SDN VMware NSX网络原理与实践-NSX-V 解决方案基本架构【1.6】

2.3.4 各厂商网络虚拟化解决方案的比较

        各个厂商的网络虚拟化解决方案其实各有千秋，本节将对其进行比较。 NSX 有如下优势：它无需关心底层物理网络架构，实现了真正的物理网络和逻辑网 络的解耦，并将防火墙、负载均衡等功能集成到网络虚拟化平台中，无需特别加入第三 方插件。 NSX 可以使用分布式的架构部署多台 NSX Controller 作为集群，消除基于软件 的 SDN 控制器带来的瓶颈，且 VMware 的分布式交换机、分布式路由器有与自身服务器虚拟化的天然集成优势，能做到一致的策略，简化复杂性，保证虚拟机在迁移时，各 种网络策略无需绑定其 IP 地址或端口。其私有的 STT 协议可以使用网卡进行大包分片 工作， 也能在 NSX-MH 环境中大大减轻了服务器 CPU 的负担。此外，由于 NSX 的前 身是 OpenFlow 和 OVS 的发明者 Nicira 公司的 NVP 平台，因此 NSX 对 OpenFlow 和 OVS 的支持非常好。 NSX 适用于几乎所有行业和客户的数据中心场景—现有数据中 心的改造、数据中心新建、数据中心大规模扩容、在多数据中心打通连接、多租户数据 中心、对东西向流量安全有需求的数据中心环境、大量部署虚拟桌面的数据中心环境， 还能支持混合云， 打通公有云和私有云间的隧道。 Cisco 认为其 ACI 架构是完全以应用为中心的，并指责 NSX 解决方案是“以 VMware 为中心” 的。其实， NSX 解决方案支持所有主流开源虚拟化平台和开源数据中心管理平台， 并无“以 VMware 为中心” 一说。 而 NSX 解决方案与 F5 等应用交付解决方案提供商的软 件定义应用服务（Software Defined Application Service， SDAS）解决方案相结合，同样可 以构筑一套以应用为中心的架构。其实 Cisco ACI 本身也需要 F5 这样的应用交付厂商的支 持，才能实现真正的以应用为中心的架构。就目前而言， ACI“以应用为中心” 的理念， 其实看起来更像是“更好地实现了应用的 QoS” 而已，而无法独立地对应用进行自动化的 部署和运维。

        ACI 的优势在于可以更好地支持有物理服务器的数据中心环境，因为连接物理服务器 的 Nexus 9000 系列交换机可以直接作为 VXLAN 的 VTEP 终结点，并且其解决方案提出的 承诺模型能够有效地解决应用的 QoS 配置难题。 另外，物理网络和虚拟网络得到了 APIC 控制器的统一管理和一致的可视化视图。然而， ACI 解决方案最大的问题在于其物理网络 硬件的局限性—ACI 架构必须使用 Cisco Nexus 9000 系列交换机搭建底层物理网络，且 在 Nexus 9000 上需要配置专门的支持 ACI 的板卡，其他任何网络厂商的设备，甚至 Cisco 自己的其他型号交换机，都无法支持 ACI。因为这个原因， ACI 架构无法适用于数据中心 改造和扩容项目，只能用于数据中心新建或重建。

         Microsoft HNV 网络虚拟化解决方案的优势在于价格，因为使用 HNV 解决方案不会产 生任何额外的费用，它只是 Hyper-V 的一个附加功能。实现 NSX 网络虚拟化环境，需要在 每台安装 ESXi 的物理服务器上按照 CPU 数量购买 license，或根据部署 KVM 或 Xen 的物 理服务器的 CPU 数量进行收费；而实现 ACI，则需要将底层交换机全部换成 Nexus 9000 系列及支持 ACI 的二层、三层板卡，且至少需要购买 3 台物理 APIC 控制器。另外，对于 Microsoft 的应用，如 SharePoint、 Exchange，其网络虚拟化解决方案能达到最佳融合。 Microsoft 解决方案的劣势在于不能安装在非 Hyper-V 环境， NVGRE 协议负载均衡较差， 不能将物理网络和虚拟网络进行融合，并且它的管理平台也不是单一、集中的，而其底层 的 Windows Server 操作系统，也需要经常停机维护并进行打补丁和升级的工作—这是Windows Server 所有应用的通病。

