VMware NSX-T解決方案（存儲(chǔ)技術(shù)）

VMwareNSX-T解決方案1NSX-T技術(shù)框架及其演進(jìn)VMwareNSX網(wǎng)絡(luò)虛擬化平臺(tái)是通過收購Nicira而獲得的，但是在收購一年多時(shí)間之后，NSX才正式發(fā)布。其與早期的NiciraNVP平臺(tái)還是有很大區(qū)別，它增加了很多VMware的基因在里面。 NSX屬于VMware提出的overlay網(wǎng)絡(luò)虛擬化方案，Overlay是在傳統(tǒng)網(wǎng)絡(luò)上虛擬出一個(gè)虛擬網(wǎng)絡(luò)來，傳統(tǒng)網(wǎng)絡(luò)不需要在做任何適配,這樣物理層網(wǎng)絡(luò)只對(duì)應(yīng)物理層的計(jì)算（物理機(jī)、虛擬化層管理網(wǎng)），虛擬的網(wǎng)絡(luò)只對(duì)應(yīng)虛擬計(jì)算（虛擬機(jī)的業(yè)務(wù)IP）。Overlay的技術(shù)路線，其實(shí)是從架構(gòu)上對(duì)數(shù)據(jù)中心的建設(shè)模式進(jìn)行了顛覆，對(duì)物理設(shè)備的要求降至最低，業(yè)務(wù)完全定義在層疊網(wǎng)絡(luò)上。1.1NSX-T的框架演進(jìn)NSX網(wǎng)絡(luò)虛擬化分為vSphere環(huán)境下的NSX（NSX-V）和多虛擬化環(huán)境下的NSX（NSX-MH），無論使用NSX-V還是NSX-MH，其基本邏輯架構(gòu)都是相同的，不同點(diǎn)僅體現(xiàn)在安裝軟件和部署方式、配置界面，以及數(shù)據(jù)平面中的一些組件上（NSX-V中的虛擬交換機(jī)為vSphere分布式交換機(jī)，而NSX-MH中的虛擬交換機(jī)為OVS）。它分為數(shù)據(jù)平面、控制平面、管理平面。其中數(shù)據(jù)平面中，又分分布式服務(wù)（包括邏輯交換機(jī)、邏輯路由器、邏輯防火墻）和NSX網(wǎng)關(guān)服務(wù)?？刂破矫娴闹饕M件是NSXController（還會(huì)包含DLRControlVM），而管理平面的主要組件是NSXManager（還會(huì)包含vCenter）NSX-V的架構(gòu)和圖NSX_HM架構(gòu)對(duì)比如圖1.1所示。圖1.1NSX-V和NSX_HM架構(gòu)對(duì)比2016年5月，VMware對(duì)NSX的多hypervisor版本進(jìn)行了重大更新，推出NSX-T取代NSX-MH。NSX-T不僅僅是NSX-HM的簡(jiǎn)單升級(jí)，它包含了原有的NSX-V中的一些功能，和NSX-MH相比NSX-T支持更多的hypervisor，同時(shí)更新了對(duì)OpenStackNewton和Mitaka的支持，并且能夠通過容器網(wǎng)絡(luò)接口（CNI）插件使用NSX和容器。圖1.2是NSX-T網(wǎng)絡(luò)虛擬化架構(gòu)的基本示意圖，它分為數(shù)據(jù)平面、控制平面、管理平面。圖1.2NSX-T架構(gòu)示意圖除了相比NSX-HM架構(gòu)方面的變化，NSX-T主要進(jìn)行了以下方面的功能更新：（1）DHCP服務(wù)器DHCP服務(wù)器功能支持動(dòng)態(tài)IP地址以及靜態(tài)IP到MAC地址綁定。（2）元數(shù)據(jù)代理服務(wù)器元數(shù)據(jù)代理服務(wù)器功能讓虛擬機(jī)可以從OpenstackNova服務(wù)器中快速檢索實(shí)例特定的元數(shù)據(jù)。（2）Geneve常規(guī)網(wǎng)絡(luò)虛擬化封裝(Geneve)協(xié)議用于在傳輸節(jié)點(diǎn)之間建立隧道以傳送覆蓋流量。Geneve替代在早期版本中使用的STT協(xié)議。（3）MAC發(fā)現(xiàn)邏輯交換機(jī)上的MAC發(fā)現(xiàn)功能提供了到以下部署的網(wǎng)絡(luò)連接：在一個(gè)邏輯交換機(jī)端口后面配置多個(gè)MAC地址，例如，在嵌套的管理程序部署中。（4）IPFIX精細(xì)的IPFIX配置支持。在邏輯交換機(jī)或邏輯端口級(jí)別啟用IPFIX。（5）端口鏡像支持捕獲傳輸節(jié)點(diǎn)上的流量以進(jìn)行故障排除。用戶可以在傳輸節(jié)點(diǎn)上運(yùn)行的虛擬機(jī)中部署一個(gè)嗅探器工具，然后配置端口鏡像以將虛擬機(jī)或上行鏈路流量發(fā)送到該嗅探器工具以進(jìn)行故障排除。（6）備份和還原支持自動(dòng)備份。您可以定義定期備份計(jì)劃以將備份文件發(fā)送到遠(yuǎn)程服務(wù)器。（7）技術(shù)支持包在一個(gè)集中位置從NSXManager、NSXController和傳輸節(jié)點(diǎn)中收集日志包以進(jìn)行故障排除。（8）API規(guī)范/模式OpenAPI/Swagger規(guī)范支持幫助第三方生成語言綁定以及其他工具，例如，PowerShell組件和Postman集合。用戶可以使用所選的編程語言基于NSX-T功能構(gòu)建自動(dòng)化管理。1.2NSX-T架構(gòu)分析NSX-T的工作方式是實(shí)現(xiàn)三個(gè)單獨(dú)但集成的層面：管理、控制和數(shù)據(jù)。這三個(gè)層面是作為位于三種類型的節(jié)點(diǎn)上的一組進(jìn)程、模塊和代理實(shí)現(xiàn)的：管理器、控制器和傳輸節(jié)點(diǎn)。1.2.1管理平面管理平面為系統(tǒng)提供了一個(gè)API入口點(diǎn)。用戶可以通過它維護(hù)用戶配置，處理用戶查詢，在所有管理、控制和數(shù)據(jù)平面節(jié)點(diǎn)上執(zhí)行操作任務(wù)。管理層面負(fù)責(zé)處理查詢、修改和永久保留用戶配置，而控制層面負(fù)責(zé)將該配置向下傳播到正確的數(shù)據(jù)層面子集。這意味著，某些數(shù)據(jù)屬于多個(gè)層面，具體取決于它處于哪個(gè)階段。管理平面還處理從控制層面和數(shù)據(jù)層面中查詢到的狀態(tài)和統(tǒng)計(jì)信息。NSX-TManager是為NSX-T生態(tài)系統(tǒng)實(shí)現(xiàn)管理平面的一個(gè)虛擬設(shè)備也是NSX-T的集中網(wǎng)絡(luò)管理組件，用于創(chuàng)建、配置和監(jiān)控NSX-T組件（如邏輯交換機(jī)和NSXEdge服務(wù)網(wǎng)關(guān)）。NSXManager提供了一種方法用于監(jiān)控連接到NSX-T創(chuàng)建的虛擬網(wǎng)絡(luò)的工作負(fù)載以及進(jìn)行故障排除。所有安全服務(wù)（無論是內(nèi)置還是第三方服務(wù)）都是由NSX-T管理層面部署和配置的。管理層面提供了單個(gè)窗口以查看服務(wù)可用性，它還簡(jiǎn)化了基于策略的服務(wù)鏈、上下文共享和服務(wù)間事件處理，簡(jiǎn)化了安全狀態(tài)審核以及應(yīng)用的身份控制。