1、設計 指南 / PAGE 81VMware NSX for vSphere (NSX-V)網絡虛擬化設計指南目 錄 HYPERLINK l _bookmark0 目標讀者4 HYPERLINK l _bookmark1 概述4 HYPERLINK l _bookmark2 網絡虛擬化簡介5 HYPERLINK l _bookmark3 NSX-v 網絡虛擬化解決方案概述5 HYPERLINK l _bookmark4 控制面板5 HYPERLINK l _bookmark5 數據面板5 HYPERLINK l _bookmark6 管理面板和使用平臺6 HYPERLINK l _bookmar

2、k7 NSX 功能服務6 HYPERLINK l _bookmark8 NSX-v 功能組件7 HYPERLINK l _bookmark9 NSX Manager7 HYPERLINK l _bookmark10 控制器群集8 HYPERLINK l _bookmark11 VXLAN 入門10 HYPERLINK l _bookmark12 具有 VDS 的 ESXi 虛擬化管理程序11 HYPERLINK l _bookmark13 用戶空間和內核空間12 HYPERLINK l _bookmark14 NSX Edge 服務網關13 HYPERLINK l _bookmark15 傳輸

3、區域15 HYPERLINK l _bookmark16 NSX 分布式防火墻 (DFW)15 HYPERLINK l _bookmark17 NSX-v 功能服務21 HYPERLINK l _bookmark18 多層應用程序部署示例21 HYPERLINK l _bookmark19 邏輯交換21 HYPERLINK l _bookmark20 多目標流量的復制模式23 HYPERLINK l _bookmark21 多播模式23 HYPERLINK l _bookmark22 單播模式25 HYPERLINK l _bookmark23 混合模式26 HYPERLINK l _book

4、mark24 填充控制器表27 HYPERLINK l _bookmark25 單播流量（虛擬到虛擬通信）29 HYPERLINK l _bookmark26 單播流量（虛擬到物理通信）30 HYPERLINK l _bookmark27 邏輯路由33 HYPERLINK l _bookmark28 邏輯路由組件34 HYPERLINK l _bookmark29 邏輯路由部署選項39 HYPERLINK l _bookmark30 物理路由器作為下一個躍點39 HYPERLINK l _bookmark31 Edge 服務網關作為下一個躍點40 HYPERLINK l _bookmark32

5、 邏輯防火墻42 HYPERLINK l _bookmark33 網絡隔離42 HYPERLINK l _bookmark34 網絡分段43 HYPERLINK l _bookmark35 利用抽象化處理44 HYPERLINK l _bookmark36 高級安全服務插入、串聯和轉向45 HYPERLINK l _bookmark37 跨物理和虛擬基礎架構的一致的可見性和安全模型46 HYPERLINK l _bookmark38 具有 NSX DFW 的微分段用例和實施46 HYPERLINK l _bookmark39 邏輯負載平衡49 HYPERLINK l _bookmark40 虛

6、擬專用網絡 (VPN) 服務53 HYPERLINK l _bookmark41 L2 VPN53 HYPERLINK l _bookmark42 L3 VPN54 HYPERLINK l _bookmark43 NSX-v 設計注意事項55 HYPERLINK l _bookmark47 物理網絡要求57 HYPERLINK l _bookmark48 簡單57 HYPERLINK l _bookmark49 分支交換機57 HYPERLINK l _bookmark50 主干交換機58 HYPERLINK l _bookmark51 可擴展性58 HYPERLINK l _bookmark

7、52 高帶寬59 HYPERLINK l _bookmark53 容錯59 HYPERLINK l _bookmark54 差異化服務 服務質量60 HYPERLINK l _bookmark55 NSX-v 部署注意事項61 HYPERLINK l _bookmark56 NSX-v 域中的 ESXi 群集設計62 HYPERLINK l _bookmark57 計算、Edge 和管理群集62 HYPERLINK l _bookmark58 NSX-v 域中的 VDS 上行鏈路連接64 HYPERLINK l _bookmark59 NSX-v 域中的 VDS 設計68 HYPERLINK

8、l _bookmark60 ESXi 主機流量類型68 HYPERLINK l _bookmark61 VXLAN 流量69 HYPERLINK l _bookmark62 管理流量69 HYPERLINK l _bookmark63 vSphere vMotion 流量69 HYPERLINK l _bookmark64 存儲流量70 HYPERLINK l _bookmark65 用于 VMkernel 接口 IP 尋址的主機配置文件70 HYPERLINK l _bookmark66 邊緣機架設計71 HYPERLINK l _bookmark67 NSX Edge 部署注意事項72 H

9、YPERLINK l _bookmark68 NSX 第 2 層橋接部署注意事項80 HYPERLINK l _bookmark69 結論82目標讀者本文檔的目標讀者是對在 vSphere 環境中部署 VMware NSX 網絡虛擬化解決方案感興趣的虛擬化和網絡架構師。概述IT 組織已經從服務器虛擬化中明顯獲益。服務器整合降低了物理復雜性，提高了運營效率，并且能夠動態地重新調整基礎資源的用途，使其以最佳方式快速滿足日益動態化的業務應用需求，而這些只是已經實現的眾多好處中的少數幾個。現在，VMware 的軟件定義的數據中心 (SDDC) 架構正將虛擬化技術延展至整個物理數據中心基礎架構。VMwa

