Networking ve VMware NSX

Podobné dokumenty
5. Směrování v počítačových sítích a směrovací protokoly

Cloud řešení na bázi hostitelských serverů VMWare, Cisco Nexus 1000V a technologie VXLAN

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Obsah. Úvod 13. Věnování 11 Poděkování 11

Budování infrastruktury v době digitalizace společnosti

ZJEDNODUŠENÍ SÍŤOVÉ BEZPEČNOSTI UVNITŘ DATOVÉHO CENTRA. Jaroslav Sedláček network architect

KAPITOLA 1 Úvod do zkoušky VMware Certified Professional pro vsphere 25. KAPITOLA 2 Úvod do serverové virtualizace a řady produktů VMware 43

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

Fujitsu Day Praha 2018

Využití moderních přístupů při budování Technologického centra kraje

Virtualizace síťových prvků

Virtuální sítě 2.část VLAN

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

IBM Cloud computing. Petr Leština Client IT Architect. Jak postavit enterprise cloud na klíč IBM Corporation

Praha, Martin Beran

Budování sítě v datových centrech

Efektivní a zabezpečená platforma pro váš hybridní cloud

w w w. u l t i m u m t e c h n o l o g i e s. c z Infrastructure-as-a-Service na platformě OpenStack

Platforma Juniper QFabric

CA AppLogic platforma typu cloud pro podnikové aplikace

JAK ČÍST TUTO PREZENTACI

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Přepínaný Ethernet. Virtuální sítě.

Datové centrum pro potřeby moderního města. Koncepce, stav projektu, budoucí rozvoj B.Brablc, 06/16/09

Nový přístup k bezpečnosti v budování výpočetní a komunikační infrastruktury

Sjednotit, zjednodušit, posílit. posílit. Rackové servery Cisco UCS C-Series. Obchodní přehled

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura IBM Corporation

Uživatelský manuál WEB SERVICE V3.0 IP kamer Dahua

Networking v hypervisoru Hyper-V

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Extreme Forum Datová centra A10, VMWare, Citrix, Microsoft, Ixia

Aktivní prvky: přepínače

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Moderní privátní cloud pro město na platformě OpenStack a Kubernetes

Virtuální datové centrum a jeho dopad na infrastrukturu sítě

Identifikátor materiálu: ICT-3-03

Cloud - jak jej monitorovat, reporty, účtování a fakturace

Cloudová Řešení UAI/612

doba datová začne již za: Copyright 2012 EMC Corporation. All rights reserved.

Počítačové sítě IP směrování (routing)

Virtualizace. Miroslav Novotný

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

Budování sítě v datových centrech

Část 1. Technická specifikace. Posílení ochrany demokratické společnosti proti terorismu a extremismu

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Využití systému Dynamips a jeho nástaveb pro experimenty se síťovými technologiemi Petr Grygárek

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

MPLS MPLS. Label. Switching) Michal Petřík -

Private VLANs - podpora u různých výrobců síťových prvků a ve VMWare

Implementace SDDC v Komerční bance

Virtualizace storage infrastruktury

Implementace redundance pomocí virtuálních přepínačů a multichassis link aggregation na aktuálních platformách významných výrobců síťových prvků

Možnosti zabezpečení komunikace ve virtualizovaném prostředí. Simac Technik ČR, a.s.

Technická opatření pro plnění požadavků GDPR

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Univerzita Hradec Králové Fakulta informatiky a managementu. Možnosti nasazení SDN ve firemním prosředí. Bakalářská práce

Technická specifikace zařízení

Část l«rozbočovače, přepínače a přepínání

Nasazování, poskytování a aktualizace systému Windows Server pomocí systému System Center

VMWARE CLOUD FOUNDATION: INTEGROVANÁ PLATFORMA HYBRIDNÍHO CLOUDU TECHNICKÝ DOKUMENT LISTOPAD 2017

Projekt VRF LITE. Jiří Otisk, Filip Frank

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

Integrace formou virtualizace

Přechod na virtuální infrastrukturu

Řešení EMC pro VMware

Město Varnsdorf, nám. E. Beneše 470, Varnsdorf, Česká republika SPECIFIKACE

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Routování směrovač. směrovač

IBM Tivoli Monitoring pro Virtuální prostředí

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Technická specifikace HW pro rok 2012

Stručný obsah. Příloha A. Shrnutí 693

Pokročilé architektury počítačů

Windows Server 2003 Active Directory

Aktivní prvky: brány a směrovače. směrovače

Počítačové sítě. IKT pro PD1

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část

Vmware / XEN / Hyper-V. DR Lokalita. Full repliky. Snapshoty

1 Výchozí nastavení zařízení

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Příloha č.2 - Technická specifikace předmětu veřejné zakázky

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

Migrace virtuálního prostředí VI3 na vsphere. Lukáš Radil, konzultant

Jaké zvolit Softwarově definované datové úložiště?

