NSX-v与NSX-T – 全面对比
虚拟化对数据中心的构建方式进行了革命性的改变。大多数现代数据中心使用硬件虚拟化并将物理服务器部署为虚拟机管理程序,以在所述服务器上运行虚拟机。这种方法提高了数据中心的可伸缩性,灵活性和成本效率。VMware是虚拟化市场上的佼佼者之一,其产品在IT行业中备受推崇,其VMware ESXi Hypervisor和VMware vCenter是VMware vSphere虚拟化解决方案的知名组件。
网络是每个数据中心(包括虚拟化数据中心)的重要组成部分,如果您需要大型网络和虚拟化数据中心的复杂网络配置,请考虑使用软件定义网络(SDN)。软件定义的网络是一种旨在使网络敏捷灵活的体系结构。SDN的目标是通过使企业和服务提供商能够快速响应不断变化的业务需求来改善网络控制。VMware关心客户,并提供VMware NSX解决方案来构建软件定义的网络。今天的博客文章涵盖了VMware NSX,并探讨了VMware NSX-v和VMware NSX-T之间的区别。
什么是VMware NSX?如何使用?
VMware NSX是一种网络虚拟化解决方案,可让您在虚拟化数据中心中构建软件定义的网络。就像从物理服务器硬件中提取虚拟机一样,虚拟空间(包括交换机,端口,路由器,防火墙等)也在虚拟空间中构建。虚拟网络的配置和管理独立于底层硬件。虚拟机连接到虚拟交换机的虚拟端口;虚拟网络之间的连接是通过虚拟路由器执行的,访问规则是在虚拟防火墙上配置的。或者,也可以使用网络负载平衡。VMware NSX是VMware vCloud Networking&Security(vCNS)和Nicira NVP的后继产品,Nicira NVP在2012年被VMware收购。
微细分
当使用传统方法在虚拟环境中配置多个网络之间的访问时,通常会部署在VM上运行的物理路由器或边缘网关,尽管这种方法并不是特别快速或便捷。VMware通过使用虚拟化管理程序核心中内置的分布式防火墙在NSX中实现了微分段概念。安全策略,IP地址,MAC地址,VM,应用程序和其他对象的网络交互参数都在此分布式防火墙中设置。如果NSX部署在使用Active Directory域控制器(ADDC)的公司内部,则可以使用Active Directory用户和组等对象来配置规则。
分布式防火墙允许您对虚拟数据中心实体(如虚拟机)进行分段。细分可以基于VM名称和属性,用户身份,vCenter对象(如数据中心和主机),也可以基于传统的网络属性(如IP地址,端口组等)。
边缘防火墙组件可帮助您满足关键的外围安全要求,例如基于IP / VLAN构造构建DMZ,多租户虚拟数据中心中的租户到租户隔离,网络地址转换(NAT),合作伙伴(外联网)VPN,和基于用户的SSL VPN。
如果将虚拟机从一台主机迁移到另一台主机(从一个子网迁移到另一子网),则会根据新位置采用访问规则和安全策略。如果数据库服务器正在迁移的VM上运行,则在迁移到另一个主机或网络完成后,在防火墙中为此虚拟机设置的规则将继续对该虚拟机起作用,从而使数据库服务器可以访问在该VM上运行的应用程序服务器。没有迁移。这是使用VMware NSX时提高灵活性和自动化程度的一个示例。NSX对于云提供商和大型虚拟基础架构特别有用。VMware提供两种类型的NSX软件定义的网络平台-NSX-v和NSX-T。
NSX for vSphere(NSX-v)与VMware vSphere紧密集成,并且需要部署VMware vCenter。VMware NSX-v特定于vSphere虚拟机管理程序环境,是在NSX-T之前开发的。
NSX-T(NSX-Transformers)专为不同的虚拟化平台和多管理程序环境而设计,也可以在不适用NSX-v的情况下使用。尽管NSX-v仅对VMware vSphere支持SDN,但NSX-T还支持针对KVM,Docker,Kubernetes和OpenStack以及AWS本机工作负载的网络虚拟化堆栈。VMware NSX-T可以在没有vCenter Server的情况下进行部署,并被用于异构计算系统。
下表列出了使用NSX-v的主要方案。该表分为三行,其中之一描述了方案类别。使用NSX-T的场景以粗体突出显示。
安全 | 自动化 | 应用连续性 |
---|---|---|
微细分 | 自动化IT | 灾难恢复 |