10、re NSX 網絡虛擬化平臺是 SDDC 架構中的一個重要產品。使用 VMware NSX 可以實現網絡虛擬化，正如計算和存儲虛擬化交付。與服務器虛擬化通過編程方式創建基于軟件的虛擬機 (VM) 并對其執行快照拍攝、刪除和還原操作大致相同，VMware NSX 網絡虛擬化通過編程方式對基于軟件的虛擬網絡執行這些操作。這使得聯網方式發生了徹底變革，不僅使數據中心管理人員能夠將敏捷性和經濟性提高若干數量級，而且還能極大地簡化基礎物理網絡的運營模式。NSX 能夠部署在任何 IP 網絡上，包括現有的傳統網絡模型以及任何供應商提供的新一代體系結構，它為您提供了一個徹底無中斷的解決方案。事實上，使用 NS

11、X，您只需利用現有的物理網絡基礎架構即可部署軟件定義數據中心。圖 1 服務器和網絡虛擬化類比圖 1 對計算和網絡虛擬化進行了類比。通過服務器虛擬化，軟件抽象層（服務器虛擬化管理程序）可在軟件中重現人們所熟悉的 x86 物理服務器屬性（例如 CPU、內存、磁盤、網卡），從而可通過編程方式來任意組合這些屬性，只需短短數秒，即可生成一臺獨一無二的虛擬機 (VM)。通過網絡虛擬化，與“網絡虛擬化管理程序”等效的功能可在軟件中重現第 2 層到第 7 層的一整套網絡服務（例如，交換、路由、防火墻和負載平衡）。因此，可通過編程方式任意組合這些服務，只需短短數秒，即可生成獨一無二的獨立虛擬網絡。當然，這也帶來

12、其他類似的優勢。例如，就像虛擬機獨立于基礎 x86 平臺并允許 IT 將物理主機視為計算容量池一樣，虛擬網絡也獨立于基礎 IP 網絡硬件并允許 IT 將物理網絡視為可以按需使用和調整用途的傳輸容量池。與傳統架構不同的是，無需重新配置基礎物理硬件或拓撲，即可通過編程方式置備、更改、存儲、刪除和還原虛擬網絡。與企業從熟悉的服務器和存儲虛擬化解決方案獲得的功能和優勢相匹配，這一革命性的聯網方式可發揮軟件定義的數據中心的全部潛能。有了 VMware NSX，您即擁有部署新一代軟件定義的數據中心所需的網絡。本文將重點介紹 VMware NSX for vSphere (NSX-v)架構提供的各種功能，以

13、及為了充分利用您的現有網絡投資并通過 VMware NSX-v 優化該投資，您應該考慮的設計因素。注意：在本文后面部分中，交換使用了術語“NSX”和“NSX-v”，它們始終是指通過 vSphere 進行的 NSX 部署。網絡虛擬化簡介NSX-v 網絡虛擬化解決方案概述如圖 2 中所示，NSX-v 部署包含數據面板、控制面板和管理面板。圖 2 NSX 組件控制面板NSX 控制面板在 NSX Controller 中運行。在采用 VDS 的 vSphere 優化環境中，控制器可實現自由多播 VXLAN 以及分布式邏輯路由 (DLR) 等元素的控制面板編程。無論是哪種情況，控制器都只是控制面板的一部

14、分，不會有任何數據面板流量流過控制器。控制器節點還部署在具有奇數個成員的群集中，以實現高可用性和可擴展性。數據面板NSX 數據面板由 NSX vSwitch 組成。NSX for vSphere 中的 vSwitch 基于 vSphere Virtual Distributed Switch (VDS) 構建并附加了一些組件，可提供豐富的服務。附加 NSX 組件包括在虛擬化管理程序內核中運行的內核模塊 (VIB)，這些模塊可提供分布式路由、分布式防火墻等服務并實現 VXLAN 橋接功能。NSX VDS 可對物理網絡進行抽象化處理并在虛擬化管理程序中提供訪問級別的交換。它對網絡虛擬化至關重要，因

15、為它可實現獨立于物理構造的邏輯網絡（如 VLAN）。NSX vSwitch 的一些優勢包括：利用 VXLAN 協議以及集中式網絡配置支持覆蓋網絡。覆蓋網絡可實現以下功能：在現有物理基礎架構上創建一個覆蓋現有 IP 網絡的靈活邏輯層 2 (L2)，而無需重新設計任何數據中心網絡。敏捷置備通信（東西向和南北向），同時讓租戶之間保持相互隔離。應用程序工作負載和虛擬機獨立于覆蓋網絡，就像連接到物理 L2 網絡一樣運行。NSX vSwitch 有利于實現虛擬化管理程序的大規模擴展。端口鏡像、NetFlow/IPFIX、配置備份和還原、網絡運行狀況檢查、QoS 和 LACP 等多種功能可在虛擬網絡內提供一

16、個全面的流量管理、監控和故障排除工具包。此外，數據面板還包含網關設備，這些設備可提供從邏輯網絡空間 (VXLAN) 到物理網絡 (VLAN) 的通信。此功能可發生在第 2 層（NSX 橋接）或第 3 層（NSX 路由）。管理面板和使用平臺NSX 管理面板由 NSX Manager 構建。NSX Manager 在 vSphere 環境中為 NSX 提供單個配置點和 REST API 入口點。可以通過 NSX Manager UI 直接使用 NSX。在 vSphere 環境中，可通過 vSphere Web UI 本身進行使用。通常，最終用戶將網絡虛擬化與其云管理平臺相融合，以部署應用。NSX

