资源预览内容
第1页 / 共89页
第2页 / 共89页
第3页 / 共89页
第4页 / 共89页
第5页 / 共89页
第6页 / 共89页
第7页 / 共89页
第8页 / 共89页
第9页 / 共89页
第10页 / 共89页
亲,该文档总共89页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
网络虚拟化,尤贵贤,Senior System Engineer ayouvmware.com Oct, 2014,打破壁垒,助于企业IT向云计算转型,议程,理解软件定义的数据中心 金融行业数据中心网络现状及面临的挑战 网络虚拟化:概念和实现 更安全的数据中心 金融行业用户案例 总结,CONFIDENTIAL,2,理解软件定义的数据中心,3,企业主管希望他们的IT象亚马逊,4,数据中心虚拟化层,智能在软件 数据中心虚机的操作模式:自动配置和管理,什么是软件定义的数据中心 (SDDC)?,智能在硬件 专用芯片、品牌绑定的架构 手工配置和管理,软件,硬件,计算、网络和存储资源池化,独立于厂商, 最佳性价比架构,配置和管理简单,用我们学到的.,软件,硬件,虚机,计算资源,网络,存储,应用,服务器虚拟化,智能在虚拟化层 X86资源独立于厂商 革新的操作模式 自动化配置和管理,智能在硬件 专用芯片,品牌绑定 手工配置和管理,手工操作模式,自动化操作模式,可编程的创建, 快照, 保存, 迁移, 删除, 恢复,构建软件定义的数据中心,虚拟机,虚拟网络,虚拟存储,计算资源,网络资源,存储资源,应用,位置无关,数据中心虚拟化层,池化的计算、网络和存储资源 独立于厂商的最佳性能比架构 简化的配置和管理,软件,硬件,自动化操作模式,可编程的创建, 快照, 保存, 迁移, 删除, 恢复,大多数敏捷、高效的数据中心采用了软件定义数据中心的设计方法,8,软件 / 硬件抽象,“新IT”的选择SDDC 还是 HDDC,9,复杂的网络核心, 定期替换升级,价格高昂,品牌绑定,与硬件、位置分离,简单的IP核心,智能的X86边缘,敏捷的服务,软件 / 硬件抽象,软件定义数据中心的互连互通,10,数据中心互连,混合云,软件定义数据中心 (SDDC),任意应用,SDDC 平台,任意 x86,任意存储,任意IP网络,数据中心虚拟化层,任意 x86,任意存储,任意IP网络,任意 x86,任意存储,任意IP网络,任意应用,任意应用,软件定义数据中心愿景,TEXT,自助化应用组装,应用蓝图,应用发布标准化,应用服务云,自助服务 门户,服务目录,无需管理员参与,管理,监控,自动化,虚拟化主机与存储,软件定义网络,应用服务,基础架构服务,软件定义数据中心,基础架构云,金融行业数据中心网络现状及面临的挑战,12,金融行业数据中心网络的现状,CONFIDENTIAL,13,WAN/Internet,L3 L2,POD B:应用B,X86 服务器,接入层,汇聚层 安全边界,安全边界 汇聚层,接入层,X86 服务器,虚拟化之前 数百台物理服务器 通过改变交换机端口的VLAN控制服务器的连接 提供的Features取决于硬件功能 (ASIC芯片) 配置复杂的网络服务 数据流主要集中在南北向 虚拟化之后 数千台虚拟机 服务器和物理交换机的连接变为VLAN Trunking 不同的团队管理不同的网络组件 Features仍然依赖于硬件功能 绝对数量的服务器,加剧了复杂的网络服务(如防火墙等)的难度 数据中心内部流量以东西为主,网络设计的流量则是南北为主 减少了网络节点的可视性(策略执行和监控等),网络成为通往云计算之路的壁垒 虚拟化挑战传统网络设计和运行,基础架构 二层网络的规模限制 大二层技术的限制 安全边界打破,安全隔离成为难题 业务部署 计算和存储资源已经实现快速就绪 网络就绪成为业务部署的瓶颈 运维排障 安全策略跟随虚拟机移动 虚拟机的可视化管理 命令行或GUI界面无法自动化部署,Floor-1: VLAN1 10.x.x.x,Floor-2: VLAN2 172.16.x.x,网络虚拟化:概念和实现,15,通用X86服务器资源,服务器虚拟化层,需求: x86服务器,x86 环境,分离,硬件,软件,解决办法:虚拟化你的网络,通过虚拟化层来映射虚拟与物理资源 与传统的计算虚拟化类似: 实现物理资源池化并支持 scale-out扩展 实现集中管理与配置 支持API 可编程接口 虚拟网络之间完全隔离 可移动性 虚拟网络为软件容器, 像虚拟机一样支持 snapshot, 备份与恢复,实现按需/自动化部署虚拟网络 按需动态部署虚拟网络,不受物理位置限制 面向对象的QoS以及安全策略配置 集中控制,系统性的可视, 监控与管理 逻辑区域完全隔离 (L2 & L3) 95+% 减少物理网络资源消耗(IP,VLAN,MAC地址等) 智能边界,分布式转发,网络虚拟化带来的价值,打破壁垒:使网络及其相关服务部署不再受制于底层物理网络硬件和物理位置的限制,VLAN1 10.x.x.x,VLAN2 172.16.x.x,VLAN2 192.168.x.x,虚拟网络,虚拟的 Layer 2 88.33.x.x (whatever),网络虚拟化的收益 突破位置阻碍,灵活部署负载,网络虚拟化的收益 突破位置阻碍,提高资源利用率,网络虚拟化之前的资源利用率大约是60%,网络虚拟化之后的资源利用率能够达到90%以上,网络虚拟化的收益 分布式架构革新扫除了安全死角,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,加快服务响应时间,有助于吸引更多的生意 提高客户满意和忠诚度,从而吸引更多的新客户 加速业务创新及部署 为企业云计算之路打下网络基础 化繁为简 帮助企业向移动云端模式转型 新模式将改变一切 可扩展,自动化,运维监控及优化 适应移动新业务需求,突破位置地域限制 网络不再限制业务发展 对上层新旧应用来说是透明的(无需做任何修改) 