我們首先來(lái)看一下當(dāng)企業(yè)演進(jìn)到多中心多云部署會(huì)碰到哪些挑戰(zhàn)呢?
中心內(nèi)多硬件安全區(qū)域,一個(gè)個(gè)的”小池子“,資源浪費(fèi)
資源池被割裂到每個(gè)物理隔離的硬件網(wǎng)絡(luò)區(qū)域,煙囪式部署,不同資源池利用率不均,無(wú)法跨池進(jìn)行資源調(diào)度,造成忙的池子要等待,要擴(kuò)容,而閑的池子又不能加以利用,資源浪費(fèi)。造成這樣問(wèn)題的原因,一方面來(lái)源于傳統(tǒng)硬件網(wǎng)絡(luò)的技術(shù)為了保證穩(wěn)定和可用而不得不折中選擇”小網(wǎng)絡(luò)“部署,避免一個(gè)池子的網(wǎng)絡(luò)問(wèn)題擴(kuò)散至全網(wǎng),這也是網(wǎng)絡(luò)世界讓網(wǎng)工又愛(ài)又恨的經(jīng)典”二層“網(wǎng)絡(luò)問(wèn)題,STP,后邊我們?cè)谟懻撘幌隆A硪环矫婢褪遣煌瑯I(yè)務(wù)間的安全隔離需要將不同池子內(nèi)部的應(yīng)用隔離開(kāi)。難道就沒(méi)有兩全其美的辦法?
多中心多站點(diǎn)池子更難融合
一個(gè)中心內(nèi)部都是一個(gè)個(gè)的小資源池,當(dāng)企業(yè)建設(shè)多站點(diǎn)時(shí),池子在多站點(diǎn)進(jìn)一步被割裂,很難實(shí)現(xiàn)跨站點(diǎn)的資源調(diào)用。而采用傳統(tǒng)硬件廠商的多站點(diǎn)”大二層“技術(shù)昂貴,復(fù)雜,需要特定的網(wǎng)絡(luò)硬件以及手工的CLI部署,網(wǎng)絡(luò)割接改造等。另外一個(gè)需要考慮的問(wèn)題??jī)H僅的二層延伸就可以實(shí)現(xiàn)多站點(diǎn)資源池融合嘛?并不足夠。一個(gè)應(yīng)用能夠?qū)ν馓峁┓⻊?wù),不僅需要二層鏈接,還需要三層路由,L4-7安全,抗病毒,IPS,SLB服務(wù)發(fā)布,這些都需要多活部署。而傳統(tǒng)硬件方式很難實(shí)現(xiàn)。
站點(diǎn)或者局部故障恢復(fù)時(shí)間過(guò)長(zhǎng)
企業(yè)都希望業(yè)務(wù)能夠7*24小時(shí)不間斷運(yùn)行,無(wú)論是計(jì)劃內(nèi)的運(yùn)維調(diào)整,還是計(jì)劃外的故障,業(yè)務(wù)的恢復(fù)時(shí)間太長(zhǎng),而每分鐘業(yè)務(wù)的離線都是昂貴的成本和糟糕的客戶體驗(yàn)。
跨站點(diǎn)跨云安全風(fēng)險(xiǎn)高
當(dāng)應(yīng)用跨站點(diǎn)分布式多活部署時(shí),每個(gè)站點(diǎn)都通過(guò)硬件火墻實(shí)現(xiàn)安全隔離,多中心的安全策略需要手工進(jìn)行同步,復(fù)雜度高,如果跨云部署,甚至采用不同的安全平臺(tái)或者運(yùn)維管理工具,應(yīng)用跨站跨云部署安全策略不能有效實(shí)時(shí)同步帶來(lái)潛在的安全隱患。
而過(guò)去幾年,一談到多中心,大家馬上想到的一個(gè)詞兒就是”大二層“,好像大二層就是靈丹妙藥,可以解千愁,只要有了大二層打穿兩個(gè)中心,就能雙活?缺的還很多。
那我們就先談?wù)劄槭裁碙2二層網(wǎng)絡(luò)讓網(wǎng)工們又愛(ài)又恨。
為何愛(ài)?