它提供了一個(gè)聚合的系統(tǒng)視圖，并提供以下功能：通過RESTfulAPI或NSX-T用戶界面作為用戶配置入口；負(fù)責(zé)在其數(shù)據(jù)庫中存儲(chǔ)所需的配置。NSX-TManager存儲(chǔ)用戶對(duì)系統(tǒng)的最終配置請(qǐng)求。這個(gè)配置將由NSX-TManager推送到控制平面，主要包括邏輯交換和路由、網(wǎng)絡(luò)和Edge服務(wù)以及安全服務(wù)和分布式防火墻的配置；以及除了系統(tǒng)信息之外的一些配置(如統(tǒng)計(jì)信息等)。所有的NSX-T組件都運(yùn)行一個(gè)管理平面代理（MPA），MPA保存系統(tǒng)狀態(tài)，通過在傳輸節(jié)點(diǎn)和管理層面之間傳送非流量控制(Non-Flow-Controlling,NFC)消息（例如，配置、統(tǒng)計(jì)信息、狀態(tài)和實(shí)時(shí)數(shù)據(jù)）將它們連接到NSX-TManager。此外NSX-T的控制平面還包括一個(gè)叫做NSXPolicyManager的虛擬設(shè)備，其提供圖形用戶界面(GUI)和RESTAPI，用于指定與網(wǎng)絡(luò)連接、安全性和可用性相關(guān)的配置，以簡(jiǎn)化NEX-T的使用。1.2.2控制層面控制層面是根據(jù)管理層面中的配置計(jì)算所有瞬間運(yùn)行時(shí)狀態(tài)，傳播數(shù)據(jù)層面元素報(bào)告的拓?fù)湫畔⒁约皩o狀態(tài)配置推送到轉(zhuǎn)發(fā)引擎?？刂茖用嬖贜SX-T中拆分成兩個(gè)部分：中央控制層面(CentralControlPlane,CCP)和本地控制層面(LocalControlPlane,LCP)，前者在NSXController群集節(jié)點(diǎn)上運(yùn)行，后者在它控制的數(shù)據(jù)層面的相鄰傳輸節(jié)點(diǎn)上運(yùn)行。CCP根據(jù)管理層面中的配置對(duì)整個(gè)網(wǎng)絡(luò)的狀態(tài)進(jìn)行管理；LCP與它控制的數(shù)據(jù)平面相鄰并與CCP相連，它監(jiān)控本地鏈路狀態(tài)，根據(jù)數(shù)據(jù)層面和CCP中的更新計(jì)算最新的運(yùn)行時(shí)狀態(tài)，并將CCP的配置信息推送到轉(zhuǎn)發(fā)引擎。NSXController稱為中央控制層面(CCP)，是一個(gè)高級(jí)分布式狀態(tài)管理系統(tǒng)，可控制虛擬網(wǎng)絡(luò)和覆蓋網(wǎng)絡(luò)傳輸隧道。NSXController部署為一組高可用性的虛擬設(shè)備，它們負(fù)責(zé)在整個(gè)NSX-T架構(gòu)中以編程方式部署虛擬網(wǎng)絡(luò)。NSX-TCCP在邏輯上與所有數(shù)據(jù)層面流量隔離，控制層面中的任何故障都不會(huì)影響現(xiàn)有的數(shù)據(jù)層面操作。流量不通過控制器傳輸；控制器還會(huì)負(fù)責(zé)為其他NSXController組件提供配置（如邏輯交換機(jī)、邏輯路由器和Edge配置）。1.2.3數(shù)據(jù)層面數(shù)據(jù)層面根據(jù)控制層面控制信息執(zhí)行數(shù)據(jù)包轉(zhuǎn)發(fā)/轉(zhuǎn)換，也向控制層面報(bào)告數(shù)據(jù)包統(tǒng)計(jì)信息以及拓?fù)浜蜖顟B(tài)物理數(shù)據(jù)（例如，VIF位置、隧道狀態(tài)，等等）。數(shù)據(jù)層面還維護(hù)多個(gè)鏈路/隧道的狀態(tài)并處理它們之間的故障切換，但也僅限于如何處理負(fù)載，系統(tǒng)的狀態(tài)和轉(zhuǎn)發(fā)依然由控制平面管理。傳輸節(jié)點(diǎn)不僅是運(yùn)行LCP守護(hù)進(jìn)程的主機(jī)，還是實(shí)現(xiàn)NSX-T數(shù)據(jù)層面的轉(zhuǎn)發(fā)引擎。傳輸節(jié)點(diǎn)負(fù)責(zé)根據(jù)可用的網(wǎng)絡(luò)服務(wù)的配置來交換數(shù)據(jù)包。在NSX-T中有幾種類型的傳輸節(jié)點(diǎn)：NSXVirtualDistributedSwitch（N-VDS）：N-VDS是獨(dú)立于虛擬機(jī)管理器由軟件定義虛擬路由器平臺(tái)，做為數(shù)據(jù)平面實(shí)現(xiàn)轉(zhuǎn)發(fā)的重要組件，N-VDS在傳輸節(jié)點(diǎn)上運(yùn)行的組件（例如，虛擬機(jī)之間）或內(nèi)部組件和物理網(wǎng)絡(luò)之間的通信。HypervisorTransportNodes:虛擬機(jī)監(jiān)控程序傳輸節(jié)點(diǎn)為NSX-T準(zhǔn)備和配置的虛擬機(jī)監(jiān)控程序。N-VDS為運(yùn)行在這些虛擬機(jī)監(jiān)控程序上的虛擬機(jī)提供網(wǎng)絡(luò)服務(wù)。NSX-T目前支持VMwareESXi和KVM管理程序。為KVM實(shí)現(xiàn)的N-VDS基于OpenvSwitch（OVS）。OVS可以被移植到其他虛擬機(jī)監(jiān)控程序中，EdgeNodes:VMwareNSXEdge節(jié)點(diǎn)是專用于運(yùn)行網(wǎng)絡(luò)服務(wù)的服務(wù)設(shè)備，以從NSX-T域建立外部物理網(wǎng)絡(luò)連接。此外，NSXEdge還負(fù)責(zé)支持NSX-T中的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)。L2Bridge:L2橋是負(fù)責(zé)橋接NSX-Toverlay疊加網(wǎng)絡(luò)和基于VLAN的物理網(wǎng)絡(luò)的應(yīng)用。1.2.4模塊間通信NSX-T分為3層每個(gè)層中又有多個(gè)模塊，同時(shí)NEX-T支持多種虛擬機(jī)監(jiān)視系統(tǒng)又和外界物理網(wǎng)絡(luò)相連，因此各模塊間通需要使用到多種不同的網(wǎng)絡(luò)協(xié)議，圖1.3主要標(biāo)明了各模塊間通信所用的端口和協(xié)議以及這些端口和協(xié)議允許節(jié)點(diǎn)到節(jié)點(diǎn)通信路徑，NSX-T提供保護(hù)這些路徑并對(duì)其進(jìn)行身份驗(yàn)證，使用憑據(jù)的存儲(chǔ)位置建立雙向身份驗(yàn)證。默認(rèn)情況下，所有證書是自簽名證書。北向GUI和API證書和私鑰可以替換為CA簽名的證書。