學會如何在vRealize Network Insight內搜尋,並判讀虛機及Host資訊後,接下來將說明Network Insight搭配NSX所提供的微分段方案及安全防護,並且整合實體設備來查看詳細的虛實環境路徑。
接下來和大家談vRealize Network Insight內的另一個網路相關亮眼功能:虛實環境網路整合檢視。
虛實環境網路整合檢視
時常在進行網路問題排除前,管理人員要先確認一件事情:整個網路流到底有流經哪些設備與介面?傳統的方法是,透過ping、traceroute、CDP或LLDP,或者搭配圖形化網管工具來確認網路路徑。在實體環境內,這樣的方式能夠運作無礙,但到了虛擬環境內就會出現非常多的問題,比如說:
‧兩個虛機間的網路流直接於同一個Host內的虛擬交換器就交換了,根本沒有到實體設備。
‧網路封包流出vSphere Host時,不確定是走哪一個實體網路介面。
‧網路流無法連接,不確定是被實體防火牆擋掉,還是直接被NSX微分段的防火牆擋掉了。
如果能夠提供一個工具,同時收取到虛擬環境以及實體網路設備的配置,並且能夠很快速簡潔地將虛機間Hop-by-Hop的連結方式快速繪出,相信對大家來說會是一個實用的網路維運方案。
很榮幸地,Network Insight已經具備了上述的功能。隨時在搜尋介面內,只要輸入「show VM XXX to VM YYY」這樣的指令,Network Insight就能動態繪出如圖10所示的可視化連線圖。
 |
| ▲圖10 可視化連線圖。 |
除了漂亮的動畫外,Network Insight實際上告知了在DBAdmin-VM1到Prod-DB-2這兩個虛機之間,網路封包路徑分別依據編號經過了:
‧DBAdmin的內部埠號4000號的虛擬網卡
‧連結到名稱為vlan-629的Port Group
‧由ush-t0-vm-h02-group-net這台vSphere Host的vmnic2實體網卡送出
‧連到10.45.0.253的這台閘道器
‧連到pan-core-vr這台防火牆
‧連到10.254.146.129的這台閘道器
‧由vmnic1實體網卡流入ddc1-podesx002.dm. democompany.net這台vSphere Host
‧連結到名稱為ESX_Edge_Vlan10的Port Group
‧連到Provider Edge 1這台NSX Edge路由器
‧由Corporate-Transit-Network邏輯交換器連到LDR-Corporate這台NSX分散式邏輯路由器
‧再由Prod-DB這個邏輯交換器送至Prod-DB-2的內部埠號4000號的虛擬網卡。同時此Flow也通過了Palo-Alto-Network以及NSX的分散式防火牆。
在圖10內,不僅僅只是用視覺化的方式顯示整個網路流的路徑,同時在每一個節點如果希望馬上搜尋對應的相關資訊,只要直接點擊就會顯示。在圖10中,如果點擊實體vSphere Host內的網卡,這張網卡相關的重要資訊如MAC Address、Interface Speed等等就會直接顯示出來,管理人員不用再去找其他的工具或儀表板查詢這些資訊,如圖11所示。
 |
| ▲圖11 顯示實體vSphere Host內的網卡重要資訊。 |
同時,對於Network Insight所支援、可以接取的網路設備,Network Insight能夠用SSH和SNMP的方式將設定及狀態拉出並能集中顯示。在圖11內的5號實體網路設備,同樣地當直接點擊,此設備的相關資訊也能夠直接展示出來。在圖12內,可以看到這是一台Cisco N7K交換器,而所有相關的路由表資訊也能直接顯示。
 |
| ▲圖12 顯示所點擊設備的相關資訊。 |
或是直接點擊虛機前面的Palo Alto虛擬防火牆,那邊所設定的防火牆規則也可以直接於Network Insight看到,不需要到Panorama裡面查看,如圖13所示。
 |
| ▲圖13 顯示Palo Alto虛擬防火牆相關資訊。 |
筆者個人不會告訴大家Network Insight是定位來進行實體設備監控的方案。基本上,Network Insight的主要用途還是在vSphere/NSX環境內整體的狀態搜尋、虛擬網路流監控、事件檢視等等。但搭配到這些支援的硬體設備,網路與系統管理員確實能夠在同一個介面把網路虛實環境統合進行維運及檢視。
當然,此時大家肯定就希望確認有哪些實體網路及安全廠商是Network Insight目前支援的呢?以寫作此時的vRealize Network Insight 3.3版本為例,有正式支援的廠商與設備如表2所示。
表2 vRealize Network Insight 3.3所支援的廠商與設備列表
結語
希望這連續兩期的文章介紹能讓大家理解對vRealize Network Insight於軟體定義資料中心內的應用方式、使用情境及產品定位。無論是在VMware軟體定義資料中心的維運管理及搜尋、資料中心及VDI環境內搭配NSX微分段進行安全方案規劃、監控及政策配置,以及網路環境內的虛實監控整合,相信Network Insight都是一個必要且值得大家一試的好產品。
<本文作者:饒康立,VMware資深技術顧問,主要負責VMware NSX產品線,持有VCIX-NV、VCAP-DTD、CCIE、CISSP等證照,目前致力於網路虛擬化、軟體定義網路暨分散式安全防護技術方案的介紹與推廣。>