提供了单个窗口以查看服务可用性，它还简化了基于策略的服务链、上下文共享和服务间事件处理，简化了安全状态审核以及应用的身份控制。它提供了一个聚合的系统视图，并提供以下功能：（1） 通过RESTful API或NSX-T用户界面作为用户配置入口；（2） 负责在其数据库中存储所需的配置。NSX-T Manager存储用户对系统的最终配置请求。这个配置将由NSX-T Manager推送到控制平面，主要包括逻辑交换和路由、网络和 Edge 服务以及安全服务和分布式防火墙的配置；（3） 以及除了系统信息之外的一些配置 (如统计信息等)。所有的NSX-T组件都运行一个管理平面代理（MPA），MPA 保存系统状态，通过在传输节点和管理层面之间传送非流量控制 (Non-Flow-Controlling, NFC) 消息（例如，配置、统计信息、状态和实时数据）将它们连接到NSX-T Manager。此外NSX-T的控制平面还包括一个叫做NSX Policy Manager的虚拟设备，其提供图形用户界面 (GUI) 和 REST API，用于指定与网络连接、安全性和可用性相关的配置，以简化NEX-T的使用。1.2.2控制层面控制层面是根据管理层面中的配置计算所有瞬间运行时状态，传播数据层面元素报告的拓扑信息以及将无状态配置推送到转发引擎。控制层面在 NSX-T 中拆分成两个部分：中央控制层面 (Central Control Plane, CCP) 和本地控制层面 (LocalControl Plane, LCP)，前者在 NSX Controller 群集节点上运行，后者在它控制的数据层面的相邻传输节点上运行。CCP根据管理层面中的配置对整个网络的状态进行管理；LCP与它控制的数据平面相邻并与CCP相连，它监控本地链路状态，根据数据层面和 CCP 中的更新计算最新的运行时状态，并将CCP的配置信息推送到转发引擎。NSX Controller 称为中央控制层面 (CCP)，是一个高级分布式状态管理系统，可控制虚拟网络和覆盖网络传输隧道。NSX Controller 部署为一组高可用性的虚拟设备，它们负责在整个 NSX-T 架构中以编程方式部署虚拟网络。NSX-T CCP 在逻辑上与所有数据层面流量隔离，控制层面中的任何故障都不会影响现有的数据层面操作。流量不通过控制器传输；控制器还会负责为其他 NSX Controller 组件提供配置（如逻辑交换机、逻辑路由器和 Edge 配置）。1.2.3数据层面数据层面根据控制层面控制信息执行数据包转发/转换，也向控制层面报告数据包统计信息以及拓扑和状态物理数据（例如，VIF 位置、隧道状态，等等）。数据层面还维护多个链路/隧道的状态并处理它们之间的故障切换，但也仅限于如何处理负载，系统的状态和转发依然由控制平面管理。传输节点不仅是运行LCP守护进程的主机，还是实现 NSX-T 数据层面的转发引擎。传输节点负责根据可用的网络服务的配置来交换数据包。在NSX-T中有几种类型的传输节点：（1） NSX Virtual Distributed Switch（N-VDS）：N-VDS是独立于虚拟机管理器由软件定义虚拟路由器平台，做为数据平面实现转发的重要组件，N-VDS在传输节点上运行的组件（例如，虚拟机之间）或内部组件和物理网络之间的通信。（2） Hypervisor Transport Nodes:虚拟机监控程序传输节点为NSX-T准备和配置的虚拟机监控程序。N-VDS为运行在这些虚拟机监控程序上的虚拟机提供网络服务。NSX-T目前支持VMware ESXi和KVM管理程序。为KVM实现的N-VDS基于Open vSwitch（OVS）。OVS可以被移植到其他虚拟机监控程序中，（3） Edge Nodes: VMware NSX Edge节点是专用于运行网络服务的服务设备，以从 NSX-T 域建立外部物理网络连接。此外，NSX Edge还负责支持NSX-T中的网络地址转换 (NAT) 服务。（4） L2 Bridge: L2 桥是负责桥接NSX-T overlay叠加网络和基于VLAN的物理网络的应用。1.2.4模块间通信NSX-T分为3层每个层中又有多个模块，同时NEX-T支持多种虚拟机监视系统又和外界物理网络相连，因此各模块间通需要使用到多种不同的网络协议，图1.3主要标明了各模块间通信所用的端口和协议以及这些端口和协议允许节点到节点通信路径，NSX-T提供保护这些路径并对其进行身份验证，使用凭据的存储位置建立双向身份验证。默认情况下，所有证书是自签名证书。北向 GUI 和 API 证书和私钥可以替换为CA 签名的证书。图1.3 各模块间通信所用的端口和协议管理平面到控制平面，以及管理平面到管理平面代理由TCP 5671的RabbitMQ协议承担，在 RMQ 用户数据库 (db) 中，密码是使用不可逆的哈希函数进行哈希处理的，CCP到LCP的控制通信都由TCP 1234 NSX Channel私有协议承担，内部守护进程可以通过环回或 UNIX 域套接字进行通信包括：（1） KVM和MPA、netcpa、nsx-agent的通信由 TLV协议承担如图1.4所示，KVM中NSX Agent与OVS的通信由openflow承担；图1.4 KVM中各模块间的通信（2） 而在ESX-i和Edge node中因为无需使用Openflow协议而更加简单。如图1.5所示图1.5 在ESXi中各模块间的通信而在NSX-T互联的设备包括虚拟监视器（hypervisors）里的虚拟交换机、物理交换机、中间件或其他器件设备的互联全部交由VxLAN或GENEVE协议承担。如图1.6所示。图1.6 GENEVE互联1.3 NSX-T近期版本新功能在之后的版本中NSX-T在架构方面并没有大更新，大多是功能方面的更新以及Bug修复更新（1）在NSX-T的2.0中包含以下功能更新：IP 发现：自动发现每个虚拟机的 IP 地址。在规则中使用对象和标记的分布式防火墙 ：从 NSX-T 2.0 开始，支持使用虚拟机名称和/或标记分组对象的分布式防火墙。分布式防火墙 IPFIX ：通过分布式防火墙提供精细的 IPFIX 配置支持。可以在逻辑交换机、逻辑端口或 NS 组级别从防火墙中直接启用 IPFIX。清单收集 ：收集可用于各种组件的虚拟机信息，例如，分组、标记、跟踪流、IPFIX 和端口镜像。 Edge 防火墙 ：这是一项新增功能，可对 NSX 域启用南北向流量筛选。RBAC 和 vIDM 集成 ：在该版本中，提供 6 个 RBAC 角色。可以为用户分配 6 个角色中