VMware NSX Network

Virtualization Design Guide

Muhammad Bayat

Tehran Polytechnic

Summer 2014

فهرست مطالب

مقدمه

اجزاءNSX

فیزیکیشبکه

برگهایسوئیچ

هایسوئیچSpine

پذیریمقیاس

سرویسکیفیت

دادهمرکزطراحی

محاسباتیهایرک

هاترافیکانواع

زیرساختهایرک

2

فهرست مطالب

مرزیهایرک

سطحیچندکاربرداساسبرطراحیمالحظات

منطقیسوئیچینگ

منطقیمسیریابی

شدهتوزیعمسیریابی

منطقیمسیریابیاجزاء

بعدیگامعنوانبهفیزیکیروترازاستفاده

بعدیگامعنوانبهمرزیهایسرویسروترازاستفاده

منطقیآتشدیواره

منطقیبارتوازن

گیرینتیجه

3

مقدمه

NSXهایقابلیتتریناصلیازیکیSDDCاست.

NSXمیکندسازیپیادهشبکهسطحدرراسازیمجازی.

ماشینیکمیتوانسرورسازیمجازیدرکههمانطوردرگرفت،snapshotیاوکردحذفساخت،رامجازیNSXرامحورافزارنرممجازیهایشبکهمیتوانهم.گرفتsnapshotآنازیاوکردحذفساخت،

NSXهایشبکهانواعرویبرسازیپیادهقابلیتIPرادنخواهایجادفعلیشبکهدراختاللیگونههیچوداراست

.کرد

ازاستفادهباNSXهالیازشبکههایسرویستمامیمیتوان.کردسازیپیادهافزارنرمتوسطرا7الیهتا2

همچونهاییسرویسSwitching, routing, ACL,firewalling, QOS, load balancingهایقابلیتاز

NSXباشدمی.

شبکهسازیمجازیباراسرورسازیمجازیروبروشکل.استکردهمقایسه

مقدمه4

دادهسطح

شاملNSX vSwitchاین.باشدمیvSwitchهمانVDSمیکندازیسشبیهرافیزیکیالیهکهاستبیشترهایقابلیتبا.میکندفراهمhypervisorدررادسترسیالیهسوئیچو

مزایایvSwitch:

ایهپروتکلازاستفادهباپوشانشبکهازپشتیبانیVXLAN, STT, GRE

هایقابلیتازپشتیبانی:Port Mirroring,NetFlow/IPFIX, QOS, LACP

تجهیزاتشاملدادهسطحgatewayباشدمینیز.GatewayNSXمعموالً Edgeباشدمی.NSX Edgeهاییسرویس

load-balancing،SSL،3و2الیهدرآتشدیوارههمچونVPN،DHCPکندمیفراهمراغیرهو.

کنترلسطح

کنندهکنترلتوسطکنترلسطحNSXشودمیسازیپیاده.

دردادهارسالالیۀکننده،کنترلvSwitchمیریزیبرنامهرا.کند

هکنندکنترلازدادهسطحبهمربوطهایترافیکازهیچیک.کنندنمیعبور

NSX(1)اجزاء

5

مدیریتسطح

مدیرتوسطمجازیشبکهمدیریتNSXمیانجام.شود

مدیرNSXهنقطیکازرامجازیشبکهپیکربندی.کندمیفراهم

مصرفسطح

باتعاملNSXطرابطریقازمستقیمبطورتواندمی.شودفراهمNSXمدیریکاربری

محیطدرvSphere،باتعاملNSXازتواندمی.شودفراهمvSphereوبتحتکاربریرابططریق

NSXباشدنیکپارچهقابلیتOpenStack،vCloud DirectorوVmware vCloud

Automation Centerداردرا.

NSX(2)اجزاء

6

کاربردیهایسرویسNSXبرایvSphere

منطقیدوالیه:NSXیاودوالیهسگمنتتوسعهقابلیتIP Subnetطراحیگرفتننظردربدونشبکههرجایدررا.داردشبکهفیزیکی

توسط:3الیهدرشدهتوزیعمسیریابیNSXبهازنیوپذیردصورتمنطقیفضایدرمیتواندهاسابنتبینمسیریابیحافظۀوپردازندهسربارومیگیردصورتhypervisorهستهدرمسیریابیاین.نباشدفیزیکیروترسمتبهترافیکارسال.داردکمی

هستۀدرامنیتاجرای:شدهتوزیعآتشدیوارهhypervisorسطحدروهاvNICکهشودمیباعثاین.باشدمیها.گرددشبکهگلوگاهفیزیکیتجهیزیکاینکهبدونباشد،باالپذیریمقیاسباآتشدیوارهرولهایاجرای

منطقیبارتوازن:NSXازپشتیبانیقابلیتload-balancingداراسترا7تا4الیهاز.

