2014年5月,在我加入VMware三個月之后,我涂鴉了一篇《818SDN的那些事兒》,當時放言如果閱讀量過百就寫續(xù)篇。后來果然閱讀量沒過百,也就80多的樣子,其中好幾份還是我自戀地進去查看閱讀量時貢獻的,估計也有幾份是老婆大人這類完全不懂IT的粉絲以示支持貢獻的。閱讀量沒過百,我也就心安理得地不需要有什么動作了,直到有一天,我遇到了PeterYe。這位大哥真是蠻拼的,他轉發(fā)了這篇文章,結果閱讀量飆升,然后他就笑瞇瞇地對我說,你該履行諾言,寫續(xù)篇了。我雖然答應了他,但一拖再拖,他倒好,也不急不惱,一催再催。我是得寫點東西了,為了回報Peter的這份執(zhí)著。
我當初是被NSX這款產品打動而加入VMware的,當時就認定它是一款SDN的產品。但隨著對產品理解的深入,我發(fā)現(xiàn)我當初仍然失之淺薄。然后我才能理解RickChen一直在講的,我們并不是SDN或者NFV,我們只是網絡虛擬化。如果您碰巧是第一次看到NSX這幾個字,且隨我來浮光掠影地認識一下它吧。
在服務器虛擬化之前,服務器和網絡相安無事,每個PoD里的服務器都是支撐同一個應用的。然后,服務器開始了虛擬化,如果按每個虛擬機就是一臺Server的話,Server的數(shù)量比原來物理機時代提升了10~20倍,原來的一個PoD,現(xiàn)在可以支撐更多應用了,原來單純的南北向流量,現(xiàn)在增加了很多的東西向流量。
這時候,網絡唯一做出的變化就是開始應對資源池延伸的需求,提供大二層支持。當應用部分再一次申請?zhí)摂M機資源時,很可能原來的二層域里的資源已經分配殆盡,只能在其他二層域分配,這時需要大二層技術在跨三層的網絡上層疊出一個二層網絡來。這個層疊過程抑制了很多廣播包,兼顧了傳輸效率和延伸范圍。但當今網絡界幾大梟雄,任兩家的大二層技術都不能互通,無論選擇誰,都只能被廠商綁定。
然后,NSX出現(xiàn)了。它的理念非常簡單,把整個網絡分為兩層:底層的物理網絡提供所有的服務器之間的IP傳輸,上層的虛擬化網絡提供租戶間的隔離,以及租戶內的連接。底層網絡的交換機變得非常簡單,不需要那些高逼格的Features,只需要提供IP和OSPF多路徑即可,而這些,只是網絡廠商的入門券技術。上層的虛擬化網絡,就是NSX要做的事情了。首先,它在底層的IP網絡之上再做一層VXLAN封裝,將同一租戶的幾個VXLAN之間路由起來,不同租戶的VXLAN是互相看不到的,這就做到了多租戶之間的天然隔離。其次,在同一租戶內部,它使用的分布式防火墻,在每個虛擬機的虛網卡上生效,即使做同一網段內部的二層隔離,它也游刃有余。
NSX在VMware被稱為下一個vSphere,是有足夠資本的。vSphere6.0推出了跨vCenter的vMotion,NSX立馬推出了跨vCenter的虛擬網絡。從現(xiàn)在開始,一個集群要設計多大,一個vCenter要設計多大?您不要拿這些話題來煩惱自己了,因為這無!所!謂!無論您如何設計,大了還是小了,我們可以跨集群、跨vCenter來分配資源,并且把這些跨域的資源分配給同一個租戶,互相訪問、往來遷移,全都妥妥的。
系統(tǒng)和網絡,從來就是一對愛恨交織的兄弟,從前一起加班,一起共用變更窗口。打從服務器虛擬化起,系統(tǒng)的兄弟不加班了,這讓網絡的兄弟艷羨的很。系統(tǒng)做變更,竟然大白天就大剌剌地把虛機遷走,機器大卸八塊來修,下班前把修好的服務器再加電,虛機遷回來,業(yè)務不用停,人卻撅著個腚飛了。不止如此,最近的KPI會議上,系統(tǒng)部也是領導眼里的紅人,他們上了自服務門戶,除了領導審批,其他的流程,象虛機申請、虛機交付,都是自動化腳本一氣呵成,號稱五分鐘交付。然后就幸災樂禍地把應用團隊指到網絡這邊來了,沒辦法,誰讓網絡是公共平臺呢,得先申請變更窗口吧,最快得一周吧。五分鐘和七天一比,這日子沒法過了。
關鍵時刻,又是NSX挺身而出,偶也是軟件的,偶也是容器來的,倫家也可以被編程調用的。自此,自服務門戶上,用戶選了虛機選網絡,最后把安全策略也捎上。交付時,虛機交付多快,網絡就交付多快。相互隔離的多租戶網絡,在增加、修改或刪除一個租戶/應用的網絡時,對其他租戶毫無影響。和變更窗口說拜拜,晚上有時間約妹子了,哈哈。
這樣看來,也只是大煙囪變小煙囪,五十步笑百步而已。NSX的出現(xiàn),讓一個統(tǒng)一的大資源池成為可能。這個統(tǒng)一的資源池,上面可以運行互相不允許訪問的幾塊業(yè)務,如開發(fā)、測試和生產。NSX可以讓共享資源的顆粒度小到虛擬機為單位,而不是傳統(tǒng)上的以Host為單位。NSX可以讓資源池中甚至任意兩個虛擬機之間都互不信任,而不使用一臺物理防火墻?梢哉f,從虛擬化到云計算,網絡虛擬化是關鍵的一步。
NSX只要能傳輸IP的底層網絡,已經讓傳統(tǒng)的網絡廠商大為惱火了(我那些Features賣給誰去?高大上和下里巴還怎么區(qū)別?),更別提底層網絡設備可以多廠商、多型號組網,這顛覆了以前數(shù)據(jù)中心組網的特定廠商、特定型號的慣例。更要命的是,傳統(tǒng)網絡廠商孜孜以求的網絡感知虛機,這是NSX的DNA中就自帶的,網絡虛擬化融合在服務器虛擬化的內核中,這個可是傳統(tǒng)網絡廠商艷羨也沒辦法的呀。
