1、王培久資深系統工程師網絡虛擬化- VMware NSX在金融應用和案例分享1/34議程數據中心云計算對網絡要求網絡虛擬化總體架構案例分析總結CONFIDENTIAL22/34云計算大數據應用虛擬化安全合規性24x7 業務連續性業務 靈敏性SDN節能環境保護新一代數據中心發展業務和技術驅動3/34企業IT向云架構轉型邏輯計算存放網絡?資源池化提升資源利用率簡化運維動態遷移自動均衡資源物理邏輯計算與存放虛擬化專用硬件和品牌廠商綁定CAPEX OPEX高網絡對上層應用封閉手工配置和管理應用布署周期長應用和網絡緊耦合4/34云計算驅動下數據中心過去、現在和未來階段四:靈活計算+靈活網絡NOW任何網絡硬

2、件平臺靈活網絡服務：防火墻、路由、LB等基于應用靈活快速地定義網絡 階段一:傳統計算+傳統網絡1995階段二 :靈活計算+傳統網絡階段三:靈活計算+大二層網絡5/34計算虛擬化對數據中心網絡真正挑戰是什么？CONFIDENTIAL6Floor-1: VLAN1 10.x.x.xFloor-2: VLAN2 172.16.x.x靈敏性：應用能夠按需定義特定應用網絡切片和邏輯拓撲結構，實現數據中心應用快速靈活布署Any application any where不受二層網絡STP、二層廣播風暴、MAC地址表和VLAN數量限制，實現any application any where東西向路由優化利用

3、分布式路由技術實現虛擬化環境中Web/APP/DB層東西向流量優化，而不是全部南北和東西向流量都送到匯聚層交換機處理精細化網絡服務基于虛擬機顆粒度和應用顆粒度精細化安全控制基于虛擬機層面服務均衡和SSL加密等自動化向上提供標準API接口，實現網絡資源和服務自動化布署6/34傳統網絡存在不足CONFIDENTIAL階段一:傳統計算+傳統網絡1995階段二 :靈活計算+傳統網絡傳統網絡架構存在不足缺乏業務快速布署能力傳統豎井式架構，業務區嚴格隔離，不支持業務靈活快速布署更不支持基于多租戶多應用網絡切片功效靈活性不足因為二層技術限制各業務區盡可能把二層域限制得越小越好，無法支持跨業務區vmotion

4、等功效，業務靈活性大大受限缺乏虛擬資源安全和管理監控伎倆對于網絡部門來說，虛擬機接入完全是個黑盒子，缺乏有效虛擬機之間安全管理和監控伎倆不支持網絡資源自動化布署全部網絡配置都是經過命令行手動完成，配置和運維管理非常復雜，造成當各種虛擬資源位置改變時，管理員不堪重負資源利用率低各業務區網絡為各業務區專用，不支持一個物理網絡為多租戶/多應用服務7/34CONFIDENTIAL階段三:靈活計算+大二層網絡大二層網絡架構帶來好處靈活性高借助大二層技術，虛擬資源能夠跨業務區布署，同時支持vmotion等功效，業務靈活性大大提升大二層網絡架構存在不足過渡技術應用案例非常少，從數據中心發展看已經成為過渡技術

5、，各廠商當前都在Vmware主導VXLAN上尋求更加好處理方案缺乏虛擬資源安全和管理監控伎倆對于網絡部門來說，虛擬機接入完全是個黑盒子，缺乏有效虛擬機之間安全管理和監控伎倆不支持網絡資源自動化布署全部網絡配置都是經過命令行手動完成，配置和運維管理非常復雜，造成當各種虛擬資源位置改變時，管理員不堪重負技術本身存在不足不論是IETF TRILL還是思科FabricPath都沒有處理二層網三個根本問題：Flooding、MAC表項擴展和VLAN擴展大二層網絡帶來好處和存在不足8/34NOW軟件定義虛擬化網絡CONFIDENTIAL9階段四:靈活計算+靈活網絡NOW任何網絡硬件平臺靈活網絡服務：防火墻