Seminář IBM - partnerský program a nabídka pro MSPs

Zabezpečení v síti IP

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Vy chráníte naše zdraví, my chráníme vaše data. Lubomír Tomány

Představení Kerio Control

Inovace bakalářského studijního oboru Aplikovaná chemie

Distribuované systémy a počítačové sítě

Instalační a uživatelská příručka

VComNet uživatelská příručka. VComNet. Uživatelská příručka Úvod. Vlastnosti aplikace. Blokové schéma. «library» MetelCom LAN

Transkript:

Networking ve VMware NSX Petr Hrdina Abstrakt: Tento krátký dokument popisuje úvod do virtualizace sítí na platformě VMware NSX. Jsou zde uvedeny výhody plynoucí z virtualizace síťové infrastruktury, srovnání virtualizace sítí a virtualizace serverů, základní komponenty VMware NSX a stručný úvod do logického směrování a přepínání. Klíčová slova: VMware NSX, síťová virtualizace, logické směrování, logické přepínání 1 Úvod... 2 2 Virtualizace sítě... 3 2.1 Softwarem definovaná datová centra... 3 3 Úvod do VMware NSX platformy pro síťovou virtualizaci... 4 3.1 Jak VMware NSX pracuje?... 4 3.2 NSX Funkční komponenty... 5 3.2.1 NSX Manager... 5 3.2.2 NSX Controller Cluster... 5 3.2.3 VXLAN Primer... 6 3.2.4 NSX Edge Service Geteway... 6 3.2.5 Další komponenty NSX... 6 3.3 Klíčové vlastnosti a charakteristiky... 7 4 Logické přepínání... 8 3.2.6 Režimy replikace do více míst... 8 3.2.7 Multicast režim... 8 3.2.8 Unicast režim... 9 5 Logické směrování... 10 5.1 Komponenty logického směrování... 10 5.2 Možnosti nasazení logického směrování... 10 5.2.1 Fyzický směrovač jako next-hop... 10 5.2.1 Edge Service Geteway jako nex-hop... 11 6 Použitá literatura a citace... 12 duben 2015 1/12

1 Úvod VMware Software Defined Data Center (SDDC) využívá virtualizační technologii datových center pro jejich transformaci ekonomickou cestou, flexibilně a to díky automatizaci a bezpečnému prostředí pro nasazení, které zahrnuje a rozšiřuje stávající investice do výpočetní techniky, síťových úložišť a síťové infrastruktury podniku. Podniková datová centra jsou si dnes již dobře vědomy, obrovské výhody plynoucí z virtualizace serverů a datových úložišť pro konsolidaci a opakované využívání zdrojů IT infrastruktury, snížení provozní složitosti, možnosti dynamicky se přizpůsobit měřítku využívání IT infrastruktury v závislosti na obchodních prioritách, atp. Nicméně síťová infrastruktura datových center nedržela krok s tímto trendem a zůstávala pevná, komplexní, proprietární a uzavřená inovacím a potenciálu, který v sobě přináší virtualizace a technologie SDDC. Síťová virtualizační platforma VMware NSX poskytuje kritický třetí pilíř architektury VMware Software Defined Data Center (SDDC). Síťová virtualizace NSX poskytuje na síti to, co VMware umožňuje pro serverová řešení a datová úložiště. V podstatě stejným způsobem virtualizace serverů umožňuje správcům programově vytvářet snímky (snapshot), dynamicky mazat a obnovovat software na bázi virtuálního stroje (VM). NSX umožňuje vytvoření a uložení virtuálních sítí, jejich smazání a na požádání opětovného vytvoření, bez nutnosti jakékoli rekonfigurace fyzické sítě. Výsledek zásadně mění stávající model sítí datových center a zkracuje a zjednodušuje poskytování síťové infrastruktury v časovém horizontu dnů, nebo týdnů na minuty a výrazně zjednodušuje síťové operace. NSX je řešení, které lze nasadit na jakoukoli IP síť, zahrnující stávající řešení síťové infrastruktury datového centra, nebo na již hotovou architekturu nové generace od libovolného dodavatele sítí. Aktuální model nasazení a správy sítě je pomalý a náchylný k chybám. Provozovatelé sítí jsou tak závislí na terminálu, klávesnici, vytváření skriptů a CLI pro manipulaci s velkým množstvím VLAN, pravidly firewallu, rozložení zátěže (load balance), ACL, QoS, VRF a MAC/IP tables. Je také nutné zajistit, aby změny v síti pro jednu aplikaci neměly nepříznivý dopad na ostatní aplikace. Řízení pracovní zátěže a její mobilita je omezena. Stávající síťový přístup orientovaný na zařízení omezuje možnost manipulovat s vytížením jednotlivých fyzických podsítí a dostupnosti zón. Pro účel dosažení dostupných výpočetních zdrojů v datovém centru jsou provozovatelé sítí nuceni provádět ruční konfiguraci jednotlivých zařízení a konfigurovat VLAN, ACL, pravidla firewallu, apod. Tento proces je pomalý a ve výsledku narazíme na konfigurační limity (např. 4096 pro VLAN). Další problémy se sítí v datových centrech Rozlehlé VLAN způsobené nutností neustále překonávat omezení způsobená fyzickou topologií sítí a IP adresováním, kvůli potřebě logicky seskupovat množiny zdrojů. Rozlehlé sady pravidel firewallu vyplývajících z centralizovaných firewallů, rozmístěných ve stále dynamičtějším prostředí spolu s přidáváním nových pravidel, ale zřídka kdy odstraněním některého pravidla ze strachu z nedostupnosti některé ze služeb. Omezení výkonnosti a zvýšené náklady na síťovou kapacitu Bezpečnostní a slepá místa síťových služeb, která přispívají k výběru směrovacích schémat. Vyšší složitost způsobená dynamickou podporou dnešních cloudových prostředí datových center. duben 2015 2/12