17、通過 REST API 提供一組豐富的集成功能，幾乎可集成到任何 CMP 中。當前，還可通過 VMware vCloud Automation Center (vCAC) 和 vCloud Director (vCD) 獲得開箱即用的集成功能。NSX 功能服務NSX 可在軟件中如實地重現網絡和安全服務。圖 3 NSX 邏輯網絡服務交換 在架構中的任何位置實現 L2 分段/IP 子網的擴展，而無需考慮物理網絡設計路由 IP 子網之間的路由可以在邏輯空間中完成，期間不會有流量傳出到物理路由器。這種路由是在虛擬化管理程序內核中執行的，CPU/內存開銷極少。此功能可為虛擬基礎架構內的流量路由提供最佳數

18、據路徑（東西向通信）。同樣，NSXEdge 提供了一個理想的集中點，可實現與物理網絡基礎架構的無縫集成，以便處理與外部網絡的通信（南北向通信）。分布式防火墻 在內核以及 VNIC 級別執行安全保護措施。這將能夠以高度可擴展的方式實施防火墻規則，而不會在物理設備上造成瓶頸。防火墻分布在內核中，因此只產生極少的 CPU 開銷，并且能夠以線速 (line-rate) 執行。邏輯負載平衡 支持 L4-L7 負載平衡，并且能夠執行 SSL 端接。VPN：可實現 L2 和 L3 VPN 服務的 SSL VPN 服務。物理網絡連接：在 NSX-v 中支持 L2 和 L3 網關功能，可實現邏輯與物理空間中所部

19、署工作負載之間的通信。在本文檔后續兩節中，我們將詳細介紹各種 NSX 組件間的交互以及上述每個邏輯服務。NSX-v 功能組件由 NSX 平臺創建的邏輯網絡利用兩種類型的訪問層實體，即虛擬化管理程序訪問層和網關訪問層。虛擬化管理程序訪問層表示與虛擬端點（虛擬機）的邏輯網絡的連接點，而網關訪問層在邏輯空間內提供與傳統物理網絡基礎架構中所部署物理設備和端點的 L2 和 L3 連接。圖 4 NSX 功能組件網絡虛擬化的一個主要優勢是，可以將邏輯網絡連接從基礎物理網絡架構中解耦，并提供抽象化邏輯網絡和功能。如圖 4 中所示， 有多個功能組件可幫助實現這一優勢并形成 NSX for vSphere 架構。

20、如本文檔其余部分所述，使用覆蓋協議 (VXLAN) 封裝不同功能組件之間的虛擬機流量是實現邏輯/物理網絡解耦的關鍵功能。現在，我們將更詳細地介紹 NSX-v 平臺中每個組件的功能。NSX ManagerNSX Manager 是管理面板虛擬設備，可幫助配置邏輯交換機并將虛擬機連接到這些邏輯交換機。它還為 NSX 提供管理 UI 和API 入口點，幫助通過云管理平臺實現邏輯網絡的部署和管理自動化。在 NSX for vSphere 架構中，NSX Manager 與管理計算基礎架構的 vCenter Server 緊密關聯。事實上，NSX Manager 與vCenter 之間具有一對一的關系，

21、NSX Manager 在安裝后向 vCenter 注冊，并向 vSphere Web Client 插入一個插件以在 Web管理平臺中使用。圖 5 vSphere Web Client 內部的 NSX Manager 插件如圖 5 中所示，NSX Manager 負責部署控制器群集和準備 ESXi 主機，以便在其上安裝用于啟用 VXLAN、分布式路由、分布式防火墻的各種 vSphere 安裝捆綁包 (VIB) 以及一個用于在控制面板級別通信的用戶環境代理。NSX Manager 還負責部署和配置NSX Edge 服務網關及關聯的網絡服務（負載平衡、防火墻、NAT 等）。這些功能將在本文后面章

22、節中進行更詳細的介紹。此外，NSX Manager 還為控制器群集節點以及應允許加入 NSX 域的每個 ESXi 主機創建自簽名證書，從而確保 NSX 架構的控制面板通信的安全性。NSX Manager 通過安全通道將這些證書安裝到 ESXi 主機和 NSX Controller 中；然后即可通過驗證這些證書對 NSX 實體進行雙向身份驗證。此雙向身份驗證完成后，控制面板通信便已加密。注意：在 NSX-v 軟件版本 6.0 中，SSL 默認為禁用狀態。為確保控制面板通信的機密性，建議通過 API 調用啟用 SSL。從 6.1版本開始，默認值發生了更改，SSL 變為啟用狀態。由于 NSX Man

23、ager 是一個虛擬機，為了實現理想彈性，建議利用常見的 vSphere 功能作為 vSphere HA，這樣一來，當 NSXManager 在其上運行的 ESXi 主機發生故障時，NSX Manager 將可以動態移動。值得注意的是，此故障情形僅會暫時影響 NSX管理面板，而已部署的邏輯網絡將繼續無縫運行。注意：NSX Manager 故障可能會影響特定功能（處于啟用狀態時），例如，基于標識的防火墻（因為無法將用戶名解析到AD 組）以及流量監控收集。最后，可通過從 NSX Manager GUI 執行按需備份隨時備份 NSX Manager 數據（包括存儲在內部數據庫中的系統配置、事件和審核

24、日志表），并將這些數據保存到必須可通過 NSX Manager 訪問的遠程位置。還可以安排執行定期備份（每小時、每天或每周）。還原備份的操作只能在全新部署的 NSX Manager 設備上執行，該設備應能夠訪問先前備份的某個實例。控制器群集NSX 平臺中的控制器群集是控制面板組件，它負責管理虛擬化管理程序中的交換和路由模塊。控制器群集由管理特定邏輯交換機的控制器節點組成。使用控制器群集來管理基于 VXLAN 的邏輯交換機，就不再需要物理網絡基礎架構提供多播支持。現在，客戶不必置備多播組 IP 地址，也不需要在物理交換機或路由器上啟用 PIM 路由或 IGMP 偵聽功能。此外，NSX Contr

