VMwareNSX金融行業(yè)案例

王培久資深系統(tǒng)工程師網(wǎng)絡(luò)虛擬化-VMwareNSX

在金融的應(yīng)用和案例分享議程數(shù)據(jù)中心云計(jì)算對(duì)網(wǎng)絡(luò)的要求網(wǎng)絡(luò)虛擬化總體架構(gòu)案例分析總結(jié)CONFIDENTIAL2云計(jì)算大數(shù)據(jù)應(yīng)用的虛擬化安全合規(guī)性24x7業(yè)務(wù)連續(xù)性業(yè)務(wù)

敏捷性SDN節(jié)能環(huán)保新一代數(shù)據(jù)中心發(fā)展的業(yè)務(wù)和技術(shù)驅(qū)動(dòng)企業(yè)IT向云架構(gòu)轉(zhuǎn)型邏輯計(jì)算存儲(chǔ)網(wǎng)絡(luò)?資源池化提高資源利用率簡(jiǎn)化運(yùn)維動(dòng)態(tài)遷移自動(dòng)均衡資源物理邏輯計(jì)算與存儲(chǔ)虛擬化專(zhuān)用硬件和品牌廠(chǎng)商綁定CAPEXOPEX高網(wǎng)絡(luò)對(duì)上層應(yīng)用封閉手工配置和管理應(yīng)用部署周期長(zhǎng)應(yīng)用和網(wǎng)絡(luò)緊耦合云計(jì)算驅(qū)動(dòng)下

數(shù)據(jù)中心的過(guò)去、現(xiàn)在和將來(lái)階段四:靈活的計(jì)算+靈活的網(wǎng)絡(luò)NOW任何網(wǎng)絡(luò)硬件平臺(tái)靈活網(wǎng)絡(luò)服務(wù)：防火墻、路由、LB等基于應(yīng)用靈活快速地定義網(wǎng)絡(luò)