圖1.3各模塊間通信所用的端口和協(xié)議管理平面到控制平面，以及管理平面到管理平面代理由TCP5671的RabbitMQ協(xié)議承擔(dān)，在RMQ用戶數(shù)據(jù)庫(db)中，密碼是使用不可逆的哈希函數(shù)進(jìn)行哈希處理的，CCP到LCP的控制通信都由TCP1234NSXChannel私有協(xié)議承擔(dān)，內(nèi)部守護(hù)進(jìn)程可以通過環(huán)回或UNIX域套接字進(jìn)行通信包括：KVM和MPA、netcpa、nsx-agent的通信由TLV協(xié)議承擔(dān)如圖1.4所示，KVM中NSXAgent與OVS的通信由openflow承擔(dān)；圖1.4KVM中各模塊間的通信而在ESX-i和Edgenode中因?yàn)闊o需使用Openflow協(xié)議而更加簡(jiǎn)單。如圖1.5所示圖1.5在ESXi中各模塊間的通信而在NSX-T互聯(lián)的設(shè)備包括虛擬監(jiān)視器（hypervisors）里的虛擬交換機(jī)、物理交換機(jī)、中間件或其他器件設(shè)備的互聯(lián)全部交由VxLAN或GENEVE協(xié)議承擔(dān)。如圖1.6所示。圖1.6GENEVE互聯(lián)1.3NSX-T近期版本新功能在之后的版本中NSX-T在架構(gòu)方面并沒有大更新，大多是功能方面的更新以及Bug修復(fù)更新（1）在NSX-T的2.0中包含以下功能更新：IP發(fā)現(xiàn)：自動(dòng)發(fā)現(xiàn)每個(gè)虛擬機(jī)的IP地址。在規(guī)則中使用對(duì)象和標(biāo)記的分布式防火墻：從NSX-T2.0開始，支持使用虛擬機(jī)名稱和/或標(biāo)記分組對(duì)象的分布式防火墻。分布式防火墻IPFIX：通過分布式防火墻提供精細(xì)的IPFIX配置支持?？梢栽谶壿嫿粨Q機(jī)、邏輯端口或NS組級(jí)別從防火墻中直接啟用IPFIX。清單收集：收集可用于各種組件的虛擬機(jī)信息，例如，分組、標(biāo)記、跟蹤流、IPFIX和端口鏡像。Edge防火墻：這是一項(xiàng)新增功能，可對(duì)NSX域啟用南北向流量篩選。RBAC和vIDM集成：在該版本中，提供6個(gè)RBAC角色?？梢詾橛脩舴峙?個(gè)角色中的任何角色。NSX還與VMwareIdentityManager集成在一起，可為所有VMware產(chǎn)品提供統(tǒng)一的用戶信息。分布式網(wǎng)絡(luò)加密：為NSX域中的工作負(fù)載/虛擬機(jī)之間的通信啟用加密。容器支持：NSX-T為Kubernetes啟用微分段和網(wǎng)絡(luò)功能。（2）在NSX-T的2.1中包含以下功能更新：負(fù)載平衡器：為工作負(fù)載提供內(nèi)嵌和單臂負(fù)載平衡器拓?fù)渲С?。提供?duì)OpenStack部署以及Kubernetes容器部署中輸入的NSX-T負(fù)載平衡器支持。PivotalApplicationService集成(PAS/PCF)：NSX-T2.1與PivotalApplicationService2.0集成（CNI集成）。PivotalContainerService：為PivotalContainerService提供網(wǎng)絡(luò)和安全功能支持。策略管理器：策略管理器支持允許基于用途的防火墻策略。（3）在NSX-T的2.2中包含以下功能更新：自動(dòng)部署NSXController群集：可從NSXManager將NSXController群集自動(dòng)部署到通過vCenterServer發(fā)現(xiàn)的vSphere群集，從而簡(jiǎn)化vSphere環(huán)境中的NSX-T安裝。NSX管理Azure中的工作負(fù)載：NSXDataCenter和NSXCloud采用單一窗口管理內(nèi)部部署工作負(fù)載和Azure工作負(fù)載?？缁旌显茖?shí)施單個(gè)安全策略，并提供各種屬性，包括虛擬機(jī)名稱、自定義標(biāo)記。工作負(fù)載部署與安全實(shí)施分開。NIOC版本3支持：NetworkIOControl(NIOC)允許根據(jù)ESXi主機(jī)上的物理適配器容量在系統(tǒng)生成和用戶定義的網(wǎng)絡(luò)資源池的網(wǎng)絡(luò)上配置限制和份額。提供一種機(jī)制，可根據(jù)主機(jī)上的物理適配器容量為系統(tǒng)流量預(yù)留帶寬。支持在虛擬機(jī)網(wǎng)絡(luò)適配器級(jí)別精細(xì)控制資源，以用于分配CPU和內(nèi)存資源。允許在整個(gè)分布式交換機(jī)(N-VDS)級(jí)別為虛擬機(jī)設(shè)置帶寬分配。客戶機(jī)VLAN標(biāo)記：vSwitch（在這種情況下為N-VDS）端口就像一個(gè)中繼，負(fù)責(zé)檢查入站VLAN標(biāo)記，以確保與正確的目標(biāo)虛擬端口相匹配。但是，N-VDS將保持VLAN標(biāo)記不變。此功能適用于VLAN支持以及覆蓋網(wǎng)絡(luò)支持的流量，且僅針對(duì)基于客戶機(jī)VLAN標(biāo)記的轉(zhuǎn)發(fā)數(shù)據(jù)包提供橋接支持。不支持管理程序內(nèi)基于客戶機(jī)VLAN標(biāo)記的路由。VPN支持：基于IPsec的第2層VPN和第3層VPN支持只能使用NSX-TAPI配置的站點(diǎn)到站點(diǎn)連接。客戶體驗(yàn)提升計(jì)劃：VMware客戶體驗(yàn)提升計(jì)劃(CEIP)支持收集產(chǎn)品使用情況信息并報(bào)告給VMware，以便提高NSX-T的質(zhì)量?？蛻艨梢赃x擇禁用此功能。Terraform支持：支持Terraform提供程序，從而實(shí)現(xiàn)NSX-T邏輯對(duì)象自動(dòng)化，例如交換機(jī)、路由器、防火墻規(guī)則和分組。CiscoVIC1387裸機(jī)上支持NSXEdge：支持CiscoUCS系統(tǒng)中使用的網(wǎng)卡。NSXContainerPlug-in(NCP)功能：1）對(duì)KubernetesIngress提供TLS支持，通過KubernetesIngress和Secret集成，在NSX-T負(fù)載平衡器上支持HTTPS終止。具有TLS配置的所有KubernetesIngress將托管在專用于端口443上HTTPS終止的NSX-T負(fù)載平衡器上。2）OpenShift路由器支持：NSX-T負(fù)載平衡器可以作為OpenShift路由器通過路由資源向外部第7層流量公開服務(wù)。支持HTTP流量和具有Edge終止的HTTPS流量。3）創(chuàng)建標(biāo)記時(shí)支持更長(zhǎng)的名稱和值：NSX-T對(duì)象上的標(biāo)記現(xiàn)在允許最多30個(gè)字符的標(biāo)記范圍，以及最多65個(gè)字符的標(biāo)記值。4）OpenShift安裝改進(jìn)。2關(guān)鍵用戶場(chǎng)景使用分析2.1NSX-T的安裝部署（1）硬件要求管理程序要求管理程序版本CPU內(nèi)核內(nèi)存vSphere416GBRHELKVM7.4416GBUbuntuKVM16.04.2LTS416GBNSXManager