25、oller 還支持 ARP 禁止機制，這樣就不必在已連接虛擬機的 L2 網絡域中充滿 ARP 廣播請求。不同的 VXLAN復制模式和 ARP 禁止機制將在“邏輯交換”一節中進行更詳細的介紹。為了實現理想彈性和高性能，生產部署必須使用多個節點部署控制器群集。NSX Controller 群集表示一個可擴展的分布式系統， 其中每個控制器節點都分配有一組角色，用于定義該節點可以實施的任務類型。為了提高 NSX 架構的可擴展性，將利用“切片”機制來確保所有控制器節點可以在任何給定的時間處于活動狀態。圖 6 切片控制器群集節點角色上面的圖 6 說明了如何在不同的群集節點之間完全分布角色和職責。這意味著，

26、不同的邏輯網絡或邏輯路由器（此處以邏輯網絡為例）可能由不同的控制器節點管理：控制器群集中的每個節點都由唯一的 IP 地址標識，且當 ESXi 主機與群集中的某個成員建立控制面板連接時，其他成員 IP 地址的完整列表會傳遞到主機，以便能夠與控制器群集的所有成員建立通信通道。這樣， ESXi 主機在任何給定時間都會知道哪個特定節點負責處理給定的邏輯網絡。當控制器節點發生故障時，發生故障的節點所擁有給定角色的切片會重新分配給群集的剩余成員。為使該機制具有彈性和確定性， 系統會將某個控制器節點選為每個角色的“主節點”。主節點負責將切片分配給各個控制器節點，并確定節點發生故障的時間， 以便能夠使用特定算

27、法將切片重新分配給其他節點。主節點還會將群集節點故障通知給 ESXi 主機，以便它們可以更新指定哪個 節點擁有各種邏輯網絡切片的內部信息。選舉每個角色的主節點需要群集的所有活動和非活動節點的大多數票通過。這是為什么控制器群集必須始終利用奇數個節點部署的主要原因。圖 7 控制器節點的大多數圖 7 突出顯示了根據控制器群集節點數目而有所不同的大多數情形。很明顯，部署 2 個節點（傳統上被認為是冗余系統示例）將提高控制器群集的可擴展性（因為在穩定狀態下這兩個節點將并行運行），但不會提供任何其他彈性。這是因為部署 2 個節點時，大多數為 2，這意味著如果其中一個節點發生故障或者這兩個節點彼此失去通信（

28、雙活動情形），它們都將無法保持正常工作（接受 API 調用等）。這些注意事項同樣適用于部署 4 個節點，與具有 3 個元素的群集相比，這將無法提供更多的彈性（即使可實現更高的性能）。注意：NSX 當前（截至軟件版本 6.1）僅支持具有 3 個節點的群集。提供以上具有不同節點數的各個示例，只是為了說明大多數投票機制的工作原理。NSX Controller 節點作為虛擬設備從 NSX Manager UI 進行部署。每個設備以用于所有控制面板交互的 IP 地址及當前無法修改的特定設置（4 個 vCPU、4GB 內存）為特征。為確保控制器群集的可靠性，最佳做法是將群集節點部署分散在單獨的 ESXi

29、主機上，以確保單個主機出現故障時不會導致損失群集中的大多數。為此，NSX 當前不會提供任何嵌入功能，因此建議利用本機 vSphere 反關聯性規則來避免在同一 ESXiServer 上部署多個控制器節點。有關如何創建虛擬機間反關聯性規則的詳細信息，請參見以下知識庫文章： HYPERLINK /vsphere-55/index.jsp%23com.vmware.vsphere.resmgmt.doc/GUID-7297C302-378F-4AF2-9BD6- /vsphere-55/index.jsp#com.vmware.vsphere.resmgmt.doc/GUID-7297C302-37

30、8F-4AF2-9BD6- 6EDB1E0A850A.htmlVXLAN 入門由于能夠在邏輯空間中從物理網絡基礎架構實現解耦，部署覆蓋技術已經變得非常流行。連接到邏輯網絡的設備可以利用先前在 圖 3 中突出顯示的全套網絡功能，而不依賴于基礎物理基礎架構的配置方式。物理網絡可以有效地成為用于傳輸覆蓋流量的底板。這種解耦有助于解決傳統數據中心部署當今正面臨的許多挑戰，例如：敏捷而快速的應用部署：傳統網絡設計遭遇瓶頸，減緩了企業推出新應用的速度，無法滿足業務需求。支持一項新應用通常要求企業置備網絡基礎架構的時間按周或按天計。工作負載移動性：計算虛擬化使虛擬工作負載可以在連接到數據中心網絡的不同物理服

31、務器之間移動。在傳統的數據中心設計中，這需要在整個數據中心網絡基礎架構上擴展 L2 域 (VLAN)，從而會影響整體可擴展性并潛在危及設計的整體彈性。大規模多租戶：使用 VLAN 創建獨立網絡限制了可支持的最大租戶數為 4094。這個數字對于通常的企業部署來說可能不小， 但對于大多數云提供程序而言卻會成為嚴重瓶頸。虛擬可擴展局域網 (VXLAN) 已成為事實上的標準覆蓋技術，為多數供應商所采納（此項技術由 VMware 聯合 Arista、Broadcom、Cisco、Citrix 及 Red Hat 等共同開發）。部署 VXLAN 對于構建邏輯網絡在工作負載之間提供 L2 鄰接性很關鍵，它消