NSX(3)اجزاء

7

مجازی سازی شبکهVMwareقابلیت پیاده سازی بر روی شبکه موجود مراکز داده را داراست.

در بخش اول به نیازمندی های شبکه فیزیکی می پردازیم.

یکی از مهمترین اهداف مجازی سازی شبکه فراهم نمودن انتزاعی از ارتباط شبکه فیزیکی و شبکه مجازی است.

قابلیت هایی که شبکه فیزیکی باید داشته باشد:

سادگی

مقیاس پذیری

عرض باند باال

مقاومت در برابر خطا

کیفیت سرویس

شبکه فیزیکی8

ندنباشپیچیدهبایددادهمرکزهایسوئیچپیکربندی.

یادسترسیالیهسوئیچآنبهکه:برگسوئیچToRهم.گویندمی

کیداخلسرورهایبرایراشبکهبهدسترسیسوئیچاین.کندمیفراهمرک

کمترینبایدهستندمتصلسرورهابهکهپورتهایی.باشندداشتهراپیکربندی

لینکطریقازسوئیچاینtrunkبهVDSمیمتصل.شود

ازاستفادهباSVI،سوئیچاینgatewayازیکهرVLANباشدمیها.

سوئیچباسوئیچایناتصالSpineطریقازuplinkبهو.باشدمیroutingموددرانتهابهانتهاصورت

همچونپویامسیریابیهایپرتکلOSPF،ISISوBGPوبرگسوئیچبینSpineشودمیپیکربندی.

سادگی«سوئیچ های برگ»

9

وئیچسبهکهاستهاییاینترفیسشاملفقطسوئیچاین.شوندمیمتصلبرگهای

صورتبههااینترفیستمامیroutingانتهابهانتها.اندشدهپیکربندی

هایسوئیچبیناتصالSpineنداردضرورتی.

وبرگسوئیچبیناتصالکهدرصورتیSpineبرود،بینازنمیورعبلینکآنازرارکهایترافیکمسیریابیپرتکل.دهند

سادگی«Spineسوئیچ های »

10

هستندتوجهموردپذیریمقیاسدرکهعواملی:ازعبارتند

هارکتعداد

دادهمرکزدرهارکبینباندپهنایمیزان

رکباارتباطبرایبرگسوئیچیککهمسیرهاییتعدادکندانتخابتواندمیدیگرهای

هایسوئیچبهبرگهایسوئیچهایلینکتعدادSpine،بینارتباطمسیرهایتعدادکنندهمشخص

.استهارک

ستاثابترکدوهربینگامهایتعداداینکهدلیلبهequal-costقابلیتازتوانمیبنابراین

multipathing (ECMP)کرداستفاده.

مقیاس پذیری11

عبورخودازرامختلفیهایترافیکبایدمجازیشبکهبهمربوطهایترافیکومدیریتیمشتریان،ترافیک.دهد

.باشندمیآنهاازاینمونهسازهاذخیره

ایبربفردیمنحصرهایویژگیهاترافیکاینازهرکدام.دارندخود

مجازیمحیطدرhypervisorسسرویکیفیتپیکربندی.داردعهدهبررامختلفهایترافیکبرای

شدهپیکربندیمقادیراینبهبایدفیزیکیهایسوئیچ.نیستمجددپیکربندیبهنیازیوکننداعتماد

برمجازیهایسوئیچبهمجازیهایماشینکهزمانیازQoSمقادیرشوند،میمتصلVXLANمبنای

کردنکپسولهسرآینددربستهداخلیسرآیندهایVXLAVشوندمیکپی.