保护最终用户 | 开发者云 | 多数据中心池 |
DMZ随处可见 | 多租户基础架构 | 跨云 |
NSX组件
VMware NSX的主要组件是NSX Manager,NSX控制器和NSX Edge网关。
NSX Manager是NSX的集中组件,用于网络管理。可以将NSX Manager作为VM部署在由vCenter管理的一台ESXi服务器上(通过OVA模板)。在使用NSX-v的情况下,NSX Manager只能与一个vCenter Server一起使用,而NSX-T的NSX Manager可以部署为ESXi VM或KVM VM,并且可以一次与多个vCenter Server一起使用。
NSX Manager for vSphere基于Photon OS(类似于vCenter Server Appliance)。
NSX-T Manager在Ubuntu操作系统上运行。
NSX控制器。NSX控制器是一种分布式状态管理系统,用于覆盖传输隧道和控制虚拟网络,可以将其部署为ESXi或KVM虚拟机管理程序上的VM。NSX Controller控制网络内的所有逻辑交换机,并处理有关VM,主机,交换机和VXLAN的信息。具有三个控制器节点可确保在一个NSX Controller节点发生故障的情况下实现数据冗余。
NSX Edge是一项网关服务,可为VM提供对物理和虚拟网络的访问。NSX Edge可以安装为分布式虚拟路由器或服务网关。可以提供以下服务:动态路由,防火墙,网络地址转换(NAT),动态主机配置协议(DHCP),虚拟专用网(VPN),负载平衡和高可用性。
部署选项
对于NSX-v和NSX-T,部署的概念非常相似。您应该执行以下步骤来部署NSX:
- 使用虚拟设备将NSX Manager部署为ESXi主机上的VM。确保在vSphere vCenter上注册NSX Manager(对于NSX-v)。如果您使用的是NSX-T,则可以将NSX Manager部署为KVM主机上的虚拟设备,因为VMware NSX-T允许您创建NSX Manager的集群。
- 部署三个NSX控制器并创建一个NSX控制器集群。
- 如果您使用的是NSX-v,请在ESXi主机上安装VIB(内核模块)以启用分布式防火墙,分布式路由和VXLAN。如果使用的是NSX-T,则还必须在KVM虚拟机管理程序上安装内核模块。
- 将NSX Edge作为VM安装在ESXi上(对于NSX-v和NSX-T)。如果您使用的是NSX-T,并且无法将Edge作为虚拟机安装在ESXi上,则可以将Edge部署在物理服务器上。目前不支持在KVM虚拟机管理程序上将Edge作为VM安装(对于NSX-T v.2.3)。如果需要在物理服务器上部署Edge,请在执行此操作之前检查硬件兼容性列表(对于CPU和NIC来说很重要)。
NSX通用功能
这两种NSX类型都具有一系列功能。
NSX-v和NSX-T的常用功能是:
- 基于软件的网络虚拟化
- 基于软件的覆盖
- 分布式路由
- 分布式防火墙
- API驱动的自动化
- 详细的监控和统计
请注意,NSX-v和NSX-T的API不同。
许可
两种NSX类型的许可都是相同的,因为它为您提供了更大的灵活性和通用性。例如,您可以订购使用NSX for vSphere的许可证,并且如果您在基础架构中进行了一些更改,并且需要部署NSX-T,则可以使用从ESXi-v获得的许可证。NSX是NSX –在许可方面没有区别,因为许可版本也相同。
覆盖封装
虚拟网络的覆盖封装用于通过在第3层上承载第2层信息来抽象化虚拟网络。在现有物理基础结构上的第3层网络(IP网络)上创建逻辑第2层网络。结果,即使必须路由虚拟机之间的路径,两个虚拟机也可以通过网络相互通信。物理网络可以称为底层网络。
VXLAN和GENEV
NSX-v使用VXLAN封装协议,而NSX-T使用GENEVE(这是一种更现代的协议)。
VXLAN。VXLAN使用基于IP的MAC封装,并且网络隔离的工作原理不同于VLAN技术。传统VLAN的网络数量有限,根据802.1q标准为4094,并且通过在以太网帧头中添加4个字节来在物理网络的第2层上完成网络隔离。VXLAN的最大虚拟网络数为2 ^ 24。在这种情况下,VXLAN网络标识符用于标记每个虚拟网络。覆盖网络的第2层帧封装在通过物理网络传输的UDP数据报内。在这种情况下,UDP端口号为4789。