32、除了傳統L2 技術帶來的可擴展性及其他問題。如圖 8 中所示，VXLAN 是一種覆蓋技術，用于封裝由連接到同一邏輯 L2 分段（通常稱為邏輯交換機 (LS)）的虛擬或物理工作負載生成的原始以太網幀。圖 8 VXLAN 封裝有關上述 VXLAN 數據包格式的一些注意事項如下：VXLAN 是一種 L2 over L3 (L2oL3) 封裝技術：由工作負載生成的原始以太網幀使用外部 VXLAN、UDP、IP 和以太網標頭進行封裝，以確保它可以在互連 VXLAN 端點（ESXi 主機）的網絡基礎架構中進行傳輸。擴展后超出傳統交換機上 4094 VLAN 的限制已通過 24 位標識符得以解決，該標識符稱

33、為“VXLAN 網絡標識符”(VNI)， 與在邏輯空間中創建的每個 L2 分段相關聯。此值包含在 VXLAN 標頭內，通常與一個 IP 子網關聯，類似于傳統上使用VLAN 的情況。IP 子網內通信在連接到同一虛擬網絡（邏輯交換機）的設備之間進行。注意：術語“VXLAN 分段”、“虛擬網絡”(VN) 和“邏輯交換機”指的都是在邏輯網絡空間中創建的邏輯 L2 域，在本文檔中將交換使用。對原始以太網幀中包含的 L2/L3/L4 標頭執行哈希操作，以獲取外部 UDP 標頭的“Source Port（源端口）”值。這一點非常重要，可確保傳輸網絡基礎架構內潛在可用的等價路徑之間 VXLAN 流量的負載平衡

34、。截至當前版本 6.1，NSX 使用 8472 作為外部 UDP 標頭的“Destination Port (目標端口)”值。這不同于 VXLAN 的 IANA分配值 (4789)，如以下鏈接中所述： HYPERLINK /html/rfc7348 l 19 /html/rfc7348#19但是，可以通過 REST API 調用在 NSX 部署中修改此值。然而，在執行此操作之前為避免發生數據面板故障，必須確保所有 ESXi 主機都在運行 NSX-v 版本（不向后兼容通過 vSphere 5.1 運行 vCNS 的主機）且已正確更新物理網絡中的配置（訪問列表、防火墻策略等）。在外部 IP 標頭中

35、使用的源和目標 IP 地址可唯一標識發出和終止 VXLAN 幀封裝的 ESXi 主機。這些主機通常稱為 VXLAN通道端點 (VTEP)。將原始以太網幀封裝到 UDP 數據包中可明顯增加 IP 數據包的大小。為此，建議將物理基礎架構中傳輸此幀的所有接口的整體 MTU 大小增加至最少 1600 字節。從 NSX Manager UI 中為 VXLAN 配置主機時，執行 VXLAN 封裝的 ESXi 主機的VDS 上行鏈路 MTU 會自動增加，這將在本文后面部分中進行更詳細的介紹。下面的圖 9 在比較高的層面介紹了利用 VXLAN 覆蓋功能在連接到不同 ESXi 主機的虛擬機之間建立 L2 通信所

36、需的步驟。圖 9 利用 VXLAN 封裝的 L2 通信VM1 發送要傳至同一 L2 邏輯分段（IP 子網）內的 VM2 的幀。源 ESXi 主機對連接 VM2 的 ESXi 主機 (VTEP) 進行標識，并封裝幀，然后將其發送到傳輸網絡。傳輸網絡只需在源和目標 VTEP 之間啟用 IP 通信。目標 ESXi 主機接收 VXLAN 幀，為其解除封裝，并標識其所屬的 L2 分段（利用源 ESXi 主機在 VXLAN 標頭中插入的VNI 值）。將幀傳送到 VM2。有關如何在利用 VXLAN 時實現 L2 通信的更多詳細信息，將在“邏輯交換”一節中提供，此節還將討論 NSX-v 提供的特定的VXLAN

37、 控制和數據面板增強功能。具有 VDS 的 ESXi 虛擬化管理程序如本文簡介部分中所述，Virtual Distributed Switch (VDS) 是整體 NSX-v 架構的一個構建塊。VDS 用于所有 VMware ESXi 虛擬化管理程序，因此有必要說明其在 NSX 架構中的控制和數據面板交互。注意：有關詳細信息以及在 vSphere 環境中部署 VDS vSwitch 的最佳做法，請參見以下文章： HYPERLINK /files/pdf/techpaper/vsphere-distributed-switch-best-practices.pdf /files/pdf/tech

38、paper/vsphere-distributed-switch-best-practices.pdf用戶空間和內核空間如圖 10 中所示，每個 ESXi 主機都具有用戶空間和內核空間。圖 10 ESXi 主機用戶和內核空間圖示VMware 安裝捆綁包 (VIB) 是 ESXi 虛擬化管理程序的內核空間中所安裝文件的集合，用于啟用在 NSX-v 架構中請求的功能： 分布式交換和路由、分布式防火墻和 VXLAN 封裝/解封裝。用戶空間中包含一些軟件組件，用于提供與 NSX Manager 和控制器群集節點的控制面板通信路徑：在 vsfwd（RMQ 客戶端）與 NSX Manager 上托管的 R

