國(guó)內(nèi)熱鬧非凡的云市場(chǎng)，這邊是公有云步步為營(yíng)，那邊廂私有云攻城略地——在2015年，我國(guó)的政務(wù)云市場(chǎng)達(dá)到47億元的規(guī)模，根據(jù)政務(wù)云發(fā)展資料推測(cè)，預(yù)計(jì)對(duì)應(yīng)私有云市場(chǎng)在2018年會(huì)接近1000億的規(guī)模，到2020年有望達(dá)到5500億元的規(guī)模。

 

來(lái)自《2016年企業(yè)云市場(chǎng)情況調(diào)查報(bào)告》的數(shù)據(jù)，在被調(diào)查的客戶中：44%的客戶正在使用或者計(jì)劃實(shí)現(xiàn)企業(yè)私有云，27%的客戶在評(píng)估企業(yè)私有云，而28%的客戶不考慮企業(yè)私有云；對(duì)待公有云的態(tài)度：37%的客戶正在使用或者計(jì)劃使用公有云，28%的客戶在評(píng)估公有云，而35%的客戶不考慮公有云。很明顯，私有云在企業(yè)中越來(lái)越被推崇，因?yàn)楹芏嗥髽I(yè)還是遵循著不敏感的非核心工作負(fù)載可以考慮放到公有云上，敏感的數(shù)據(jù)和信息放在傳統(tǒng)的本地端或者私有云，由此可以推斷未來(lái)很長(zhǎng)一段時(shí)間，大部分企業(yè)會(huì)維持著私有云為主導(dǎo)的混合云模式。

人們對(duì)云計(jì)算的期望就像用水或者用電一樣按需使用，但是很多企業(yè)客戶往往更多地關(guān)注在私有云中的服務(wù)器/存儲(chǔ)虛擬化技術(shù)，而忽略了網(wǎng)絡(luò)方面的瓶頸。這就好比發(fā)電站功率再?gòu)?qiáng)勁，如果沒(méi)有電網(wǎng)的暢通傳送，用戶也無(wú)法享受到便利。

所以在云計(jì)算，特別是私有云業(yè)務(wù)環(huán)境中，企業(yè)需要靈活、可靠、高效的數(shù)據(jù)網(wǎng)絡(luò)來(lái)承載云計(jì)算業(yè)務(wù)。

 

大部分傳統(tǒng)網(wǎng)絡(luò)廠商由于自身產(chǎn)品已占有市場(chǎng)不少的份額，在SDN領(lǐng)域的推動(dòng)與跟進(jìn)方面缺乏動(dòng)力，戴爾作為以開(kāi)放式、標(biāo)準(zhǔn)化為理念的IT廠商則無(wú)歷史包袱，積極與業(yè)內(nèi)領(lǐng)導(dǎo)的SDN軟件提供商Big Switch合作，推出基于戴爾硬件+Bigswitch軟件的SDN解決方案。

 

BCF(Big Cloud Fabric)是業(yè)界***個(gè)支持開(kāi)放式以太網(wǎng)交換機(jī)的leaf/spine SDN架構(gòu)。BCF控制器使用單一透明的網(wǎng)絡(luò)管理，方便故障排除，可視化和分析整個(gè)物理、虛擬網(wǎng)絡(luò)環(huán)境，給網(wǎng)絡(luò)的靈活性，自動(dòng)化和運(yùn)營(yíng)效率帶來(lái)巨大的改善。除了提供2/3層(交換和路由)服務(wù)之外，BCF還支持通過(guò)插入與鏈合功能提供4-7層服務(wù)。BCF跟RedHat的Openstack平臺(tái)、VMware平臺(tái)深度集成，在Docker容器環(huán)境下也有很好的支持。對(duì)于企業(yè)客戶，戴爾+Bigswitch BCF的SDN解決方案有三大優(yōu)勢(shì)：

1.  統(tǒng)一控制。安裝與配置速度提高從以前的幾天提高到幾個(gè)小時(shí)完成，與虛擬化、云計(jì)算天然集成，應(yīng)用部署從1天提高到30分鐘以內(nèi)；

2.  零接觸。采購(gòu)及運(yùn)維成本降低50%以上，可以做到在15分鐘內(nèi)完成全網(wǎng)更新；

3.  開(kāi)放式、標(biāo)準(zhǔn)化軟硬件平臺(tái)可以實(shí)現(xiàn)隨擴(kuò)展付費(fèi)。

 

