Общие концепции сетевой виртуализации
Сетевая виртуализация — это технология, которая позволяет разделить одну физическую инфраструктуру сети на несколько виртуальных и управлять ими.
Возможность разделения физической сетевой инфраструктуры на отдельные виртуальные сети позволяет создавать изолированные сетевые сегменты, которые могут работать независимо друг от друга. Такое разделение обеспечивает повышенную безопасность и эффективность работы системы, поскольку проблемы, возникающие в одном сегменте, не влияют на другие.
Кроме того, виртуализация позволяет динамически масштабировать сетевую инфраструктуру и гибко управлять ресурсами. Используя виртуальные сети, можно быстро создавать и удалять маршрутизаторы, коммутаторы, файрволы и т.д. без необходимости приобретения и настройки дополнительного физического оборудования.
Подробнее о VMware NSX
Как мы уже сказали, VMware NSX — это платформа виртуализации сети. Она предоставляет решения для построения гибкого облака, позволяя организациям создавать и управлять виртуализированными сетевыми инфраструктурами.
Архитектура
VMware NSX строится на концепции программно-определяемой сети (SDN), которая отделяет управление и контроль сети от физической инфраструктуры. Архитектура NSX включает в себя несколько компонентов:
- NSX Manager — центральный элемент управления, предоставляющий администраторам единый интерфейс для конфигурации и мониторинга виртуальных сетей;
- NSX Controller — компонент, отвечающий за управление и передачу сетевой информации между виртуальными машинами;
- NSX Edge — шлюз для соединения виртуальных и физических сетей, обеспечивая доступ к внешним ресурсам;
- NSX Distributed Firewall — распределенный межсетевой экран, который позволяет администраторам устанавливать политики безопасности на уровне виртуальных машин;
- NSX Logical Switching — позволяет создавать виртуальные сети с изолированными сегментами, что облегчает управление и масштабирование сетей.
Принцип работы
NSX использует концепцию абстракции сетевых слоев, отделяя сетевую инфраструктуру от физической инфраструктуры и предоставляя возможность управления и настройки виртуальной сети через централизованный контроллер и другие компоненты. Это позволяет более гибко и эффективно управлять сетью в средах виртуализации. Вдобавок он обеспечивает сегментацию и безопасность на уровне ВМ вне зависимости от физической сетевой инфраструктуры. Кроме того, NSX предоставляет следующие возможности:
- микросегментация. Создание мелких сетевых сегментов внутри виртуального окружения, обеспечивая более гибкое управление и безопасность;
- балансировка нагрузки. Распределение нагрузки между виртуальными машинами, обеспечивая эффективное использование ресурсов;
- виртуальные частные сети. Создание виртуальных сетей, которые могут быть изолированы от других, обеспечивая безопасность данных;
- автоматизация сети. Широкие возможности автоматизации конфигурации, развертывания и управления сетью, что способствует повышению эффективности работы;
- гибридное облако. Создание сетевых топологий, объединяющих частные и публичные облака, обеспечивая гибкость и масштабируемость в конвергентных инфраструктурах.
Отличия между VMware NSX-V, NSX-T и NSX 4
Раньше среди продуктов VMware не было ни NSX-V, ни NSX-T. Платформа называлась безо всяких дополнений — просто NSX. Но в 2017 году свет увидела новая версия решения — NSX-T. С того момента аббревиатура NSX стала иметь обобщенный смысл, а сам программный продукт, существовавший в одиночестве до появления NSX-T, стал называться NSX-V.
