前不久Gartner发布了2020年“数据中心与云网络魔力象限”,可以看到思科一如既往地领跑领导者象限;与之相对应的是常年作为挑战者的华为。而晓冬今天想要分享的VMware则是其中最有远见的数据中心和云网络厂商。
人们谈起VMware的云网络,很大程度上是指它的NSX数据中心(后文称NSX DC)、vRealize Network Insight(后文称vRNI)、SD-WAN by VeloCloud(后文称VeloCloud)、NSX Advanced Load Balancer(原AVI,后文称ALB)以及其他围绕着NSX的家族产品所能提供的解决方案和架构。由于在虚拟化领域得天独厚的生态圈和技术优势,VMware的云网络也可以叫做“虚拟云网络”。
虚拟云网络(后文称VCN)是一个极具内涵的术语。首先,它是一种网络,提供像路由转发这类基本的功能,用于实现端到端的通信;在日益严峻的安全威胁态势下,网络安全自然也是它所包含的重要组成部分。再者,云网络理所应当地拥有“云”的特征,能实现包括平台管理、多租户支持、易于交付与部署等一系列特征。最后,区别于思科、华为这类厂商,VMware的云网络并不受到物理网络设备的硬性捆绑,是一种基于虚拟化技术的纯软件的解决方案(VeloCloud建议采用硬件盒子,提供更为强大的吞吐和性能)。
为了更好地呈现“VMware虚拟云网络”,我们还是从晓冬最常用的演示用例“3-Tier-Application”开始说起。
这是一个典型的应用模型:
1.用户通过访问应用的前端入口,来使用云平台提供的服务;一般来说,会有一个负载均衡器用于处理来访的流量,企业通常会部署网页应用防火墙(后文称WAF)来加固安全。
2.负载均衡器根据定义的一系列策略,如算法、服务器池等将用户请求分发到特定的服务器,同时提供会话保持、TCP复用等常见功能。
3.网页前端借助虚拟云网络,向中间件负载均衡器转发业务处理请求;它的流量可以是公有云-私有云间流量,可以是数据中心本地流量,也可以是SD-WAN流量。
4.同样地,中间件负载均衡器根据策略,将请求分发到特定的服务器。
5.中间件服务器借助虚拟云网络,向数据库后端发起查询请求;这类流量同样存在各种可能的路径。 随着企业数字化转型的不断深入,越来越多的用户已经落实了多活数据中心、混合云等行业领先的解决方案。我们不妨扩展想象一下,上述应用的数据流走向情况:
比如,出于业务快速上线等因素的考量,用户选择将Web前端部署在公有云上,通过自动弹性伸缩来优化成本。借助于数据中心和公有云之间的线路,实现了混合云连接,互联了Web前端与中间件服务器。最后分支机构与数据中心之间的“最后一公里”将实现最终对数据库访问流量的承载,其中当然包括了像带宽优化、冗余链路等基本的需求。因此,用户的一次访问可能蕴含着以下几种最典型的云网互通需求: 1. 公有云和私有云之间的互联;
2. 数据中心自身的网络构建;
3. 分支站点与数据中心之间的互联。
为了解决上述用户的需求,VMware的虚拟云网络是如何来实现的呢?在之前的几篇连载中,晓冬向各位演示了如何采用NSX DC解决方案实现数据中心软件定义网络的需求。在接下来的连续几篇分享中,我们将更多地关注如何采用VeloCloud解决分支站点与数据中心之间互联的问题上。
以下是本期连载的总体拓扑:
- ▪采用NSX DC作为整个演示环境网络承载,充分发挥SDN和NFV功能;
- ▪演示环境分为两个站点,两个站点之间没有任何链路用以实现互通,属于两个“彼此隔绝的孤岛”;VeloCloud将通过Internet构建连接两个站点的SD-WAN网络;其中一个站点将作为Hub角色,另一个站点将作为Spoke角色;
- ▪3-Tier-Application中Web前端(后文称Web)将部署在其中一个站点,借助于ALB实现负载均衡;中间件(后文称App)和数据库后端(后文称DB)将部署在另一个站点,其中中间件的负载均衡用NSX DC实现;Web到App的访问流量将会由VeloCloud设备通过Internet公网进行封装和转发;App到DB的访问流量将会由NSX DC通过传输网络进行Geneve封装和转发。