在企業(yè)私有云環(huán)境中，這的確是一個(gè)很不錯(cuò)的解決網(wǎng)絡(luò)方案。包括媒體、運(yùn)營(yíng)商、金融等領(lǐng)域都在嘗試將SDN作為IT建設(shè)的亮點(diǎn)。國(guó)內(nèi)某省廣電網(wǎng)絡(luò)集團(tuán)公司在節(jié)目播出平臺(tái)中采用了戴爾開(kāi)放網(wǎng)絡(luò)交換機(jī)+BCF的SDN解決方案，以標(biāo)準(zhǔn)化設(shè)備為平臺(tái)，提供統(tǒng)一可管理網(wǎng)絡(luò)平臺(tái)，滿足該客戶傳統(tǒng)媒體和新興媒體在內(nèi)容、渠道、平臺(tái)、經(jīng)營(yíng)、管理等方面的深度融合要求。

BCF雖然功能強(qiáng)大，但是它支持的是開(kāi)放式以太網(wǎng)交換機(jī)，幾乎100%的企業(yè)客戶都會(huì)有老舊的交換機(jī)，這些交換機(jī)不支持開(kāi)放式網(wǎng)絡(luò)，讓企業(yè)客戶擯棄之前的網(wǎng)絡(luò)設(shè)備，全部采購(gòu)開(kāi)放式以太網(wǎng)交換機(jī)搭建全新的網(wǎng)絡(luò)不太現(xiàn)實(shí)，所以一定要考慮SDN解決方案如何兼容舊式的交換設(shè)備或者傳統(tǒng)的網(wǎng)絡(luò)，網(wǎng)絡(luò)虛擬化可以做到這一點(diǎn)。就如同服務(wù)器虛擬化一樣，網(wǎng)絡(luò)虛擬化技術(shù)可以在現(xiàn)有的物理網(wǎng)絡(luò)之上創(chuàng)建一個(gè)與之解耦的獨(dú)立虛擬網(wǎng)絡(luò)，虛擬網(wǎng)絡(luò)獨(dú)立于底層網(wǎng)絡(luò)硬件平臺(tái)并允許將物理網(wǎng)絡(luò)視為可以按需(例如按使用量和用途)進(jìn)行自動(dòng)服務(wù)的傳輸容量池，實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化后，與服務(wù)器虛擬化Hypervisor類(lèi)似的”網(wǎng)絡(luò)虛擬化管理程序”可以在軟件中重現(xiàn)2到7層的整套網(wǎng)絡(luò)服務(wù)，包括交換、路由、訪問(wèn)控制、防火墻、QoS、負(fù)載均衡等。因此，可以通過(guò)編程方式以任意組合來(lái)組合這些服務(wù)，只需短短數(shù)秒，即可生成***的隔離式虛擬網(wǎng)絡(luò)。VMware NSX就是網(wǎng)絡(luò)虛擬化技術(shù)中的杰出代表。

 

NSX能夠部署在任何IP網(wǎng)絡(luò)上，包括所有的傳統(tǒng)網(wǎng)絡(luò)模型以及任何供應(yīng)商提供的新一代體系結(jié)構(gòu)，無(wú)需對(duì)底層網(wǎng)絡(luò)進(jìn)行重構(gòu)。NSX來(lái)源于VMware對(duì)Nicira的收購(gòu)，Nicira NVP平臺(tái)本身對(duì)多種Hypervisor就有很好地支持，因此，NSX可以部署在VMware vSphere、KVM、Xen等諸多虛擬化環(huán)境中，同時(shí)跟OpenStack也有很好地集成。

 

如上圖所示，NSX主要包含數(shù)據(jù)面板、控制面板和管理面板。

數(shù)據(jù)面板主要組件是NSX虛擬交換機(jī)(vSwitch)。虛擬交換機(jī)基于vSphere中的分布式交換機(jī)(VDS)，或者基于非VMware虛擬環(huán)境中的OVS(Open vSwitch)。通過(guò)將內(nèi)核模塊安裝到Hypervisor之上，實(shí)現(xiàn)VXLAN、分布式路由、分布式防火墻等服務(wù)。數(shù)據(jù)面板還包含邊界網(wǎng)關(guān)設(shè)備(NSX Edge)，作為虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)進(jìn)行通信的網(wǎng)關(guān)。

控制面板主要組件是NSX 控制器。它是以虛機(jī)的形式安裝，并以虛擬服務(wù)的形式與NSX 管理器集成?？梢詫SX 控制器理解為BCF架構(gòu)中的BCF控制器，它只將信令發(fā)布給數(shù)據(jù)面板。

管理面板主要組件是NSX 管理器。它提供Web界面配置和管理整個(gè)NSX網(wǎng)絡(luò)虛擬化環(huán)境中的所有組件。NSX 管理器還提供REST API接口，為VMware或者第三方云管理平臺(tái)提供接口。