Основные отличительные черты NSX-V и NSX-T:
Критерий | NSX-V | NSX-T |
Управление и настройка | Через плагин к vCenter, управление через vSphere Client | HTML5-интерфейс в браузере |
Поддержка гипервизора | VMware ESXi | vSphere, OpenStack, Kubernetes, KVM, Docker, Amazon AWS |
Требования к серверу vCenter | Обязателен | Необязателен |
Развертывание NSX Manager | Как ВМ на ESXi | Как ВМ на ESXi или KVM |
Работа NSX Manager | Один NSX Manager может работать только с одним vCenter | Один NSX Manager может работать с несколькими vCenter |
ОС NSX Manager | Photon OS | Ubuntu |
Отказоустойчивость NSX Manager | Единственный NSX Manager | До трех узлов NSX Manager в кластере |
Оверлей протокол | VXLAN | GENEVE |
Управление продуктом | vSphere Client | Web-браузер |
Тип окружения | На площадке клиента | На площадке клиента, в облаке |
Тип виртуального коммутатора | vDS | N-VDS, Open vSwitch |
Режимы репликации логических коммутаторов | Unicast, Multicast, Hybrid | Unicast (two-tier или head) |
Развертывание контроллеров | Внешние контроллеры NSX Controllers | Встроенный контроллер в рамках одного виртуального модуля |
Вариант развертывания NSX Edge | Как виртуальная машина на ESXi | Как ВМ на ESXi или как физический сервер |
Размер MTU | 1600+ для VXLAN | 1700+ для GENEVE |
Привязка физических NIC | Адаптеры контролируются со стороны vDS | Адаптеры контролируются со стороны узла NSX-T Transport node и назначаются к N-VDS |
Поддержка Kubernetes | Отсутствует | Через NCP |
Двухъярусная распределенная маршрутизация | НЕ поддерживается | Поддерживается |
Интеграция со сторонними решениями для анализа трафика | Да | Нет |
Схема IP-адресации для сетевых сегментов | Вручную | Автоматическое назначение между Tier-0 и Tier-1 |
Типы транспортных зон | Один тип | Два типа (Overlay и VLAN) |
Число VIB-пакетов, устанавливаемых на ESXi | 1 или 2 | 20+ |
Интеграция с vIDM | Отсутствует | Возможность интеграции с RBAC |
В 2022 году свет увидела новая версия решения — NSX 4. Начиная с версии 4.0 из названия убрана добавка -T и принят новый формат именования версий с помощью чисел, а не букв.
NSX 4.0 принес с собой следующие обновления:
- обновления NSX Manager. Теперь NSX Manager поддерживает конфигурации dual-stack (IPv4 и IPv6) для внешнего управляющего интерфейса, обеспечивая гибкое взаимодействие с внешними системами через IPv6;
- расширенные возможности конфигурации. Изменение префикса транзитной подсети T0-T1 стало доступным после создания Tier-0. Ранее это можно было сделать только во время создании Tier-0;
- нововведения в VPN. Внедрена поддержка NAT для Policy-based VPN на шлюзах T0/T1;
- дополнения в DHCP. Процесс настройки DHCP в интерфейсе теперь упрощен, а также появилась функция перемещения сервера DHCP Standby;
- Edge Relocate API. Этот инструмент теперь позволяет при переводе Edge VM в режим обслуживания корректно перенести T1 SR на другие Edge-машины;
- сохранение настроек Edge Node. После обновления настройки Edge Node больше не сбрасываются до стандартных;
- безопасность. Добавлена блокировка вредоносных IP в Distributed Firewall;
- поддержка физических серверов. Теперь физические серверы поддерживаются на Local Managers в рамках Federation;
- мониторинг и оповещения. Добавлены дополнительные алармы для мониторинга состояния Service Insertion и отслеживания жизненного цикла физических серверов (install, uninstall, upgrade), а также уведомления о доступности новых версий NSX;
- совместимость с NSX Application Platform 3.2.1. Обеспечивается поддержка NSX Intelligence, NSX Network Detection and Response, NSX Malware Prevention и NSX Metrics;
- ускоренные обновления. Обновление NSX теперь проходит на 10% быстрее по сравнению с предыдущими версиями;
- анализ трафика. Введена поддержка функций Live Traffic Analysis & Traceflow для VPN, а также Live Traffic Analysis для интерфейсов NSX Edge;
- дополнительные нововведения. Внесены улучшения в события, алармы и операции, а также в механизм настройки пароля локального пользователя. Теперь, если используются Deprecated API, в логе делается соответствующая запись.