投资保护,降低成本 减少升级改动 新版本升级无需改动底层硬件,降低复杂性 兼容客户现有网络 按业务需求水平扩展,方便监控与计费,对企业带来的价值,带来更多的效益,降低成本,VMware NSX: 背景介绍,Nicira 是业界领先的网络虚拟化公司 创造以及发明了如下产品与技术 发明了Open Flow 发明了 Open vSwitch 领导研发OpenStack网络驱动模块 Quantum/Neutron 分布式的虚拟网络基础架构(DVNI) 业界第一个与硬件无关,支持多种X86虚拟化层的网络虚拟化架构 大规模部署的客户案例 AT&T, Fidelity, NTT and Rackspace VMware 在2011年与思科等厂商一起推出网络虚拟化封装协议VXLAN VMware 在2012年12亿美元收购Nicira VMware 在2013年9月推出网络虚拟化平台NSX,硬件网络,计算资源.,Physical Network Topology,数据中心虚拟化层,Physical Network Topology,网络虚拟化层,网络虚拟化层,Physical Network Topology,网络视角的虚拟机操作模式,网络虚拟化层,虚拟网络 软件容器,如虚机 虚拟网络拓扑,Physical Network Topology,虚拟网络,无中断的部署,28,NSX vSwitch,Hypervisor,NSX vSwitch,Hypervisor,物理网络,VM,User Space,VM,VM,虚拟网络,可编程的部署,29,NSX vSwitch,Hypervisor,VM,VM,VM,物理网络,云管理平台,NSX vSwitch,Hypervisor,VM,User Space,VM,VM,NSX Controller,Virtual Network,服务分布于Virtual Switch,30,Physical Host,NSX vSwitch,VM,VM,VM,NSX vSwitch,User Space,VM,VM,Hypervisor,User Space,Hypervisor,NSX Controller,云管理平台,简单的IP骨干,没有VLAN, 没有ACL,没有防火墙策略,物理网络,软件定义数据中心的部署,VM,VM,VM,VM,Web Tier,App Tier,DB Tier,L3 Subnet,L3 Subnet,L3 Subnet,全软件构建,Physical Network,NAT,Internet,无中断的部署网络服务分布,分布式的力量,新的标准:更安全的数据中心,利用软件定义数据中心的网络和安全优势, 构建基于分布式服务的安全数据中心,CONFIDENTIAL,34,数据中心边界,问题:数据中心网络安全,以边界为中心的网络安全已经无法满足需求,操作上无法实现零信任关系。,边界内部 几乎没有 横向控制,Internet,Internet,安全策略不足,操作上无法实现,数据中心边界,36,Internet,Hypervisor,Physical Host,VM,VM,VM,vSwitch,Hypervisor,Physical Host,vSwitch,VM,VM,VM,安全策略,边界防火墙,VM,云管理平台,办法:利用软件定义数据中心的方法定义零信任关系,基于虚拟化软件的,位于内核的分布式防火墙 基于平台的自动部署、负载增加/移动和改变,自动策略匹配和操作,分布式执行 基于内核的性能, 分布式容量扩展 (20 Gbps/host),这是巨大的不同,37,Hypervisor,Host,VM,VM,VM,传统防火墙:规则匹配和操作 物理防火墙 (2 100 Gbps),传统防火墙:规则匹配和操作 虚拟防火墙 (1 3 Gbps),虚拟防火墙,物理防火墙,分布式防火墙,vCloud Automation Center IaaS PaaS DaaS,Hyper- visors,CMS,IaaS PaaS DaaS,VMware NSX 网络与安全虚拟化平台,NSX for vSphere 功能组件,VMware NSX 逻辑交换,应用、多租户隔离 VM 在线迁移需要二层网络 大的二层物理网络蔓延带来的问题 STP问题 硬件 Memory (MAC, FIB) Table 限制,可扩展的多租户网络 实现 L2 over L3 Overlay架构 基于Overlay的技术VXLAN, STT, GRE, etc, 逻辑交换网络可以跨主机、交换机以及物理路由器,挑战,好处,逻辑交换Scale the Network Segment 1000X,Animated Slide,VMware NSX,VMware NSX 逻辑路由网络: 分布式,多功能,数据中心东西向流量对传统的集中式路由模式带来挑战 VM 漂移带来的挑战 多租户路由复杂度 Traffic hair-pins,在Hypervisor层实现分布式路由 动态的, 基于API的配置 动态路由 OSPF, BGP, IS-IS Logical Router 支持多租户 支持与物理路由器之间跑动态路由,挑战,好处,分布式路由 灵活实现多租户网络,控制器集群,NSX 管理器,Animated Slide,CMP,VMware NSX 防火墙: 分布式、高性能、可扩展的安全防护,集中式处理模式 人工配置 安全策略基于IP五元组 性能最多大概40 Gbps 无法感知虚拟网络上的流量,分布在Hypervisor Level 动态的,可基于API的配置模式 可支持基于VM 名称, 用户ID的安全策略 每台主机线速转发,15Gbps 基于VM的vNIC级别管控,感知VM任意流量,挑战,好处,性能与扩展能力 1,000+ Hosts 30 Tbps of Firewall
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号