        根据前面的介绍可知， Juniper 的 Contrail 解决方案其实存在不少问题。首先，它只能 运用在 KVM 和 Xen 环境，对于非开源的 ESXi 和 Hyper-V 无能为力。此外，它实现 Overlay 的方式极其复杂，是通过安装 vRouter 并在 vRouter 之上实现基于 MPLS 的互联，租户之间 的隔离则是使用传统的 VRF 技术。 最后， Contrail 通过 XMPP 协议管理 vRouter，对于物 理网络，用的又是 BGP 协议，整个架构非常复杂，而且打造的也不是一个真正意义上的大 二层网络（可以看成是一个大三层网络）。 Juniper 公司是一家以运营商网络和安全著称的 公司，因此在数据中心架构的设想上，结合了大量运营商的路由技术。虽然其在功能上有 优势，但是由于实现复杂，流量不优，不易实现大二层网络，因此现在在市场推广上阻力 重重。

2.4 与 VMware NSX 相关的认证

        资格认证是 IT 行业的生命线，这些认证可以标识一名工程师或销售人员对某具体领域 的知识和能力掌握的特定级别。有一些认证是通用的，不会具体到特定产品，如 PMP、 CISSP 等。而几乎每家 IT 厂商都会为自己的产品和解决方案设计特定的资格认证，如 Cisco、 Microsoft、 Oracle 等。 VMware 自然也不会例外。本节会介绍 VMware 的认证体系以及与 NSX 相关的认证考试。

2.4.1 VMware 认证体系简介

        VMware 于 2003 年开始针对自己的服务器虚拟化产品推出了相关认证，即 VMware 认 证工程师（VCP， VMware Certified Professional）。

         苏珊·古登考夫（ Susan Gudenkauf）是 VMware 在美国明尼苏达州的一名员工，她 在 2003 年获得了 VCP 认证，也是全球第一位 VCP。当时这个认证考试以笔试形式出现， 其中一部分为多项选择题，一部分为主观题，试题都是基于 ESX 1.5 版本的。现在全球 差不多有近十万名工程师拥有 VCP 认证。 VCP 认证考试这些年来随着产品版本的不断 变化而更新。 想要成为一个 VCP，首先必须参加认证的培训课程，并且通过笔试。参加培训课程是 强制性的—即使是经验丰富的工程师也必须参加一个基础课程才有资格参加考试。之后 在测试中得分达线的话，就成为 VCP 了。

         之后， Vmware 针对初级工程师又推出了 VCA（ VMware Certified Associate）级别 的认证。该认证考试并不强迫参加培训。而对于高级工程师， VMware 推出了高于 VCP 的 VCAP（ VMware Certified Advanced Professional）认证，必须在获得 VCP 之后才有资格参加该考试。而最高级别的认证 VCDX（ VMware Certified Design Expert）是 IT 行业 内难度最大的认证之一，拥有业内最高的含金量。至本书截稿为止，全球 VCDX 的总 人数也仅为 200 余人，其中一半以上是 VMware 员工，而国内还没有人员获得任何方向 的 VCDX 认证（国际上，有极少数的几名外籍华人获得了数据中心虚拟化方向的 VCDX 认证）。

         之后， VMware 的产品不再局限于服务器虚拟化，还涵盖了桌面虚拟化软件和数据中 心运维和管理工具。 2013 年，随着 NSX 网络虚拟化平台的推出， VMware 的产品线更加丰 富。因此， VCP、 VCAP、 VCDX 的认证方向越来越多—包含了 4 个方向。表 2.3 为 2015 年 12 月之前的 VMware 认证考试框架。