2 Virtualizace sítě Řešením výše zmíněných problémů je virtualizace sítě. Ve skutečnosti je síťová virtualizace koncepčně velmi podobná virtualizaci serverů. Ve virtualizaci serverů softwarová abstrakční vrstva (server hypervisor) reprodukuje známé atributy x86 fyzického serveru (např. CPU, RAM, disky, NIC síťové karty) v software, který umožňuje, aby byly programově sestaveny v libovolné kombinaci pro vytvoření unikátního virtuálního stroje (VM), během několika sekund. Ve virtualizaci sítě, funkční ekvivalent síťový hypervisor přebírá kompletní sadu síťových služeb od vrstvy 2 - Linková vrstva do vrstvy 7 - Aplikační vrstva (např. přepínání, směrování, řízení přístupu, firewall, QoS a vyvažování zátěže), softwarem. V důsledku toho mohou být tyto služby programově sestaveny v libovolné kombinaci, v tomto případě pro vytvoření unikátní virtuální sítě během několika vteřin. Další výhody této technologie jsou odvozeny od virtualizace jako takové. Např. stejně jako VM jsou nezávislé na platformě x86 a umožňují s IT zacházet jako s množinou výpočetní kapacity. Virtuální sítě jsou nezávislé na použitém IP síťovém hardware a umožňují s IT pracovat jako s množinou přepravní kapacity, která může být konzumována a přerozdělována na vyžádání. 2.1 Softwarem definovaná datová centra Softwarem definovaná datová centra (SDDC) je přistup k definování datových center nové generace a má několik přesvědčivých výhod, oproti vznikajícím hardwarově definovaným datovým centrům (HDDC) jako alternativy. V první řadě přístup SDDC je prověřený, tuto pokročilou metodu ve svých aplikacích a platformách využívají například Google a Amazon. SDDC přístup zmíněným korporacím umožnil vybudovat největší, nejvíce agilní a vysoce efektivní datová centra dneška. Další velkou výhodou je, že u SDDC dochází k inovacím rychlostí vydání software, místo toho, aby inovace byly vázány na ASIC (Application Specific Integrated Circuit) a hardware s cykly tři až pět let. Kromě toho, přijímání nových inovací již nevyžaduje vysoce nákladných hardwarových upgradů. Softwarově definovaná datová centra pracují s fyzickou infrastrukturou, která již existuje a může být nasazena bez přerušení provozu vedle stávajících konfigurací bez ohledu na časovém horizontu zvoleném organizací. image vcpu vram vnic Logical switch Logical router Logical firewall API VIRTUALIZATION LAYER API NIC CLI Keyboard Mouse RAM FW CLI Keyboard Mouse VLAN HD Compute CPU LB Network VRF Obrázek 1: Srovnání serverové a síťové virtualizace duben 2015 3/12

