SDN VMware NSX网络原理与实践- NSX-V 安全【3.0】

7.4.4 使用在线模式部署负载均衡

        在线模式（传输模式）实现负载均衡的方法与单臂模式相反，是由集中化的 NSX Edge 来提供路由和负载均衡服务的模式。 在线模式在数据中心内部的部署拓扑如图 7.17 所示。 可以看到，拓扑中利用了逻辑网络和物理网络之间的 NSX Edge 来部署负载均衡。 图 7.18 为在线模式负载均衡的工作流程，具体的工作步骤如下。

在线模式下的 NSX 负载均衡工作流程如下。

1．外部的用户将流量发送到负载均衡服务的虚拟 IP 地址（Virtual IP address， VIP）。

2． LB（内嵌在集中化的 NSX Edge 中）仅执行 D-NAT，使用部署在服务器群中的一 台虚拟机地址将 VIP 地址替换。

3．服务器群中的虚拟机回应原始客户端的 IP 地址，而 LB 再一次接收这个流量。这 是因为 LB 是内嵌部署的，通常这里就是服务器群的默认网关。

4． LB 执行 S-NAT，并使用它的 VIP 作为源 IP 地址，将流量发送回外部的客户端。 在线模式的优点同样是易于部署，并且允许服务器/虚拟机对于原始客户端的 IP 地 址拥有完全的可视性。但是从设计的角度看，它通常需要强制将 LB 部署为服务器群的 逻辑网段的默认网关，这意味着在这些网段只能使用集中式的路由（而不是分布式路 由），因此它的部署方式并不是非常灵活。另外需要注意的是，在这种情形下，已经部 署了路由服务的 NSX Edge 新增了另外一项逻辑服务，即 LB，串联在逻辑和物理网络 之中。 在部署 NSX Edge 之前， 这就需要选择更大的 Size（如 X-Large），这样做可能更 加消耗服务器资源。

         使用在线模式部署负载均衡时的流量模型如图 7.19 所示。 对于同一个主机内的虚拟机 之间，在传统模式下， Web 服务器与 App 服务器之间的流量交互过程依然是 19 跳。而在 NSX 环境中，通过在物理网络与逻辑网络之间的 NSX Edge 之上同时启用了防火墙服务和 负载均衡服务，没有在系统中为负载均衡服务的流量增加任何多余的跳数，因此外部用户 访问 Web 服务器的过程为 5 跳。整个 Web 应用模型最多 9 跳，最少 7 跳。

7.4.5 部署分布式负载均衡

        分布式负载均衡是 NSX 6.2 版本之后的新功能。这种部署模式是将负载均衡服务分布 式部署在 ESXi 主机的 Hypervisor 之上，实现分布式的架构，进一步优化数据中心的东西 向流量。使用这种部署模式，可以直接由每个 Web 服务器所在的 ESXi 主机的 Hypervisor 来处理负载均衡，无需使用 NSX Edge（无论单臂模式还是在线模式）来处理。 分布式负载 均衡的拓扑架构如图 7.20 所示。

        分布式负载均衡的实现其实与 NSX Edge 没有直接关系。但是为了便于与 NSX Edge 实现的两种负载均衡进行比较， 因此仍然将分布式负载均衡放在本章进行介绍。 部署分布式负载均衡的方法是，在 NSX 中启用 DLB 服务， 找到 Service Definitions 中 的 Services 选项，新建一个服务，部署方式为 Host based vNIC，并在 Service Category 选项 中选择 Load Balancer。其实 NSX 6.2 版本能集成更多的服务，可供选择的服务如图 7.21 所 示。

        在这里选择的是负载均衡服务。 创建了分布式负载均衡服务之后，需要将其关联到服务实例中。之后就是 VIP 的配置 了，其工作原理与之前讨论的两种负载均衡部署基本相同，只是负载均衡服务分布式地在 ESXi 主机的 Hypervisor 之上启用。 如图 7.22 所示，分布式负载均衡流量模型与使用在线模式部署负载均衡的流量模型完 全相同，跳数一致。这是因为外部用户访问 Web 服务器时不可避免地还是需要经过 NSXEdge，而 Web 服务器之间的负载均衡实现，则完全通过 Web 虚拟机集群内部的分布式负 载均衡服务来完成，没有多余的流量交互。分布式负载均衡与在线模式的不同点在于，当 利用 NSX Edge 处理在线模式或单臂模式的负载均衡服务时，可能需要使用高性能的服务 器安装 NSX Edge，并将 NSX Edge 部署为 X-Large 的 Size，而分布式负载均衡则完全不需 要这样部署，且使用体验更好。