39、MQ 服務器進程之間，利用 RabbitMQ 消息總線進行通信。NSXManager 使用該消息總線將各種信息發送到 ESXi 主機：需要在內核中的分布式防火墻上編程的策略規則、控制器節點 IP地址、用于對主機與控制器之間的通信進行身份驗證的專用密鑰和主機證書，以及創建/刪除分布式邏輯路由器實例的請求。用戶環境代理進程 (netcpa) 建立通向控制器群集節點的 TCP over SSL 通信通道。控制器節點通過在 ESXi 虛擬化管理程序中利用此控制面板通道來填充本地表（MAC 地址表、ARP 表和 VTEP 表），以跟蹤是否在部署的邏輯網絡中連接了工作負載。NSX Edge 服務網關NSX

40、 Edge 真得可以被認為是一種“瑞士軍刀”，因為它可以為 NSX-v 架構提供多種服務。圖 11 NSX Edge 提供的服務圖 11 突出顯示了 NSX Edge 提供的邏輯服務：路由和網絡地址轉換 (NAT)：NSX Edge 在 NSX 域中部署的邏輯網絡與外部物理網絡基礎架構之間提供了集中式入站/出站路由。NSX Edge 支持各種路由協議（OSPF、iBGP 和 eBGP），且還可以利用靜態路由進行通信。可以為流經 Edge 的通信執行 NAT，且源和目標 NAT 均受支持。防火墻：NSX Edge 支持有狀態的防火墻功能，這些功能與 ESXi 主機內核中啟用的分布式防火墻 (DF

41、W) 相輔相成。雖然DFW 主要用于為連接到邏輯網絡的工作負載之間的通信（即所謂的東西向通信）強制執行安全策略，而 NSX Edge 上的防火墻通常則會篩選邏輯空間與外部物理網絡之間的通信（南北向流量）。負載平衡：NSX Edge 可對邏輯空間中部署的工作負載的服務器場執行負載平衡服務。Edge 中本機支持的負載平衡功能可以滿足在實際部署中發現的大多數典型需求。L2 和 L3 虛擬專用網絡 (VPN)：NSX Edge 還在 L2 和 L3 上同時提供了 VPN 功能。L2 VPN 通常定位于在單獨的數據中心站點（分散在不同地理位置以支持計算資源爆發或混合云部署等用例）之間擴展 L2 域。可以

42、通過部署 L3 VPN 來支持兩個NSX Edge 或其他供應商 VPN 終結器之間的 IPSec 站點間連接，或者允許遠程用戶利用 SSL VPN 連接訪問 NSX Edge 后面的專用網絡。DHCP、DNS 和 IP 地址管理 (DDI)：最后，NSX Edge 還可以支持 DNS 中繼功能，充當 DHCP 服務器以提供 IP 地址、默認網關、DNS 服務器，并搜索連接到邏輯網絡的工作負載的域信息。注意：NSX 版本 6.1 在 NSX Edge 上引入了 DHCP 中繼支持，這使得集中式遠程 DHCP 服務器可用于向連接到邏輯網絡的工作負載提供 IP 地址。從部署角度來看，NSX Man

43、ager 提供了如圖 12 所示的多種不同尺寸規格，具體使用哪種規格取決于需要啟用的功能。圖 12 NSX Edge 尺寸規格請注意，即使在初始部署后，也可以從 NSX Manager 中（通過 UI 或 API 調用）更改尺寸規格。但在這種情況下，預計服務會中斷片刻。最后，為實現理想彈性和高可用性，可以將 NSX Edge 服務網關部署為一對活動/待機單元。圖 13 NSX Edge 活動/待機部署NSX Edge HA 基于圖 13 中突出顯示的行為：NSX Manager 在不同主機（反關聯性規則）上部署 NSX Edge 對。活動和待機 Edge 實例之間每秒交換一次檢測信號keepa

44、lives，以監控彼此的正常運行狀況。除非用戶明確選擇要使用的其他接口，keepalives 是通過內部端口組發送（利用NSX Edge 上部署的第一個 vNIC）的 L2 探測。請注意，可使用 VXLAN L2 分段交換 keepalives，這樣它可能會出現在路由的物理網絡基礎架構上。如果托管活動 NSX Edge 的 ESXi Server 發生故障，在“聲明失效時間”定時器到期時，待機單元將接管活動單元的職責。此定時器的默認值為 15 秒，但可以通過 UI 或 API 調用將其調低到 6 秒。NSX Manager 還會監控已部署的 NSX Edge 的正常運行狀況，確保可以在另一臺

45、ESXi 主機上重新啟動發生故障的單元。注意：還可以使用在內部端口組上活動和待機 NSX Edge 之間交換的消息來同步邏輯服務（路由、NAT、防火墻等）所需的狀態信息，從而以這種方式提供服務有狀態性。NSX Edge 的更多部署注意事項可以在“NSX-v 設計注意事項”一節中找到。傳輸區域在追求最簡單設計方面，傳輸區域定義了一個 ESXi 主機集合，該集合中的各 ESXi 主機可以跨物理網絡基礎架構進行彼此通信。如前所述，此通信利用在每個 ESXi 主機上定義的名為“VXLAN 通道端點”(VTEP) 的一個（或多個）特定接口來實現。傳輸區域可以跨越一個或多個 ESXi 群集，并在非嚴格意義