- L2網(wǎng)絡(luò)對(duì)比3層路由確實(shí)簡(jiǎn)單,基本可以做到即插即用
- 一些特定的集群類應(yīng)用需要2層網(wǎng)絡(luò),或者一些應(yīng)用在開(kāi)發(fā)時(shí)就沒(méi)有考慮到網(wǎng)絡(luò),應(yīng)用必須在一個(gè)2層里
- 過(guò)去十年來(lái)基礎(chǔ)架構(gòu)演進(jìn)需要網(wǎng)絡(luò)提供二層,云化中心需要通過(guò)基礎(chǔ)架構(gòu)提供VM的高可用,DRS,這些需要VM在一個(gè)二層里才能遷移
什么是大二層?
- 我們先談?wù)勈裁床皇谴蠖䦟樱海?/li>
- 大二層并不是在一個(gè)二層網(wǎng)絡(luò)容納更多的業(yè)務(wù)和vm
大二層是?
- Any Subnet,Any L2,Any Workload,anywhere,這個(gè)大的意思是靈活延伸,業(yè)務(wù)任意部署,遷移
- 減少網(wǎng)絡(luò)故障域,降低業(yè)務(wù)影響
- 提升網(wǎng)絡(luò)性能,擴(kuò)展性
為什么現(xiàn)在95%以上的企業(yè)內(nèi)部二層都大不起來(lái)呢?
- 傳統(tǒng)的二層網(wǎng)絡(luò)協(xié)議太魔鬼,STP讓網(wǎng)工望而卻步
- 任意交換機(jī),鏈路故障,導(dǎo)致整網(wǎng)全局影響,業(yè)務(wù)全網(wǎng)中斷。
- 樹(shù)形拓?fù)洌话氲膸捠?/li>
- 排錯(cuò)太難,網(wǎng)絡(luò)不穩(wěn)定
一個(gè)中心的網(wǎng)絡(luò)二層大了都不穩(wěn),誰(shuí)敢在多中心間實(shí)現(xiàn)網(wǎng)絡(luò)2層延伸呢?當(dāng)然硬件網(wǎng)絡(luò)廠商在過(guò)去10年看到商機(jī),一路以來(lái)演進(jìn)faric,從STP,到vPC,堆疊,M-lag,到Trill,F(xiàn)abricpath,到現(xiàn)在的BGP EVPN with Vxlan。但是解決的主要是網(wǎng)絡(luò)問(wèn)題,很難全面延伸完整應(yīng)用所需要的L2-7網(wǎng)絡(luò),安全環(huán)境。
所以就誕生了如下圖右下角一個(gè)個(gè)隔離的硬件網(wǎng)絡(luò),一個(gè)個(gè)隔離的小池子,同時(shí)如剛才介紹,不同的業(yè)務(wù)需要進(jìn)行隔離,每個(gè)小池子腦袋上要頂個(gè)硬件防火墻。之前的文章我們討論過(guò),這樣的安全區(qū)域太大,小區(qū)內(nèi)沒(méi)有任何業(yè)務(wù)間隔離。
通過(guò)NSX可以完美的解決傳統(tǒng)二層網(wǎng)絡(luò)及安全隔離需求,讓小池子變大。
第一個(gè)業(yè)務(wù)場(chǎng)景,單中心融合資源池
如下圖所示,上邊我們談到了由于傳統(tǒng)2層網(wǎng)絡(luò)以及業(yè)務(wù)隔離需要,現(xiàn)在企業(yè)基本上采用硬件隔離的小網(wǎng)絡(luò)和小池子的架構(gòu),通過(guò)NSX可以將一個(gè)個(gè)獨(dú)立硬件隔離的小池子融合為一個(gè)大池子,通過(guò)NSX將整個(gè)云化中心實(shí)現(xiàn)L2-7的網(wǎng)絡(luò),安全虛擬化實(shí)現(xiàn)資源池整合,讓傳統(tǒng)不同安全分區(qū)內(nèi)部的業(yè)務(wù)可以在大池子內(nèi)部任意調(diào)度,提升資源利用率,同時(shí)通過(guò)NSX安全微分段”口罩“為每個(gè)業(yè)務(wù)設(shè)置安全隔離策略,既安全又高效。