7.5 利用 NSX Edge 服务网关实现 VPN

        虚拟专用网（ Virtual Private Network， VPN），顾名思义，就是虚拟出来的私有网络。

它经常用于利用 Internet 在不部署运营商专线的情况下， 使得企业的分支节点网络成为企业 内网的一部分。当然，在非 Internet 环境中，如果需要保护企业重要而敏感的内部网络资源， 也可以利用 VPN 技术，在内部网络中实现数据在传输过程中的加密。 本节从介绍 VPN 开始，引入如何通过 NSX Edge 部署二层和三层 VPN 服务。

7.5.1 IPSec VPN 技术

        VPN 主要是利用隧道技术，把 VPN 报文封装在隧道中，利用 VPN 骨干网建立专用数 据传输通道，实现报文的透明传输（其实前文提到的 VXLAN 等技术，就是在早期 VPN 隧 道技术的基础上发展起来的）。 VPN 有如下特点。

 专用（Private）：对于 VPN 用户，使用 VPN 与使用传统专网没有区别。一方面， VPN 与底层承载网络之间保持资源独立，即一般情况下， VPN 资源不被网络中其 他 VPN 或非该 VPN 用户所使用；另一方面， VPN 提供足够的安全保证，确保 VPN 内部信息不受外部侵扰。

 虚拟（Virtual）： VPN 用户内部的通信是通过一个公共网络（公共的 Internet 或企 业所有员工都能使用的内部网络）进行的， 即 VPN 用户获得的是一个逻辑意义上 的专网。这个公共网络称为 VPN 骨干网（VPN Backbone）。 和传统的数据专网相比， VPN 具有如下优势。

 在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证 数据传输的安全性。这对于实现电子商务或金融网络与通信网络的融合特别重要。  利用公共网络进行信息通信，一方面使企业以更低的成本连接远地办事机构、出 差人员和业务伙伴，另一方面提高网络资源利用率。

 通过软件配置就可以增加、删除 VPN 用户，无需改动硬件设施，因此在应用上具 有很大灵活性。

 支持驻外 VPN 用户在任何时间、任何地点的移动接入，能够满足不断增长的移动 业务需求。

 构建具有服务质量保证的 VPN（如 MPLS VPN），可为 VPN 用户提供不同等级的 服务质量保证。 VMware NSX 网络虚拟化平台主要利用 IPSec 技术实现 VPN。 IPSec（IP Security）是 IETF 制定的三层隧道加密协议，它为 Internet 上传输的数据提供了高质量的、可互操作的、 基于密码学的安全保证。特定的通信方之间在 IP 层通过加密与数据源认证等方式，提供了 以下的安全服务。  数据机密性（Confidentiality）： IPSec 发送方在通过网络传输包前对包进行加密。

 数据完整性（Data Integrity）： IPSec 接收方对发送方发送来的包进行认证，以确保 数据在传输过程中没有被篡改。

 数据来源认证（Data Authentication）： IPSec 在接收端可以认证发送 IPSec 报文的 发送端是否合法。

 反重放（Anti-Replay）： IPSec 接收方可检测并拒绝接收过时或重复的报文。 IPSec 具有以下优点。

 支持 IKE（Internet Key Exchange，因特网密钥交换），可实现密钥的自动协商功能， 减少了密钥协商的开销。可以通过 IKE 建立和维护 SA 的服务，简化了 IPSec 的使 用和管理。  所有使用 IP 协议进行数据传输的应用系统和服务都可以使用 IPSec，而不必对这 些应用系统和服务本身做任何修改。  对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而 且有助于进一步提高 IP 数据包的安全性，可以有效防范网络攻击。

         IPSec 协议不是一个单独的协议，它是一整套应用于 IP 层上网络数据安全的体系结构， 包括网络认证协议 AH（Authentication Header）、 ESP（Encapsulating Security Payload）、 IKE （Internet Key Exchange）和用于网络认证及加密的一些算法等。其中， AH 协议和 ESP 协议 用于提供安全服务， IKE 协议用于密钥交换。 IPSec 提供了两种安全机制：认证和加密。认证机制使 IP 通信的数据接收方能够确认 数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密 运算来保证数据的机密性，以防数据在传输过程中被窃听。

7.5.2 另一种 VPN 技术： SSL VPN

        SSL（Secure Socket Layer，安全套接层）是为网络通信提供安全及数据完整性的一种 安全协议。它由 Netscape 研发，用于保障在 Internet 上数据传输之安全。它利用数据加密 技术，可确保数据在网络上的传输过程中不会被截取及窃听。现在，该技术广泛用于企业 对外提供服务的 Web 应用，我们熟悉的以 HTTPS 打头的网页地址（如支付宝网页），就使 用了 SSL 协议，其 TCP 端口号为 443。 SSL VPN 是以 SSL 协议为基础的 VPN 技术，工作在传输层和应用层之间。