46、上定義邏輯交換機的跨度。要更好地理解這一點，明確說明邏輯交換機、VDS 和傳輸區域之間存在的關系非常重要。VDS 可以跨越特定數目的 ESXi 主機，因為可以從特定 VDS 添加/移除單個 ESXi 主機。在實際的 NSX 部署中，很有可能會在給定的 NSX 域中定義多個 VDS。圖 14 顯示了如下場景：“計算 VDS”跨越了計算群集的所有 ESXi 主機部分，而單獨的“Edge-VDS”跨越了 Edge 群集中的 ESXi 主機。圖 14 跨越 ESXi 群集的單獨 VDS邏輯交換機可以跨越多個 VDS。根據之前的示例，給定的邏輯交換機可以為連接到計算群集或 Edge 群集的虛擬機提供連接

47、。邏輯交換機始終作為特定傳輸區域的一部分進行創建。這意味著，通常情況下傳輸區域會像圖 15 中突出顯示的那樣跨越所有ESXi 群集并定義邏輯交換機的擴展。圖 15 跨越 VDS 和 ESXi 群集的傳輸區域注意：有關 NSX-v 域中 VDS 設計的更多注意事項和建議可以在“NSX-v 域中的 VDS 設計”一節中找到。NSX 分布式防火墻 (DFW)NSX DFW 為 NSX 環境中的任何工作負載提供 L2-L4 Stateful Firewall 服務。DFW 在內核空間中運行，并因此執行接近線速的網絡流量保護。DFW 性能和吞吐量可通過添加新的 ESXi 主機（在 NSX 支持的最大限制

48、內）進行線性擴展。一旦主機準備過程完成，DFW 便會激活。如果虛擬機根本不需要 DFW 服務，則可以將其添加到排除列表功能中（默認情況下， 會自動從 DFW 功能中排除 NSX Manager、NSX Controller 和 Edge 服務網關）。可針對每個虛擬機 vNIC 創建一個 DFW 實例（例如，如果創建了一個具有 3 個 vNIC 的新虛擬機，則將會為此虛擬機分配 3 個 DFW 實例）。這些 DFW 實例的配置可以相同也可以完全不同，具體取決于“應用于”應用程序：創建 DFW 規則時，用戶可以為此規則選擇強制實施點 (PEP)：有從邏輯交換機到 vNIC 的多個選項可供選擇。默認

49、情況下不會選擇“應用于”， 這意味著會將 DFW 規則向下傳播到所有 DFW 實例。可通過兩種方式編寫 DFW 策略規則：使用 L2 規則（Ethernet（以太網）或 L3/L4 規則（General（常規）。L2 規則將映射到 L2 OSI 模型：僅可在源和目標字段中使用 MAC 地址僅可在服務字段（如實例的 ARP）中使用 L2 協議。L3/L4 規則將映射到 L3/L4 OSI 模型：可使用 IP 地址和 TCP/UDP 端口編寫策略規則。一定要記住，L2 規則的執行始終先于 L3/L4 規則。作為一個具體的例子，如果將 L2 默認策略規則修改為“阻止”，則 DFW 還將阻止所有 L3

50、/L4 流量（例如，ping 將停止工作）。DFW 是一種設計用于保護工作負載間網絡流量（虛擬到虛擬或虛擬到物理）的 NSX 組件。換言之，DFW 的主要目標是保護東西向流量；這就是說，由于 DFW 策略實施將應用于虛擬機的 vNIC，因此它還可用于阻止虛擬機與外部物理網絡基礎架構之間的通信。DFW 與提供集中式防火墻功能的 NSX Edge 服務網關完全互補。ESG 通常用于保護南北向流量（虛擬到物理），因此是軟件定義的數據中心的第一個入口點。下圖描述了 DFW 和 ESG 不同的定位角色：圖 16 DFW 和 Edge 服務網關流量保護NSX DFW 在虛擬機 vNIC 級別運行，這意味著

51、虛擬機始終受保護，而不管其連接到邏輯網絡的方式如何：虛擬機可以連接到支持 VDS VLAN 的端口組或邏輯交換機（由 VXLAN 提供支持的端口組）。所有這些連接模式完全受支持。ESG 防火墻還可用于保護物理服務器和設備上的工作負載（如 NAS）。DFW 系統架構基于 3 個不同的實體 每個實體都具有明確定義的角色：vCenter server 是解決方案的管理面板。DFW 策略規則通過 vSphere Web Client 創建。可在策略規則的源/目標字段中使用任何 vCenter 容器：群集、VDS 端口組、邏輯交換機、虛擬機、vNIC、資源池等。NSX Manager 是解決方案的控制面

52、板。它從 vCenter Server 接收規則，并將其存儲在中央數據庫中。然后，NSXManager 將 DFW 規則向下推送到所有已做好實施準備的 ESXi 主機。每次修改并發布 DFW 安全策略規則表時，都會對其執行備份。如果將 CMP 用于安全自動化，則 NSX Manager 還可直接從 REST API 調用接收 DFW 規則。ESXi 主機是解決方案的數據面板。將從 NSX Manager 接收 DFW 規則，然后將這些規則轉換到內核空間以供實時執行。將針對 ESXi 主機檢查和強制實施虛擬機網絡流量。設想如下場景：VM1 位于 ESXi 主機 1 上并將數據包發送到位于 ESX

53、i 主機 2 上的 VM2。策略實施將在 ESXi 主機 1 上針對輸出流量執行（數據包離開 VM1 時），然后在 ESXi 主機 2 上針對輸入流量執行（數據包到達 VM2 時）。注意：圖 17 中描述的 SSH 客戶端可以訪問 ESXi 主機 CLI 以執行特定 DFW 相關的故障排除。圖 17 NSX DFW 系統架構和通信通道一定要記住，當在 DFW 策略規則中使用 vCenter 容器時，必須在客戶機虛擬機上安裝 VMtools。VMtools 了解虛擬機的 IP 地址（來自 DHCP 的動態 IP 地址或管理員在虛擬機上手動配置的靜態 IP 地址），然后將此信息向下提供給基于 MA