階段一:傳統(tǒng)的計(jì)算+傳統(tǒng)的網(wǎng)絡(luò)1995階段二:靈活的計(jì)算+傳統(tǒng)的網(wǎng)絡(luò)2001階段三:靈活的計(jì)算+大二層網(wǎng)絡(luò)2010計(jì)算虛擬化對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的真正挑戰(zhàn)是什么？CONFIDENTIAL6Floor-1:VLAN1–10.x.x.xFloor-2:VLAN2–172.16.x.x敏捷性：應(yīng)用可以按需定義特定應(yīng)用的網(wǎng)絡(luò)切片和邏輯拓?fù)浣Y(jié)構(gòu)，實(shí)現(xiàn)數(shù)據(jù)中心應(yīng)用的快速靈活部署Anyapplicationanywhere不受二層網(wǎng)絡(luò)STP、二層廣播風(fēng)暴、MAC地址表和VLAN數(shù)量的限制，實(shí)現(xiàn)anyapplicationanywhere東西向路由優(yōu)化利用分布式路由技術(shù)實(shí)現(xiàn)虛擬化環(huán)境中Web/APP/DB層的東西向流量的優(yōu)化，而不是所有南北和東西向流量都送到匯聚層交換機(jī)處理精細(xì)化網(wǎng)絡(luò)服務(wù)基于虛擬機(jī)顆粒度和應(yīng)用顆粒度的精細(xì)化安全控制基于虛擬機(jī)層面的服務(wù)均衡和SSL加密等自動(dòng)化向上提供標(biāo)準(zhǔn)API接口，實(shí)現(xiàn)網(wǎng)絡(luò)資源和服務(wù)的自動(dòng)化部署傳統(tǒng)網(wǎng)絡(luò)存在的不足CONFIDENTIAL階段一:傳統(tǒng)的計(jì)算+傳統(tǒng)的網(wǎng)絡(luò)1995階段二:靈活的計(jì)算+傳統(tǒng)的網(wǎng)絡(luò)2001傳統(tǒng)網(wǎng)絡(luò)架構(gòu)存在的不足缺乏業(yè)務(wù)快速部署能力傳統(tǒng)豎井式架構(gòu)，業(yè)務(wù)區(qū)嚴(yán)格隔離，不支持業(yè)務(wù)的靈活快速部署更不支持基于多租戶(hù)多應(yīng)用的網(wǎng)絡(luò)切片功能靈活性不足由于二層技術(shù)的限制各業(yè)務(wù)區(qū)盡量把二層域限制得越小越好，無(wú)法支持跨業(yè)務(wù)區(qū)的vmotion等功能，業(yè)務(wù)的靈活性大大受限缺乏虛擬資源安全和管理的監(jiān)控手段對(duì)于網(wǎng)絡(luò)部門(mén)來(lái)說(shuō)，虛擬機(jī)的接入完全是個(gè)黑盒子，缺乏有效的虛擬機(jī)之間的安全管理和監(jiān)控的手段不支持網(wǎng)絡(luò)資源的自動(dòng)化部署所有網(wǎng)絡(luò)的配置都是通過(guò)命令行手動(dòng)完成，配置和運(yùn)維管理非常復(fù)雜，導(dǎo)致當(dāng)各種虛擬資源位置變化時(shí)，管理員不堪重負(fù)資源利用率低各業(yè)務(wù)區(qū)網(wǎng)絡(luò)為各業(yè)務(wù)區(qū)專(zhuān)用，不支持一個(gè)物理網(wǎng)絡(luò)為多租戶(hù)/多應(yīng)用服務(wù)CONFIDENTIAL階段三:靈活的計(jì)算+大二層網(wǎng)絡(luò)2010大二層網(wǎng)絡(luò)架構(gòu)帶來(lái)的好處?kù)`活性高借助大二層技術(shù)，虛擬資源可以跨業(yè)務(wù)區(qū)部署，同時(shí)支持vmotion等功能，業(yè)務(wù)的靈活性大大提高大二層網(wǎng)絡(luò)架構(gòu)存在的不足過(guò)渡技術(shù)應(yīng)用案例非常少，從數(shù)據(jù)中心發(fā)展看已經(jīng)成為過(guò)渡技術(shù)，各廠(chǎng)商目前都在Vmware主導(dǎo)的VXLAN上尋求更好的解決方案缺乏虛擬資源安全和管理的監(jiān)控手段對(duì)于網(wǎng)絡(luò)部門(mén)來(lái)說(shuō)，虛擬機(jī)的接入完全是個(gè)黑盒子，缺乏有效的虛擬機(jī)之間的安全管理和監(jiān)控的手段不支持網(wǎng)絡(luò)資源的自動(dòng)化部署所有網(wǎng)絡(luò)的配置都是通過(guò)命令行手動(dòng)完成，配置和運(yùn)維管理非常復(fù)雜，導(dǎo)致當(dāng)各種虛擬資源位置變化時(shí)，管理員不堪重負(fù)技術(shù)本身存在局限性無(wú)論是IETFTRILL還是思科的FabricPath都沒(méi)有解決二層網(wǎng)的三個(gè)根本問(wèn)題：Flooding、MAC表項(xiàng)擴(kuò)展和VLAN擴(kuò)展大二層網(wǎng)絡(luò)帶來(lái)的好處和存在的不足NOW

軟件定義的虛擬化網(wǎng)絡(luò)CONFIDENTIAL9階段四:靈活的計(jì)算+靈活的網(wǎng)絡(luò)NOW任何網(wǎng)絡(luò)硬件平臺(tái)靈活網(wǎng)絡(luò)服務(wù)：防火墻、路由、LB等基于應(yīng)用靈活快速地定義網(wǎng)絡(luò)

敏捷性：應(yīng)用可以按需定義特定應(yīng)用的網(wǎng)絡(luò)切片和邏輯拓?fù)浣Y(jié)構(gòu)，實(shí)現(xiàn)數(shù)據(jù)中心應(yīng)用的快速靈活部署Anyapplicationanywhere不受二層網(wǎng)絡(luò)STP、二層廣播風(fēng)暴、MAC地址表和VLAN數(shù)量的限制，實(shí)現(xiàn)anyapplicationanywhere東西向路由優(yōu)化利用分布式路由技術(shù)實(shí)現(xiàn)虛擬化環(huán)境中Web/APP/DB層的東西向流量的優(yōu)化，而不是所有南北和東西向流量都送到匯聚層交換機(jī)處理精細(xì)化網(wǎng)絡(luò)服務(wù)基于虛擬機(jī)顆粒度和應(yīng)用顆粒度的精細(xì)化安全控制基于虛擬機(jī)層面的服務(wù)均衡和SSL加密等自動(dòng)化向上提供標(biāo)準(zhǔn)API接口，實(shí)現(xiàn)網(wǎng)絡(luò)資源和服務(wù)的自動(dòng)化部署議程數(shù)據(jù)中心云計(jì)算對(duì)網(wǎng)絡(luò)的要求網(wǎng)絡(luò)虛擬化總體架構(gòu)案例分析總結(jié)CONFIDENTIAL1011

