国内热闹非凡的云市场,这边是公有云步步为营,那边厢私有云攻城略地——在2015年,我国的政务云市场达到47亿元的规模,根据政务云发展资料推测,预计对应私有云市场在2018年会接近1000亿的规模,到2020年有望达到5500亿元的规模。
来自《2016年企业云市场情况调查报告》的数据,在被调查的客户中:44%的客户正在使用或者计划实现企业私有云,27%的客户在评估企业私有云,而28%的客户不考虑企业私有云;对待公有云的态度:37%的客户正在使用或者计划使用公有云,28%的客户在评估公有云,而35%的客户不考虑公有云。很明显,私有云在企业中越来越被推崇,因为很多企业还是遵循着不敏感的非核心工作负载可以考虑放到公有云上,敏感的数据和信息放在传统的本地端或者私有云,由此可以推断未来很长一段时间,大部分企业会维持着私有云为主导的混合云模式。
人们对云计算的期望就像用水或者用电一样按需使用,但是很多企业客户往往更多地关注在私有云中的服务器/存储虚拟化技术,而忽略了网络方面的瓶颈。这就好比发电站功率再强劲,如果没有电网的畅通传送,用户也无法享受到便利。
所以在云计算,特别是私有云业务环境中,企业需要灵活、可靠、高效的数据网络来承载云计算业务。
大部分传统网络厂商由于自身产品已占有市场不少的份额,在SDN领域的推动与跟进方面缺乏动力,戴尔作为以开放式、标准化为理念的IT厂商则无历史包袱,积极与业内领导的SDN软件提供商Big Switch合作,推出基于戴尔硬件+Bigswitch软件的SDN解决方案。
BCF(Big Cloud Fabric)是业界***个支持开放式以太网交换机的leaf/spine SDN架构。BCF控制器使用单一透明的网络管理,方便故障排除,可视化和分析整个物理、虚拟网络环境,给网络的灵活性,自动化和运营效率带来巨大的改善。除了提供2/3层(交换和路由)服务之外,BCF还支持通过插入与链合功能提供4-7层服务。BCF跟RedHat的Openstack平台、VMware平台深度集成,在Docker容器环境下也有很好的支持。对于企业客户,戴尔+Bigswitch BCF的SDN解决方案有三大优势:
1. 统一控制。安装与配置速度提高从以前的几天提高到几个小时完成,与虚拟化、云计算天然集成,应用部署从1天提高到30分钟以内;
2. 零接触。采购及运维成本降低50%以上,可以做到在15分钟内完成全网更新;
3. 开放式、标准化软硬件平台可以实现随扩展付费。
在企业私有云环境中,这的确是一个很不错的解决网络方案。包括媒体、运营商、金融等领域都在尝试将SDN作为IT建设的亮点。国内某省广电网络集团公司在节目播出平台中采用了戴尔开放网络交换机+BCF的SDN解决方案,以标准化设备为平台,提供统一可管理网络平台,满足该客户传统媒体和新兴媒体在内容、渠道、平台、经营、管理等方面的深度融合要求。
BCF虽然功能强大,但是它支持的是开放式以太网交换机,几乎100%的企业客户都会有老旧的交换机,这些交换机不支持开放式网络,让企业客户摈弃之前的网络设备,全部采购开放式以太网交换机搭建全新的网络不太现实,所以一定要考虑SDN解决方案如何兼容旧式的交换设备或者传统的网络,网络虚拟化可以做到这一点。就如同服务器虚拟化一样,网络虚拟化技术可以在现有的物理网络之上创建一个与之解耦的独立虚拟网络,虚拟网络独立于底层网络硬件平台并允许将物理网络视为可以按需(例如按使用量和用途)进行自动服务的传输容量池,实现网络虚拟化后,与服务器虚拟化Hypervisor类似的”网络虚拟化管理程序”可以在软件中重现2到7层的整套网络服务,包括交换、路由、访问控制、防火墙、QoS、负载均衡等。因此,可以通过编程方式以任意组合来组合这些服务,只需短短数秒,即可生成***的隔离式虚拟网络。VMware NSX就是网络虚拟化技术中的杰出代表。