資源要求精簡(jiǎn)虛擬磁盤大小為3.1GB，厚虛擬磁盤大小為140GB。設(shè)備內(nèi)存vCPU存儲(chǔ)硬件版本NSXManager

小型虛擬機(jī)8GB2140GB10或更高版本NSXManager

中型虛擬機(jī)16GB4140GB10或更高版本NSXManager

大型虛擬機(jī)32GB8140GB10或更高版本NSXController

資源要求設(shè)備內(nèi)存vCPU磁盤空間NSXController

小型虛擬機(jī)8GB2120GBNSXController

中型虛擬機(jī)16GB4120GBNSXController

大型虛擬機(jī)32GB8120GBNSXEdge

虛擬機(jī)資源要求部署大小內(nèi)存vCPU磁盤空間虛擬機(jī)硬件版本小型4GB2120GB10或更高版本中等8GB4120GB10或更高版本大型16GB8120GB10或更高版本NSXEdge

虛擬機(jī)和裸機(jī)

NSXEdge

CPU要求硬件類型CPUXeon56xx(Westmere-EP)XeonE7-xxxx（Westmere-EX和更高版本CPU）XeonE5-xxxx（SandyBridge和更高版本CPU）裸機(jī)

NSXEdge

特定網(wǎng)卡要求網(wǎng)卡類型說明PCI設(shè)備IDIntelX520/Intel82599IXGBE_DEV_ID_82599_KX4IXGBE_DEV_ID_82599_KX4_MEZZIXGBE_DEV_ID_82599_KRIXGBE_DEV_ID_82599_COMBO_BACKPLANEIXGBE_SUBDEV_ID_82599_KX4_KR_MEZZIXGBE_DEV_ID_82599_CX4IXGBE_DEV_ID_82599_SFPIXGBE_SUBDEV_ID_82599_SFPIXGBE_SUBDEV_ID_82599_RNDCIXGBE_SUBDEV_ID_82599_560FLRIXGBE_SUBDEV_ID_82599_ECNA_DPIXGBE_DEV_ID_82599_SFP_EMIXGBE_DEV_ID_82599_SFP_SF2IXGBE_DEV_ID_82599_SFP_SF_QPIXGBE_DEV_ID_82599_QSFP_SF_QPIXGBE_DEV_ID_82599EN_SFPIXGBE_DEV_ID_82599_XAUI_LOMIXGBE_DEV_ID_82599_T3_LOM0x10F70x15140x15170x10F80x000C0x10F90x10FB0x11A90x1F720x17D00x04700x15070x154D0x154A0x15580x15570x10FC0x151CIntelX540IXGBE_DEV_ID_X540TIXGBE_DEV_ID_X540T10x15280x1560IntelX550IXGBE_DEV_ID_X550TIXGBE_DEV_ID_X550T10x15630x15D1IntelX710I40E_DEV_ID_SFP_X710I40E_DEV_ID_KX_CI40E_DEV_ID_10G_BASE_T0x15720x15810x1586IntelXL710I40E_DEV_ID_KX_BI40E_DEV_ID_QSFP_AI40E_DEV_ID_QSFP_BI40E_DEV_ID_QSFP_C0x15800x15830x15840x1585裸機(jī)