هاتهبسبرایفیزیکیهایسوئیچسرآینداینمبنایبر.شوندمیقائلاولویت

کیفیت سرویس12

داردوجودرکنوعسهدادهمرکزطراحیدر:

محاسباتیهایرک

زیرساختهایرک

مرزیهایرک

شبکهسازیمجازیدر:نکتهVLANازتوانندنمیهاسوئیچهمانهاVLANمحدودۀوشوندخارجرک.باشندمیبرگهای

طراحی مرکز داده13

دارندقرارهارکایندرمستأجرهامجازیهایماشین.

هارکاینطراحیهایویژگی:

موجودفیزیکیشبکهباهمکاریوهماهنگیقابلیت

گسترشبهنیازعدمVLANرکازخارجبهها

1لینکچندینازاستفادهبارکداخلسرورهایGbEیاو10GbEشوندمیمتصلرکداخلبرگسوئیچبه.

توسطمختلفهایترافیکVLANشوندمیجداها.

هرمحدودهVLANباشدمیبرگسوئیچتافقطنیز.

Hypervisorاستترافیکنوعچهارمنبع:

ترافیکVXLAN

مدیریتیترافیک

بهمربوطترافیکvSphere vMotion

سازهاذخیرهبهمربوطترافیک

رک های محاسباتی14

ترافیکVXLAN:

برمبتنی2الیهمنطقیهایشبکهازیکیبهمجازیهایماشینVXLANشوندمیمتصل.

بصورتمجازیهایماشینهایترافیکVXLANشوندمیکپسوله.

تشخیصقابلیتفیزیکیهایسوئیچIPوMACندارندرامجازیهایماشین.

آدرسازفابریکشبکهرویبرترافیکارسالبرایIPتونلvirtual tunnel endpoint (VTEP)شودمیاستفاده.

معروفندغربی-شرقیهایترافیکبهشوندمیبدلورددادهمرکزیکدرمجازیهایماشینبینکههاییترافیک.

معروفندجنوبی-شمالیهایترافیکبهشوندمیخارجدادهمرکزازکههاییترافیک.

مدیریتیترافیک:

شوندنمیخارجدادهمرکزازهاترافیکاین.

داردوجودمدیریتیترافیکنوعدو:

مدیریتیاینترفیسآنمقصدومبداءکهترافیکیVMkernelبینارتباطمثالبرای.استhypervisorوvCenter server.

اجزاءبینکهمدیریتیترافیکNSXوردمرزیلبهدربکارآمادهوفعالتجهیزبینکهقلبیضربانمثالبرای.شودمیبدلورد.شودمیبدل

(1)انواع ترافیک ها 15

ترافیکvSphere vMotion:

ازاستفادهباvSphere vMotionگرددمنتقلدیگرمیزبانیکبهمیزبانیکازتواندمیروشنمجازیماشین.

درگاهازمنظوراینبرایvSphere vMotion VMkernelشودمیاستفاده.

10لینکازاستفادهباGbEکردمنتقلرامجازیماشینهشتهمزمانتوانمی.

درگاههایکهشودمیپیشنهادvMotion VMkernelباشندسابنتیکدررک،یکداخل.

سازهاذخیرهبهمربوطهایترافیک:

درگاهازVMkernelشودمیاستفادههستنداشتراکیواندنشدهمتصلمستقیماًکهسازهاییذخیرهباارتباطبرای.

سازهاذخیرهازمنظورiSCSIوNASهستندها.

درگاههایکهشودمیپیشنهادstorage VMkernelباشندسابنتیکدر،رکیکداخل.

(2)انواع ترافیک ها 16

هستندمجازیشبکهمدیریتیاجزاءمیزبانزیرساختهایرک.

شاملمدیریتیاجزاء:

vCenter Server

مدیرNSX

کنندهکنترلNSX

CMP

مشترکسازذخیره

هایآدرسشاملدادهمرکزازبخشاین:نکتهIPشودنمیمستأجران.