        而 2015 年 12 月之后， VMware 的考试框架发生了很大变化，首先， 数据中心下虚拟 化方向的两门 VCAP 考试（部署、设计）进行了合并，新的考试与网络虚拟化的认证 VCIX 在名称上统一了起来，其次，由于 vSphere 版本全面进入 6.x 时代，因此所有认证考试环境 都是基于 vSphere 6.x 版本的服务器虚拟化平台而搭建—各方向的认证名称中都加了“6” 字。而云管理、桌面虚拟化方向的 VCA、 VCIX 考试也相继被推出。新的认证架构如表 2.4 所示。

2.4.2 与 NSX 相关的 VMware 认证与考试

        VMware 于2014 年推出了与NSX网络虚拟化相关的认证考试， 分别为VCP-NV、VCIX-NV、 VCDX-NV，难度逐渐递增，证书含金量逐级增加。 2015 年，又增加了 VCA-NV 考试项目。 2015 年 11 月 30 日之后，认证考试分别更新为 VCA6-NV、 VCP6-NV、 VCIX6-NV、 VCDX6-NV，考 试环境基于 NSX 6.2 和 vSphere 6.0 版本，而旧的考试项目是基于 NSX 6.0 和 vSphere 5.5 的。

        VCA6-NV的全称为VMware Certified Associate 6 - Network Virtualization， 它是VMware 推出的网络虚拟化助理工程师认证，即入门级。在 VUE 考试中心注册并付款后，即可参加 考试。考试形式为开卷的网络在线考试，只要有互联网连通即可进行考试，考试内容全部 为选择题，本书完全涵盖该门考试的所有考点。

         VCP6-NV 的全称为 VMware Certified Professional 6 - Network Virtualization， 它是 VMware 推出的网络虚拟化专业工程师认证，拥有较高的含金量。想要获得该门考试资格， 必须持有其他任何一门方向的 VMware VCP 证书。如果没有其他方向的 VCP 证书，就必 须参加 VMware NSX 的原厂培训课程， 之后才能获得该门考试资格。获得考试资格后， 需 要在 VUE 考试中心注册并付款， 然后前往指定的 VUE 考点参加考试。考试形式为闭卷， 内容全部为选择题，本书完全涵盖该门考试的所有考点。

        VCIX6-NV的全称为VMware Certified Implementation Expert 6 - Network Virtualization， 它是 VMware 推出的网络虚拟化部署专家认证，拥有极高的含金量。想要获得该门考试资 格， 需持有至少一门任何方向的 VMware VCP 证书（当然包括 VCP-NV）。获得考试资格 后， 需要在 VUE 考试中心注册并付款， 然后必须前往指定的 VUE 考点，才能参加考试。 考试形式为闭卷，内容全部为操作题， 4 小时内完成约 10 个实验，在实现考试要求的大部 分实验现象后， 才算通过该门考试。本书完全涵盖该门考试的所有考点，但是需要考生在 考试前进行大量实验，对部署、配置和排错能力进行训练，以熟悉 NSX 各组件的动手操作 过程。国内目前获得该门认证的人数寥寥无几。

         VCDX6-NV 的全称为 VMware Certified Design Expert 6 - Network Virtualization， 它 是 VMware 推出的网络虚拟化设计架构师认证，与其他方向 VCDX 证书一样，是虚拟 化行业内最高等级的认证证书，拥有业内最高的含金量，也是 IT 行业内最难通过的考 试之一。想要获得该门考试资格，必须持有 VCIX-NV 证书。在考试付款成功后， VMware 总部会安排考生进行英文面试，现场回答面试官提出的各种问题，并按照面试官要求设 计出一整套完整的网络虚拟化架构。至本书截稿为止，全球通过 VCDX-NV 方向认证的 人数仅为 40 余人。