NSXEdge

內(nèi)存、CPU和磁盤要求內(nèi)存CPU內(nèi)核磁盤空間32GB8200GB通常，對(duì)于初始安裝，過程順序如下所示：安裝NSXManager。安裝NSXController。將NSXController加入管理層面。初始化控制群集以創(chuàng)建主控制器。即使在您的環(huán)境中只有一個(gè)NSXController，也需要執(zhí)行該步驟。將NSXController加入控制群集。在管理程序主機(jī)上安裝NSX-T模塊。在安裝NSX-T模塊時(shí)，將在管理程序主機(jī)上創(chuàng)建證書。將管理程序主機(jī)加入管理層面。這會(huì)導(dǎo)致主機(jī)將其主機(jī)證書發(fā)送到管理層面。安裝NSXEdge。將NSXEdge加入管理層面。創(chuàng)建傳輸區(qū)域和傳輸節(jié)點(diǎn)。這會(huì)導(dǎo)致在每個(gè)主機(jī)上創(chuàng)建NSX-T主機(jī)交換機(jī)。此時(shí)，管理層面將主機(jī)證書發(fā)送到控制層面，并且管理層面將控制層面信息推送到主機(jī)。每個(gè)主機(jī)通過SSL連接到控制層面以提供其證書?？刂茖用娓鶕?jù)管理層面提供的主機(jī)證書驗(yàn)證該證書。在成功驗(yàn)證后，控制器將接受該連接。需要注意的是這是建議的順序，但該順序不是必需的。用戶可以隨時(shí)安裝NSXManager、NSXController并加入管理層面?？梢栽诩尤牍芾韺用嬷霸诠芾沓绦蛑鳈C(jī)上安裝NSX-T模塊，也可以使用架構(gòu)>主機(jī)>添加(Fabric>Hosts>Add)UI或POSTfabric/nodesAPI同時(shí)執(zhí)行這兩個(gè)過程。NSXController、NSXEdge和具有NSX-T模塊的主機(jī)也可以隨時(shí)加入管理層面。安裝完成后如果主機(jī)是傳輸節(jié)點(diǎn)，您可以隨時(shí)通過NSXManagerUI或API創(chuàng)建傳輸區(qū)域、邏輯交換機(jī)、邏輯路由器和其他網(wǎng)絡(luò)組件。在NSXController、NSXEdge和主機(jī)加入管理層面時(shí)，將自動(dòng)向NSXController、NSXEdge和主機(jī)推送NSX-T邏輯實(shí)體和配置狀態(tài)。2.2NSX-T的可視化和運(yùn)維在NSX-T中網(wǎng)絡(luò)的可視化功能主要由NSXTraceFlow（跟蹤流）和NSXFlowMonitoring（流量監(jiān)控）兩個(gè)組件實(shí)現(xiàn)。TraceFlow用于追蹤虛擬機(jī)之間通信的每一跳信息，方便我們排查是什么原因?qū)е碌耐ㄐ艈栴}或者流量路徑是否符合我們的預(yù)期。圖2.1是NSX-T為用戶提供的TRACEFLOW工具。圖2.1TRACEFLOW工具NSX同時(shí)也為系統(tǒng)提供了強(qiáng)大的監(jiān)控功能，借助FlowMonitoring，就可以實(shí)現(xiàn)對(duì)于NSX平臺(tái)的完整監(jiān)控，F(xiàn)lowMonitoring用于查看虛擬機(jī)網(wǎng)卡的實(shí)時(shí)流量信息方便發(fā)現(xiàn)異常流量，這個(gè)監(jiān)控能力既包含了對(duì)于歷史數(shù)據(jù)的監(jiān)控，也包含了對(duì)于實(shí)時(shí)對(duì)象的監(jiān)控訴求的支持。FlowMonitoring也可以通過Openflow和第三方監(jiān)控工具進(jìn)行連接，圖2.2為FlowMonitoring。NSXFlowMonitoring集流量收集、展示與分析為一體，具體有以下功能：流量統(tǒng)計(jì)：展示流量的概況，流量排行榜，流量放行/阻止情況按服務(wù)(端口)展示流量的明細(xì)，并提供了快捷的防火墻規(guī)則創(chuàng)建虛擬機(jī)接口實(shí)時(shí)流量監(jiān)控通過IPFix(Netflowv9)協(xié)議將流量統(tǒng)計(jì)信息發(fā)送給第三方收集器應(yīng)用程序規(guī)則管理器：收集與業(yè)務(wù)組相關(guān)的流量，幫助管理員根據(jù)業(yè)務(wù)互訪關(guān)系創(chuàng)建防火墻策略圖2.2FlowMonitoring組件NSX自帶的流量分析工具FlowMonitoring，在簡(jiǎn)單監(jiān)控排錯(cuò)時(shí)功能足夠，而在稍大規(guī)模環(huán)境下使用則有些吃力，尤其是在長(zhǎng)時(shí)間流量收集上。因此VMware提供了一款更專業(yè)的流量收集、分析、排錯(cuò)工具vRealizeNetworkInsight，簡(jiǎn)稱vRNI，屬于NSX家族的一員。圖2.3vRealizeNetworkInsight工具利用vRealizeNetworkInsight，可以對(duì)模型安全組和防火墻規(guī)則進(jìn)行全面的網(wǎng)絡(luò)流評(píng)估、為實(shí)施微分段提供切實(shí)可行的建議以及隨時(shí)監(jiān)控合規(guī)狀況，從而在部署微分段時(shí)不必再盲目猜測(cè)。另外，通過跨物理和虛擬網(wǎng)絡(luò)實(shí)現(xiàn)融合可見性，vRealizeNetworkInsight可幫助您提高性能和可用性。您還可以通過直觀的UI和自然語言搜索功能快速查明問題、進(jìn)行故障排除，以及獲得最佳部署實(shí)踐和合規(guī)性建議，從而簡(jiǎn)化NSX運(yùn)維管理，如圖2.4所示。圖2.4vRealizeNetworkInsight工具流量監(jiān)控vRealizeNetworkInsight可在本地部署，也可以作為一種名叫VMwareNetworkInsight的VMware云計(jì)算服務(wù)提供。其主要提供的功能有流量分析(vDSIPFIX)、NSX防火墻微分段規(guī)劃與運(yùn)維(NSXIPFIX)、NSX后續(xù)運(yùn)維、虛擬機(jī)之間的路徑分析、第三方防火墻可見性、公共API、規(guī)劃AWS的安全性、AWS可見性和故障排除、PCI合規(guī)性儀表盤、物理設(shè)備的網(wǎng)絡(luò)流流量分析、可配置的加長(zhǎng)數(shù)據(jù)保留期以及Infoblox集成。2.3NSX的主要功能（1）NSX推動(dòng)網(wǎng)絡(luò)系統(tǒng)的軟硬件分離。我們以前設(shè)計(jì)數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)，首先需要考慮市場(chǎng)上的供應(yīng)商能夠提供什么樣的技術(shù)和產(chǎn)品，然后選擇一到兩家供應(yīng)商特定型號(hào)的產(chǎn)品來組網(wǎng)。每過五到七年，我們需要重復(fù)一次這樣的工作，否則我們的數(shù)據(jù)中心就無法適應(yīng)業(yè)務(wù)的發(fā)展，另外我們使用的硬件網(wǎng)絡(luò)產(chǎn)品就無法獲得持續(xù)的供應(yīng)，很多產(chǎn)品已經(jīng)迭代停產(chǎn)了。這種設(shè)計(jì)方法，我們稱之為硬件定義的數(shù)據(jù)中心（HDDC）。在HDDC模式下，我們被特定的品牌和型號(hào)鎖定，并為此付出高昂代價(jià)。NSX則提供了一種全新的網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)方法，它只要求連接服務(wù)器的網(wǎng)絡(luò)提供IP可達(dá)性，并以此IP傳輸網(wǎng)絡(luò)為基礎(chǔ)，構(gòu)建軟件層面的虛擬化網(wǎng)絡(luò)。在IP傳輸層面，并不需要指定特定的品牌或型號(hào)，也不需要隨著五至七年的周期而全面更新。這種設(shè)計(jì)模式，我們稱之為軟件定義的數(shù)據(jù)中心（SDDC）。在SDDC模式下，網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)更靈活、成本更低，并且它可以和服務(wù)器虛擬化一樣，更容易實(shí)現(xiàn)自動(dòng)化部署。（2）NSX使得傳統(tǒng)的網(wǎng)絡(luò)組建及維護(hù)模式發(fā)生了變化?；贜SX構(gòu)建的虛擬化網(wǎng)絡(luò)中，多個(gè)租戶/應(yīng)用之間互相是不可見的，底層的硬件網(wǎng)絡(luò)和上層的虛擬網(wǎng)絡(luò)之間也是“不可見”的。這就使得組網(wǎng)模式和運(yùn)維模式和HDDC模式有了質(zhì)的變化。在HDDC模式下，每當(dāng)網(wǎng)絡(luò)為適應(yīng)應(yīng)用的變更而做出相應(yīng)的變化時(shí)，必須使用“變更窗口”，以防止在變更發(fā)生時(shí)，對(duì)其他應(yīng)用造成影響。隨著對(duì)運(yùn)維水平要求的提高，申請(qǐng)“變更窗口”變得越來越難，有些變更窗口往往要占用運(yùn)維人員寶貴的周末和假期。在NSX組網(wǎng)模式下，則將使用這些變更窗口的要求降到最低，只有改變底層的IP網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，才部分需要申請(qǐng)“變更窗口”。這使得業(yè)務(wù)部署變得更快，并且大大降低了對(duì)運(yùn)維團(tuán)隊(duì)勞動(dòng)強(qiáng)度的要求。（3）隨著服務(wù)器部署虛擬化，基于軟件容器方式的服務(wù)器虛擬化使得虛擬機(jī)的創(chuàng)建、備份、刪除和恢復(fù)等動(dòng)作都可以以軟件調(diào)用的方式實(shí)現(xiàn)。再加上自服務(wù)門戶、自動(dòng)化部署和管理平臺(tái)的上線，虛擬機(jī)將會(huì)以自動(dòng)化模式在數(shù)秒之內(nèi)得以部署。如果這時(shí)候網(wǎng)絡(luò)仍然運(yùn)行在HDDC模式下，必然會(huì)引入“變更窗口”機(jī)制，詳細(xì)的變更計(jì)劃及回退計(jì)劃，基于硬件的調(diào)配方式使得網(wǎng)絡(luò)的部署速度永遠(yuǎn)無法達(dá)到虛擬機(jī)的部署速度。網(wǎng)絡(luò)構(gòu)建和運(yùn)維就變得IT部門的短板。使用NSX技術(shù)之后，所有網(wǎng)絡(luò)組件（邏輯交換機(jī)、邏輯路由器、分布式防火墻、VPN等）都和虛擬機(jī)一樣，是以軟件方式實(shí)現(xiàn)，并且提供了軟件調(diào)用的接口。從此，虛擬網(wǎng)絡(luò)組件的部署變得和虛擬機(jī)一樣快。在自服務(wù)門戶上，虛擬機(jī)和網(wǎng)絡(luò)組件可以同時(shí)面向用戶提供服務(wù)。（4）傳統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)中，防火墻一般部署在匯聚層，及PoD的邊界上。這種設(shè)計(jì)是和非虛擬化環(huán)境相適應(yīng)的，隨著服務(wù)器的虛擬化，原來單純的南北向流量模式變?yōu)楦嗟臇|西向流量。東西向流量之間的安全策略，有一些可以變?yōu)槟媳毕蛄髁?，從而達(dá)到使用邊界防火墻的目的，比如將網(wǎng)關(guān)設(shè)置在防火墻上。另一些策略，如同一網(wǎng)段服務(wù)器之間的訪問限制，因?yàn)楦静恍枰L問網(wǎng)關(guān)，因此變得無法實(shí)現(xiàn)。在虛擬化環(huán)境下，我們希望使用更大的池化資源以提高資源的利用率，但資源池越大，安全策略越難以部署，我們不得不將資源池做得更小，在資源池中間增加硬件防火墻。這和虛擬化環(huán)境下的虛擬機(jī)之間的“零信任關(guān)系”設(shè)計(jì)策略是相違背的。使用NSX技術(shù)之后，在每臺(tái)HOST上可以自動(dòng)部署相關(guān)的防火墻策略，并且這些策略可以隨著虛擬機(jī)的移動(dòng)而自動(dòng)追隨虛擬機(jī)。業(yè)務(wù)流量無須到邊界的硬件防火墻即可知道是否被允許?？梢匀菀椎貙?shí)現(xiàn)真正的“零信任關(guān)系”。另外，傳統(tǒng)的防火墻策略只能使用IP、端口、服務(wù)等，而NSX的分布式防火墻則可以使用虛擬化環(huán)境下的所有顆粒度，包括數(shù)據(jù)中心、集群、資源池、虛擬機(jī)名、虛網(wǎng)卡名、邏輯交換機(jī)、以及各種正則表達(dá)式組合等。NSX的分布式防火墻，從根本上改變了虛擬化環(huán)境下的安全架構(gòu)設(shè)計(jì)。