رک های زیرساخت17

درمجازیهشبکوفیزیکیزیرساختبینتنگاتنگیتعامل.داردوجودمرزیرک

ازعبارتندمرزیرکاصلیکارکردهای:

اتصالقابلیتon-rampوoff-rampفیزیکیشبکهبه

بهاتصالVLANفیزیکیشبکههای

فیزیکیشبکههایسرویسازمتمرکزمیزبانی

ازکهجاییدرNATباهاترافیکونشوداستفادهVXLANهایآدرسنشوند،کپسولهIPدرمستأجران

.گیرندمیقرارفیزیکیزیرساختمعرض

شودمیتعریفاینجادرترافیکنوعدو:

VXLAN(پوشانشبکهترافیک):بهمربوطترافیکاین.شودخارجدادهمرکزازتواندنمیواستدادهمرکزداخل

کامالکترافیاین:(بومی)اندنشدهکپسولهکههاییترافیکازوباشندمیجدادادهمرکزداخلیهایترافیکاز

شبکهبهمتصلروتینگوسوئیچینگاختصاصیزیرساختWANکندمیعبوراینترنتو.

(1)رک های مرزی 18

پوشان،شبکهازبومیهایترافیکسازیجدابرایNSXمجازیهایماشین Edgeنصبرکایندر

.شوندمی

NSX Edgeدداربومیشبکهبرایدرگاهیکحداقل.

زکمکانیازپذیریدرسترسیقابلیتافزایشبرای.شودمیاستفادهبکارآمادهوفعالمجازیماشین

کهصورتیدرپیداستروبروشکلدرکههمانطورNSXمجازیهایماشین Edgeخارجدسترسازدیگرمرزیرکدربکارآمادهمجازیماشینشوند،ارائهرامجازیشبکههایسرویستمامیوشدهفعال.دهدمی

یکمنظوراینبرایVLANمشترکرکدوبینباید.باشد

(2)رک های مرزی 19

بصورتکارکردهاکالسیک،سطحیچندمحاسباتمعماریدرینیازمندکارکردهرکهبطوریاندشدهجدایکدیگرازمنطقی

خودبهمخصوصدادهجداسازیومنابعبهدسترسیامنیت،های.داردرا

شاملسطحیسهمعماری:

نمایشسطح

دادهدسترسییاوکاربردسطح

دادهپایگاهسطح

رانکارب.باشدداشتهارتباطبایددادهپایگاهسطحباکاربردسطح.دارنددسترسیوبطریقازهمآنونمایشسطحبهفقطبیرونی

مرزیلبهدرسطحیدوطراحیازدسترسیهایسیاستاعمالبرای:شودمیاستفاده

سطحسهبینغربی-شرقیهایترافیکبرای:داخلیمرزتوانندمیداخلیمرزهای.شودمیاستفادهکارکردهامعماریدرشدهتوزیعبصورتیاومرزیهایرکدرمتمرکزبصورت

.بگیرندقرارمحاسباتیهایرک

موردبیرونیجهانبهنمایشسطحاتصالبرای:خارجیمرزدادهقرارمرزیرکدرخارجیمرزهای.گیردمیقراراستفاده

.شوندمی

مالحظات طراحی بر اساس کاربرد چند سطحی20

ازاستفادهابفیزیکیشبکهدرترافیکسازیجداوفیزیکیشبکهانتزاعVXLANوSTTدرNSXمیانجامزیرمولفهسهازاستفادهبا

.شود

مدیرNSX:

مجازیسوئیچپیکربندی

مجازیهایسوئیچبهمجازیهایماشیناتصال

درگاهازاستفادهAPIاسوئیچهایناتوماتیکمدیریتوسازیپیادهبرای

پیکربندیوسازیپیادهController Clusterماژولهایوhypervisor

Controller Cluster

درمسیریابیوسوئیچینگماژولمدیریتمسئولhypervisor

استمجازیشبکهکنندهکنترلنودهایشامل

User World Agent (UWA) and VXLAN TunnelEndpoint (VTEP)

ازUWAبینارتباطبرایhypervisorوController Cluster.شودمیاستفاده

VTEPبینتونلایجادبرایhypervisorرودمیبکارها.

سوئیچینگ منطقی21

ودشمیدادهاختصاصآنبهسابنتیککهاستدوالیهدرجداپخشیهمهدامنهیکآیدمیبوجودکهمنطقیسوئیچهر.

اینکهاساسبرIPمرزیهایسرویسروتراست،عمومییاخصوصیشدهدادهاختصاصNSXازتواندمیNATکنداستفاده.