3 Úvod do VMware NSX platformy pro síťovou virtualizaci S NSX virtuální sítí jsou programově vytvořeny, zpřístupněny a zpravovány síťové služby s využitím stávající fyzické sítě, jako základní vrstvy pro směrování paketů. Síťové a bezpečnostní služby v software jsou distribuovány do vrstvy hypervisor a připojeny na individuálních virtuálních strojích v souladu s bezpečnostní a síťovou politikou definovanou pro každou připojenou aplikaci. Když je VM přesunut na jiného hosta jeho síťové a bezpečnostní služby se přesouvají s ním. Pokud je vytvořena nová VM z hlediska škálování aplikací, jsou nezbytné politiky dynamicky aplikovány na tyto virtuální stroje. Nasazení NSX má následující výhody Nasazení na hypervisory připojené k existující fyzické síťové infrastruktuře a podpora nové generace technologií a topologií od libovolného dodavatele. Nevyžaduje žádné změny stávajících aplikací a pracovní zátěže Umožňuje IT oddělení postupně implementovat virtuální sítě bez ohledu na rychlost nasazení (bez ohledu na stávající aplikace a konfigurace sítě) Rozšiřují možnost monitorování a správy sítě 3.1 Jak VMware NSX pracuje? NSX je multi-hypervisor řešení, které využívá tzv. vswitches (virtuální přepínače) prezentované již v serverových hypervisorech napříč datovými centry. NSX koordinuje tyto virtuální přepínače a síťové služby do nich vstupující pro připojování VM a efektivní poskytnutí dané platformy (nebo síťového hypervisoru pro vytváření virtuálních sítí). Podobně jako virtuální stroj je softwarový kontejner, který představuje logicky počítané služby pro aplikace, virtuální síť je softwarový kontejner, který představuje logické síťové služby logické přepínače, logické směrovače, logické firewally, logické vyvážení zátěže, logické VPN apod. pro připojený provoz. Tyto síťové a bezpečnostní služby jsou dodávány v software a vyžadují pro svou funkci pouze přeposílání paketů od základní fyzické sítě. Virtuální sítě jsou poskytovány s využitím Cloud Management Platformy (CMP), která využívá REST (Representational state transfer) API zpřístupňující NSX Controller pro požadavky o virtuální sítě a bezpečnostní služby. Controller poté distribuuje nezbytné služby na odpovídající virtuální přepínač (vswitch) a spojí ho s odpovídající zátěží. Tento přístup umožňuje nejen vytvoření různých virtuálních sítí, které jsou spojeny s různou zátěží na stejném hypervisoru. Umožňuje vytvářet vše od základních virtuálních sítí, zahrnujících např. dva uzly, až po velmi pokročilá řešení, které odpovídají komplexní, více segmentové síťové topologii využívané k poskytování vícevrstvých aplikací. Virtuální síť vypadá a pracuje stejně jako tradiční fyzická síť. Zátěž je vidět na stejných vrstvách L2 a L3 a síťové služby na vrstvách 4-7, tak jako v klasické konfiguraci. Síťové služby jsou nyní pouze instance distribuovaných softwarových modulů běžící na hypervisoru, na místním počítači a aplikovány ve vswitch virtuálním rozhraní. duben 2015 4/12

Schopnost aplikovat / uplatňovat bezpečnostní služby na vswitch virtuálním rozhraní rovněž eliminuje hairpinning (popisuje komunikaci mezi dvěma počítači za stejným NAT zařízením) nešťastnou vlastnost tradiční fyzické sítě. Například komunikace dvou VM na stejném hypervisoru, ale v rozdílných podsítích, musí projít sítí pro dosažení nezbytné služby, jako je směrování, nebo firewall. 3.2 NSX Funkční komponenty S logickými sítěmi vytvořenými na NSX platformě pracují dva typy přístupových vrstev. První z nich přístupová vrstva Hypervisor (Hypervisor Access Layer) reprezentuje bod pro připojení k logické síti pro virtuální koncové body (virtuální stroje), zatímco druhá přístupová vrstva Brány (Geteway Access Layer) zajišťuje L2 a L3 konektivitu vnitřního logického prostoru na fyzická zařízení a koncové body umístěné v tradiční fyzické síťové infrastruktuře. Jednou z hlavních výhod síťové virtualizace je schopnost oddělení logické síťové konektivity od základní fyzické síťové vrstvy a poskytnutí jistého druhu abstrakce logické sítě a funkcí. K tomuto účelu slouží několik funkčních komponent, které zajišťují požadovanou funkcionalitu a tvoří tak NSX pro vsphere architekturu. 3.2.1 NSX Manager Správce NSX je centralizovaná síťová komponenta pro management NSX, spravuje síť a síťové služby pomocí serverového prostředí vcenter. Poskytuje souhrnné zobrazení systému, umožňuje konfiguraci logických přepínačů a připojování virtuálních strojů těchto logických přepínačů. Poskytuje také rozhraní pro správu a vstupní bod pro API NSX, které pomáhá automatizovat nasazení a správu logických sítí prostřednictvím platformy pro správu Cloud. Správce NSX je zodpovědný za nasazení Controller Clusterů a za přípravu hostitelského ESXi, za instalaci různých vsphere instalačních balíčků s funkcemi pro VXLAN, Distribuovaným Firewall, apod. NSX Správce také umožňuje nasazení a konfiguraci služby NSX Edge a služby přidružených sítí (vyrovnávání zátěže, NAT, atd.). 3.2.2 NSX Controller Cluster Řadič klastrů na platformě NSX je komponenta zodpovědná za řízení přepínacích a směrovacích modulů v hypervisoru. Řadič klastrů se skládá z uzlů, které spravují specifické logické přepínače. Použití řadiče klastrů pro řízení VXLAN založeném na logických přepínačích eliminuje potřebu podpory multicastingu z fyzické infrastruktury. Zákazníci si nyní nemusejí opatřovat skupiny multicast IP adres a také nemusí povolovat PIM (Protocol-Independent Multicast) směrování, nebo IGMP (Internet Group Management Protocol) snooping funkcí na fyzických směrovačích a přepínačích. NSX řadič také podporuje mechanismus potlačení ARP, který snižuje zaplavení L2 domény, kde jsou připojeny virtuální stroje ARP všesměrovými požadavky. NSX Controller Cluester je distribuovaný a škálovatelný systém, který podporuje VXLAN a funkce distribuovaného směrování. Je to centrální kontrolní bod pro všechny logické přepínače v síti a udržuje informace o všech virtuálních strojích, hostech, logických přepínačích a VLAN. Controller podporuje dva režimy logického přepínání Unicast a Hybrid. duben 2015 5/12

