Upload
-
View
299
Download
5
Embed Size (px)
Citation preview
VMware NSX Network
Virtualization Design Guide
Muhammad Bayat
Tehran Polytechnic
Summer 2014
فهرست مطالب
مقدمه
اجزاءNSX
فیزیکیشبکه
برگهایسوئیچ
هایسوئیچSpine
پذیریمقیاس
سرویسکیفیت
دادهمرکزطراحی
محاسباتیهایرک
هاترافیکانواع
زیرساختهایرک
2
فهرست مطالب
مرزیهایرک
سطحیچندکاربرداساسبرطراحیمالحظات
منطقیسوئیچینگ
منطقیمسیریابی
شدهتوزیعمسیریابی
منطقیمسیریابیاجزاء
بعدیگامعنوانبهفیزیکیروترازاستفاده
بعدیگامعنوانبهمرزیهایسرویسروترازاستفاده
منطقیآتشدیواره
منطقیبارتوازن
گیرینتیجه
3
مقدمه
NSXهایقابلیتتریناصلیازیکیSDDCاست.
NSXمیکندسازیپیادهشبکهسطحدرراسازیمجازی.
ماشینیکمیتوانسرورسازیمجازیدرکههمانطوردرگرفت،snapshotیاوکردحذفساخت،رامجازیNSXرامحورافزارنرممجازیهایشبکهمیتوانهم.گرفتsnapshotآنازیاوکردحذفساخت،
NSXهایشبکهانواعرویبرسازیپیادهقابلیتIPرادنخواهایجادفعلیشبکهدراختاللیگونههیچوداراست
.کرد
ازاستفادهباNSXهالیازشبکههایسرویستمامیمیتوان.کردسازیپیادهافزارنرمتوسطرا7الیهتا2
همچونهاییسرویسSwitching, routing, ACL,firewalling, QOS, load balancingهایقابلیتاز
NSXباشدمی.
شبکهسازیمجازیباراسرورسازیمجازیروبروشکل.استکردهمقایسه
مقدمه4
دادهسطح
شاملNSX vSwitchاین.باشدمیvSwitchهمانVDSمیکندازیسشبیهرافیزیکیالیهکهاستبیشترهایقابلیتبا.میکندفراهمhypervisorدررادسترسیالیهسوئیچو
مزایایvSwitch:
ایهپروتکلازاستفادهباپوشانشبکهازپشتیبانیVXLAN, STT, GRE
هایقابلیتازپشتیبانی:Port Mirroring,NetFlow/IPFIX, QOS, LACP
تجهیزاتشاملدادهسطحgatewayباشدمینیز.GatewayNSXمعموالً Edgeباشدمی.NSX Edgeهاییسرویس
load-balancing،SSL،3و2الیهدرآتشدیوارههمچونVPN،DHCPکندمیفراهمراغیرهو.
کنترلسطح
کنندهکنترلتوسطکنترلسطحNSXشودمیسازیپیاده.
دردادهارسالالیۀکننده،کنترلvSwitchمیریزیبرنامهرا.کند
هکنندکنترلازدادهسطحبهمربوطهایترافیکازهیچیک.کنندنمیعبور
NSX(1)اجزاء
5
مدیریتسطح
مدیرتوسطمجازیشبکهمدیریتNSXمیانجام.شود
مدیرNSXهنقطیکازرامجازیشبکهپیکربندی.کندمیفراهم
مصرفسطح
باتعاملNSXطرابطریقازمستقیمبطورتواندمی.شودفراهمNSXمدیریکاربری
محیطدرvSphere،باتعاملNSXازتواندمی.شودفراهمvSphereوبتحتکاربریرابططریق
NSXباشدنیکپارچهقابلیتOpenStack،vCloud DirectorوVmware vCloud
Automation Centerداردرا.