شودانجامتواندمیمددودرمسیریابی:

متمرکزمسیریابی

شدهتوزیعمسیریابی

متمرکزمسیریابی:

مرزیهایسرویسروترNSXدهدمیانجامرامسیریابیعملمتمرکزبصورتمرزیرکدر.

همچوندیگریهایسرویسDHCP،NATوload-balancingشوندمیپشتیبانینیز.

مسیریابی منطقی22

کندمیفراهمدادهمرکزدرراغربی-شرقیهایترافیکبهینهمدیریتامکانشدهتوزیعمسیریابی.

استمعروفغربی-شرقیترافیکبهدادهمرکزدرموجودمنابعیامجازیهایماشینبینارتباط.

کندورعببایدروتریکازترافیکشانیکدیگر،باارتباطبرایهستندجداگانههایسابنتدرکهمجازیهایماشین.

بهکهبهینهغیرترافیکاینکند،عبورفیزیکیروترازمجازیماشینهایترافیکاگرhair pinningازبایداستمعروف.برگرددشبکهبهدوبارهوشدهخارجمجازیشبکه

ازشدهتوزیعمسیریابیhair pinningکندمیجلوگیری.

هستهدرمسیریابیhypervisorشودمیانجام.

شودمیانجامشدهتوزیعروترهایرویمنطقیهایدرگاهبینمسیریابی.

پردازیممیآنهابهادامهدرکهاستشدهتشکیلمختلفیاجزاءازشدهتوزیعمسیریابی.

مسیریابی توزیع شده23

مدیرNSX:

یمسیریابهایسرویسمدیریتوپیکربندیوظیفه.داردرامنطقی

وزمتمرکمسیریابیهایروشازیکیتواندمیمشتری.کندپیکربندیراشدهتوزیعیا

درگاهAPIمدیرNSXمدیریتوسازیپیادهامکان.کندمیفراهمرامنطقیروترهایاین

مدیرگردد،انتخابشدهتوزیعمسیریابیاگرNSX،میقراررامنطقیروترکنندهکنترلمجازیماشین

طریقازرامنطقیدرگاههایپیکربندیودهدController Clusterدهدمیهلمیزبانهاسمتبه.

مدیرشودانتخابمتمرکزمسیریابیاگرNSXفقطسازیپیادهراNSXمرزیهایسرویسمجازیروتر.کندمی

(1)اجزاء مسیریابی منطقی 24

منطقیروترکنندهکنترلمجازیماشین:

استکنترلسطحاجراءازیکی.

مسیریابیهایپرتکلازOSPFوBGPکندمیپشتیبانی.

کندمیبرقرارارتباطبعدیگامروتربامسیریابیهایپروتکلازاستفادهبا.

ازاستفادهباController Clusterسمتبهاستآموختهکهرامسیرهاییhypervisorدهدمیهل.

قابلیتمجازیماشیندوازاستفادهباتوانمیHAکردسازیپیادهرا.

منطقیروترهستهماژول:

شبیهline cardکندمیعملها.

حاویRIBتوسطکهاستهاییController Clusterاستشدهارسالبرایش.

ومسیریابیعملیاتARP entry lookupشودمیانجامهستهماژولتوسط.

Controller Cluster:

رویبرمجازیهایماشینازشدهیادگرفتهمسیرهایتوزیعوظیفهhypervisorداردراها.

مرزیهایسرویسروترNSX:

مسیریابیهایپرتکلازکهاستمتمرکزهایسرویسروترهمانBGP،OSPFوIS-ISکندمیپشتیبانی.

بهتوانمیآنهایقابلیتدیگرازload-balancing،DHCP،NAT،VPNکرداشارهآتشدیوارهو.

(2)اجزاء مسیریابی منطقی25

باطارتبرقراریامکانمنطقیهایسوئیچتوپولوژیایندربوجودسطحیکدررادوالیهدرمجازیهایماشینبینوکاربردنمایش،سطوحهمانسطحازمنظور.آورندمی

.استدادهپایگاه

قراریبرامکانشدهتوزیعمنطقیمسیریابیپیکربندیفراهمرامختلفسطوحدرمجازیهایماشینبینارتباط

.کندمی

ترروبینمسیرهامسیریابی،هایپرتکلازاستفادهبا.شودمیتبادلفیزیکیبعدیگامروترومنطقی

ونوبیج-شمالیمسیریابیگیریتصمیمتوپولوژیایندرشدهتوزیعبصورتوhypervisorسطحدرغربی-شرقی.شودمیانجام