6、、路由、LB等基于應用靈活快速地定義網絡 靈敏性：應用能夠按需定義特定應用網絡切片和邏輯拓撲結構，實現數據中心應用快速靈活布署Any application any where不受二層網絡STP、二層廣播風暴、MAC地址表和VLAN數量限制，實現any application any where東西向路由優化利用分布式路由技術實現虛擬化環境中Web/APP/DB層東西向流量優化，而不是全部南北和東西向流量都送到匯聚層交換機處理精細化網絡服務基于虛擬機顆粒度和應用顆粒度精細化安全控制基于虛擬機層面服務均衡和SSL加密等自動化向上提供標準API接口，實現網絡資源和服務自動化布署9/34議程數據中心

7、云計算對網絡要求網絡虛擬化總體架構案例分析總結CONFIDENTIAL1010/3411 云平臺新業務請求軟件定義虛擬化網絡總體架構11/34vCenter OperationsMgmtvCloud Automation Center IaaS PaaS DaaSApplicationDirectorMgmt vCloud Director / ConnectorvCenter Site Recovery ManagervSphereCloud Service ProvidersHyper-visorsCMSNSX IaaS PaaS DaaS支撐任意應用(無需修改)虛擬網絡VMware NS

8、X 網絡虛擬化平臺邏輯交換網絡任意網絡硬件架構云管理平臺（vCAC,OpenStack,Cloudstack）邏輯防火墻邏輯負載均衡邏輯路由網絡邏輯VPNX86虛擬化層NSX軟件定義虛擬化網絡組成要素12/34L2L3Virtual NetworkL2Open vSwitchNSX GatewayVMVMvSpherevSphereKVMXenServervSwitchvSwitch vSwitchvSwitchHWSWController ClusterAPIVLANNSX ManagerHW PartnerVTEP DeviceCMPVLANVLANLayer 3 IP Network軟件

9、定義虛擬化網絡工作原理13/34 ExternalNetworks 簡單, 易復制，自動化地實現多租戶云網絡 軟件定義虛擬化網絡-靈敏性依據應用需求利用vxlan技術按需定義應用網絡切片和邏輯拓撲結構(Web/App/DB)實現數據中心應用快速靈活布署14/34VLAN1 10.x.x.xVLAN2 172.16.x.xVLAN2 192.168.x.x Virtual NetworkVirtual Layer 2 88.33.x.x (whatever)軟件定義虛擬化網絡-真正Any application any where利用VXLAN處理數據中心網絡存在三大問題：Any applica

10、tion any where大二層架構下存在：MAC地址表、VLAN和二層Flooding三大問題數據復制支持unicast、hybrid和multicast模式處理當前vxlan沒有control plane帶來flooding問題15/34Data Center Perimeter傳統邊界防火墻已經被證實為不足夠安全, 而用傳統方式實現 micro-segmentation 基本上不可行對內部流量不論控InternetInternet安全性不充分管理上不可能Data Center Perimeter軟件定義虛擬化網絡-分布式防火墻Micro-Segmentation16/34VMVMVMV

11、MVMVMVMVMVMVMVMVMVMVMVMBenefits安全策略直接布署到 VM網絡端口No “Choke Point”, no more hair pin分布式處理, 線速過濾, 水平擴展安全策略管理簡化by context policy rule vNIC level 管控, 安全與網絡無關集中管控軟件定義虛擬化網絡-分布式防火墻Micro-Segmentation17/34軟件定義虛擬化網絡-分布式路由18/34軟件定義虛擬化網絡-分布式防火墻19/34CONFIDENTIAL20軟件定義虛擬化網絡-自動化經過標準REST API 向上支持各種企業云管理平臺（Vcloud Dire

12、ctor,vCAC,OpenStack,Cloudstack）實現網絡虛擬化資源自動布署20/34軟件定義虛擬化網絡-集中化運維和監控21/34議程數據中心云計算對網絡要求網絡虛擬化總體架構案例分析總結CONFIDENTIAL2222/34NSX Customers23/34EOR PODTOR POD服務器機房三層交換關鍵EOR PODTOR POD服務器機房某保險企業:利用NSX實現虛擬化資源精細化安全管理和監控缺乏虛擬機顆粒安全管理和監控伎倆盡管南向安全能夠經過匯聚層防火墻控制但虛擬化應用規模越來越大，缺乏有效東西向流量安全控制伎倆，同時希望虛擬機vmotion時，安全策略隨動，不需要任