云平臺(tái)新業(yè)務(wù)請(qǐng)求軟件定義義的虛擬擬化網(wǎng)絡(luò)絡(luò)總體架架構(gòu)vCenterOperations

MgmtvCloudAutomationCenterIaaSPaaSDaaSApplicationDirectorMgmtvCloudDirector/ConnectorvCenter

SiteRecovery

ManagervSphereCloud

ServiceProvidersHyper-visorsCMSNSXIaaSPaaSDaaS支撐任意的應(yīng)用(無(wú)需修改)虛擬網(wǎng)絡(luò)VMwareNSX網(wǎng)絡(luò)虛擬化平臺(tái)邏輯交換網(wǎng)絡(luò)任意網(wǎng)絡(luò)硬件架構(gòu)云管理平臺(tái)（vCAC,OpenStack,Cloudstack）邏輯防火墻邏輯負(fù)載均衡邏輯路由網(wǎng)絡(luò)邏輯VPNX86虛擬化層NSX軟件定義義的虛擬擬化網(wǎng)絡(luò)絡(luò)組成要要素L2L3VirtualNetworkL2OpenvSwitchNSXGatewayVMVMvSpherevSphereKVMXenServervSwitchvSwitchvSwitchvSwitchHWSWControllerClusterAPIVLANNSXManagerHWPartnerVTEPDeviceCMPVLANVLANLayer3IPNetwork軟件定義義的虛擬擬化網(wǎng)絡(luò)絡(luò)工作原原理ExternalNetworks

簡(jiǎn)單,易復(fù)制，，自動(dòng)化化地實(shí)現(xiàn)現(xiàn)多租戶(hù)戶(hù)云網(wǎng)絡(luò)絡(luò)軟件定義義的虛擬擬化網(wǎng)絡(luò)絡(luò)-敏捷性根據(jù)應(yīng)用用需求利利用vxlan技術(shù)按需需定義應(yīng)應(yīng)用的網(wǎng)絡(luò)切切片和邏邏輯拓?fù)鋼浣Y(jié)構(gòu)(Web/App/DB)實(shí)現(xiàn)數(shù)據(jù)據(jù)中心應(yīng)應(yīng)用的快速速靈活部部署VLAN1––10.x.x.xVLAN2––172.16.x.xVLAN2––192.168.x.xVirtualNetworkVirtualLayer2–88.33.x.x(whatever)軟件定義義的虛擬擬化網(wǎng)絡(luò)絡(luò)-真正的Anyapplicationanywhere利用VXLAN解決數(shù)據(jù)據(jù)中心網(wǎng)網(wǎng)絡(luò)存在在的三大大問(wèn)題：：Anyapplicationanywhere大二層架架構(gòu)下存存在的：：MAC地址表、、VLAN和二層Flooding三大問(wèn)題題數(shù)據(jù)復(fù)制制支持unicast、hybrid和multicast模式解決目前前vxlan沒(méi)有controlplane帶來(lái)的flooding問(wèn)題DataCenterPerimeter傳統(tǒng)的邊邊界防火火墻已經(jīng)經(jīng)被證實(shí)實(shí)為不足足夠安全全,而而用傳統(tǒng)統(tǒng)方式實(shí)實(shí)現(xiàn)micro-segmentation基本上不不可行對(duì)內(nèi)部流流量不管管控InternetInternet安全性不不充分管理上不不可能DataCenterPerimeter軟件定義義的虛擬擬化網(wǎng)絡(luò)絡(luò)-分布式防防火墻Micro-SegmentationVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMBenefits…安全策略直接部署到VM網(wǎng)絡(luò)端口No“ChokePoint”,nomorehairpin分布式處理,線(xiàn)速過(guò)濾,水平擴(kuò)展安全策略管理簡(jiǎn)化bycontextpolicyrulevNIC

level管控,安全與網(wǎng)絡(luò)無(wú)關(guān)