這里特別提及一下NSX防火墻微分段技術(shù)。以往的物理傳統(tǒng)防火墻都是架設(shè)在數(shù)據(jù)中心邊界，可以通過(guò)策略設(shè)置有效提升南北流量的安全控制，但是對(duì)于現(xiàn)代數(shù)據(jù)中心，東西流量要遠(yuǎn)遠(yuǎn)大于南北流量，傳統(tǒng)的物料防火墻對(duì)內(nèi)部的東西流量幾乎沒(méi)有任何安全控制。不少的安全廠商提出了虛擬防火墻技術(shù)，但是這種技術(shù)的本質(zhì)是在物理主機(jī)中安裝一臺(tái)虛擬機(jī)來(lái)實(shí)現(xiàn)，這意味著每一臺(tái)物理主機(jī)下屬所有虛機(jī)公用一臺(tái)虛擬防火墻。微分段就是針對(duì)這些舊式的防火墻技術(shù)策略顆粒度太粗而提出的。

 

使用了基于NSX微分段的分布式防火墻之后，可以在每一臺(tái)虛機(jī)之上部署一臺(tái)防火墻，并與虛機(jī)的每臺(tái)虛擬網(wǎng)卡(vNIC)進(jìn)行策略關(guān)聯(lián)，使得每臺(tái)虛機(jī)的流量在出棧和入棧時(shí)都可以得到安全防護(hù)，執(zhí)行就近的允許、拒絕和阻斷策略。微分段技術(shù)將防火墻的顆粒度精細(xì)到每臺(tái)虛機(jī)之上，其策略與虛機(jī)綁定，這就意味著防火墻策略無(wú)需關(guān)心IP地址，可以隨虛機(jī)遷移而遷移，就算在同一個(gè)網(wǎng)段內(nèi)兩臺(tái)虛機(jī)之間也能實(shí)現(xiàn)與IP地址無(wú)關(guān)的安全策略，相比傳統(tǒng)防火墻技術(shù)，基于NSX微分段的分布式防火墻是實(shí)實(shí)在在革命性的技術(shù)突破，提供了2到4層的安全防護(hù)。5-7層的安全防護(hù)可以通過(guò)集成合作伙伴的安全解決方案來(lái)實(shí)現(xiàn)。

 

總之，以NSX方案搭建數(shù)據(jù)中心網(wǎng)絡(luò)的最終效果就是：無(wú)論數(shù)據(jù)中心規(guī)模有多大，無(wú)論有多少物理或者虛擬服務(wù)器，無(wú)論底層的網(wǎng)絡(luò)有多復(fù)雜，無(wú)論多站點(diǎn)數(shù)據(jù)中心跨越多少地域，在NSX方案的幫助下，對(duì)于IT人員或者用戶來(lái)說(shuō)，這些運(yùn)行在多個(gè)站點(diǎn)數(shù)據(jù)中心復(fù)雜網(wǎng)絡(luò)之上成千上萬(wàn)的虛機(jī)，就好像連在同一臺(tái)物理交換機(jī)上一樣！但是等等，NSX是無(wú)法控制物理網(wǎng)絡(luò)交換設(shè)備的，底層物理網(wǎng)絡(luò)的連通性是部署NSX的前提，如果在NSX環(huán)境中要修改物理網(wǎng)絡(luò)交換設(shè)備的配置怎么辦？嘿嘿，讓網(wǎng)絡(luò)管理員自己想辦法吧！

 

小 結(jié)

戴爾硬件+BCF的SDN解決方案能夠快速部署和統(tǒng)一管理開(kāi)放式以太網(wǎng)交換機(jī)，但是無(wú)法管理非開(kāi)放式以太網(wǎng)交換機(jī)；NSX網(wǎng)絡(luò)虛擬化解決方案可以在現(xiàn)有物理網(wǎng)絡(luò)設(shè)備上創(chuàng)建與之解耦的虛擬網(wǎng)絡(luò)，可以按需創(chuàng)建、修改、刪除虛擬網(wǎng)絡(luò)或者與之相關(guān)的組件，可以支持多種Hyperviosr，跟OpenStack有很好的集成，但是無(wú)法管理物理網(wǎng)絡(luò)設(shè)備。

 

中國(guó)的私有云市場(chǎng)非常廣闊，而在企業(yè)的私有云環(huán)境中，戴爾硬件+BCF的SDN解決方案配合NSX網(wǎng)絡(luò)虛擬化解決方案是一個(gè)***的網(wǎng)絡(luò)方案組合，它不僅可以有效的保護(hù)和利用了客戶以往的投資，讓客戶能更好地接受和投資開(kāi)放式網(wǎng)絡(luò)，加快網(wǎng)絡(luò)設(shè)備的部署和應(yīng)用上線，還能統(tǒng)一、靈活、高效的管理網(wǎng)絡(luò)，提供***的安全性，讓網(wǎng)絡(luò)隨著企業(yè)私有云的規(guī)模、隨著業(yè)務(wù)的發(fā)展動(dòng)態(tài)而擴(kuò)展和變更。

 

[[174291]]