13、何變更行業監管要求，需要監控特定虛擬化環境中特定虛機進出流量同時希望虛機能夠跨機房和三層網絡隨意Vmotion24/34NSX:VxlanEOR PODTOR POD服務器機房三層交換關鍵EOR PODTOR POD服務器機房NSX ControllerNSX ManagervCenter Server某保險企業:利用NSX實現虛擬化資源精細化安全管理和監控利用NSX分布式虛擬防火墻功效，實現虛擬機環境精細化安全管理，同時實現虛擬機vmotion時，安全策略隨動，不需要任何變更支持基于特點應用或虛機span和rspan功效實現流量實時監控滿足行業監管要求借助vxlan技術實現跨機房和三層網絡隨

14、意Vmotion25/34某商業銀行:利用NSX構建新一代金融互聯網渠道客戶需求：伴隨金融互聯化快速發展，越來越多業務子系統向網銀區遷移，同時大量新業務也不停快速推出，現有網銀出口架構在以下幾個方面存在很多問題：擴展性不足現有架構無法滿足創新型互聯網應用不停推出要求：移動應用、手機APP、地圖、網上商城、大數據等布署不靈活原有架構下DMZ區主要集中在某一機房，跨樓層或跨機房布署相對困難，同時更無法支持虛擬資源跨機房靈活調度互聯網DMZ區普遍采取虛擬機方式，缺乏針對虛機安全控制和精細化管理不支持應用快速和自動化布署靈敏自動化安全26/34L3L2POD AL2L3POD BL3L2POD YL2

15、L3POD ZOSPF ECMP 基礎架構層面標準化可復制和快速布署采取基于POD標準架構網絡資源可復制和快速布署采取NSX架構按需要快速復制應用網絡和相關網絡服務VXLAN實現DMZ區到數據中心任何位置按需擴展配置管理有NSX經過圖形界面統一完成采取分布式防火墻技術實現虛機層面安全管理和策略隨動為了NSX將和企業云平臺集成，實現應用自動化布署某商業銀行:利用NSX構建新一代金融互聯網渠道27/34CONFIDENTIAL28某商業銀行:利用NSX實現業務系統網絡P2V遷移硬件環境業務網絡層次：核心層：Cisco N7000關鍵路由器兩臺，AA方式提供關鍵路由。匯聚層：H3C F5000多層防

16、火墻兩臺，互為主備方式提供3層接入和防火墻功效。H3C 12508交換機兩臺，堆疊方式提供2層接入。現有架構下服務器資源以基于x86物理服務器和小型機為主客戶在未來兩年內要完成90%業務系統P2V遷移3層網關H3C F5KH3C 12508Cisco N7K現有環境下客戶面臨問題：現有物理機環境下設備采購和運維成本過高應用布署周期長（1-2個以上）資源利用率低P2V遷移客戶重點關注問題：虛機層面安全控制和管理監控虛機層面東西向路由優化虛機跨三層vmtion現有物理環境和虛機環境無縫遷移28/34CONFIDENTIAL29某商業銀行:利用NSX實現業務系統網絡P2V遷移P2V改造后物理架構P2

17、V改造后邏輯架構29/34CONFIDENTIAL30物理連線部分承載當前管理業務區使用不進行網關變更VLAN。老網關新建環境流量L2-Bridge遷移規劃Edge GW新布署規劃Edge ClusterCompute ClusterVTEP遷移環境流量物理連線原有物理環境新建x86環境Cisco N7KF5K1250812510M9K某商業銀行:利用NSX實現業務系統網絡P2V遷移30/34議程數據中心云計算對網絡要求網絡虛擬化總體架構案例分析總結CONFIDENTIAL3131/34HypervisorX86 HostsLine ratePer hostPhysical orVirtual

18、10K Logical Switches硬件軟件硬件軟件云管理平臺Line ratePer hostNo Tromboning1,000Logical RoutersPer domainLine ratePer hostKernel Integrated25,000 CPS2 millionSessionsScale-OutLine ratethroughput1M CPS10M ConcurrentFW, LB, VPNNSX 價值1101001,000Hosts30 Gbps300 Gbps3 Tbps30 TbpsThe Power of a Distributed System分布式交換分布式路由分布式防火墻網關服務VMware NSX Software 虛機網絡現有網絡架構交換路由防火墻LB, VPN網關服務30 Terabits per secondVMware NSX API32/34Hyp