         SSL VPN 充分利用了 SSL 协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以 为应用层之间的通信建立安全连接。由于使用的协议不同， SSL VPN 的实现方式与传统 VPN 有着很大区别。 企业的网络管理员可以在 SSL VPN 网关上创建企业网内服务器对应的资源， 随后在远 程接入用户访问企业网内的服务器时，首先与 SSL VPN 网关建立 HTTPS 连接，选择需要访问的资源，由 SSL VPN 网关将资源访问请求转发给企业网内的服务器。 SSL VPN 通过在 远程接入用户和 SSL VPN 网关之间建立 SSL 连接，然后 SSL VPN 网关对用户进行身份认 证等机制，实现了对企业网内服务器的保护。

        SSL VPN 的工作流程如下所示。 1．管理员以 HTTPS 方式登录 SSL VPN 网关的 Web 管理界面，在 SSL VPN 网关上创 建与服务器对应的资源。 2．远程接入用户与 SSL VPN 网关建立 HTTPS 连接。通过 SSL 提供的基于证书的身 份验证功能， SSL VPN 网关和远程接入用户可以验证彼此的身份。 3． HTTPS 连接建立成功后，用户登录到 SSL VPN 网关的 Web 页面，输入用户名、密 码和认证方式（如 RADIUS 认证）， SSL VPN 网关验证用户的信息是否正确。 4．用户成功登录后，在 Web 页面上找到可以访问的资源，通过 SSL 连接将访问请求 发送给 SSL VPN 网关。 5． SSL VPN 网关解析请求，与服务器交互后将应答发送给用户。

7.5.3 使用 NSX Edge 建立二层 VPN

        如图 7.23 所示，使用 NSX Edge 进行二层 VPN 的部署， 允许在两个不同的、分离的数 据中心之间进行二层连接，使得虚拟机可以在不同数据中心之间进行迁移，存储也可以跨 越数据中心进行复制和备份。 如图 7.24 所示，使用 NSX Edge 进行二层 VPN 的部署还可以用于私有云与公有云之间 的连接—很多企业希望数据中心有冗余，但是为了节省成本，会自建一个数据中心，并 使用公有云作为数据中心的备份。

使用 NSX Edge 建立二层 VPN，在企业、数据中心、运营商中有多种应用场景。  将早先建立的企业网迁移至基于私有云或公有云的数据中心环境。

 运营商的租户服务的上线。  云爆发（Cloud Bursting），这是一种应用部署模式，在该模式下应用运行在私有云 或数据中心中，而当计算能力的需求达到一个阈值时，则“闯入” 公共云中，调 用共有云的计算资源，来扩展应用负载。 在混合云中，延伸应用层。 在使用 NSX Edge 部署二层 VPN 的方案中，有如下特点。  二层 VPN 的连接是通过 SSL 加密隧道连接不同数据中心的网络来完成的，底层网 络只需 IP 互通。不同的网络可以通过 VPN 连接到相同的子网。

 本地网络可以是任何类型—二层 VPN 可以连接基于 VLAN 或 VXLAN 的异 地网络。  在两个数据中心建立连接时，这仅仅是一个点对点的服务。在本地， NSX Edge 充 当二层 VPN 服务器端的角色，而在异地数据中心， NSX Edge 则充当二层 VPN 客 户端的角色，连接到服务器端。

 支持 UI 以及 API 驱动配置。  二层 VPN 主要用于连接不同站点之间的网络，而中间的链路可能是企业自建或运 营商提供的专线/互联网线路，建立二层 VPN，独立于这些线路，无需考虑延迟、 带宽和 MTU 等（牵涉到中间运行的应用时才会涉及）。 使用 NSX Edge 部署二层 VPN 后，给企业带来了如下好处。  实现站点之间的二层扩展，且通信得以加密。  不需要特殊网络硬件。

 支持企业私有云互联和混合云扩展。  支持与电信天翼混合云互联。 NSX 6.1 版本发布后，对于 VPN 的功能有了很大改进， 主要体现在以下方面。

 在 6.0 版本中，需要在不同数据中心部署两个独立的 NSX Domain 来进行 VPN 连 接。这意味着需要在两个数据中心分别部署不同的 vCenter、 NSX Manager 和 NSX Controller 集群。 这在小型部署中可能问题不大，但是在运营商混合云部署中，就 出现问题了—多达几十个站点的数据中心无法进行统一配置和管理。而 6.1 版本 允许将异地 NSX Edge 作为 VPN 客户端进行部署，这样就可以在部署 VPN 服务器 端的站点进行统一配置和管理。

 6.1 版本支持在 NSX Edge 之上启用第三个接口（上连口与内部接口之外的一个接 口），就是我们熟悉的 Trunk 接口。有了这个接口，就可以利用它，轻松使得二层 VPN 在多站点网络上扩展。而在 6.0 版本中， NSX Edge 有基于每个 vNIC 接口的 限制。  6.1 版本中的二层 VPN 提供完全的 HA 支持（无论是利用 NSX Edge 部署二层 VPN 的服务器端还是客户端），一对 NSX Edge 在每个站点都可以部署为主备 模式。