3性能分析VMwareNSX-T是基于Overly架構(gòu)的SDN平臺(tái)，根據(jù)起作用不難得知，其主要的性能指標(biāo)是NSX-T的南北和東西的流量吞吐性能。3.1東-西流量吞吐性能測(cè)試測(cè)試平臺(tái)如表3.1,表3.2和表3.3所示表3.1服務(wù)器配置服務(wù)器OSESXi6.5U1CPUIntel(R)Xeon(R)CPUE5-2699v4@2.20GHzHyper-ThreadingEnabledRAM256GBMTU9000表3.2虛擬機(jī)配置虛擬機(jī)OSRedHat6vCPU2NetworkVMXNET3RAM2GBMTU9000表3.3網(wǎng)卡配置網(wǎng)卡IntelXL710(40GbE)DriverI40eVersion1.4.3測(cè)試的在NSX中的東西流量示意圖主要如圖3.1所示，是不同的虛擬機(jī)監(jiān)視程序間的吞吐流量性能。圖3.1東西流量測(cè)試示意圖測(cè)試結(jié)果如圖3.2所示，平臺(tái)邏輯交換機(jī)以及Tier0和Tier1的Router在MTU為1500時(shí)的吞吐量大約在25Gbps，在9K的MTU下達(dá)到了40G線性速度。圖3.2東西流量測(cè)試結(jié)果3.2南-北流量吞吐性能測(cè)試NSX-T和物理設(shè)備的連接經(jīng)由Edge節(jié)點(diǎn)，Edge節(jié)點(diǎn)將虛擬和物理世界打通，因此NSX-T的南北向流量的吞吐性能也就和Edge節(jié)點(diǎn)息息相關(guān)。（1）基于VM的Edge的南北吞吐量測(cè)試測(cè)試平臺(tái)如表3.4,3.5,3.6所示表3.4服務(wù)器配置信息服務(wù)器ESX6.0.U2/6.5U1NSX6.2/NSX-TServerMake/ModelDellPowerEdgeR720/IntelCPU2xIntel?Xeon?CPUE5-2680v2@2.80GHz/2xE52699v4@2.20GhzHyper-ThreadingEnabled(DisabledonESGNode)RAM128GBMTU1600or9000表3.5服務(wù)器配置信息虛擬機(jī)OSRedHat6（64bit）vCPU2NetworkVMXNET3RAM2GBMTU1500表3.6網(wǎng)卡配置網(wǎng)卡IntelXL710(40GbE)DriverI40eVersion1.4.26經(jīng)過流量測(cè)試工具iPerf2.0.5的測(cè)試基于VM的edge節(jié)點(diǎn)可以滿足10Gbps網(wǎng)絡(luò)的吞吐需求，在MTU為9K時(shí)可以達(dá)到40Gbps線性吞吐。（2）基于裸機(jī)的Edge的南北吞吐量測(cè)試測(cè)試平臺(tái)如表3.7,3.8,3.9所示表3.7服務(wù)器配置信息服務(wù)器OSBareMetalEdgeCPUIntel(R)Xeon(R)CPUE5-2699v4@2.20GHzHyper-ThreadingEnabledRAM256GBMTU1500表3.8服務(wù)器配置信息虛擬機(jī)OSRedHat6（64bit）vCPU2NetworkVMXNET3RAM2GBMTU1500/8900表3.9網(wǎng)卡配置網(wǎng)卡IntelX520DriverixgbeVersionIn-Box裸機(jī)環(huán)境下的NSXEdge節(jié)點(diǎn)的吞吐性能在10Gbps網(wǎng)絡(luò)下，可以做到在256B的數(shù)據(jù)包的轉(zhuǎn)發(fā)，若將CPU的主頻提高到3.3Ghz，那么可以完成對(duì)96B大小數(shù)據(jù)包的轉(zhuǎn)發(fā)工作。4NSX-T的統(tǒng)一納管以及第三方的整合分析在虛擬網(wǎng)絡(luò)資源管理方面，可以說是VMware的老本行，NSX可以連接vCenter以實(shí)現(xiàn)對(duì)多種虛擬資源的管理，同時(shí)NSX數(shù)據(jù)平面的虛擬主機(jī)中可以部署分布式防火墻，邏輯交換機(jī)等多種虛擬網(wǎng)絡(luò)設(shè)備，并進(jìn)行統(tǒng)一管理。在NSX-T中更是可以通過容器網(wǎng)絡(luò)接口CNI完成對(duì)容器的虛擬化，NSX-TContainerPlug-in(NCP)提供NSX-T與容器協(xié)調(diào)器（如Kubernetes）之間的集成以及NSX-T與基于容器的PaaS（平臺(tái)即服務(wù)）產(chǎn)品（如OpenShift和PivotalCloudFoundry）之間的集成。NCP的主要組件在容器中運(yùn)行，并與NSXManager和Kubernetes控制層面進(jìn)行通信。NCP調(diào)用NSXAPI以監(jiān)控對(duì)容器和其他資源的更改以及管理網(wǎng)絡(luò)資源，如容器的邏輯端口、交換機(jī)、路由器和安全組。NSXCNI插件在每個(gè)Kubernetes節(jié)點(diǎn)上運(yùn)行。它監(jiān)控容器生命周期事件，將容器接口連接到客戶機(jī)vSwitch，并對(duì)客戶機(jī)vSwitch進(jìn)行編程以標(biāo)記和轉(zhuǎn)發(fā)容器接口和vNIC之間的容器流量。NSX屬于使用了Overlay技術(shù)的網(wǎng)絡(luò)虛擬化平臺(tái)，因此其實(shí)現(xiàn)了邏輯網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的解耦，通過將物理設(shè)備虛擬化的方式實(shí)現(xiàn)對(duì)硬件設(shè)備管理。NSX不關(guān)心底層的物理架構(gòu)，也不關(guān)心底層物理網(wǎng)絡(luò)的品牌，它只關(guān)心服務(wù)器虛擬機(jī)之間IP是否可達(dá)，但是NSX系統(tǒng)同樣離不開底層物理網(wǎng)絡(luò)設(shè)備的支持，NSX在NSXController中開放了相關(guān)API提供給硬件廠商接入的可能，目前NSXController可以使用OVSDB和Openflow協(xié)議，做為物理網(wǎng)絡(luò)的SDN控制器，硬件設(shè)備將做為NSX的一個(gè)服務(wù)被納管，設(shè)備通過OVSDB與VMwareNSX控制器通信，向VMwareNSX控制器上報(bào)動(dòng)態(tài)學(xué)習(xí)到的服務(wù)器的MAC地址，同時(shí)接收VMwareNSX控制器下發(fā)的配置信息，實(shí)現(xiàn)該設(shè)備接入VMwareNSX部署的Overlay網(wǎng)絡(luò)。但是VMware未對(duì)這個(gè)功能提供官方的配置界面，因此需要開放人員自己通過在API編程實(shí)現(xiàn)。表4.1NSX的硬件合作伙伴及其支持的硬件型號(hào)合作伙伴名稱硬件型號(hào)AristaNetworks7050Series，7060Series，7150Series，7280E，7060Series，7280E，7150Series，7250SeriesBrocadeVDX6740Series，VDX6740Series，VDX6940Series，VDX6940SeriesDELLS4048-ON，S6000-ON，S6010-ONHP5930，5940HuaweiTechnologiesCo.Ltd.CE6850HIJuniperNetworksQFX5100NewH3CTechnologiesCo.LtdS6800目前支持這種納管方式的網(wǎng)絡(luò)設(shè)備廠商主要包括AristaNetworks，Brocade，DELL，HP，JuniperNetworks，華為以及華三，但是支持的網(wǎng)絡(luò)設(shè)備的數(shù)量并不多，具體型號(hào)如表4.1所示。此外在NSX-T中可以通過在裸機(jī)上安裝NSXEdge來管理物理裸機(jī)，NSX-T提供ISO鏡像文件，可以將物理主機(jī)部署成為一個(gè)NSXEdgenode并將其交由NSXController管理，從而實(shí)現(xiàn)對(duì)物理主機(jī)的納管。NSX還支持和Openstack的無縫連接，使用VMwareNeutronNSXDriver（Plugin），OpenStack的網(wǎng)絡(luò)組件能與既有的VMwarevCenter部署環(huán)境相整合。將NSXdriver安裝在OpenStack的NetworkNode上，NSXDriver可使NSXcontroller能夠集中化地管理網(wǎng)絡(luò)設(shè)置信息，并且將之推送到被管理的NetworkNode上。