集中管控

軟件定義的的虛擬化網(wǎng)網(wǎng)絡(luò)-分布式防火火墻Micro-Segmentation軟件定義的的虛擬化網(wǎng)網(wǎng)絡(luò)-分布式路由由軟件定義的的虛擬化網(wǎng)網(wǎng)絡(luò)-分布式防火火墻CONFIDENTIAL20軟件定義的的虛擬化網(wǎng)網(wǎng)絡(luò)-自動(dòng)化通過(guò)標(biāo)準(zhǔn)的的RESTAPI向上支持多多種企業(yè)云云管理平臺(tái)臺(tái)（VcloudDirector,vCAC,OpenStack,Cloudstack）實(shí)現(xiàn)網(wǎng)絡(luò)虛虛擬化資源源的自動(dòng)部部署軟件定義的的虛擬化網(wǎng)網(wǎng)絡(luò)-集中化運(yùn)維維和監(jiān)控議程數(shù)據(jù)中心云云計(jì)算對(duì)網(wǎng)網(wǎng)絡(luò)的要求求網(wǎng)絡(luò)虛擬化化總體架構(gòu)構(gòu)案例分析總結(jié)CONFIDENTIAL22NSXCustomersEORPODTORPOD服務(wù)器機(jī)房房三層交換核心EORPODTORPOD服務(wù)器機(jī)房房某保險(xiǎn)公司司:利用NSX實(shí)現(xiàn)虛擬化化資源的精精細(xì)化安全全管理和監(jiān)監(jiān)控缺乏虛擬機(jī)機(jī)顆粒的安安全管理和和監(jiān)控手段段盡管南向安安全可以通通過(guò)匯聚層層防火墻控控制但虛擬化應(yīng)應(yīng)用規(guī)模越越來(lái)越大，，缺乏有效效的東西向流量量安全控制制手段，同時(shí)希望虛虛擬機(jī)vmotion時(shí)，安全策策略隨動(dòng)，，不需要任任何變更行業(yè)監(jiān)管的的要求，需需要監(jiān)控特特定虛擬化化環(huán)境中特定虛機(jī)機(jī)的進(jìn)出流流量同時(shí)希望虛虛機(jī)可以跨跨機(jī)房和三三層網(wǎng)絡(luò)隨隨意VmotionNSX:VxlanEORPODTORPOD服務(wù)器機(jī)房房三層交換核心EORPODTORPOD服務(wù)器機(jī)房房NSXControllerNSXManagervCenterServer某保險(xiǎn)公司司:利用NSX實(shí)現(xiàn)虛擬化化資源的精精細(xì)化安全全管理和監(jiān)監(jiān)控利用NSX分布式虛擬擬防火墻功功能，實(shí)現(xiàn)現(xiàn)虛擬機(jī)環(huán)環(huán)境的精細(xì)細(xì)化安全管理，，同時(shí)實(shí)現(xiàn)現(xiàn)虛擬機(jī)vmotion時(shí)，安全策策略隨動(dòng)，，不需要任任何變更支持基于特特點(diǎn)應(yīng)用或或虛機(jī)的span和rspan功能實(shí)現(xiàn)流流量的實(shí)時(shí)時(shí)監(jiān)控滿(mǎn)足行業(yè)監(jiān)監(jiān)管的要求求借助vxlan技術(shù)實(shí)現(xiàn)跨跨機(jī)房和三三層網(wǎng)絡(luò)隨隨意Vmotion某商業(yè)銀行行:利用NSX構(gòu)建新一代代金融互聯(lián)聯(lián)網(wǎng)渠道客戶(hù)需求：：隨著金融互互聯(lián)化的快快速發(fā)展，，越來(lái)越多多業(yè)務(wù)子系系統(tǒng)向網(wǎng)銀銀區(qū)遷移，，同時(shí)大量量的新業(yè)務(wù)務(wù)也不斷快快速推出，，現(xiàn)有網(wǎng)銀銀出口架構(gòu)構(gòu)在以下幾幾個(gè)方面存存在諸多問(wèn)問(wèn)題：擴(kuò)展性不足足現(xiàn)有架構(gòu)無(wú)無(wú)法滿(mǎn)足創(chuàng)創(chuàng)新型互聯(lián)聯(lián)網(wǎng)應(yīng)用不不斷推出的的要求：移移動(dòng)應(yīng)用、、手機(jī)APP、地圖、網(wǎng)上商城城、大數(shù)據(jù)據(jù)等部署不靈活活原有架構(gòu)下下DMZ區(qū)主要集中中在某一機(jī)機(jī)房，跨樓樓層或跨機(jī)機(jī)房部署相相對(duì)困難，，同時(shí)更無(wú)無(wú)法支持虛虛擬資源跨跨機(jī)房的靈靈活調(diào)度互聯(lián)網(wǎng)DMZ區(qū)普遍采用用虛擬機(jī)方方式，缺乏乏針對(duì)虛機(jī)機(jī)的安全控制和和精細(xì)化管管理不支持應(yīng)用用快速和自自動(dòng)化部署署敏捷自動(dòng)化安全L3