3.2.3 VXLAN Primer Nasazení překrývajících technologií (overlay technologies) se stalo velmi populární, díky její schopnosti oddělení konektivity v logickém prostoru od fyzické síťové infrastruktury. Zařízení připojená k logické síti mohou využívat celou řadu funkcí sítě, nezávisle na tom jak je spodní fyzická vrstva síťové infrastruktury nakonfigurována. Fyzická síť se tak stává účinnou sběrnicí sloužící k přepravě tohoto provozu. Virtual Extensible LAN (VXLAN) se stal de-facto standardem překrývajících technologií, byl vyvinut ve spolupráci s VMware Arista, Broadcom, Cisco, Citrix, Red Hat a dalšími. Nasazení VXLAN je klíčem k vytvoření logických sítí. VXLAN je L2 přes L3 (L2oL3) technologie zapouzdření rámce. K původnímu rámci Ethernet jsou přidány VXLAN, UDP, IP a Ethernet hlavičky, k zajištění přepravy tohoto rámce přes síťovou infrastrukturu propojující VXLAN koncové body (ESXi). Omezení 4096 VLAN na tradičních přepínačích byl vyřešen přidáním 24 bitového identifikátoru, který se nazývá VXLAN Network Identifier (VNI), který je asociován ke každému L2 segmentu vytvořenému v logickém prostoru. 3.2.4 NSX Edge Service Geteway NSX Edge poskytuje velké množství služeb, jako je například firewall, směrování a NAT, vyvážení zátěže, L2,L3 VPN, DHCP, DNS. Existují dva typy NSX Edge, které lze instalovat jako logický směrovač, nebo službu brána. Brána NSX spojuje izolované Stub pahýlové sítě tím, že poskytuje služby jako je DHCP, VPN, NAT, dynamické směrování a rozložení zátěže. NSX Edge umožňuje centralizované (on-ramp/off-ramp) směrování mezi sítěmi umístěnými v NSX doméně a vnější fyzickou síťovou infrastrukturou. NSX Edge podporuje různé druhy směrovacích protokolů (OSPF, ibgp a ebgp) a může také komunikovat s využitím statického směrování. NAT může být konfigurován pro provoz protékající skrz Edge a je podporován jak zdrojový (source), tak cílový (destination) NAT. 3.2.5 Další komponenty NSX Host Level Kernel Module existují čtyři moduly nasazené na každém vsphere hostovi. Tyto hypervisory umožňují následující funkcionalitu a funkčnost Port Security, VXLAN, distribuovaný firewall (DFW) a distribuované směrování (DR) NSX vswitch je software který pracuje v hypervisoru serveru a vytváří softwarovou abstrakční vrstvu mezi servery a fyzickou sítí. NSX distribuovaný firewall je v jádře vestavěný firewall, který poskytuje přehled a kontrolu nad virtualizovanou zátěží a sítěmi. Lze vytvořit politiky přístupu založené na objektech VMware vcenter, jako jsou datová centra a klastry, názvy a tagy virtuálních strojů, síťových konstrukcí jako jsou IP/ VLAN/ VXLAN adresy, stejně jako uživatelských skupinách z Active Directory. duben 2015 6/12