當(dāng)NetworkNode作為Hypervisor而被添加到NSXController時(shí)，它們會(huì)被NSXController所管理如圖4.1。圖4.1Openstack和NSX結(jié)合除了使用VMwareNeutronNSXDriver（Plugin）在NSX-T中也可以將OpenStack直接部署在KVM中，而Openstack支持對(duì)更多的物理設(shè)備的納管，通過這種方式NSX-T可以納管更多目前并不能原生支持的物理設(shè)備的納管。5NSX技術(shù)的相關(guān)專利[1]NiciraInc.Identifier(id)allocationinavirtualizedcomputingenvironment:US,20170371716A1[P]2016-06-24提供了用于第一節(jié)點(diǎn)在虛擬化計(jì)算環(huán)境中執(zhí)行標(biāo)識(shí)符（ID）分配的示例方法，該虛擬化計(jì)算環(huán)境包括由第一節(jié)點(diǎn)和至少一個(gè)第二節(jié)點(diǎn)形成的集群。該方法可以包括從與集群相關(guān)聯(lián)的ID池中檢索一批ID到與第一節(jié)點(diǎn)相關(guān)聯(lián)的高速緩存。可以在集群內(nèi)共享ID池，并且為第一節(jié)點(diǎn)后續(xù)ID分配檢索該批ID。該方法還可以包括，響應(yīng)于從ID消費(fèi)者接收對(duì)ID分配的請(qǐng)求，將來自高速緩存中的一批ID的一個(gè)或多個(gè)ID分配給相應(yīng)的一個(gè)或多個(gè)對(duì)象，用于跨越所述一個(gè)或多個(gè)對(duì)象的唯一標(biāo)識(shí)。[2]NiciraInc.Troubleshootingvirtualnetworkreachability:US,20170288981A1[P]2016-04-04提供了一種用于對(duì)邏輯網(wǎng)絡(luò)進(jìn)行故障診斷的新方法，該邏輯網(wǎng)絡(luò)具有在虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)引擎內(nèi)操作的邏輯轉(zhuǎn)發(fā)元件。該方法接收與邏輯網(wǎng)絡(luò)中的節(jié)點(diǎn)相對(duì)應(yīng)的源標(biāo)識(shí)符和目的地標(biāo)識(shí)符，然后從虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)引擎檢索一組網(wǎng)絡(luò)數(shù)據(jù)，并通過檢索到的網(wǎng)絡(luò)數(shù)據(jù)集遍歷邏輯網(wǎng)絡(luò)來識(shí)別邏輯網(wǎng)絡(luò)中的路徑。遍歷從初始網(wǎng)絡(luò)節(jié)點(diǎn)處開始，初始網(wǎng)絡(luò)節(jié)點(diǎn)由源標(biāo)識(shí)符標(biāo)識(shí)并且繼續(xù)到下一跳網(wǎng)絡(luò)節(jié)點(diǎn)，每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)基于目的地標(biāo)識(shí)符被識(shí)別。至少一些網(wǎng)絡(luò)節(jié)點(diǎn)是與由虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)引擎實(shí)現(xiàn)的邏輯轉(zhuǎn)發(fā)元件相關(guān)聯(lián)的邏輯端口。最后，報(bào)告遍歷的邏輯節(jié)點(diǎn)集。[3]NiciraInc.Virtualnetworkabstraction:US,20170093754A1[P]2015-09-30提供了一種跨多個(gè)物理主機(jī)定義虛??擬網(wǎng)絡(luò)的方法。至少有兩臺(tái)主機(jī)使用兩個(gè)不同供應(yīng)商提供的網(wǎng)絡(luò)虛擬化軟件。每個(gè)主機(jī)為一個(gè)或多個(gè)租戶托管一組數(shù)據(jù)計(jì)算節(jié)點(diǎn)（DCN）。該方法在主機(jī)代理處的網(wǎng)絡(luò)控制器接收命令，該命令包括（i）租戶邏輯網(wǎng)絡(luò)上的資源標(biāo)識(shí)（ii）對(duì)所標(biāo)識(shí)資源執(zhí)行的動(dòng)作。該代理處的方法確定主機(jī)使用的網(wǎng)絡(luò)虛擬化軟件。該代理在該代理處將所接收的動(dòng)作轉(zhuǎn)換為與主機(jī)使用的網(wǎng)絡(luò)虛擬化軟件兼容的一組配置命令。該方法將配置命令發(fā)送到主機(jī)上的網(wǎng)絡(luò)配置接口，以對(duì)所識(shí)別的資源執(zhí)行操作。[4]NiciraInc.Usingphysicallocationtomodifybehaviorofadistributedvirtualnetworkelement:US,20160094396A1[P]2014-09-30一種用于網(wǎng)絡(luò)虛擬化的系統(tǒng)，將其中不同的物理網(wǎng)絡(luò)資源配置為一個(gè)或多個(gè)分布式邏輯網(wǎng)絡(luò)元件。至少有一些物理網(wǎng)絡(luò)資源將根據(jù)它們物理配置的分布式邏輯網(wǎng)絡(luò)元素進(jìn)行組合。此類修改基于分配給物理區(qū)域設(shè)置的區(qū)域設(shè)置標(biāo)識(shí)符。一些系統(tǒng)使用特定于區(qū)域的信息來修改下一跳的偏好。某些系統(tǒng)使用本地修改的配置來確定VM的位置。[5]NiciraInc.Routeconfigurationforlogicalrouter:US,20170048130A1[P]2015-08-11提供了一種用于在邏輯網(wǎng)絡(luò)中實(shí)現(xiàn)邏輯路由器（LR）的方法。該方法接收將第一LR連接到第二LR的配置數(shù)據(jù)，其包括具有單獨(dú)路由表的若干邏輯路由組件。對(duì)于為第一LR配置的一個(gè)或多個(gè)路由，該方法將路由添加到第二LR的分布式路由組件的路由表。添加的路由具有第一LR的接口的下一跳地址。該方法還為第一LR配置的一個(gè)或多個(gè)路由添加到第二LR的一個(gè)或多個(gè)集中式路由組件中的每一個(gè)的路由表路由。添加的路由的下一跳地址是第二LR內(nèi)部的分布式路由組件的接口地址。[6]NiciraInc.Providingqualityofserviceforcontainersinavirtualizedcomputingenvironment:US,20160380909A1[P]2015-06-26提供了一種用于計(jì)算設(shè)備的示例方法，以為虛擬化計(jì)算環(huán)境中的容器提供服務(wù)質(zhì)量（QoS）。該方法可以包括：從虛擬機(jī)接收分組的業(yè)務(wù)流，并基于所接收的分組業(yè)務(wù)流的內(nèi)容來識(shí)別業(yè)務(wù)流源自的容器。容器可以由虛擬機(jī)支持。該方法還包括檢索為所識(shí)別的容器配置的QoS策略。例如，QoS策略可以分配指定容器的網(wǎng)絡(luò)帶寬。該方法還包括根據(jù)QoS策略轉(zhuǎn)發(fā)所接收的分組業(yè)務(wù)流。[7]NiciraInc.Logicalrouterwithmultipleroutingcomponents:US,9787605B2[P]2015-01-30提供了一種用于在網(wǎng)絡(luò)中實(shí)現(xiàn)邏輯路由器的方法。該方法接收用于在一組網(wǎng)絡(luò)元件上實(shí)現(xiàn)的邏輯路由器的定義。該方法為邏輯路由器定義了幾個(gè)路由組件。每個(gè)定義的路由組件包括一組單獨(dú)的路由和單獨(dú)的邏輯接口集。該方法實(shí)現(xiàn)網(wǎng)絡(luò)中的多個(gè)路由組件。在一些實(shí)例中，若干路由組件包括一個(gè)分布式路由組件和若干集中式路由組件。[8]VMwareInc.Upgradeanalysisofacomputersystem:US,20170371650A1[P]2016-06-24在計(jì)算機(jī)實(shí)現(xiàn)的計(jì)算機(jī)系統(tǒng)升級(jí)分析中，訪問定義了計(jì)算機(jī)系統(tǒng)的多個(gè)已安裝組件的版本依賴兼容性無環(huán)圖。