9 причин почему стоит перейти от NSX-V к NSX-T или NSX 4
- Прекращение поддержки NSX-V. VMware объявила о прекращении поддержки NSX-V с середины января 2024 года. Это делает переход на новые версии просто необходимым, если вы хотите обеспечить безопасность своей инфраструктуры. Если одного только этого факта недостаточно для того, что принять решение об обновлении NSX, ниже вы найдете еще 9 причин почему стоит это сделать.
- Многооблачная поддержка. Новые версии лучше подходят для многооблачных сред, обеспечивая гладкую интеграцию с различными публичными и частными облаками.
- Улучшенная сетевая функциональность. Новые версии предлагают более продвинутые сетевые возможности, включая масштабируемость, маршрутизацию и переключение.
- Расширенные возможности безопасности. NSX-T и NSX 4 обеспечивают улучшенную микросегментацию и распределенные файрволы для более эффективного управления безопасностью сети.
- Поддержка современных приложений. Новые версии лучше подходят для современных приложений и контейнеризированных рабочих нагрузок, особенно в Kubernetes.
- Улучшенное управление и автоматизация. NSX-T и NSX 4 предлагают улучшенные инструменты управления и автоматизации для упрощения операций и улучшения рабочих процессов.
- Поддержка новейших стандартов. NSX-T и NSX 4 постоянно обновляются, чтобы соответствовать последним стандартам и технологиям в области виртуализации и сетей. Конечно, NSX 4 является более новой версией, но NSX-T по-прежнему не забыт, и для него время от времени выходят баг-фиксы.
- Упрощение управления. Упрощение управления сетью и безопасностью, что снижает операционные затраты и упрощает поддержку.
- Расширение экосистемы. Более широкая поддержка других решений и сервисов.
NSX-V, будучи первым в этой серии, заложил фундамент для виртуализации сетей. NSX-T расширил эти возможности, предложив более гибкое и масштабируемое решение, подходящее для многооблачных и контейнеризированных сред. NSX 4, самая последняя версия, улучшает предыдущие достижения, предлагая еще более продвинутые функции для обеспечения безопасности, автоматизации и управления сетью. Какую именно версию NSX использовать, выбирать только вам, но хотим еще раз отметить тот факт, что поддержка NSX-V в ближайшее время прекратится.
Проблемы с производительностью
При всех своих достоинства NSX представляет собой наглядный пример проблем с производительностью VMware. В теории назначение NSX — заменить собой коммутаторы верхнего уровня, однако процессоры Intel и AMD не предназначены для использования в качестве пакетных коммутаторов. Серверы плохо справляются с коммутацией пакетов, обычно достигая максимальной скорости 10 000 PPS. Это очень мало сравнительно с коммутаторами верхнего уровня. Большинство из них используют специализированные ASIC, обеспечивающие скорость выше на несколько порядков чем у NSX.
Гиперконвергентная платформа vStack как альтернатива решениям VMware
Платформа vStack обеспечивает производительность не менее 2,5 млн PPS. У vStack SDN есть три способа обеспечения виртуальных сетей:
- VLAN (виртуальная локальная компьютерная сеть);
- VXLAN (виртуальная расширенная локальная сеть);
- GENEVE (RFC 8926: туннельный протокол, собственная имплементация).
Каждый конкретный экземпляр виртуальной сети базируется на распределенном свитче, обладает собственным MTU и поддерживает jumbo frames, TSO/GSO, TCP MSS clamping и path MTU discovery.
Преимущества vStack SDN перед другими имплементациями виртуальных сетей:
- высокая производительность: не менее 22 Mps / 2.5M PPS;
- поддержка гетерогенности сетей «из коробки».