3.3 Klíčové vlastnosti a charakteristiky Jakákoli aplikace. Aplikace / zátěž nemusí být modifikovány při přechodu na virtuální síť, z pohledu sítě zde není žádný rozdíl od fyzické sítě. Jakýkoli hypervisor. Podpora out-of-the-box je dostupná pro mnoho hypervisorů (zahrnujících Xen, KVM a VMware ESXi), přičemž pokrytí může být rozšířeno na další (Microsoft Hyper-V), rekonfigurace je začleněna jako standardní vlastnost vswitch prostředí. Jakákoli síťová infrastruktura. Nezávislost na použitém hardware je dosažena skutečností, že NSX nevyžadují víc, než přeposílání paketů od spodní vrstvy IP struktury. Jakákoli cloud platforma pro správu. Out-of-the-box je k dispozici pro mnoho cloud platforem pro řízení (včetně CloudStack, OpenStack, VMware vcloud Automation Center) a integrace s ostatními platformami pro správu je poskytována prostřednictvím NSX API prostředí. NSX Manager 1 Konfigurace logického směrovače a přepínače vcenter 1 3 2 Logický směrovač 3 Vyrovnání zátěže, Firewall, VPN konfigurace 2 4 4 Směrovací informace NSX Controller NSX Edge NSX v-switch VXLAN Distributed Logical Router Firewall Hypervisor Extension Modules Obrázek 2: Základní komponenty NSX duben 2015 7/12

4 Logické přepínání Schopnost logického přepínání na NSX platformě poskytuje uživatelům možnost rychle vytvářet logické L2 sítě se stejnou flexibilitou a obratností, tak jako je tomu u virtuálních strojů. Koncové body, virtuální i fyzické pak můžeme připojit k těmto logickým segmentům a můžeme navázat konektivitu nezávisle na konkrétním místě, kde v datovém centru jsou nasazeny. Toto je možné díky oddělení mezi fyzickou síťovou infrastrukturou a logickou sítí (podkladní a překrývající sítí). Logické přepínání s využitím překrývajících technologií VXLAN umožňuje protažení L2 domény (logický switch) přes více serverových racků, nezávisle na spodní síťové vrstvě L2, L3 mezi těmito racky. Za povšimnutí stojí, že logické funkce přepínání musí umožnit jak komunikaci virtuální stroj virtuální stroj, tak virtuální stroj fyzický stroj v každém segmentu sítě. Realizace NSX VXLAN VLAN mostu je rovněž nutné pro docílení komunikace z logické do fyzické sítě, tak jak je tomu často v případě vrstev u DB. 3.2.6 Režimy replikace do více míst Pokud dva stroje společně s různými ESXi hosty potřebují komunikovat přímo mezi nimi, dochází k výměně unicast provozu zapouzdřeného do VXLAN, který je vyměňován mezi dvěma VTEP IP adresami asociovanými s příslušnými hypervisory. Někdy provoz pocházející z VM musí být odeslán na všechny ostatní VM, které patří do stejné L2 broadcast domény (logickému přepínači). Toho je možné dosáhnout třemi způsoby Broadcast, Unknown Unicast, Multicast (tzv. BUM). V každém z těchto tří uvedených scénářů provoz pocházející z daného ESXi hosta je replikován na více vzdálených zařízení. NSX podporuje tři možné replikační režimy, které umožňují komunikaci na více koncových stanic pro VXLAN a logickém přepínači. Těmito režimy jsou Multicast, Unicast a Hybrid. Ve výchozím nastavení logický přepínač převezme režim replikace z tzv. Transport Zone. Nicméně režim může být přepsán na daném logickém přepínači. 3.2.7 Multicast režim Pokud je vybrán režim replikace Multicast na daném logickém přepínači, NSX spoléhá na metodu Multicast na vrstvě L2 a L3 fyzické sítě datového centra. Provoz na VXLAN je zapouzdřen a odeslán na všechny VTEP segmenty (rozhraní). V tomto režimu je zapotřebí aby multicast IP adresa byla asociována s každým definovaným L2 VXLAN segmentem (logický přepínač). L2 Multicast se používá k replikaci provozu na všechny VTEP lokální segmenty (VTEP IP adresy jsou částí stejné IP podsítě) a IGMP snooping by měl být nastaven na fyzických přepínačích pro optimalizaci poskytování L2 multicast provozu. Pro zajištění že multicast provoz bude také doručen do VTEP na jiných podsítích, síťový administrátor musí nakonfigurovat PIM a musí umožnit L3 multicast směrování. duben 2015 8/12