NSX(2)اجزاء
6
کاربردیهایسرویسNSXبرایvSphere
منطقیدوالیه:NSXیاودوالیهسگمنتتوسعهقابلیتIP Subnetطراحیگرفتننظردربدونشبکههرجایدررا.داردشبکهفیزیکی
توسط:3الیهدرشدهتوزیعمسیریابیNSXبهازنیوپذیردصورتمنطقیفضایدرمیتواندهاسابنتبینمسیریابیحافظۀوپردازندهسربارومیگیردصورتhypervisorهستهدرمسیریابیاین.نباشدفیزیکیروترسمتبهترافیکارسال.داردکمی
هستۀدرامنیتاجرای:شدهتوزیعآتشدیوارهhypervisorسطحدروهاvNICکهشودمیباعثاین.باشدمیها.گرددشبکهگلوگاهفیزیکیتجهیزیکاینکهبدونباشد،باالپذیریمقیاسباآتشدیوارهرولهایاجرای
منطقیبارتوازن:NSXازپشتیبانیقابلیتload-balancingداراسترا7تا4الیهاز.
NSX(3)اجزاء
7
مجازی سازی شبکهVMwareقابلیت پیاده سازی بر روی شبکه موجود مراکز داده را داراست.
در بخش اول به نیازمندی های شبکه فیزیکی می پردازیم.
یکی از مهمترین اهداف مجازی سازی شبکه فراهم نمودن انتزاعی از ارتباط شبکه فیزیکی و شبکه مجازی است.
قابلیت هایی که شبکه فیزیکی باید داشته باشد:
سادگی
مقیاس پذیری
عرض باند باال
مقاومت در برابر خطا
کیفیت سرویس
شبکه فیزیکی8
ندنباشپیچیدهبایددادهمرکزهایسوئیچپیکربندی.
یادسترسیالیهسوئیچآنبهکه:برگسوئیچToRهم.گویندمی
کیداخلسرورهایبرایراشبکهبهدسترسیسوئیچاین.کندمیفراهمرک
کمترینبایدهستندمتصلسرورهابهکهپورتهایی.باشندداشتهراپیکربندی
لینکطریقازسوئیچاینtrunkبهVDSمیمتصل.شود
ازاستفادهباSVI،سوئیچاینgatewayازیکهرVLANباشدمیها.
سوئیچباسوئیچایناتصالSpineطریقازuplinkبهو.باشدمیroutingموددرانتهابهانتهاصورت
همچونپویامسیریابیهایپرتکلOSPF،ISISوBGPوبرگسوئیچبینSpineشودمیپیکربندی.
سادگی«سوئیچ های برگ»
9
وئیچسبهکهاستهاییاینترفیسشاملفقطسوئیچاین.شوندمیمتصلبرگهای
صورتبههااینترفیستمامیroutingانتهابهانتها.اندشدهپیکربندی
هایسوئیچبیناتصالSpineنداردضرورتی.
وبرگسوئیچبیناتصالکهدرصورتیSpineبرود،بینازنمیورعبلینکآنازرارکهایترافیکمسیریابیپرتکل.دهند
سادگی«Spineسوئیچ های »
10
هستندتوجهموردپذیریمقیاسدرکهعواملی:ازعبارتند
هارکتعداد
دادهمرکزدرهارکبینباندپهنایمیزان
رکباارتباطبرایبرگسوئیچیککهمسیرهاییتعدادکندانتخابتواندمیدیگرهای
هایسوئیچبهبرگهایسوئیچهایلینکتعدادSpine،بینارتباطمسیرهایتعدادکنندهمشخص
.استهارک
ستاثابترکدوهربینگامهایتعداداینکهدلیلبهequal-costقابلیتازتوانمیبنابراین
multipathing (ECMP)کرداستفاده.
مقیاس پذیری11
عبورخودازرامختلفیهایترافیکبایدمجازیشبکهبهمربوطهایترافیکومدیریتیمشتریان،ترافیک.دهد
.باشندمیآنهاازاینمونهسازهاذخیره
ایبربفردیمنحصرهایویژگیهاترافیکاینازهرکدام.دارندخود
مجازیمحیطدرhypervisorسسرویکیفیتپیکربندی.داردعهدهبررامختلفهایترافیکبرای
شدهپیکربندیمقادیراینبهبایدفیزیکیهایسوئیچ.نیستمجددپیکربندیبهنیازیوکننداعتماد
برمجازیهایسوئیچبهمجازیهایماشینکهزمانیازQoSمقادیرشوند،میمتصلVXLANمبنای
کردنکپسولهسرآینددربستهداخلیسرآیندهایVXLAVشوندمیکپی.