接下来,晓冬将逐步展开若干个配置和用例演示,方便各位更加深入地了解VMware虚拟云网络。
01x01.VMware SD-WAN by VeloCloud基本概念
☼☼☼☼☼☼☼☼☼☼☼☼与NSX DC相类似,VeloCloud也有相当于管理和控制平面、数据平面的组件。
Orchestrator(后文称VCO)是一个编排器,分别提供面向全局管理员和租户管理员的友好界面,用于进行对SD-WAN环境的集中式管控;
Cloud Gateway(后文称VCG)一般只扮演管控平面的角色,提供像路由更新和分发、带宽测试等功能;在一些情况下,VCG也会参与数据流量的转发,但是更多的时候会由Hub角色代替这个数据平面的功能。
Edge边缘设备(后文称VCE),数据平面的核心组件,处理和转发SD-WAN流量,可以采用虚拟机的方式来部署(更多用于公有云和小型环境)。一般情况下,企业往往选择部署物理Edge设备。通常情况下,在数据中心部署的VCE将作为汇聚各分支站点SD-WAN流量的Hub角色,在分支站点部署的VCE将作为Spoke角色,与Hub之间建立信道,形成一个类似“轮轴”的SD-WAN拓扑。
可以看到,想要实现VeloCloud组网,就需要管理员部署至少一台Orchestrator。接下来,就请跟随晓冬,一起来看看如何在Homelab中部署一台VCO服务器。
01x02.部署一台VCO☼☼☼☼☼☼☼☼☼☼☼☼服务器名:s12-vco-01
IP地址:10.1.0.1/29
DNAT:1.0.0.2:443->10.1.0.1:443
SNAT:10.1.0.1->1.0.0.2
- VCO虚拟机将以OVA方式部署,管理员应当正确地配置VCO虚拟机的IP地址、DNS服务器、操作系统管理员密码等常规系统参数。
- 为了能够实现各站点通过Internet公网实现注册,管理员需要将VCO映射到公网,通过DNAT的方式实现外部用户访问VCO的需求。
由于晓冬这里的环境全部使用NSX DC来承载,可以通过在Tier1网关上配置SNAT和DNAT策略来实现上述需求。
如下图所示,我在VCO虚拟机上联的Tier1网关上,启用了2条NAT策略:
第一条DNAT策略,将所有源地址为ANY的访问https://1.0.0.2(默认TCP443)的请求,映射到10.1.0.1(VCO虚拟机服务器的真实IP地址);第二条SNAT策略,10.1.0.1在与其他服务器通信(包括响应内网、外网请求),将被转换成1.0.0.2 IP地址;后续包括同站点的VCG、VCE在内的设备,向VCO发起注册的时候,全部需要访问1.0.0.2这个公网IP,而并非是10.1.0.1的真实IP。
出于安全性考量,管理员在定义DNAT的时候,可以指定特定的端口,如只映射TCP443端口。
- 采用NSX DC的TraceFlow工具,我们可以清晰地看到:当某个站点的管理员通过Internet访问1.0.0.2的时候,整个的数据流走向;其中最上层“云”指的就是Internet链路。
T0GW-Global(模拟的Internet出口路由器)通过公网IP与T0GW-HQ(模拟的Internet出口路由器)实现相互的通信。
- 在完成上述配置步骤后,就可以通过Internet公网访问SD-WAN编排器VCO的管理页面了。
- 默认的全局操作管理员用户名是super@velocloud.net,密码是vcadm!n;在全局操作管理员访问管理界面后,可以进行第一台VCG设备的注册等后续操作。
在后续的实验中,晓冬将演示VeloCloud的“零接触”部署,为了实现这个功能,就要求管理员在VCO上更新两个参数。
- 点击进入Operator Profile,更新两个“初始化配置文件”,如下图所示;
- 将两个配置文件中的编排器地址,从默认的localhost,修改成公网IP地址;
具体的原因,将会在后续的分享演示中为大家说明。
经过上面的介绍,相信各位对虚拟云网络有了一个初步的概念。在接下来的分享中,我将演示如何向VCO注册VCG、VCE等组件,实现两个站点通过SD-WAN互联,最终再部署ALB等组件实现3-Tier-Application应用服务的对外发布,敬请持续关注~