54、C、IP 和TCP/UDP 端口字段運行的 DFW 引擎。注意：如果 DFW 策略規則僅使用主機 IP、子網 IP 或 IP 組等 IP 信息，很明顯客戶機虛擬機上不再需要 VMtools。如前所述，準備主機后，將會激活 DFW 功能。在此操作期間，內核 VIB 將加載到以下虛擬化管理程序中：VMware 網絡互連服務插入平臺（即 VSIP）。VSIP 負責所有數據面板流量保護（本身為 DFW 引擎）并以接近線速的速度運行。將針對虛擬機 vNIC 創建 DFW 實例，且此實例位于虛擬機和虛擬交換機（支持 VDS VLAN 的端口組或邏輯交換機）之間：將為此 DFW 實例分配 DVfilter

55、插槽 2。所有輸入此虛擬機/從此虛擬機輸出的數據包必須通過 DFW 傳遞，且絕對無法繞過它。一組名為 vsfwd 的守護進程在 ESXi 主機上永久運行并執行多個任務：與 NSX Manager 交互以檢索 DFW 策略規則。收集 DFW 統計信息并將其發送到 NSX Manager。將審核日志信息發送到 NSX Manager。vCenter Server 與 ESXi 主機（在 ESXi 主機上使用 vpxa 進程）之間的通信路徑僅用于 vSphere 相關用途（如，創建虛擬機或修改存儲）以及通過 NSX Manager 的 IP 地址對主機進行編程。此通信完全不會用于任何 DFW 操作。

56、圖 18 NSX DFW 組件詳細信息VSIP 內核模塊實際上并非僅僅引入了 DFW 功能。此服務插入平臺還添加了補充服務，例如 Spoofguard 以及到第三方合作伙伴服務（如 Palo Alto Networks、Trend 或 Symantec）的流量重定向。Spoofguard 通過維護包含虛擬機名稱和 IP 地址（首次引導虛擬機時，可從 VMtools 檢索此信息）的引用表來防止 IP 欺騙。Spoofguard 默認情況下處于非活動狀態，且必須針對邏輯交換機或 VDS 端口組顯式啟用才能變得可運行。當檢測到虛擬機IP 地址發生更改時，來自/傳至此虛擬機的流量會被 DFW 阻止，直

57、到 NSX 管理員批準此新 IP 地址。圖 19 到第三方合作伙伴服務的流量重定向到第三方供應商的流量重定向提供了將特定類型的流量引至選定合作伙伴服務虛擬機的功能。例如，可以將從 Internet 傳入一組APACHE 或 TOMCAT 服務器的 Web 流量重定向至 L4-L7 深度數據包檢查防火墻以實現高級保護。流量重定向在 Service Composer/Security Policy（NSX 版本 6.0）或 DFW 菜單中的“Partner Security Services（合作伙伴安全服務）”選項卡（NSX 版本 6.1）下進行定義。“Partner Security Serv

58、ices（合作伙伴安全服務）”選項卡提供了一種功能強大且易于使用的用戶界面，用于定義需要將哪種類型的流量重定向至哪些合作伙伴服務。它采用與 DFW 相同的策略定義構造（即源、目標及服務字段的選項相同），唯一的區別在于操作字段：代替“Block（阻止）”/“Allow（允許）”/“Reject（拒絕）”，用戶可以在合作伙伴列表（已向 NSX 注冊及已在平臺上成功部署的任何合作伙伴）前面的“redirect（重定向）”/“no redirect（不重定向）”之間進行選擇。最后，可針對此流量重定向規則啟用日志選項。ESXi 主機上的 DFW 實例（每個虛擬機 vNIC 一個實例）包含 2 個單獨的表

59、：規則表：用于存儲所有策略規則。連接跟蹤表：使用允許操作緩存規則的流條目。注意：特定流由 5 元組信息源 IP 地址/目標 IP 地址/協議/L4 源端口/L4 目標端口標識。請注意，默認情況下 DFW 不在 L4源端口上執行查詢，但可通過定義特定策略規則進行此項配置。瀏覽這兩個表的用例之前，我們先來了解如何強制實施 DFW 規則：DFW 規則按照從上到下的順序強制實施。將根據規則表中最上面的規則檢查每個數據包，然后才能下移至表中的后續規則。表中第一個匹配流量參數的規則會強制實施由于此行為，在編寫 DFW 規則時，建議始終將最細粒度的策略放在規則表頂部。這是確保它們將在任何其他規則之前強制實施

60、的最佳方法。DFW 默認策略規則（規則表底部的規則）是“統包”規則：與默認規則上面的任何規則均不匹配的數據包將由默認規則強制實施。執行主機準備操作之后，DFW 默認規則將設置為“允許”操作。主要原因是 VMware 不希望在轉儲或遷移階段中斷任何虛擬機間通信。但是，最佳做法是將默認規則更改為“阻止”操作，并通過積極的控制模式強制實施訪問控制（僅允許在防火墻策略中定義的流量進入網絡）。現在我們來看一下策略規則查詢和數據包流量：圖 20 DFW 策略規則查詢和數據包 第一個數據包虛擬機將發送與規則 2 匹配的 IP 數據包（第一個數據包 pkt1）。操作順序如下：在連接跟蹤表中執行查詢，以檢查是否