هاتهبسبرایفیزیکیهایسوئیچسرآینداینمبنایبر.شوندمیقائلاولویت
کیفیت سرویس12
داردوجودرکنوعسهدادهمرکزطراحیدر:
محاسباتیهایرک
زیرساختهایرک
مرزیهایرک
شبکهسازیمجازیدر:نکتهVLANازتوانندنمیهاسوئیچهمانهاVLANمحدودۀوشوندخارجرک.باشندمیبرگهای
طراحی مرکز داده13
دارندقرارهارکایندرمستأجرهامجازیهایماشین.
هارکاینطراحیهایویژگی:
موجودفیزیکیشبکهباهمکاریوهماهنگیقابلیت
گسترشبهنیازعدمVLANرکازخارجبهها
1لینکچندینازاستفادهبارکداخلسرورهایGbEیاو10GbEشوندمیمتصلرکداخلبرگسوئیچبه.
توسطمختلفهایترافیکVLANشوندمیجداها.
هرمحدودهVLANباشدمیبرگسوئیچتافقطنیز.
Hypervisorاستترافیکنوعچهارمنبع:
ترافیکVXLAN
مدیریتیترافیک
بهمربوطترافیکvSphere vMotion
سازهاذخیرهبهمربوطترافیک
رک های محاسباتی14
ترافیکVXLAN:
برمبتنی2الیهمنطقیهایشبکهازیکیبهمجازیهایماشینVXLANشوندمیمتصل.
بصورتمجازیهایماشینهایترافیکVXLANشوندمیکپسوله.
تشخیصقابلیتفیزیکیهایسوئیچIPوMACندارندرامجازیهایماشین.
آدرسازفابریکشبکهرویبرترافیکارسالبرایIPتونلvirtual tunnel endpoint (VTEP)شودمیاستفاده.
معروفندغربی-شرقیهایترافیکبهشوندمیبدلورددادهمرکزیکدرمجازیهایماشینبینکههاییترافیک.
معروفندجنوبی-شمالیهایترافیکبهشوندمیخارجدادهمرکزازکههاییترافیک.
مدیریتیترافیک:
شوندنمیخارجدادهمرکزازهاترافیکاین.
داردوجودمدیریتیترافیکنوعدو:
مدیریتیاینترفیسآنمقصدومبداءکهترافیکیVMkernelبینارتباطمثالبرای.استhypervisorوvCenter server.
اجزاءبینکهمدیریتیترافیکNSXوردمرزیلبهدربکارآمادهوفعالتجهیزبینکهقلبیضربانمثالبرای.شودمیبدلورد.شودمیبدل
(1)انواع ترافیک ها 15
ترافیکvSphere vMotion:
ازاستفادهباvSphere vMotionگرددمنتقلدیگرمیزبانیکبهمیزبانیکازتواندمیروشنمجازیماشین.
درگاهازمنظوراینبرایvSphere vMotion VMkernelشودمیاستفاده.
10لینکازاستفادهباGbEکردمنتقلرامجازیماشینهشتهمزمانتوانمی.
درگاههایکهشودمیپیشنهادvMotion VMkernelباشندسابنتیکدررک،یکداخل.
سازهاذخیرهبهمربوطهایترافیک:
درگاهازVMkernelشودمیاستفادههستنداشتراکیواندنشدهمتصلمستقیماًکهسازهاییذخیرهباارتباطبرای.
سازهاذخیرهازمنظورiSCSIوNASهستندها.
درگاههایکهشودمیپیشنهادstorage VMkernelباشندسابنتیکدر،رکیکداخل.
(2)انواع ترافیک ها 16
هستندمجازیشبکهمدیریتیاجزاءمیزبانزیرساختهایرک.
شاملمدیریتیاجزاء:
vCenter Server
مدیرNSX
کنندهکنترلNSX
CMP
مشترکسازذخیره
هایآدرسشاملدادهمرکزازبخشاین:نکتهIPشودنمیمستأجران.