NSX能够部署在任何IP网络上,包括所有的传统网络模型以及任何供应商提供的新一代体系结构,无需对底层网络进行重构。NSX来源于VMware对Nicira的收购,Nicira NVP平台本身对多种Hypervisor就有很好地支持,因此,NSX可以部署在VMware vSphere、KVM、Xen等诸多虚拟化环境中,同时跟OpenStack也有很好地集成。
如上图所示,NSX主要包含数据面板、控制面板和管理面板。
数据面板主要组件是NSX虚拟交换机(vSwitch)。虚拟交换机基于vSphere中的分布式交换机(VDS),或者基于非VMware虚拟环境中的OVS(Open vSwitch)。通过将内核模块安装到Hypervisor之上,实现VXLAN、分布式路由、分布式防火墙等服务。数据面板还包含边界网关设备(NSX Edge),作为虚拟网络和物理网络进行通信的网关。
控制面板主要组件是NSX 控制器。它是以虚机的形式安装,并以虚拟服务的形式与NSX 管理器集成。可以将NSX 控制器理解为BCF架构中的BCF控制器,它只将信令发布给数据面板。
管理面板主要组件是NSX 管理器。它提供Web界面配置和管理整个NSX网络虚拟化环境中的所有组件。NSX 管理器还提供REST API接口,为VMware或者第三方云管理平台提供接口。
这里特别提及一下NSX防火墙微分段技术。以往的物理传统防火墙都是架设在数据中心边界,可以通过策略设置有效提升南北流量的安全控制,但是对于现代数据中心,东西流量要远远大于南北流量,传统的物料防火墙对内部的东西流量几乎没有任何安全控制。不少的安全厂商提出了虚拟防火墙技术,但是这种技术的本质是在物理主机中安装一台虚拟机来实现,这意味着每一台物理主机下属所有虚机公用一台虚拟防火墙。微分段就是针对这些旧式的防火墙技术策略颗粒度太粗而提出的。
使用了基于NSX微分段的分布式防火墙之后,可以在每一台虚机之上部署一台防火墙,并与虚机的每台虚拟网卡(vNIC)进行策略关联,使得每台虚机的流量在出栈和入栈时都可以得到安全防护,执行就近的允许、拒绝和阻断策略。微分段技术将防火墙的颗粒度精细到每台虚机之上,其策略与虚机绑定,这就意味着防火墙策略无需关心IP地址,可以随虚机迁移而迁移,就算在同一个网段内两台虚机之间也能实现与IP地址无关的安全策略,相比传统防火墙技术,基于NSX微分段的分布式防火墙是实实在在革命性的技术突破,提供了2到4层的安全防护。5-7层的安全防护可以通过集成合作伙伴的安全解决方案来实现。
总之,以NSX方案搭建数据中心网络的最终效果就是:无论数据中心规模有多大,无论有多少物理或者虚拟服务器,无论底层的网络有多复杂,无论多站点数据中心跨越多少地域,在NSX方案的帮助下,对于IT人员或者用户来说,这些运行在多个站点数据中心复杂网络之上成千上万的虚机,就好像连在同一台物理交换机上一样!但是等等,NSX是无法控制物理网络交换设备的,底层物理网络的连通性是部署NSX的前提,如果在NSX环境中要修改物理网络交换设备的配置怎么办?嘿嘿,让网络管理员自己想办法吧!
小 结
戴尔硬件+BCF的SDN解决方案能够快速部署和统一管理开放式以太网交换机,但是无法管理非开放式以太网交换机;NSX网络虚拟化解决方案可以在现有物理网络设备上创建与之解耦的虚拟网络,可以按需创建、修改、删除虚拟网络或者与之相关的组件,可以支持多种Hyperviosr,跟OpenStack有很好的集成,但是无法管理物理网络设备。
中国的私有云市场非常广阔,而在企业的私有云环境中,戴尔硬件+BCF的SDN解决方案配合NSX网络虚拟化解决方案是一个***的网络方案组合,它不仅可以有效的保护和利用了客户以往的投资,让客户能更好地接受和投资开放式网络,加快网络设备的部署和应用上线,还能统一、灵活、高效的管理网络,提供***的安全性,让网络随着企业私有云的规模、随着业务的发展动态而扩展和变更。