2.5 总结

 NSX 的核心设计思想与服务器虚拟化的设计思路如出一辙，都是在底层硬件中抽象出所需的服务
 NSX 分为管理、控制、数据三个平面，每个平面各有自己的组件。
 目前， NSX-V 中使用的 Overlay 技术是 VXLAN， NSX-MH 则使用 STT 作为默认的隧道技术。 VMware 正针对其现存问题与其他厂商共同研发新的 Geneve 协议。
 NSX、 Cisco ACI、 Microsoft 的网络虚拟化解决方案各有千秋。
 NSX 有 4 门相关的认证考试—VCA6-NV、 VCP6-NV、 VCIX6-NV、 VCDX6-NV，考试难度与证书含金量逐级递增。

第3章 NSX-V 解决方案基本架构

        从本章开始，正式详细介绍 VMware NSX 的具体技术。 前一章有提到， NSX 网络虚拟 化平台有两种不同的软件，即两种不同的部署方式： NSX-V 用于在纯 VMware vSphere 环 境下实现网络虚拟化； NSX-MH 用于在 KVM、 Xen 或多虚拟化环境中实现网络虚拟化。 本章开始讨论 NSX-V 的架构，主要是介绍其核心组件，并进行 NSX Manager 和 NSX Controller 集群的安装和部署实验。 本章专注于 NSX-V 架构与核心组件，尤其是管理平面和控制平面的介绍。 NSX 提供 的具体服务，即数据平面的介绍则属于后续章节的内容。

3.1 NSX-V 的核心组件

        NSX-V 的架构其实非常简单，因为它的逻辑层次非常清晰—管理平面、控制平面、 数据平面，每个平面中的组件也不多。但是， 在深入研究其数据平面之后， 还是会发现它 的转发原理、转发行为还是非常复杂的。 本节将由浅入深，从 NSX-V 的逻辑架构和整体拓扑入手，介绍其基本的核心组件， 之 后才能更加深入地研究基于这个架构和这些组件之上的数据平面的转发原理和行为。

3.1.1 NSX-V 逻辑框架

        在上一章整体介绍了 NSX 后， 读者已经对 NSX 基本架构有了一定认识。 前面讲到， 无论是 NSX-V 还是 NSX-MH， 它们的基本逻辑架构都是相同的，不同点仅体现在数据平 面中的一些组件上。 NSX 搭建在底层物理网络之上，实现逻辑网络，逻辑网络中则分数据 平面、控制平面、管理平面，因此现在介绍的 NSX-V 当然也不例外。 NSX-V 的数据平面分为分布式服务（包括逻辑交换机、逻辑路由器、逻辑防火墙）和 NSX Edge 网关服务。 分布式服务主要用于终端（虚拟机）之间的东西向通信服务，而 NSXEdge 网关服务主要用于逻辑网络和物理网络之间的南北向的通信服务和一些分布式服务 无法实现的功能，如 NAT、 VPN 等（还有负载均衡服务，但负载均衡服务在 NSX 6.2 版 本之后也可以分布式部署了）。 NSX-V 的底层虚拟化环境为 ESXi Hypervisor，也就是纯 vSphere 环境，不允许其他任何虚拟化平台介入，对于其他 Hypervisor 的支持，则由 NSX-MH 平台提供； NSX-V 的分布式服务都是运行在 vSphere 分布式交换机之上的，而 在 NSX-MH 中则运行在 OVS 之上； NSX Edge 网关同样也主要是利用 ESXi 主机中的虚 拟机进行搭建，而在 NSX-MH 中，这个组件被功能稍有缺失（如无法实现动态路由）的 NSX 二层/三层网关替代了。 图 3.1 为 NSX-V 基本架构的逻辑示意图。

        根据 NSX-V 的逻辑架构可以很容易看出，通过这些组件完成网络抽象化并提供分布式 服务，逻辑网络与物理网络实现了完全的解耦。虚拟机之间的通信可以通过 VXLAN 的封 装完全在逻辑网络内部完成，与物理网络的底层架构已经没有任何关系（只需要 MTU 值 大于 1600），只有虚拟机通过 NSX Edge 与外界进行通信时，才会考虑与物理网络的路由和 交换策略。 NSX-V 的基本逻辑拓扑如图 3.2 所示。