L2PODAL2

L3PODBL3

L2PODYL2

L3PODZOSPF

ECMP

基礎(chǔ)架構(gòu)層層面的標(biāo)準(zhǔn)準(zhǔn)化可復(fù)制制和快速部部署采用基于POD的標(biāo)準(zhǔn)架構(gòu)構(gòu)網(wǎng)絡(luò)資源的的可復(fù)制和和快速部署署采用NSX架構(gòu)按需要要快速?gòu)?fù)制制應(yīng)用網(wǎng)絡(luò)絡(luò)和相關(guān)的網(wǎng)絡(luò)絡(luò)服務(wù)VXLAN實(shí)現(xiàn)DMZ區(qū)到數(shù)據(jù)中中心任何位位置的按需需擴(kuò)展配置管理有有NSX通過(guò)圖形界界面統(tǒng)一完完成采用分布式式防火墻技技術(shù)實(shí)現(xiàn)虛虛機(jī)層面的的安全管理理和策略的的隨動(dòng)為了NSX將和企業(yè)云云平臺(tái)集成成，實(shí)現(xiàn)應(yīng)應(yīng)用的自動(dòng)化部署署某商業(yè)銀行行:利用NSX構(gòu)建新一代代金融互聯(lián)聯(lián)網(wǎng)渠道CONFIDENTIAL28某商業(yè)銀行行:利用NSX實(shí)現(xiàn)業(yè)務(wù)系系統(tǒng)網(wǎng)絡(luò)P2V的遷移硬件環(huán)境業(yè)務(wù)網(wǎng)絡(luò)層層次：核心層：CiscoN7000核心路由器器兩臺(tái)，AA方式提供核核心路由。。匯聚層：H3CF5000多層防火墻墻兩臺(tái)，互為主備方式提供3層接入和防防火墻功能能。H3C12508交換機(jī)兩臺(tái)臺(tái)，堆疊方方式提供2層接入?，F(xiàn)有架構(gòu)下下服務(wù)器資資源以基于于x86的物理服務(wù)務(wù)器和小型型機(jī)為主客戶(hù)在未來(lái)來(lái)兩年內(nèi)要要完成90%業(yè)務(wù)系統(tǒng)P2V的遷移3層網(wǎng)關(guān)H3C

F5KH3C

12508CiscoN7K現(xiàn)有環(huán)境下下客戶(hù)面臨臨的問(wèn)題：：現(xiàn)有物理機(jī)機(jī)環(huán)境下設(shè)設(shè)備采購(gòu)和和運(yùn)維成本本過(guò)高應(yīng)用部署周周期長(zhǎng)（1-2個(gè)以上）資源利用率率低P2V遷移客戶(hù)重重點(diǎn)關(guān)注的的問(wèn)題：虛機(jī)層面的的安全控制制和管理監(jiān)監(jiān)控虛機(jī)層面東東西向的路路由優(yōu)化虛機(jī)跨三層層的vmtion現(xiàn)有物理環(huán)環(huán)境和虛機(jī)機(jī)環(huán)境的無(wú)無(wú)縫遷移CONFIDENTIAL29某商業(yè)銀行行:利用NSX實(shí)現(xiàn)業(yè)務(wù)系系統(tǒng)網(wǎng)絡(luò)P2V的遷移P2V改造后物理理架構(gòu)P2V改造后邏輯輯架構(gòu)CONFIDENTIAL30物理連線(xiàn)部分分承載目前前管理業(yè)務(wù)務(wù)區(qū)使用的的不進(jìn)行網(wǎng)網(wǎng)關(guān)變更的的VLAN。老網(wǎng)關(guān)新建環(huán)境流量L2-Bridge遷移規(guī)劃EdgeGW新部署規(guī)劃劃EdgeClusterComputeClusterVTEP遷移環(huán)境流量物理連線(xiàn)原有物理環(huán)環(huán)境新建x86環(huán)境CiscoN7KF5K1250812510M9K某商業(yè)銀行行:利用NSX實(shí)現(xiàn)業(yè)務(wù)系系統(tǒng)網(wǎng)絡(luò)P2V的遷移議程數(shù)據(jù)中心云云計(jì)算對(duì)網(wǎng)網(wǎng)絡(luò)的要求求網(wǎng)絡(luò)虛擬化化總體架構(gòu)構(gòu)案例分析總結(jié)CONFIDENTIAL31HypervisorX86HostsLineratePerhostPhysicalorVirtual10KLogicalSwitches硬件軟件硬件軟件云管理平臺(tái)臺(tái)LineratePerhostNoTromboning1,000LogicalRoutersPerdomainLineratePerhostKernelIntegrated25,000CPS2millio