前言
簡單來說,在 VMware 解決方案當中「軟體定義網路 (Software Defined Networks,SDN)」就是 NSX,它是由所併購的 Nicira 所演化而來的產品。
重點整理
以往的環境,要有 Layer 3 功能時,不管實體設備或 VM(NAT/Router) 都會是架構在 Hypervisor 之上(多一層),因為不管是 vSS / vDS 都只能在 Layer 2 環境運作,且 VLAN 也只能是「靜態」處理無法動態運作。
簡單來說 NSX 跟 VSAN 技術概念相同,在處理 Layer 3 時也是在 VMkernel 層就處理掉,並且管理介面也是整合到 vSphere Web Client 進行設定,當然也可以整合 Horizon View 及 vCloud 協同運作。
在 NSX 環境中建議 MTU 值由預設的 1500 改為 1540 比較好!! (若採用 vCloud 的話,請修改為 1524)
Micro Segmentation
處理以往防火牆無法保護的部份 LAN-to-LAN,以往 LAN-to-LAN 會透過 Switch 直接溝通無法透過外部防火牆來保護(只能用 Guest OS 內建防火牆來保護),而 NSX 便可以透過這樣的運作概念來保護 LAN-to-LAN 的流量!!
簡單來說,每一台 VM 前面,都會有一台 NSX Firewall 來保護,所以 Guest OS 內建防火牆建議關閉!!統一由 NSX 主控台,集中管理每台 VM 的 Firewall Rules。千言萬語,不如直接看影片介紹比較快:
NSX 網路環境架構
NSX (為自已獨有的架構)。後續技術名詞中「East-West Connectivity (東西向)」便是指同一層級的溝通作業,若是「North-South Connectivity (南北向)」便是指不同層級的部份。下列為 NSX 的網路功能架構示意圖,可以看到 Logical Routing 在 VMkernel 層就處理掉效能非常好 (不用跑到 VM 層)。- Logical L2 - Switching: 負責在實體網路中處理「Layer 2 Over Layer 3」的部分。
- Logical L3 - Routing: 負責處理 「虛擬網路 (Virtual Network)」之間的「路由 (Routing)」。
- Logical Firewall: 整合在 VMkernel 當中的高效能「Distributed Firewall」。
- Logical Load Balancer: 軟體式「Application Load Balancing」。
- Logical VPN: 具備 「S2S (Site-to-Site)、P2S (Point-to-Site)」功能。
- NSX API: 採用「REST API」與其它管理進行溝通作業。
NSX 環境下 VM 如何溝通?
下列便是在 NSX 網路虛擬化環境中,VM 虛擬主機之間如何互相溝通的示意圖。
