延續上一期的文章,本次將繼續討論第三種SDN方案形式,也就是網路虛擬化SDN方案,又叫Overlay-SDN方案架構,並解釋其使用情境,最後分析這三種不同方案間的最佳使用情境,如何在何種情境下採取最合適的對應方案。
想像一下,如果今天企業決定要建置軟體定義網路,但主要是採取方案一與方案二作為主導,此時針對實體與虛擬環境,由網路2~7層的服務大致會變成這樣建立,如圖2所示。
|
▲圖2 採取方案一與方案二所得到的網路2~7層服務。 |
此時在IT會碰到的核心問題是:資料中心內需要的不同二到七層網路及安全服務,有多個廠商多種方案,沒有辦法用統一集中介面管理,而多個方案間極可能會碰到整合問題,或甚至有些方案無法利用API來進行編程控制。那麼架構難以「集中管理」,「不易由API控制」,這樣還算成功導入SDN嗎?
而如果建置軟體定義網路變成由方案三進行主導,同樣圖2,針對實體與虛擬環境,由網路2~7層的服務提供會變成圖3這樣。
|
▲圖3 採取方案三所得到的網路2~7層服務。 |
其實大部分服務都已經提供,尤其是建立IT自動化、敏捷式開發,或是資源池東西向安全防護等使用情境。但如果客戶現在需要建立新資料中心,首先,第三類廠商根本沒有硬體交換器可以賣給客戶,其二,如果客戶有多台硬體交換器想要集中管理,第三類廠商也做不到。
在現在這個時間點,企業想要用單一軟體定義網路方案,同時滿足實體以及虛擬化環境,還有完整網路及安全2層到7層的服務,是沒有好解法的。但如果將上面的方案進行組合,或許可以在能接受的狀況下,以第三類網路虛擬化SDN方案搭配一二類硬體方案,提供一個完整的虛實整合軟體定義網路,如圖4所示。
|
▲圖4 以第三類網路虛擬化SDN方案搭配一二類硬體方案所提供的虛實整合軟體定義網路。 |
在這個架構下,雖然不是單一方案,但能夠包含到資料中心內虛實的不同資訊環境,同時需求的網路及安全方案也都能被滿足,如圖5所示。
|
▲圖5 以第三類網路虛擬化SDN方案搭配一二類硬體方案所提供的服務。 |
因應不同情境 採用最適方案
以上討論的是一個完整新建雲資料中心的情境。但當然,軟體定義網路的使用情境並非僅有如此,表1將不同的情境可以對應到哪些方案進行整理。
表1 不同情境可對應的方案
純粹建立新資料中心的L2/L3網路底層
明確地,這是硬體SDN方案的強項,客戶僅是要建新資料中心,底層硬體交換器規劃時希望能集中管理,並後續搭配IT自動化及敏捷式開發方案。若是這種情境,企業應該選擇方案一或二來達成。
建立支援虛擬化與新應架構的雲資料中心
如前所述,單純硬體或是網路虛擬化SDN方案,可能都無法完整滿足企業全部的需求,達成虛實整合及完整網路安全服務。此時建議採用方案一加方案三,或是方案二加上方案三的方式搭配,事實上這兩種方式目前在國內國外也都已經有應用案例了。
在現有環境內支援東西向微分段安全架構
客戶資源池內的業務機器需要完整的同網段、同安全區東西向防護,這當然是VMware NSX的強項。用第一類或第二類方案,沒辦法對應業務機器提供防火牆防護。
在現有環境內支援IT自動化
這當然是第三類方案的強項,企業可以在不異動現有Infrastructure的架構下,直接以方案三提供網路二到七層的集中管理和API控制,立即於現有硬體環境內達成網路安全功能的IT自動化支援。
於現有環境內支援敏捷式開發
同上說明,企業可利用第三類方案,在現有資料中心內直接建立敏捷式開發環境。
混合雲/跨雲方案介接
這裡只討論一個問題:混合雲或是跨公有雲的環境內,雲服務提供商會不會給企業幾台硬體交換機,然後剛剛好這台硬體交換器是可以由企業的SDN控制器管理的?不可能吧!所以混合雲、跨雲方案的網路集中管理及保護,肯定是第三種方案的天下。未來,應該很快都會知道VMware發布針對不同的混合雲、公有雲廠商的支援解決方案。
跨中心災備、雙活架構
關於跨中心災備、雙活架構,這要分兩部分談。如果企業現在要建第二個資料中心,考慮把兩個資料中心間網路連通做災備或雙活,這有太多種方法。拉光纖、接DWDM、用L2 over L3的封裝方式都有可能。但因為是全新的,企業將需要採購兩邊的網路設備,此時第一或第二種方案就優勝了。
但如果企業已經有兩個以上資料中心,底層網路也都架好並且頻寬配好了,但希望透過封裝技術把兩個中心的L2網路跨L3實體網路接取呢?
此時,企業通常可能採用「傳統」網路設備上的VXLAN/OTV封裝功能,但也可以利用NSX內的功能,快速地將雙中心間的邏輯網路建立。
結語
連續兩篇投稿,是對於不同類別軟體定義網路方案架構及使用情境所做的整理,希望對大家在考慮SDN方案時能有幫助。筆者這幾年作為NSX的產品技術顧問,深深感覺到許多客戶仍然抱持著非黑即白的想法在進行SDN方案的「評比」,爭論一些支微末節的技術細節。但說實話,大家並沒有想到,到底SDN的使用情境以及「要達成的目的」是什麼?依據情境選擇正確的方案,應該才是專案能否成功的關鍵吧!以上想法,與大家進行分享。
<本文作者:饒康立,VMware資深技術顧問,主要負責VMware NSX產品線,持有VCIX-NV、VCAP-DTD、CCIE、CISSP等證照,目前致力於網路虛擬化、軟體定義網路暨分散式安全防護技術方案的介紹與推廣。>