VXLAN标头包含以下部分。
- 8位用于标志。为了使VXLAN网络ID(VNI)有效,必须将I标志设置为1。其他7位是保留的R字段,在传输时必须将其设置为零。R字段设置为零将在收到时被忽略。
- VXLAN网络标识符(VNI)也称为VXLAN网段ID,是一个24位值,用于确定用于相互通信VM的单个覆盖网络。
- 保留字段(24位和8位)必须设置为零,并在接收时忽略。
VXLAN标头的大小是固定的,等于8个字节。对于VXLAN,建议使用MTU设置为1600字节或更多的巨型帧。
同意。GENEVE标头看起来很像VXLAN,并且具有以下结构:
- 紧凑的隧道头封装在基于IP的UDP中。
- 一个小的固定隧道标头用于提供控制信息以及功能和互操作性的基本级别。
- 可变长度选项可用于实现未来的创新。
GENEVE标头的大小是可变的。
NSX-T使用GENEVE(GEnericÑEtworkVirtualizationëncapsulation),为隧道协议上的NIC可用蜜饯传统卸载功能(网络接口控制器)为最佳性能。可以将其他元数据添加到覆盖头,并允许改善上下文差异,以处理数据传输层上的信息(如端对端遥测,数据跟踪,加密,安全性等)。元数据中的其他信息称为TLV(类型,长度,值)。GENEVE由VMware,Intel,Red Hat和Microsoft开发。GENEVE基于VXLAN,STT和NVGRE封装协议的最佳概念。
使用GENEVE封装时,巨型帧的MTU值必须至少为1700字节,这是由GENEVE标头的可变长度的其他元数据字段引起的(如您所回忆,VTU会使用MTU 1600或更高版本)。
由于本节中说明的覆盖封装差异,NSX-v和NSX-T不兼容。
二层网络
现在您知道了如何在IP网络上封装虚拟第2层以太网帧,因此,该探讨针对NSX-v和NSX-T的虚拟第2层网络的实现了。
传输节点和虚拟交换机
传输节点和虚拟交换机代表NSX数据传输组件。
传输节点(TN)是参与流量传输和NSX网络覆盖的NSX兼容设备。一个节点必须包含一个主机交换机才能用作传输节点。
NSX-v要求照常在vSphere中使用vSphere Distributed Virtual Switch(VDS)。标准虚拟交换机不能用于NSX-v。
NSX-T假定您需要部署NSX-T分布式虚拟交换机(N-VDS)。为此,可以将开放式vSwitch(OVS)用于KVM主机,将VMware vSwitchs用于ESXi主机。
N-VDS(虚拟分布式交换机,以前称为主机交换机)是传输节点上的软件NSX组件,用于执行流量传输。N-VDS是传输节点数据平面的主要组件,该数据平面转发流量并拥有至少一个物理网络接口控制器(NIC)。不同传输节点的NSX交换机(N-VDS)是独立的,但可以通过分配相同的名称进行集中管理进行分组。
在ESXi虚拟机管理程序上,N-VDS是通过使用VMware vSphere Distributed Switch通过NSX-vSwitch模块实现的,该模块已加载到虚拟机管理程序的内核中。在KVM虚拟机管理程序上,主机交换机由Open-vSwitch(OVS)模块实现。
NSX-v和NSX-T都可以使用传输区。传输区域定义了逻辑网络分布的限制。每个传输区域都链接到其NSX交换机(N-VDS)。NSX-T的传输区域未链接到群集。
由于采用了GENEVE封装,VMware NSX-T有两种类型的传输区域:覆盖或VLAN。对于VMware NSX-v,传输区域仅定义VXLAN的分发限制。
逻辑交换机复制模式
当驻留在不同主机上的两个虚拟机直接通信时,单播流量将以封装模式在分配给虚拟机管理程序的两个端点IP地址之间交换,而无需进行泛洪。有时,必须像传统物理网络中的第2层流量一样泛洪由VM发起的第2层网络流量,例如,如果发送方不知道目标网络接口的MAC地址。这意味着必须将相同的流量(广播,单播,多播)发送到连接到同一逻辑交换机的所有VM。如果VM驻留在其他主机上,则必须将流量复制到这些主机。广播,单播和多播流量也称为BUM流量。
让我们看看NSX-v和NSX-T的复制模式之间的区别。
NSX-v支持单播模式,多播模式和混合模式。
NSX-T支持带两个选项的单播模式:分层两层复制(已优化,与NSX-v相同)和头复制(未优化)。
ARP抑制可减少通过网络发送的ARP广播流量,并且可用于单播和混合流量复制模式。因此,ARP抑制可用于NSX-v和NSX-T。
当VM1发送ARP请求以知道VM2的MAC地址时,该ARP请求将被逻辑交换机拦截。如果交换机已经具有用于VM2的目标网络接口的ARP条目,则ARP响应将由交换机发送到VM1。否则,交换机会将ARP请求发送到NSX控制器。如果NSX控制器包含有关VM IP到MAC绑定的信息,则控制器发送带有该绑定的回复,然后逻辑交换机将ARP响应发送到VM1。如果NSX控制器上没有ARP条目,则ARP请求将在逻辑交换机上重新广播。
NSX第2层桥接
第2层桥接对于将工作负载从覆盖网络迁移到VLAN或在物理和虚拟工作负载之间拆分子网很有用。
NSX-v:此功能在运行控制VM的虚拟机监控程序的内核级别上起作用。
NSX-T:为此目的创建了一个单独的NSX-bridge节点。NSX桥接节点可以组装为群集,以提高整个解决方案的容错能力。
在NSX-v控制VM中,冗余是通过使用高可用性(HA)方案实现的。一个虚拟机副本处于活动状态,而第二个虚拟机副本处于待机状态。如果活动的虚拟机发生故障,则可能需要花费一些时间来切换虚拟机并通过使其处于活动状态来加载备用虚拟机。NSX-T不会遇到此缺点,因为使用容错群集代替HA的主动/备用方案。
路由模型
在使用VMware NSX的情况下,将使用以下术语:
东西方流量是指通过数据中心内的网络传输数据。该名称用于此特定类型的流量,因为图表上的水平线通常表示局域网(LAN)流量。
南北流量是指客户端-服务器流量或在数据中心与数据中心外部位置(外部网络)之间移动的流量。图表上的垂直线通常描述了这种类型的网络流量。
分布式逻辑路由器(DLR)是一种虚拟路由器,可以使用静态路由和动态路由协议,例如OSPF,IS-IS或BGP。
租户是指可以访问由托管服务提供商(MSP)提供的隔离安全环境的客户或组织。大型组织可以通过将每个部门视为一个租户来使用多租户架构。VMware NSX对于提供基础架构即服务(IaaS)尤其有用。
在NSX-v中路由
NSX for vSphere使用DLR(分布式逻辑路由器)和集中式路由。每个系统管理程序上都有一个路由内核模块,可以在该模块上执行分布式路由器上逻辑接口(LIF)之间的路由。
例如,让我们考虑一下包含三个部分的NSX-v的典型路由方案:运行数据库的VM,运行应用程序服务器的VM和运行Web服务器的VM。这些网段(天蓝色,绿色和深蓝色)的VM连接到分布式逻辑路由器(DLR),该路由器又通过边缘网关(NSX Edge)连接到外部网络。
如果使用多个租户,则可以使用多层NSX Edge结构,或者每个租户可以拥有自己的专用DLR和控制器VM,后者位于边缘群集中。NSX Edge网关通过提供诸如DHCP,VPN,NAT,动态路由和负载平衡之类的通用网关服务,将隔离的存根网络连接到共享(上行链路)网络。NSX Edge的常见部署包括在DMZ,VPN Extranet和多租户云环境中,其中NSX Edge为每个租户创建虚拟边界。
如果需要将流量从位于第一个租户的网段A(蓝色)中的VM传输到第二个租户的网段A,则流量必须通过NSX Edge网关。在这种情况下,由于流量必须经过指定的NSX Edge网关的单点,因此没有分布式路由。
您还可以查看该方案的工作原理,该方案将组件划分为集群:管理集群,边缘集群和计算集群。在此示例中,每个群集都使用2个ESXi主机。如果两个VM在同一ESXi主机上运行,但属于不同的网段,则流量将通过Edge群集的另一ESXi主机上的NSX Edge网关传递。路由之后,必须将此流量传输回运行源和目标VM的ESXi主机。
在这种情况下,业务传输的路径不是最佳的。无法利用具有Edge网关的多租户模型中的分布式路由可用的优势,从而导致网络流量的更大延迟。
NSX-T中的路由
NSX-T使用两层分布式路由模型来解决上述问题。Tier0和Tier1都在传输节点上创建,后者不是必需的,但旨在提高可伸缩性。
通过使用最佳路径传输流量,然后在运行VM的ESXi或KVM虚拟机管理程序上执行路由。必须使用固定路由点的唯一情况是连接到外部网络时。在运行虚拟机监控程序的服务器上部署了单独的Edge节点。