رک های زیرساخت17
درمجازیهشبکوفیزیکیزیرساختبینتنگاتنگیتعامل.داردوجودمرزیرک
ازعبارتندمرزیرکاصلیکارکردهای:
اتصالقابلیتon-rampوoff-rampفیزیکیشبکهبه
بهاتصالVLANفیزیکیشبکههای
فیزیکیشبکههایسرویسازمتمرکزمیزبانی
ازکهجاییدرNATباهاترافیکونشوداستفادهVXLANهایآدرسنشوند،کپسولهIPدرمستأجران
.گیرندمیقرارفیزیکیزیرساختمعرض
شودمیتعریفاینجادرترافیکنوعدو:
VXLAN(پوشانشبکهترافیک):بهمربوطترافیکاین.شودخارجدادهمرکزازتواندنمیواستدادهمرکزداخل
کامالکترافیاین:(بومی)اندنشدهکپسولهکههاییترافیکازوباشندمیجدادادهمرکزداخلیهایترافیکاز
شبکهبهمتصلروتینگوسوئیچینگاختصاصیزیرساختWANکندمیعبوراینترنتو.
(1)رک های مرزی 18
پوشان،شبکهازبومیهایترافیکسازیجدابرایNSXمجازیهایماشین Edgeنصبرکایندر
.شوندمی
NSX Edgeدداربومیشبکهبرایدرگاهیکحداقل.
زکمکانیازپذیریدرسترسیقابلیتافزایشبرای.شودمیاستفادهبکارآمادهوفعالمجازیماشین
کهصورتیدرپیداستروبروشکلدرکههمانطورNSXمجازیهایماشین Edgeخارجدسترسازدیگرمرزیرکدربکارآمادهمجازیماشینشوند،ارائهرامجازیشبکههایسرویستمامیوشدهفعال.دهدمی
یکمنظوراینبرایVLANمشترکرکدوبینباید.باشد
(2)رک های مرزی 19
بصورتکارکردهاکالسیک،سطحیچندمحاسباتمعماریدرینیازمندکارکردهرکهبطوریاندشدهجدایکدیگرازمنطقی
خودبهمخصوصدادهجداسازیومنابعبهدسترسیامنیت،های.داردرا
شاملسطحیسهمعماری:
نمایشسطح
دادهدسترسییاوکاربردسطح
دادهپایگاهسطح
رانکارب.باشدداشتهارتباطبایددادهپایگاهسطحباکاربردسطح.دارنددسترسیوبطریقازهمآنونمایشسطحبهفقطبیرونی
مرزیلبهدرسطحیدوطراحیازدسترسیهایسیاستاعمالبرای:شودمیاستفاده
سطحسهبینغربی-شرقیهایترافیکبرای:داخلیمرزتوانندمیداخلیمرزهای.شودمیاستفادهکارکردهامعماریدرشدهتوزیعبصورتیاومرزیهایرکدرمتمرکزبصورت
.بگیرندقرارمحاسباتیهایرک
موردبیرونیجهانبهنمایشسطحاتصالبرای:خارجیمرزدادهقرارمرزیرکدرخارجیمرزهای.گیردمیقراراستفاده
.شوندمی
مالحظات طراحی بر اساس کاربرد چند سطحی20
ازاستفادهابفیزیکیشبکهدرترافیکسازیجداوفیزیکیشبکهانتزاعVXLANوSTTدرNSXمیانجامزیرمولفهسهازاستفادهبا
.شود
مدیرNSX:
مجازیسوئیچپیکربندی
مجازیهایسوئیچبهمجازیهایماشیناتصال
درگاهازاستفادهAPIاسوئیچهایناتوماتیکمدیریتوسازیپیادهبرای
پیکربندیوسازیپیادهController Clusterماژولهایوhypervisor
Controller Cluster
درمسیریابیوسوئیچینگماژولمدیریتمسئولhypervisor
استمجازیشبکهکنندهکنترلنودهایشامل
User World Agent (UWA) and VXLAN TunnelEndpoint (VTEP)
ازUWAبینارتباطبرایhypervisorوController Cluster.شودمیاستفاده
VTEPبینتونلایجادبرایhypervisorرودمیبکارها.
سوئیچینگ منطقی21
ودشمیدادهاختصاصآنبهسابنتیککهاستدوالیهدرجداپخشیهمهدامنهیکآیدمیبوجودکهمنطقیسوئیچهر.
اینکهاساسبرIPمرزیهایسرویسروتراست،عمومییاخصوصیشدهدادهاختصاصNSXازتواندمیNATکنداستفاده.