3.2.8 Unicast režim Unicast režim představuje zcela odlišný přístup než režim multicast, kde je plně dosaženo oddělení logické a fyzické sítě. V unicast režimu jsou ESXi hosté v NSX doméně rozděleni do oddělených skupin (VTEP segmentů) na základě IP podsítě do které patří jejich VTEP rozhraní. ESXi host v každém VTEP segmentu je vybrán tak, aby hrál roli Unicast tunelového koncového bodu (UTEP). UTEP je zodpovědný za replikaci obdrženého provozu do více míst, provoz je obdržen od ESXi hypervisoru hostujícího VM, které odebírají provoz a patří do jiného VTEP segmentu všemi ESXi částmi svého segmentu (tj. jehož VTEP patří do stejné podsítě UTEP VTEP rozhraní). Režim unicast nepotřebuje žádnou explicitní konfiguraci na fyzické síti k povolení distribuce VXLAN provozu. Tento model je vhodný pro nasazení do malých sítí s několika VTEP segmenty a několika fyzickými segmenty. Nicméně mód není doporučován pro rozlehlá prostředí, zejména tam kde VM generují velké množství BUM provozu, režie replikace se zvyšuje s počtem segmentů. 3.2.9 Hybridní režim Hybridní režim poskytuje jednoduchost podobnou Unicast režimu (není nutné nastavovat IP multicast směrování na fyzické síti), s využitím schopností multicast na fyzických přepínačích. MTEP využívá L2 multicast pro replikaci BUM rámců, zatímco UTEP využívá pro tuto činnost unicast rámce. Obrázek: Logické přepínání (logický a fyzický pohled) duben 2015 9/12

5 Logické směrování Logické směrování na platformě NSX umožňuje propojení koncových bodů (virtuálních a logických) rozmístěných v různých logických L2 sítích. Jak již bylo zmíněno dříve, toho je opět dosaženo díky oddělení fyzické síťové infrastruktury a logické sítě, což nám umožňuje nasazení virtualizace sítí. Nasazení logického směrování může sloužit ke dvěma účelům: jako propojení koncových bodů (logických, nebo fyzických), patřících do samostatné logické L2 domény, nebo jako propojovací koncové body patřící do logických L2 domén se zařízeními nasazenými v externí L3 fyzické infrastruktuře. První zmíněný případ je obvykle omezen na vnitřní strukturu datového centra a je označován jako eastwest komunikace. Druhý zmíněný případ se označuje jako north-south komunikace a poskytuje konektivitu z vnějšího fyzického světa směrem do datového centra (WAN, Internet, Intranet). 5.1 Komponenty logického směrování Těchto dvou výše uvedených komunikačních přístupů logického směrování (east-west, north-south) je obvykle dosaženo s využitím dvou různých funkcí: centralizovaného směrování a distribuovaného směrování. Centralizované směrování umožňuje komunikaci mezi logickým síťovým prostorem a externí L3 fyzickou infrastrukturou. Tuto funkcionalitu poskytuje NSX Edge Servisní brána, která nabízí podporu tradičního centralizovaného směrování na NSX platformě. Spolu se službami pro směrování, NSX Edge obsahuje také další síťové služby jako například DHCP, NAT Firewall, Load Balancing a VPN. Centralizované směrování lze využít pro oba případy nasazení east-west a north-south komunikaci. Distribuované směrování je zajištěno logickým prvkem nazývaným Distribuovaný logický směrovač (Distributed Logical Router DLR), který se skládá ze dvou hlavních komponent. Řízení DLR je umožněno pomocí DLR kontrolního virtuálního stroje. Tato VM podporuje protokoly pro dynamické směrovaní (BGP, OSPF), vyměňuje si směrovací informace se sousedním zařízením (obvykle NSX Edge) a komunikuje s NSX Manager a Controller Cluster komponentami. Vysoká dostupnost kontrolní VM je zajištěna díky Active Standby pohotovostní konfiguraci, kde dva virtuální stroje v tomto režimu zajišťují vysokou spolehlivost služby. Datová úroveň je zajištěna pomocí DLR kernel modulů (VIBs), které jsou nainstalovány na ESXi hostech jako část NSX domény. Kernel moduly jsou podobné kartám síťového rozhraní v modulárním šasi podporující L3 směrování. Kernel moduly obsahují směrovací tabulky (RIB routing information base), které jsou plněny skrz Controller Cluster komponentu. Veškeré funkce na datové úrovni, jako vyhledávání trasy, nebo ARP jsou prováděny Kernel moduly. Kernel moduly jsou vybaveny logickými rozhraními (LIFs), které se připojují k různým logickým přepínačům (a/nebo VLAN-backed port-groups). Každý LIF má nakonfigurovánu IP adresu představující výchozí bránu pro logický L2 segment a vmac adresu. IP adresa je samozřejmě jedinečná pro každý LIF, zatímco stejná vmac je přiřazena všem definovaným LIF. 5.2 Možnosti nasazení logického směrování V závislosti na požadavcích uživatelů lze s využitím logického přepínání a logického směrování vybudovat na platformě NSX různé síťové topologie. 5.2.1 Fyzický směrovač jako next-hop Tato topologie slouží k hostování více aplikací a poskytnutí konektivity mezi různými aplikačními úrovněmi, stejně tak jako pro připojení k externí síti. V této topologii poskytují oddělené logické přepínače síťovou L2 duben 2015 10/12