- NSX通過(guò)純軟件實(shí)現(xiàn),無(wú)任何硬件依賴性,無(wú)需替代企業(yè)現(xiàn)有的任何網(wǎng)絡(luò)設(shè)備
- 提升云化中心內(nèi)部安全性,不僅實(shí)現(xiàn)大區(qū)之間的業(yè)務(wù)隔離,甚至在區(qū)域內(nèi)部可實(shí)現(xiàn)業(yè)務(wù)間東西向安全微隔離,以及分布式抗病毒,IPS等
- 小池子變大池子,資源高效利用及靈活調(diào)度,可為企業(yè)IT部分節(jié)省投資
- NSX實(shí)現(xiàn)不僅僅是大二層,而是完全應(yīng)用所需網(wǎng)絡(luò)環(huán)境都”大“了起來(lái)
第二個(gè)業(yè)務(wù)場(chǎng)景,多中心融合資源池
通過(guò)NSX純軟件網(wǎng)絡(luò)及安全虛擬化跨越多站點(diǎn)多云實(shí)現(xiàn)網(wǎng)路及安全策略自由延伸,從而實(shí)現(xiàn)企業(yè)無(wú)縫多站點(diǎn)鏈接,跨站點(diǎn)融合資源池,以及業(yè)務(wù)的在線遷移、災(zāi)難避免和故障恢復(fù)。
通過(guò)NSX背后的強(qiáng)大技術(shù),跨中心將每個(gè)中心的資源池融合成一個(gè)統(tǒng)一資源池,讓業(yè)務(wù)可以在多中心之間分布式部署,提升資源利用率,使得資源甚至可以在多中心間自由遷移,實(shí)現(xiàn)站點(diǎn)之間的計(jì)劃內(nèi)遷移,災(zāi)難避免,以及站點(diǎn)故障的全自動(dòng)化故障恢復(fù),大大降低RTO故障恢復(fù)時(shí)間。
而NSX為企業(yè)的應(yīng)用可提供層次化的多活災(zāi)備方案,適用多種場(chǎng)景如下:
- 業(yè)務(wù)層雙活部署:針對(duì)新應(yīng)用,或者可域名發(fā)布多中心的分布式應(yīng)用,可通過(guò)NSX ALB(前AVI云負(fù)載均衡)實(shí)現(xiàn)多中心業(yè)務(wù)雙活部署,通過(guò)AVI GSLB實(shí)現(xiàn)業(yè)務(wù)多活多中心接入,通過(guò)NSX實(shí)現(xiàn)業(yè)務(wù)跨中心交付統(tǒng)一的L2-7層安網(wǎng)路及安全策略。當(dāng)站點(diǎn)或者中心出口故障,通過(guò)NSX可將業(yè)務(wù)在秒級(jí)進(jìn)行切換至第二中心,極大降低業(yè)務(wù)的RTO故障恢復(fù)時(shí)間。
- 基礎(chǔ)架構(gòu)雙活部署:對(duì)于傳統(tǒng)單體應(yīng)用,無(wú)法實(shí)現(xiàn)業(yè)務(wù)級(jí)多活部署,通過(guò)NSX+VSAN延伸集群跨站實(shí)現(xiàn)計(jì)算,存儲(chǔ),網(wǎng)絡(luò)多活延伸,存儲(chǔ)同步復(fù)制,vsphere/vsan延伸集群保護(hù)應(yīng)用,當(dāng)站點(diǎn)故障時(shí),業(yè)務(wù)可自動(dòng)化恢復(fù)至第二中心,實(shí)現(xiàn)分鐘級(jí)RTO,RPO為0無(wú)數(shù)據(jù)丟失,全自動(dòng)化故障恢復(fù),通過(guò)NSX將全棧L2-7網(wǎng)絡(luò)策略延伸至多中心。