شودانجامتواندمیمددودرمسیریابی:
متمرکزمسیریابی
شدهتوزیعمسیریابی
متمرکزمسیریابی:
مرزیهایسرویسروترNSXدهدمیانجامرامسیریابیعملمتمرکزبصورتمرزیرکدر.
همچوندیگریهایسرویسDHCP،NATوload-balancingشوندمیپشتیبانینیز.
مسیریابی منطقی22
کندمیفراهمدادهمرکزدرراغربی-شرقیهایترافیکبهینهمدیریتامکانشدهتوزیعمسیریابی.
استمعروفغربی-شرقیترافیکبهدادهمرکزدرموجودمنابعیامجازیهایماشینبینارتباط.
کندورعببایدروتریکازترافیکشانیکدیگر،باارتباطبرایهستندجداگانههایسابنتدرکهمجازیهایماشین.
بهکهبهینهغیرترافیکاینکند،عبورفیزیکیروترازمجازیماشینهایترافیکاگرhair pinningازبایداستمعروف.برگرددشبکهبهدوبارهوشدهخارجمجازیشبکه
ازشدهتوزیعمسیریابیhair pinningکندمیجلوگیری.
هستهدرمسیریابیhypervisorشودمیانجام.
شودمیانجامشدهتوزیعروترهایرویمنطقیهایدرگاهبینمسیریابی.
پردازیممیآنهابهادامهدرکهاستشدهتشکیلمختلفیاجزاءازشدهتوزیعمسیریابی.
مسیریابی توزیع شده23
مدیرNSX:
یمسیریابهایسرویسمدیریتوپیکربندیوظیفه.داردرامنطقی
وزمتمرکمسیریابیهایروشازیکیتواندمیمشتری.کندپیکربندیراشدهتوزیعیا
درگاهAPIمدیرNSXمدیریتوسازیپیادهامکان.کندمیفراهمرامنطقیروترهایاین
مدیرگردد،انتخابشدهتوزیعمسیریابیاگرNSX،میقراررامنطقیروترکنندهکنترلمجازیماشین
طریقازرامنطقیدرگاههایپیکربندیودهدController Clusterدهدمیهلمیزبانهاسمتبه.
مدیرشودانتخابمتمرکزمسیریابیاگرNSXفقطسازیپیادهراNSXمرزیهایسرویسمجازیروتر.کندمی
(1)اجزاء مسیریابی منطقی 24
منطقیروترکنندهکنترلمجازیماشین:
استکنترلسطحاجراءازیکی.
مسیریابیهایپرتکلازOSPFوBGPکندمیپشتیبانی.
کندمیبرقرارارتباطبعدیگامروتربامسیریابیهایپروتکلازاستفادهبا.
ازاستفادهباController Clusterسمتبهاستآموختهکهرامسیرهاییhypervisorدهدمیهل.
قابلیتمجازیماشیندوازاستفادهباتوانمیHAکردسازیپیادهرا.
منطقیروترهستهماژول:
شبیهline cardکندمیعملها.
حاویRIBتوسطکهاستهاییController Clusterاستشدهارسالبرایش.
ومسیریابیعملیاتARP entry lookupشودمیانجامهستهماژولتوسط.
Controller Cluster:
رویبرمجازیهایماشینازشدهیادگرفتهمسیرهایتوزیعوظیفهhypervisorداردراها.
مرزیهایسرویسروترNSX:
مسیریابیهایپرتکلازکهاستمتمرکزهایسرویسروترهمانBGP،OSPFوIS-ISکندمیپشتیبانی.
بهتوانمیآنهایقابلیتدیگرازload-balancing،DHCP،NAT،VPNکرداشارهآتشدیوارهو.
(2)اجزاء مسیریابی منطقی25
باطارتبرقراریامکانمنطقیهایسوئیچتوپولوژیایندربوجودسطحیکدررادوالیهدرمجازیهایماشینبینوکاربردنمایش،سطوحهمانسطحازمنظور.آورندمی
.استدادهپایگاه
قراریبرامکانشدهتوزیعمنطقیمسیریابیپیکربندیفراهمرامختلفسطوحدرمجازیهایماشینبینارتباط
.کندمی
ترروبینمسیرهامسیریابی،هایپرتکلازاستفادهبا.شودمیتبادلفیزیکیبعدیگامروترومنطقی
ونوبیج-شمالیمسیریابیگیریتصمیمتوپولوژیایندرشدهتوزیعبصورتوhypervisorسطحدرغربی-شرقی.شودمیانجام
استفاده از روتر فیزیکی به عنوان گام بعدی26
لداخمسیریابیکهداردراخودشمنطقیروترمستأجرهر.دهدمیانجامرامستأجرشبکه
ازخارجیشبکهبامستأجرمجازیهایماشینبینارتباطرهایروتبینمسیریابیهایپروتکلپیکربندیطریق
.باشدمیبرقرارNSXمرزیهایسرویسروترومنطقی
وسطتغربی-شرقیمسیریابیترافیکتوپولوژیایندر.شوندمیمدیریتhypervisorدرشدهتوزیعروترهای
رویسسروترتوسطنیزجنوبی-شمالیترافیکیجرایانهای.شوندمیمدیریتNSXمرزیهای
یاستفاده از روتر سرویس های مرزی به عنوان گام بعد27
استشبکهامنیتاصلیشالودهجداسازی.
شودپیکربندیآنهابینارتباطاینکهمگرشوندمیدرستیکدیگرازجدابصورتمجازیهایشبکه.
آتش،دیوارهرولهیچبهجداسازیاینبرایACL،VLANنیستنیازیفیزیکیسابنتیاو.
هایآدرسازاستفادهامکانمجازیهایشبکهجداسازیIPدهدمیراپوشانهم.
ازاستفادهباشبکهسازیمجازیNSXازStateful Firewallingکندمیپشتیبانی.
NSXرویراآتشدیوارههمچونشبکههایسرویسvSwitchکندمیتوزیعها.
رویبرنیزشبکهامنیتیهایسیاستhypervisorشوندمیمنتقلها.
درامنیتیسطحسهNSXشودمیتعریف:
تیمبینفوظایتفکیکحفظباخدماتکیفیتوعملیاتیوریبهرهتأمین،سرعتچشمگیرافزایش:موجودفرآیندهایوابزار.امنیتوشبکهسرور،
بهجبورمراامنیتوشبکههایتیمامنیتازسطحاین:منفیتأثیربدونکاربردیهایبرنامهبهکنترلکردننزدیک.کندمیهاویژگیوکاراییبینانتخاب
اسقراررایبکاربردینویسیبرنامهطریقازتوانمیراشدهتاییدپیشازهایبرنامهامنیتیهایسیاست:انسانیخطایکاهش.بردبکارشبکهامنیتیهایسرویس
دیواره آتش منطقی28
هایسرویسازیکینیزبارتوازنNSXباشدمی.
بارتوازنسرویسNSXیبانیپشتدرباالییبسیارپذیریمقیاس.دارددرخواستیکاربردیهایبرنامهاز
هایبرنامهاززیادیتعدادکههاییویژگیازبزرگیمجموعه:ازعبارتندکنندمیپشتیبانیراکاربردی
برمبتنیکاربردیهایبرنامهتمامیTCP
ازپشتیبانیLDAP, FTP, HTTP, HTTPS
Round-robin, least connections, source IPhash, URI
Source IP, MSRDP, cookie, ssl session-id
L7 manipulation
URL block, URL rewrite, content rewrite
SSL offload
توازن بار منطقی29
توسطشبکهسازیمجازیحلراهVMwareداردتمرکزفیزیکیشبکهزیرساختدرموجودهایچالشرویبر.
برمبتنیمنطقیهایشبکهازاستفادهباVXLANبرایراچابکیوپذیریانعطافپذیری،مقیاسهمچونهاییقابلیت.کندمیفراهمشبکه
شبکهvCloudدروازهوSecurity EdgeجملهازشبکهمختلفهایسرویسگیریبکارامکانکاربرانبهDHCP،NATدهدمیرابارتوازنو.
پیادهمختلفوحسطدروبهینهبصورتراشبکهامنیتومسیریابیسوئیچینگ،توانمیشبکهسازیمجازیازاستفادهبا.کردسازی
دهپیاوطراحیرانظرموردمجازیشبکهخودنیازاساسبرتادهدمیمستأجرانبهراامکاناینشبکهسازیمجازی.کنندلحاظراخودامنیتیهایسیاستبیروندنیایباارتباطبرایوکنندسازی
نتیجه گیری30
پایان31