可以在边缘节点上启用BGP,NAT和边缘防火墙等其他服务,这些服务又可以合并到群集中以提高可用性。而且,NSX-T还提供更快的故障检测。简单来说,分配路由的最佳方法是在虚拟化基础架构内部进行路由。
虚拟网络的IP寻址
配置NSX-v时,需要在NSX网段内制定IP地址计划。在这种情况下,还必须添加链接DLR和Edge网关的传输逻辑交换机。如果您使用大量的Edge网关,则应为由这些Edge网关链接的网段组成IP地址方案。
但是,NSX-T不需要这些操作。Tier0和Tier1之间的所有网段都会自动获取IP地址。不使用动态路由协议,而是使用静态路由,并且系统会自动连接组件,从而简化了配置;您无需花费大量时间为服务(传输)网络组件规划IP寻址。
整合交通检查
NSX-v提供与第三方服务的集成,例如无代理防病毒,高级防火墙(下一代防火墙),IDS(入侵检测系统),IPS(入侵防御系统)以及其他类型的流量检查服务。使用受保护的VMCI总线(虚拟机通信接口)在虚拟机监控程序内核层上执行与列出的流量检查类型的集成。
NSX-T目前不提供这些功能。
安全
可以在VM虚拟适配器级别上为NSX-v和NSX-T配置内核级别的分布式防火墙。两种NSX类型都可以使用交换机安全选项,但是NSX-T仅可以使用“速率限制广播和多播流量”选项。
NSX-T允许您以更精细的方式应用规则,从而可以更合理地利用传输节点。例如,您可以基于以下对象应用规则:逻辑交换机,逻辑端口,NSGroup。此功能可用于减少逻辑交换机,逻辑端口或NSGroup实例上的规则集配置,以实现更高级别的效率和优化。除了托管多租户部署,您还可以节省扩展空间和规则查找周期,并应用特定于租户的规则(适用于适当租户工作负载的规则)。
NSX-v和NSX-T的创建和应用规则的过程非常相似。区别在于,为NSX-T创建的策略会发送到所有将规则转换为IP地址的Controller,而在NSX-v中,策略会立即传输到vShield Firewall Daemon(VSFWD)。
NSX-v和NSX-T –比较表
既然您已经熟悉了VMware NSX的最有趣的功能,那么除了在表中进行比较之外,让我们总结一下本博文中探讨的NSX-v和NSX-T的主要功能。
NSX-v | NSX-T | |
---|---|---|
与vSphere紧密集成 | 可以 | 不可以 |
在没有vCenter的情况下工作 | 不可以 | 可以 |
NSX Manager支持多个vCenter实例 | 不可以 | 可以 |
为以下虚拟化平台提供虚拟网络 | VMware vSphere | VMware vSphere,KVM,Docker,Kubernetes,OpenStack,AWS本机工作负载 |
NSX Edge部署 | ESXi虚拟机 | ESXi VM或物理服务器 |
覆盖封装协议 | 虚拟局域网 | 给予 |
使用虚拟交换机(N-VDS) | vSphere Distributed Switch(VDS) | vSwitch(OVS)或VDS |
逻辑交换机复制模式 | 单播,组播,混合 | 单播(两层或头) |
ARP抑制 | 可以 | 可以 |
两层分布式路由 | 不可以 | 可以 |
配置网段的IP地址分配方案 | 手动 | 自动(在方法0和方法1之间) |
集成交通检查 | 可以 | 不可以 |
内核级分布式防火墙 | 可以 | 可以 |
结论
VMware NSX是一个出色的网络虚拟化平台,托管服务提供商可以使用它来提供基础架构即服务(IaaS)。如果仅使用vSphere环境,则NSX-v是最理想的解决方案,而NSX-T不仅可以用于vSphere,而且可以在构建虚拟网络的框架中用于KVM,Docker,Kubernetes和OpenStack虚拟化平台。对于哪种类型的NSX更好,没有唯一的答案。是否应使用NSX-v或NSX-T取决于您的需求和每种NSX类型提供的功能。今天的博客文章中介绍了最受欢迎的NSX-v和NSX-T功能。NSX许可政策是用户友好的–无论您要使用哪种NSX类型,您都只需购买一个NSX许可。稍后,您可以根据需要将NSX-T安装在NSX-v环境中,也可以反过来安装。
Reference
https://www.nakivo.com/blog/nsx-v-vs-nsx-t-comprehensive-comparison/