接收針對(duì)多個(gè)已安裝組件的可升級(jí)組件的升級(jí)分析請(qǐng)求?；诎姹疽蕾囆约嫒菪詿o環(huán)圖確定受可升級(jí)組件的升級(jí)影響的已安裝組件。[9]VMwareInc.Recoverysystemandmethodforperformingsiterecoveryusingreplicatedrecovery-specificmetadata:US,9547563B2[P]2014-06-30用于執(zhí)行站點(diǎn)恢復(fù)的恢復(fù)系統(tǒng)和方法，利用主站點(diǎn)處的受保護(hù)客戶端的特定恢復(fù)的元數(shù)據(jù)和文件來在輔助站點(diǎn)重新創(chuàng)建受保護(hù)的客戶端。恢復(fù)的元數(shù)據(jù)從主站點(diǎn)的至少一個(gè)組件處收集，并與主站點(diǎn)上受保護(hù)客戶端的文件一起存儲(chǔ)。特定恢復(fù)的元數(shù)據(jù)和受保護(hù)客戶端的文件將復(fù)制到輔助站點(diǎn)，以便可以使用復(fù)制的信息在輔助站點(diǎn)上重新創(chuàng)建受保護(hù)的客戶端。[10]VMwareInc.Systemsandmethodsforflippingnicteamingconfigurationwithoutinterferinglivetraffic:US,20170147522A1[P]2015-11-24本文描述的系統(tǒng)和方法促進(jìn)對(duì)NIC成組設(shè)備的配置，同時(shí)使多個(gè)I/O線程能夠在不中斷的情況下同時(shí)繼續(xù)通過NIC成組設(shè)備運(yùn)行。在給定時(shí)間內(nèi)，NIC成組設(shè)備的多個(gè)配置（例如，NIC成組設(shè)備的當(dāng)前配置和NIC成組設(shè)備的新配置）可以共存。在一次迭代的持續(xù)時(shí)間內(nèi)，特定I/O線程使用的NIC綁定設(shè)備的當(dāng)前配置不會(huì)更改，并且I/O線程不會(huì)采用新的NIC綁定設(shè)備配置，直到下一次開始迭代。一旦所有I/O線程完成當(dāng)前迭代，NIC組合設(shè)備的配置就會(huì)從當(dāng)前配置變成新配置，并刪除當(dāng)前配置。[11]VMwareInc.On-demandsubscribedcontentlibrary:US,20170220661A1[P]2016-02-01用于在分布式計(jì)算機(jī)系統(tǒng)內(nèi)同步內(nèi)容庫的集群管理系統(tǒng)和方法，允許按需訂閱發(fā)布內(nèi)容庫中發(fā)布的內(nèi)容，該發(fā)布內(nèi)容庫至少包括軟件和軟件的元數(shù)據(jù)。作為訂閱發(fā)布內(nèi)容庫中發(fā)布的結(jié)果，軟件的元數(shù)據(jù)從發(fā)布內(nèi)容庫下載到訂閱內(nèi)容庫，而無需下載軟件。響應(yīng)于用戶在訂閱的內(nèi)容庫處選擇軟件，將可消費(fèi)軟件項(xiàng)從發(fā)布內(nèi)容庫下載到訂閱的內(nèi)容庫。[12]VMwareInc.Systemandmethodforprocessingcommandlineinterfacecommands:US,20170270091A1[P]2016-03-18用于處理基于應(yīng)用程序的命令行界面（CLI）的CLI命令的系統(tǒng)和方法，其包括用于公開CLI命令的使用信息的類似幫助的功能，使用CLI使用信息的數(shù)據(jù)庫來搜索至少部分匹配到?jīng)]有用戶輸入的用戶查詢來調(diào)用CLI命令的類似功能。選擇對(duì)應(yīng)于至少部分匹配的CLI命令中的至少一個(gè)候選CLI命令結(jié)果并將其呈現(xiàn)在用戶界面上以供用戶選擇以執(zhí)行CLI命令。[13]VMwareInc.Validatinginteroperabilityofinstalledcomponentsofacomputersystem:US,20170371649A1[P]2016-06-24用于驗(yàn)證計(jì)算機(jī)系統(tǒng)的已安裝組件的互操作性的計(jì)算機(jī)實(shí)現(xiàn)的方法中，接收識(shí)別計(jì)算機(jī)系統(tǒng)的已安裝組件的站點(diǎn)數(shù)據(jù)和每個(gè)已安裝組件的版本，識(shí)別已安裝組件的至少一個(gè)組件的組件依賴性數(shù)據(jù)接收需要安裝所安裝組件的另一組件的組件，并且接收識(shí)別所安裝組件的版本的組件互操作性數(shù)據(jù)，所述組件可與所安裝組件的另一組件的版本互操作?；诎姹疽蕾囆约嫒菪苑茄h(huán)圖確定所安裝的組件是否可互操作。[14]VMwareInc.Systemandmethodforperformingresourceallocationforahostcomputercluster:US,20160380905A1[P]2015-06-26用于執(zhí)行主計(jì)算機(jī)集群的資源分配的系統(tǒng)和基于資源節(jié)點(diǎn)中的通電客戶端的數(shù)量的方法，使用主計(jì)算機(jī)集群的集群資源分配層級(jí)中的資源節(jié)點(diǎn)的資源分配權(quán)重。[15]VMwareInc.Methodsandapparatustomanageworkloaddomainsinvirtualserverracks:US,20170149931A1[P]2015-11-24管理公開虛擬服務(wù)器機(jī)架中的工作負(fù)載域的方法和裝置。示例裝置包括策略實(shí)施器，用于評(píng)估多個(gè)工作負(fù)載域的容量是否符合針對(duì)多個(gè)工作負(fù)載域的相應(yīng)用戶定義策略的策略容量級(jí)別；資源管理器，當(dāng)?shù)谝还ぷ髫?fù)載域具有第一數(shù)量時(shí)超過第一個(gè)用戶定義策略的第一個(gè)策略容量級(jí)別的資源時(shí)，識(shí)別請(qǐng)求第二數(shù)量資源的第二個(gè)工作負(fù)載域，當(dāng)?shù)诙€(gè)數(shù)量的資源等于第一個(gè)資源數(shù)量時(shí)，分配第一個(gè)數(shù)量的資源從第一工作負(fù)載域到第二工作負(fù)載域以滿足第一個(gè)策略容量級(jí)別，當(dāng)?shù)诙€(gè)資源數(shù)量小于第一個(gè)資源數(shù)量時(shí)，將第二個(gè)數(shù)量的資源從第一個(gè)工作負(fù)載域分配到第二個(gè)工作負(fù)載域，并將剩余資源從第一個(gè)工作負(fù)載域解除分配到共享資源池以滿足第一個(gè)容量策略水平。[16]VMwareInc.Methodsandapparatustotransferphysicalhardwareresourcesbetweenvirtualrackdomainsinavirtualizedserverrack:US,9705974B2[P]2014-07-11在公開虛擬化服務(wù)器機(jī)架中的虛擬機(jī)架域之間傳送物理硬件資源的方法和裝置。示例方法包括使用處理器確定候選主機(jī)的子集，其包括滿足第一閾值的主機(jī)容量，候選主機(jī)屬于第一虛擬機(jī)架域;如果從第一虛擬機(jī)架域移除候選主機(jī)的子集，則確定第一虛擬機(jī)架域是否將滿足第一虛擬機(jī)架域的操作要求;如果從第一虛擬機(jī)架域中移除候選主機(jī)的子集，若第一虛擬機(jī)架域?qū)M足操作要求，將候選主機(jī)的子集從第一虛擬機(jī)架域傳送到第二虛擬機(jī)架域。[17]VMwareInc.Clientdeploymentwithdisasterrecoveryconsiderations:US,20160203060A1[P]2015-01-09用于在具有災(zāi)難恢復(fù)需求目標(biāo)站點(diǎn)處部署客戶端的系統(tǒng)和方法，需要使用多恢復(fù)參數(shù)的恢復(fù)配置文件并使其與要部署的客戶端相關(guān)聯(lián)。與客戶端關(guān)聯(lián)的恢復(fù)配置文件用于使用與恢復(fù)配置文件中定義的恢復(fù)參數(shù)設(shè)置自動(dòng)為客戶端啟動(dòng)與恢復(fù)相關(guān)的操作。[18]VMwareInc.Cross-cloudpolicymanagementforhybridclouddeployments:U