- 基礎(chǔ)架構(gòu)容災(zāi)部署:對(duì)于次優(yōu)先級(jí)的應(yīng)用,可采用SRM+NSX實(shí)現(xiàn)存儲(chǔ)和網(wǎng)絡(luò)的容災(zāi)部署,通過(guò)SRM實(shí)現(xiàn)災(zāi)備調(diào)度,通過(guò)底層VR實(shí)現(xiàn)存儲(chǔ)復(fù)制,通過(guò)NSX將業(yè)務(wù)的全棧網(wǎng)絡(luò)策略延伸至災(zāi)備中心,當(dāng)主站點(diǎn)故障時(shí),可實(shí)現(xiàn)全自動(dòng)化的計(jì)算,存儲(chǔ),網(wǎng)絡(luò)的站點(diǎn)恢復(fù),極大降低RTO故障恢復(fù)時(shí)間至分鐘或者小時(shí)級(jí)別
第三個(gè)業(yè)務(wù)場(chǎng)景,跨云融合
VMware與多個(gè)公有云提供商合作,構(gòu)建VMware SDDC全棧onAWS,阿里云,騰訊云,通過(guò)云中內(nèi)置的NSX HCX云間互聯(lián)方案,幫助企業(yè)自由的實(shí)現(xiàn)零業(yè)務(wù)中斷的實(shí)時(shí)業(yè)務(wù)遷移,同時(shí)提供批量業(yè)務(wù)從企業(yè)自建中心向公有云端遷移。同時(shí)通過(guò)HCX可實(shí)現(xiàn)自動(dòng)化將私有云業(yè)務(wù)備份至公有云端。實(shí)現(xiàn)自動(dòng)化災(zāi)備測(cè)試,容災(zāi)恢復(fù)。
HCX的獨(dú)享價(jià)值如下:
- 硬件無(wú)關(guān),無(wú)需特定硬件廠商的復(fù)雜昂貴硬件,云中內(nèi)置云間互聯(lián)和遷移方案,無(wú)需調(diào)整跨云設(shè)備的MTU
- 高性能遷移方案,HCX內(nèi)置廣域網(wǎng)優(yōu)化,實(shí)現(xiàn)加密,去重,壓縮,甚至在云間可使用internet線路,無(wú)需昂貴的專線云間互聯(lián)。
- 無(wú)束縛,支持跨云任意的vSphere版本,任意的服務(wù)器硬件,CPU,vSphere SSO,任意的網(wǎng)絡(luò)硬件。
最后,總結(jié)一下NSX多云網(wǎng)絡(luò)價(jià)值:
- 跨站點(diǎn)跨云融合大資源池,提升資源利用率,打破傳統(tǒng)網(wǎng)絡(luò)壁壘,資源靈活調(diào)度及高效利用
- 100% 純軟件,支持任意底層硬件網(wǎng)絡(luò),提供“大2-7層網(wǎng)絡(luò)延伸” ,簡(jiǎn)化運(yùn)維
- 多層次雙活方案適配任意企業(yè)應(yīng)用,災(zāi)備一體化自動(dòng)化降低故障恢復(fù)時(shí)間,降低災(zāi)難影響
"NSX多云網(wǎng)絡(luò)節(jié)目預(yù)告:
- 基于NSX-T+AVI實(shí)現(xiàn)企業(yè)雙活中心
- 基于NSX-T多站點(diǎn)容災(zāi)方案實(shí)現(xiàn)
- 基于HCX的VMware云際漫游"