استفاده از روتر فیزیکی به عنوان گام بعدی26

لداخمسیریابیکهداردراخودشمنطقیروترمستأجرهر.دهدمیانجامرامستأجرشبکه

ازخارجیشبکهبامستأجرمجازیهایماشینبینارتباطرهایروتبینمسیریابیهایپروتکلپیکربندیطریق

.باشدمیبرقرارNSXمرزیهایسرویسروترومنطقی

وسطتغربی-شرقیمسیریابیترافیکتوپولوژیایندر.شوندمیمدیریتhypervisorدرشدهتوزیعروترهای

رویسسروترتوسطنیزجنوبی-شمالیترافیکیجرایانهای.شوندمیمدیریتNSXمرزیهای

یاستفاده از روتر سرویس های مرزی به عنوان گام بعد27

استشبکهامنیتاصلیشالودهجداسازی.

شودپیکربندیآنهابینارتباطاینکهمگرشوندمیدرستیکدیگرازجدابصورتمجازیهایشبکه.

آتش،دیوارهرولهیچبهجداسازیاینبرایACL،VLANنیستنیازیفیزیکیسابنتیاو.

هایآدرسازاستفادهامکانمجازیهایشبکهجداسازیIPدهدمیراپوشانهم.

ازاستفادهباشبکهسازیمجازیNSXازStateful Firewallingکندمیپشتیبانی.

NSXرویراآتشدیوارههمچونشبکههایسرویسvSwitchکندمیتوزیعها.

رویبرنیزشبکهامنیتیهایسیاستhypervisorشوندمیمنتقلها.

درامنیتیسطحسهNSXشودمیتعریف:

تیمبینفوظایتفکیکحفظباخدماتکیفیتوعملیاتیوریبهرهتأمین،سرعتچشمگیرافزایش:موجودفرآیندهایوابزار.امنیتوشبکهسرور،

بهجبورمراامنیتوشبکههایتیمامنیتازسطحاین:منفیتأثیربدونکاربردیهایبرنامهبهکنترلکردننزدیک.کندمیهاویژگیوکاراییبینانتخاب

اسقراررایبکاربردینویسیبرنامهطریقازتوانمیراشدهتاییدپیشازهایبرنامهامنیتیهایسیاست:انسانیخطایکاهش.بردبکارشبکهامنیتیهایسرویس

دیواره آتش منطقی28

هایسرویسازیکینیزبارتوازنNSXباشدمی.

بارتوازنسرویسNSXیبانیپشتدرباالییبسیارپذیریمقیاس.دارددرخواستیکاربردیهایبرنامهاز

هایبرنامهاززیادیتعدادکههاییویژگیازبزرگیمجموعه:ازعبارتندکنندمیپشتیبانیراکاربردی

برمبتنیکاربردیهایبرنامهتمامیTCP

ازپشتیبانیLDAP, FTP, HTTP, HTTPS

Round-robin, least connections, source IPhash, URI

Source IP, MSRDP, cookie, ssl session-id

L7 manipulation

URL block, URL rewrite, content rewrite

SSL offload

توازن بار منطقی29

توسطشبکهسازیمجازیحلراهVMwareداردتمرکزفیزیکیشبکهزیرساختدرموجودهایچالشرویبر.

برمبتنیمنطقیهایشبکهازاستفادهباVXLANبرایراچابکیوپذیریانعطافپذیری،مقیاسهمچونهاییقابلیت.کندمیفراهمشبکه

شبکهvCloudدروازهوSecurity EdgeجملهازشبکهمختلفهایسرویسگیریبکارامکانکاربرانبهDHCP،NATدهدمیرابارتوازنو.

پیادهمختلفوحسطدروبهینهبصورتراشبکهامنیتومسیریابیسوئیچینگ،توانمیشبکهسازیمجازیازاستفادهبا.کردسازی

دهپیاوطراحیرانظرموردمجازیشبکهخودنیازاساسبرتادهدمیمستأجرانبهراامکاناینشبکهسازیمجازی.کنندلحاظراخودامنیتیهایسیاستبیروندنیایباارتباطبرایوکنندسازی

نتیجه گیری30

پایان31