konektivitu pro virtuální stroje v dané vrstvě a přístupy east-west a north-south směrování jsou řešeny distribuovanou formou na úrovni hypervizora. Distribuované směrování umožňuje virtuálním strojům na dvou různých úrovních spolu vzájemně komunikovat. Podobně podpora dynamického směrovacího protokolu na logickém směrovači umožňuje výměnu směrovacích informací (cest) s fyzickým next-hop směrovačem. Tyto funkce ve výsledku umožňují uživatelům přístup k aplikacím připojeným k logickým přepínačům uvnitř datového centra. Nevýhodou tohoto řešení je, že VLANy používané DLR směrovačem pro zasílání provozu na fyzický směrovač musí být dostupné na všech ESXi hostovaných výpočetních zdrojích, což může, nebo nemusí být umožněno v závislosti na konkrétním řešení datového centra. 5.2.1 Edge Service Geteway jako nex-hop V tomto modelu DLR Control VM a NSX Edge existují na stejné VXLAN tranzitní lince, zatímco NSX Edge navíc využívá uplink rozhraní pro konektivitu se sousední fyzickou síťovou infrastrukturou, respektive fyzickým směrovačem. Použití VXLAN mezi DLR směrovačem a NSX Edge umožňuje odstranit závislost fyzické síťové infrastruktury, co se týče propojení mezi hostiteli ESXi (kde je DLR směrování použito pro odchozí provoz) a NSX Edge, vzhledem k tomu, že je provoz VXLAN zapouzdřen na datové rovině. Další výhodou plynoucí z tohoto řešení je, že směrování mezi logickým prostorem a fyzickou sítí může být konfigurováno již ve fázi počáteční inicializace a konfigurace. Nasazení dalších DLR směrovačů již nevyžaduje jakoukoli modifikaci fyzické sítě, ani neovlivní směrování a navázané sousednosti s fyzickými směrovači. Je dosaženo plného oddělení logické a fyzické sítě. Jedním z nevýhod řešení je, že veškerý provoz north-south prochází skrz tranzitní linku k NSX Edge, což může znamenat omezení z hlediska šířky pásma. Obrázek 4: Ukázka webového prostředí vsphere duben 2015 11/12

6 Použitá literatura a citace [1] VMware NSX for vsphere (NSX-V): Network Virtualization Design Guide. In: [online]. [cit. 2015-05- 04]. Dostupné z: https://www.vmware.com/files/pdf/products/nsx/vmw-nsx-network-virtualization-designguide.pdf [2] The VMware NSX Network Virtualization Platform: VMware Solutions: Designed for Early and Ongoing Success. In: [online]. [cit. 2015-05-04]. Dostupné z: https://www.vmware.com/files/pdf/products/nsx/vmware-nsx-network-virtualization-platform-wp.pdf [3] VMWARE, Inc. Vmware [online]. 2015 [cit. 2015-05-04]. Dostupné z: https://www.vmware.com/ [4] VMWARE, Inc. My vmware: VMware Education [online]. 2015 [cit. 2015-05-04]. Dostupné z:http://mylearn.vmware.com/mgrreg/index.cfm [5] Virtualizační technologie VMware NSX se stále větší podporou. Svět sítí [online]. 2013 [cit. 2015-05- 04]. Dostupné z:http://www.svetsiti.cz/clanek.asp?cid=virtualizacni-technologie-vmware-nsx-se-stalevetsi-podporou-4112013 [6] Representational State Transfer. Wikipedie [online]. 2015 [cit. 2015-05-04]. Dostupné z:http://cs.wikipedia.org/wiki/representational_state_transfer [7] Hairpinning. Wikipedie [online]. 2014 [cit. 2015-05-04]. Dostupné z: http://en.wikipedia.org/wiki/hairpinning duben 2015 12/12

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář