NAKIVO > Blog > VMware

NSX-v a NSX-T: kompleksowe porównanie

Updated: 7 maja, 2026

Autor:: Zespół NAKIVO

Wirtualizacja spowodowała rewolucyjne zmiany w sposobie budowania centrów danych. Większość nowoczesnych centrów danych korzysta z wirtualizacji sprzętowej i przeprowadza wdrażanie serwerów fizycznych jako hiperwizorów do uruchamiania maszyn wirtualnych na tych serwerach. Takie podejście zwiększa skalowalność, elastyczność i opłacalność centrum danych. VMware jest jednym z czołowych graczy na rynku wirtualizacji, a jego produkty cieszą się dużym uznaniem w branży IT. Hypervisor VMware ESXi i VMware vCenter są powszechnie znanymi komponentami rozwiązania wirtualizacyjnego VMware vSphere.

Sieć jest kluczowym elementem każdego centrum danych, w tym centrów danych wirtualnych, a jeśli masz wymagania dotyczące rozległych sieci i złożonych konfiguracji sieciowych dla swojego wirtualnego centrum danych, rozważ zastosowanie sieci definiowanej programowo (SDN). Sieci definiowane programowo to architektura, której celem jest zapewnienie sieciom zwinności i elastyczności. Celem SDN jest poprawa kontroli nad siecią poprzez umożliwienie przedsiębiorstwom i dostawcom usług szybkiego reagowania na zmieniające się wymagania biznesowe. Firma VMware dba o swoich klientów i oferuje rozwiązanie VMware NSX do tworzenia sieci definiowanych programowo. Dzisiejszy wpis na blogu dotyczy rozwiązania VMware NSX i omawia różnice między VMware NSX-v a VMware NSX-T.

NAKIVO do tworzenia kopii zapasowej VMware vSphere

NAKIVO do tworzenia kopii zapasowej VMware vSphere

Kompleksowa ochrona danych dla maszyn wirtualnych VMware vSphere oraz opcje natychmiastowego odzyskiwania. Bezpieczne lokalizacje kopii zapasowych na miejscu, zdalnie oraz w chmurze. Funkcje ochrony przed oprogramowaniem wymuszającym okup.

ODKRYJ ROZWIĄZANIE

Czym jest VMware NSX i do czego służy?

VMware NSX to rozwiązanie do wirtualizacji sieci, które umożliwia tworzenie sieci definiowanych programowo w zwirtualizowanych centrach danych. Podobnie jak maszyny wirtualne są oddzielone od fizycznego sprzętu serwerowego, tak sieci wirtualne – w tym przełączniki, porty, routery, zapory sieciowe itp. – są tworzone w przestrzeni wirtualnej. Sieci wirtualne są udostępniane i zarządzane niezależnie od sprzętu bazowego. Maszyny wirtualne są podłączane do wirtualnych portów przełączniki wirtualne; połączenia między sieciami wirtualnymi realizowane są za pomocą wirtualnych routerów, a reguły dostępu konfigurowane są na wirtualnych zaporach sieciowych. Alternatywnie dostępne jest również równoważenie obciążenia sieciowego. VMware NSX jest następcą VMware vCloud Networking & Security (vCNS)oraz Nicira NVP, która została przejęta przez VMware w 2012 roku.

Mikrosegmentacja

W przypadku stosowania tradycyjnego podejścia do konfiguracji dostępu między wieloma sieciami w środowisku wirtualnym zazwyczaj odbywa się wdrażanie fizycznego routera lub bramy brzegowej działającej na maszynie wirtualnej, choć podejście to nie jest szczególnie szybkie ani wygodne. Firma VMware wdrożyła koncepcję mikrosegmentacji w NSX, wykorzystując rozproszoną zaporę ogniową wbudowaną w rdzeń hiperwizora. W tej rozproszonej zaporze ogniowej ustalane są zasady bezpieczeństwa oraz parametry interakcji sieciowej dla adresów IP, adresów MAC, maszyn wirtualnych, aplikacji i innych obiektów. Reguły można konfigurować przy użyciu takich obiektów, jak użytkownicy i grupy Active Directory, jeśli NSX jest wdrażany w firmie, w której używany jest kontroler domeny Active Directory (ADDC). Każdy obiekt można traktować jako mikrosegment w ramach własnego obszaru bezpieczeństwa odpowiedniej sieci, która posiada własną strefę DMZ (strefę zdemilitaryzowaną).

Rozproszona zapora sieciowa umożliwia segmentację elementów wirtualnego centrum danych, takich jak maszyny wirtualne. Segmentacja może opierać się na nazwach i atrybutach maszyn wirtualnych, tożsamości użytkownika, obiektach vCenter, takich jak centra danych i hosty, lub na tradycyjnych atrybutach sieciowych, takich jak adresy IP, grupy portów itp.

Komponent Edge Firewall pomaga spełnić kluczowe wymagania dotyczące bezpieczeństwa obwodowego, takie jak tworzenie stref DMZ w oparciu o konstrukcje IP/VLAN, izolacja między dzierżawcami w wielodzierżawczych wirtualnych centrach danych, translacja adresów sieciowych (NAT), partnerskie (ekstranetowe) sieci VPN oraz oparte na użytkownikach sieci VPN SSL.

A traditional approach for configuring access between network components and a micro-segmentation approach used in VMware NSX.

Jeśli maszyna wirtualna jest migrowana z jednego hosta na drugi — z jednej podsieci do drugiej — reguły dostępu i zasady bezpieczeństwa są dostosowywane zgodnie z nową lokalizacją. Jeśli serwer bazy danych działa na przeniesionej maszynie wirtualnej, reguły zdefiniowane dla tej maszyny w zaporze sieciowej będą nadal obowiązywać po zakończeniu migracji na inny host lub do innej sieci, umożliwiając serwerowi bazy danych dostęp do serwera aplikacji działającego na maszynie wirtualnej, która nie została przeniesiona. Jest to przykład zwiększonej elastyczności i automatyzacji w praktyce przy korzystaniu z VMware NSX. Rozwiązanie NSX może być szczególnie przydatne dla dostawców usług w chmurze oraz w przypadku dużych infrastruktur wirtualnych. VMware oferuje dwa rodzaje platformy sieciowej definiowanej programowo NSX – NSX-v i NSX-T.

NSX dla vSphere (NSX-v) jest ściśle zintegrowany z VMware vSphere i wymaga wdrażania VMware vCenter. VMware NSX-v jest przeznaczony dla środowisk hiperwizora vSphere i został opracowany przed NSX-T.

NSX-T (NSX-Transformers) został zaprojektowany z myślą o różnych platformach wirtualizacyjnych i środowiskach z wieloma hiperwizorami i może być również stosowany w przypadkach użycia, w których NSX-v nie ma zastosowania. Podczas gdy NSX-v obsługuje SDN tylko dla VMware vSphere, NSX-T obsługuje również stos wirtualizacji sieci dla KVM, Docker, Kubernetes i OpenStack, a także natywne obciążenia AWS. VMware NSX-T można wdrożyć bez serwera vCenter Server i jest on dostosowany do heterogenicznych systemów obliczeniowych.

Główne scenariusze wykorzystania NSX-v wymieniono w poniższej tabeli. Tabela jest podzielona na trzy wiersze, z których jeden opisuje kategorię scenariusza. Scenariusze wykorzystania NSX-T są wyróżnione pogrubioną czcionką.

Bezpieczeństwo Automatyzacja Ciągłość działania aplikacji
Mikrosegmentacja Automatyzacja IT Odzyskiwanie awaryjne
Bezpieczeństwo użytkownika końcowego Chmura dla programistów Łączenie wielu centrów danych
DMZ w dowolnym miejscu Infrastruktura wielodostępna Międzychmurowość

Komponenty NSX

Głównymi komponentami VMware NSX są NSX Manager, kontrolery NSX oraz bramy NSX Edge.

NSX Manager to scentralizowany komponent NSX służący do zarządzania sieciami. NSX Manager można wdrożyć jako maszynę wirtualną na jednym z serwerów ESXi zarządzanych przez vCenter (z szablonu OVA). W przypadku korzystania z NSX-v NSX Manager może współpracować tylko z jednym serwerem vCenter, natomiast NSX Manager dla NSX-T można wdrożyć jako maszynę wirtualną ESXi lub KVM i może on współpracować z wieloma serwerami vCenter jednocześnie. NSX Manager dla vSphere opiera się na Photon OS (podobnie jak urządzenie vCenter Server).

NSX-T Manager działa w systemie operacyjnym Ubuntu.

Kontrolery NSX . Kontroler NSX to rozproszony system zarządzania stanem służący do nakładania tuneli transportowych i sterowania sieciami wirtualnymi, który można wdrożyć jako maszynę wirtualną na hiperwizorach ESXi lub KVM. Kontroler NSX steruje wszystkimi przełącznikami logicznymi w sieci i obsługuje informacje o maszynach wirtualnych, hostach, przełącznikach i sieciach VXLAN. Posiadanie trzech węzłów kontrolera zapewnia nadmiarowość danych na wypadek awarii jednego węzła kontrolera NSX.

NSX Edge to usługa bramy, która zapewnia maszynom wirtualnym dostęp do sieci fizycznych i wirtualnych. NSX Edge można zainstalować jako rozproszony router wirtualny lub jako bramę usługową. Dostępne są następujące usługi: dynamiczne routowanie, zapory sieciowe, translacja adresów sieciowych (NAT), protokół dynamicznej konfiguracji hostów (DHCP), wirtualna sieć prywatna (VPN), równoważenie obciążenia oraz wysoka dostępność.

NSX-v vs NSX-T - architecture (a simplified diagram).

Opcje wdrażania

Koncepcja wdrażania jest dość podobna zarówno dla NSX-v, jak i NSX-T. Aby przeprowadzić wdrażanie NSX, należy wykonać następujące kroki:

  • Wdroż NSX Manager jako maszynę wirtualną na hoście ESXi przy użyciu urządzenia wirtualnego. Pamiętaj, aby zarejestrować NSX Manager w vSphere vCenter (dla NSX-v). Jeśli korzystasz z NSX-T, NSX Manager można wdrożyć jako urządzenie wirtualne na hoście KVM, ponieważ VMware NSX-T umożliwia tworzenie klastra menedżerów NSX.
  • Wdrażaj trzy kontrolery NSX i utwórz klaster kontrolerów NSX.
  • Zainstaluj VIBs (moduły jądra) na hostach ESXi, aby włączyć rozproszoną zaporę ogniową, rozproszone routowanie i VXLAN, jeśli korzystasz z NSX-v. Jeśli korzystasz z NSX-T, moduły jądra muszą być również zainstalowane na hiperwizorach KVM.
  • Zainstaluj NSX Edge jako maszynę wirtualną na ESXi (dla NSX-v i NSX-T). Jeśli korzystasz z NSX-T i nie ma możliwości zainstalowania Edge jako maszyny wirtualnej na ESXi, Edge można wdrożyć na serwerze fizycznym. Instalacja Edge jako maszyny wirtualnej na hiperwizorach KVM nie jest obecnie obsługiwana (dla NSX-T v.2.3). Jeśli chcesz wdrożyć Edge na serwerze fizycznym, przed wykonaniem tej czynności sprawdź listę zgodności sprzętu (ważne w przypadku procesorów i kart sieciowych).

Wspólne funkcje NSX

Istnieje szereg funkcji dostępnych dla obu typów NSX.

Wspólne funkcje dla NSX-v i NSX-T to:

  • Wirtualizacja sieci oparta na oprogramowaniu
  • Nakładka sieciowa oparta na oprogramowaniu
  • Rozproszone routowanie
  • Rozproszone zabezpieczenia sieciowe
  • Automatyzacja oparta na interfejsach API
  • Szczegółowe monitorowanie i statystyki

Należy pamiętać, że interfejsy API różnią się w przypadku NSX-v i NSX-T.

Licencjonowanie

Licencjonowanie jest takie samo dla obu typów NSX, zapewniając większą elastyczność i uniwersalność. Na przykład można zamówić licencję na korzystanie z NSX dla vSphere, a jeśli wprowadzisz pewne zmiany w swojej infrastrukturze i będziesz musiał przeprowadzić wdrażanie NSX-T, możesz użyć licencji uzyskanej dla ESXi-v. NSX to NSX — nie ma różnicy pod względem licencji, ponieważ edycje licencyjne są również takie same.

Kapsułkowanie nakładkowe

Kapsułkowanie nakładkowe dla sieci wirtualnych służy do abstrakcji sieci wirtualnych poprzez przenoszenie informacji warstwy 2 przez warstwę 3. Logiczna sieć warstwy 2 jest tworzona na istniejących sieciach warstwy 3 (sieciach IP) w istniejącej infrastrukturze fizycznej. W rezultacie dwie maszyny wirtualne mogą komunikować się ze sobą przez sieć, nawet jeśli ścieżka między nimi musi być routowana. Sieć fizyczna może być nazywana siecią bazową.

VXLAN vs GENEV

NSX-v wykorzystuje protokół enkapsulacji VXLAN, podczas gdy NSX-T wykorzystuje GENEVE który jest bardziej nowoczesnym protokołem.

VXLAN . W przypadku VXLAN stosowana jest enkapsulacja MAC over IP, a zasada działania izolacji sieci różni się od techniki VLAN. Tradycyjna sieć VLAN ma ograniczoną liczbę sieci, która zgodnie ze standardem 802.1q wynosi 4094, a izolacja sieci odbywa się w warstwie 2 sieci fizycznej poprzez dodanie 4 bajtów do nagłówków ramek Ethernet. Maksymalna liczba sieci wirtualnych dla VXLAN wynosi 2^24. W tym przypadku do oznaczenia każdej sieci wirtualnej służy identyfikator sieci VXLAN. Ramki warstwy 2 sieci nakładkowej są enkapsulowane w datagramach UDP przesyłanych przez sieć fizyczną. W tym przypadku numer portu UDP to 4789.

VXLAN is used to encapsulate Ethernet frames of software defined VMware NSX-v networks.

Nagłówek VXLAN składa się z następujących części.

  • 8 bitów jest wykorzystywanych na flagi. Flaga I musi być ustawiona na 1, aby VXLAN Network ID (VNI) był ważny. Pozostałe 7 bitów to pola R, które są zarezerwowane i muszą być ustawione na zero podczas transmisji. Pola R ustawione na zero są ignorowane po odebraniu.
  • VXLAN Network Identifier (VNI) znany również jako VXLAN Segment ID to 24-bitowa wartość służąca do określenia konkretnej sieci nakładkowej wykorzystywanej do komunikacji między maszynami wirtualnymi.
  • Pola zarezerwowane (24-bitowe i 8-bitowe) muszą być ustawione na zero i ignorowane po odebraniu.

Rozmiar nagłówka VXLAN jest stały i wynosi 8 bajtów. W przypadku VXLAN zaleca się stosowanie ramek Jumbo z MTU ustawionym na 1600 bajtów lub więcej.

A VXLAN header that is used for VMware NSX-v overlay encapsulation.

GENEVE. Nagłówek GENEVE wygląda bardzo podobnie do VXLAN i ma następującą strukturę:

  • Zwięzły nagłówek tunelu jest enkapsulowany w protokole UDP over IP.
  • Mały, stały nagłówek tunelu służy do dostarczania informacji kontrolnych, a także zapewnia podstawowy poziom funkcji i interoperacyjności.
  • Dostępne są opcje o zmiennej długości, umożliwiające wdrażanie przyszłych innowacji.

The GENEVE header that is used for VMware NSX-T overlay encapsulation.

Rozmiar nagłówka GENEVE jest zmienny.

NSX-T wykorzystuje GENEVE (GEneric NEtwork Virtualization Encapsulation) jako protokół tunelowania, który zachowuje tradycyjne możliwości odciążania dostępne w kartach sieciowych (NIC) w celu uzyskania najlepszej wydajności. Dodatkowe metadane mogą być dodawane do nagłówków nakładkowych i pozwalają na poprawę różnicowania kontekstowego w celu przetwarzania informacji, takich jak telemetria typu end-to-end, śledzenie danych, szyfrowanie, bezpieczeństwo itp. na warstwie transferu danych. Dodatkowe informacje w metadanych nazywane są TLV (Typ, Długość, Wartość). GENEVE został opracowany przez VMware, Intel, Red Hat i Microsoft. GENEVE opiera się na najlepszych koncepcjach protokołów enkapsulacji VXLAN, STT i NVGRE .

Wartość MTU dla ramek Jumbo musi wynosić co najmniej 1700 bajtów w przypadku stosowania enkapsulacji GENEVE , co wynika z dodatkowego pola metadanych o zmiennej długości dla nagłówków GENEVE (jak pamiętacie, w przypadku VXLAN stosuje się MTU 1600 lub wyższe).

NSX-v i NSX-T nie są kompatybilne ze względu na różnicę w enkapsulacji nakładkowej wyjaśnioną w tej sekcji.

Sieci warstwy 2

Teraz wiesz już, w jaki sposób wirtualne ramki Ethernet warstwy 2 są enkapsulowane w sieciach IP, dlatego nadszedł czas, aby przyjrzeć się wdrażaniu wirtualnych sieci warstwy 2 dla NSX-v i NSX-T.

Węzły transportowe i przełączniki wirtualne

Węzły transportowe i przełączniki wirtualne stanowią komponenty NSX odpowiedzialne za przesyłanie danych.

Węzeł transportowy (TN) to urządzenie zgodne z NSX, uczestniczące w transmisji ruchu i nakładce sieciowej NSX. Węzeł musi zawierać przełącznik hosta, aby mógł pełnić funkcję węzła transportowego. NSX-v ma wymagania, jak to zwykle bywa w vSphere, dotyczące użycia rozproszonego przełącznika wirtualnego vSphere (VDS). Standardowych przełączników wirtualnych nie można używać w NSX-v.

NSX-T zakłada, że konieczne jest wdrażanie rozproszonego przełącznika wirtualnego NSX-T (N-VDS). Open vSwitches (OVS) są używane dla hostów KVM, a przełączniki VMware vSwitch dla hostów ESXi mogą służyć do tego celu.

N-VDS (wirtualny przełącznik rozproszony, znany wcześniej jako hostswitch) to komponent oprogramowania NSX w węźle transportowym, który realizuje transmisję ruchu. N-VDS jest głównym komponentem płaszczyzny danych węzłów transportowych, który przekazuje ruch i posiada co najmniej jeden fizyczny kontroler interfejsu sieciowego (NIC). NSX Switches (N-VDS) różnych węzłów transportowych są niezależne, ale można je grupować, przypisując im te same nazwy w celu scentralizowanego zarządzania.

W hiperwizorach ESXi N-VDS jest implementowany przy użyciu VMware vSphere Distributed Switch poprzez moduł NSX-vSwitch załadowany do jądra hiperwizora. W hiperwizorach KVM hostswitch jest implementowany przez moduł Open-vSwitch (OVS) .

Strefy transportowe są dostępne zarówno dla NSX-v, jak i NSX-T. Strefy transportowe definiują granice dystrybucji sieci logicznych. Każda strefa transportowa jest połączona ze swoim przełącznikiem NSX (N-VDS). Strefy transportowe dla NSX-T nie są powiązane z klastrami.

Ze względu na enkapsulację GENEVE istnieją dwa typy stref transportowych dla VMware NSX-T: Overlay lub VLAN. W przypadku VMware NSX-v strefa transportowa definiuje ograniczenia dystrybucji wyłącznie dla VXLAN.

Tryby replikacji przełączników logicznych

Gdy dwie maszyny wirtualne znajdujące się na różnych hostach komunikują się bezpośrednio, ruch unicastowy jest wymieniany w trybie enkapsulowanym między dwoma adresami IP punktów końcowych przypisanymi do hiperwizorów bez konieczności rozsyłania. Czasami ruch sieciowy warstwy 2 generowany przez maszynę wirtualną musi być rozsyłany podobnie jak ruch warstwy 2 w tradycyjnych sieciach fizycznych, na przykład jeśli nadawca nie zna adresu MAC docelowego interfejsu sieciowego. Oznacza to, że ten sam ruch (rozgłoszeniowy, unicastowy, multicasowy) musi być wysyłany do wszystkich maszyn wirtualnych podłączonych do tego samego przełącznika logicznego. Jeśli maszyny wirtualne znajdują się na różnych hostach, ruch musi być replikowany na te hosty. Ruch rozgłoszeniowy, jednokierunkowy i wielokierunkowy jest również znany jako ruch BUM.

Zobaczmy różnicę między trybami replikacji dla NSX-v i NSX-T.

NSX-v obsługuje tryb jednokierunkowy, tryb wielokierunkowy i tryb hybrydowy.

NSX-T obsługuje tryb jednokierunkowy z dwiema opcjami: Replikacja hierarchiczna dwupoziomowa (zoptymalizowana, taka sama jak w przypadku NSX-v) oraz replikacja typu „Head” (niezoptymalizowana).

Tłumienie ARP ogranicza ilość ruchu rozgłoszeniowego ARP przesyłanego przez sieć i jest dostępne w trybach replikacji ruchu Unicast oraz Hybrid. W ten sposób tłumienie ARP jest dostępne zarówno dla NSX-v, jak i NSX-T.

Gdy maszyna wirtualna VM1 wysyła żądanie ARP w celu poznania adresu MAC maszyny wirtualnej VM2, żądanie ARP jest przechwytywane przez przełącznik logiczny. Jeśli przełącznik posiada już wpis ARP dla docelowego interfejsu sieciowego maszyny wirtualnej VM2, przełącznik wysyła odpowiedź ARP do maszyny wirtualnej VM1. W przeciwnym razie przełącznik wysyła żądanie ARP do kontrolera NSX. Jeśli kontroler NSX zawiera informacje o powiązaniu adresów IP i MAC maszyn wirtualnych, wysyła odpowiedź z tym powiązaniem, a następnie przełącznik logiczny wysyła odpowiedź ARP do maszyny wirtualnej VM1. Jeśli na kontrolerze NSX nie ma wpisu ARP, żądanie ARP jest ponownie rozgłaszane na przełączniku logicznym.

Mostkowanie warstwy 2 w NSX

Mostkowanie warstwy 2 jest przydatne do migracji obciążeń z sieci nakładkowych do sieci VLAN lub do podziału podsieci między obciążeniami fizycznymi i wirtualnymi.

NSX-v: Ta funkcja działa na poziomie jądra hiperwizora, na którym działa maszyna wirtualna sterująca.

NSX-T : W tym celu tworzony jest oddzielny węzeł mostka NSX. Węzły mostka NSX można łączyć w klastry, aby poprawić odporność całego rozwiązania na awarie.

W maszynie wirtualnej sterującej NSX-v redundancję zaimplementowano przy użyciu schematu wysokiej dostępności (HA). Jedna kopia maszyny wirtualnej jest aktywna, podczas gdy druga kopia maszyny wirtualnej pozostaje w trybie gotowości. Jeśli aktywna maszyna wirtualna ulegnie awarii, przełączenie maszyn wirtualnych i załadowanie maszyny wirtualnej z trybu gotowości poprzez uaktywnienie jej może zająć trochę czasu. NSX-T nie ma tej wady, ponieważ zamiast schematu aktywny/rezerwowy dla HA stosowany jest klaster odporny na awarie.

VMware NSX layer 2 bridging

Model routingu

W przypadku korzystania z VMware NSX stosuje się następujące terminy:

Ruch wschód-zachód odnosi się do przesyłania danych w sieci wewnątrz centrum danych. Nazwa ta jest używana dla tego konkretnego typu ruchu, ponieważ poziome linie na diagramach zazwyczaj wskazują ruch w sieci lokalnej (LAN).

Ruch północ-południe odnosi się do ruchu klient-serwer lub ruchu między centrum danych a lokalizacją poza centrum danych (sieci zewnętrzne). Pionowe linie na diagramach zazwyczaj opisują ten rodzaj ruchu sieciowego. Rozproszony router logiczny (DLR) to router wirtualny, który może korzystać ze statycznych tras oraz protokołów routingu dynamicznego, takich jak OSPF, IS-IS czy BGP.

Dzierżawca oznacza klienta lub organizację, która uzyskuje dostęp do izolowanego, bezpiecznego środowiska zapewnianego przez dostawcę usług zarządzanych (MSP). Duża organizacja może korzystać z architektury wielodostępnej, traktując każdy dział jako pojedynczego dzierżawcę. VMware NSX może być szczególnie przydatny do świadczenia usług typu Infrastructure as a Service (IaaS).

Routing w NSX-v

NSX for vSphere wykorzystuje DLR (rozproszony router logiczny) oraz routing scentralizowany. Na każdym hiperwizorze znajduje się moduł jądra routingu, na którym wykonywany jest routing pomiędzy interfejsami logicznymi (LIF) na routerze rozproszonym.

Rozważmy na przykład typowy schemat routingu dla NSX-v, gdy mamy zestaw trzech segmentów: maszyny wirtualne z bazami danych, maszyny wirtualne z serwerami aplikacji oraz maszyny wirtualne z serwerami WWW. Maszyny wirtualne z tych segmentów (niebieskie, zielone i ciemnoniebieskie) są podłączone do rozproszonego routera logicznego (DLR), który z kolei jest połączony z sieciami zewnętrznymi za pośrednictwem bram brzegowych (NSX Edge).

Jeśli pracujesz z wieloma dzierżawcami, możesz skorzystać z wielowarstwowej konstrukcji NSX Edge lub każdy dzierżawca może mieć własny dedykowany router DLR i maszynę wirtualną kontrolera, z których ta ostatnia znajduje się w klastrze brzegowym. Brama NSX Edge łączy izolowane sieci typu stub z sieciami współdzielonymi (uplink), zapewniając wspólne usługi bramy, takie jak DHCP, VPN, NAT, routing dynamiczny i równoważenie obciążenia. Typowe wdrażania NSX Edge obejmują strefę DMZ, ekstranety VPN oraz środowiska chmurowe z wieloma dzierżawcami, w których NSX Edge tworzy wirtualne granice dla każdego dzierżawcy.

Jeśli konieczne jest przesłanie ruchu z maszyny wirtualnej znajdującej się w segmencie A (niebieskim) pierwszego dzierżawcy do segmentu A drugiego dzierżawcy, ruch musi przejść przez bramę NSX Edge. W tym przypadku nie ma routingu rozproszonego, ponieważ ruch musi przejść przez jeden punkt, którym jest wyznaczona brama NSX Edge.

A path of the network traffic in NSX-v.

Można również zapoznać się z zasadą działania na schemacie, na którym komponenty są podzielone na klastry: klaster zarządzania, klaster Edge i klaster obliczeniowy. W tym przykładzie każdy klaster wykorzystuje 2 hosty ESXi. Jeśli dwie maszyny wirtualne działają na tym samym hoście ESXi, ale należą do różnych segmentów sieci, ruch przechodzi przez bramę NSX Edge, która znajduje się na innym hoście ESXi w klastrze Edge. Po przekierowaniu ruch ten musi zostać przesłany z powrotem do hosta ESXi, na którym działają maszyny wirtualne źródłowa i docelowa.

A path of the network traffic from one tenant to another in VMware NSX-v.

W tym przypadku trasa przesyłania ruchu nie jest optymalna. Nie można w pełni wykorzystać zalet routingu rozproszonego w modelu wielodostępnym z bramami Edge, co skutkuje większym opóźnieniem w ruchu sieciowym.

Routing w NSX-T

NSX-T wykorzystuje dwupoziomowy model routingu rozproszonego w celu rozwiązania problemów opisanych powyżej. Zarówno Tier0 jak i Tier1 są tworzone na węzłach transportowych, przy czym ten drugi nie jest konieczny, ale ma na celu poprawę skalowalności.

Ruch jest przesyłany przy użyciu najbardziej optymalnej ścieżki, ponieważ routing jest następnie wykonywany na hiperwizorze ESXi lub KVM, na którym działają maszyny wirtualne. Jedynym przypadkiem użycia stałego punktu routingu jest połączenie z sieciami zewnętrznymi. Na serwerach z hiperwizorami wdrożone są oddzielne węzły brzegowe.

A two-tier routing model used in VMware NSX-T.

Na węzłach brzegowych można włączyć dodatkowe usługi, takie jak BGP, NAT i Edge Firewall, które z kolei można połączyć w klaster w celu poprawy dostępności. Co więcej, NSX-T zapewnia również szybsze wykrywanie awarii. Mówiąc prościej, najlepszym sposobem dystrybucji routingu jest routing wewnątrz infrastruktury wirtualnej.

Adresowanie IP dla sieci wirtualnych

Podczas konfiguracji NSX-v należy opracować plan adresowania IP wewnątrz segmentów NSX. W tym przypadku należy również dodać przełączniki logiczne tranzytowe, które łączą DLR i bramy Edge. Jeśli używasz dużej liczby bram Edge, powinieneś opracować schemat adresowania IP dla segmentów połączonych przez te bramy Edge.

NSX-T nie wymaga jednak tych operacji. Wszystkie segmenty sieciowe między Tier0 a Tier1 uzyskują adresy IP automatycznie. Nie są używane żadne protokoły routingu dynamicznego — zamiast tego stosowane są trasy statyczne, a system automatycznie łączy komponenty, co ułatwia konfigurację; nie trzeba poświęcać dużo czasu na planowanie adresowania IP dla komponentów sieciowych usług (transitowych).

Integracja w zakresie kontroli ruchu

NSX-v oferuje integrację z usługami innych firm, takimi jak programy antywirusowe bez agentów, zaawansowane zapory sieciowe (zapory nowej generacji), systemy wykrywania włamań (IDS), systemy zapobiegania włamaniom (IPS) oraz inne rodzaje usług kontroli ruchu. Integracja z wymienionymi rodzajami kontroli ruchu odbywa się na poziomie jądra hiperwizora przy użyciu chronionej magistrali VMCI (Virtual Machine Communication Interface).

NSX-T nie oferuje obecnie tych funkcji.

Security

Rozproszone zapory sieciowe na poziomie jądra można skonfigurować dla NSX-v i NSX-T, działające na poziomie wirtualnego adaptera maszyny wirtualnej. Opcje zabezpieczeń przełącznika są dostępne dla obu typów NSX, ale opcja Rate-limit Broadcast & Multicast traffic jest dostępna tylko dla NSX-T.

NSX-T pozwala na stosowanie reguł w sposób bardziej szczegółowy, co skutkuje bardziej racjonalnym wykorzystaniem węzłów transportowych. Na przykład można stosować reguły w oparciu o następujące obiekty: przełącznik logiczny, port logiczny, NSGroup. Funkcja ta może służyć do ograniczenia konfiguracji zestawów reguł na przełącznikach logicznych, portach logicznych lub instancjach NSGroup w celu osiągnięcia wyższego poziomu wydajności i optymalizacji. Oprócz obsługi wdrażania wielodostępnego można również zaoszczędzić miejsce w skali i cykle wyszukiwania reguł oraz stosować reguły specyficzne dla dzierżawców (reguły stosowane do obciążeń odpowiedniego dzierżawcy).

Proces tworzenia i stosowania reguł jest dość podobny zarówno w przypadku NSX-v, jak i NSX-T. Różnica polega na tym, że zasady utworzone dla NSX-T są wysyłane do wszystkich kontrolerów, gdzie reguły są konwertowane na adresy IP, podczas gdy w NSX-v zasady są natychmiast przesyłane do vShield Firewall Daemon (VSFWD).

NSX-v vs NSX-T – tabela porównawcza

Teraz, gdy znasz już najciekawsze funkcje VMware NSX, podsumujmy główne funkcje NSX-v i NSX-T omówione w tym wpisie na blogu, a także porównajmy je w tabeli.

NSX-v NSX-T
Ścisła integracja z vSphere Tak Nie
Działa bez vCenter Nie Tak
Wsparcie dla wielu instancji vCenter przez NSX Manager Nie Tak
Zapewnia wirtualną sieć dla następujących platform wirtualizacji VMware vSphere VMware vSphere, KVM, Docker, Kubernetes, OpenStack, natywne obciążenia AWS
Wdrażanie NSX Edge Maszyna wirtualna ESXi Maszyna wirtualna ESXi lub serwer fizyczny
Protokoły enkapsulacji nakładkowej VXLAN GENEVE
Wirtualne przełączniki (N-VDS) używane Przełącznik rozproszony vSphere (VDS) Open vSwitch (OVS) lub VDS
Tryby replikacji przełączników logicznych Unicast, Multicast, Hybrydowy Unicast (dwupoziomowy lub główny)
Tłumienie ARP Tak Tak
Dwupoziomowe routowanie rozproszone Nie Tak
Konfiguracja schematu adresowania IP dla segmentów sieci Ręczna Automatyczna (między Tier 0 a Tier 1)
Integracja w celu kontroli ruchu Tak Nie
Rozproszona zapora sieciowa na poziomie jądra Tak Tak

Wnioski

NSX-v jest optymalnym rozwiązaniem, jeśli korzystasz wyłącznie ze środowiska vSphere, natomiast NSX-T może być wykorzystywane nie tylko w przypadku vSphere, ale również platform wirtualizacyjnych KVM, Docker, Kubernetes i OpenStack w ramach tworzenia sieci wirtualnych. Nie ma jednej odpowiedzi na pytanie, który typ NSX jest lepszy. To, czy należy używać NSX-v, czy NSX-T, zależy od potrzeb użytkownika oraz funkcji oferowanych przez każdy z tych typów NSX.

Polityka licencyjna NSX jest przyjazna dla użytkownika – wystarczy kupić jedną licencję NSX, niezależnie od typu NSX, z którego zamierza się korzystać. Później można zainstalować NSX-T w środowisku NSX-v lub odwrotnie, w zależności od potrzeb, i nadal korzystać z jednej licencji NSX.

Można zbudować własne centrum danych definiowane programowo z VMware, korzystając z rozwiązania NSX. VMware zapewnia funkcje klastrowania w celu zapewnienia ciągłości działania, wysokiej dostępności i odporności na awarie, jednak nie należy wykonywać kopii zapasowych maszyn wirtualnych.

Regularnie wykonywaj kopie zapasowe maszyn wirtualnych produkcyjnych związanych z różnymi projektami oraz maszyn wirtualnych działających jako komponenty VMware vSphere i VMware NSX (takich jak vCenter, NSX Manager, NSX Controller, NSX Edge), aby chronić swoje dane. NAKIVO Backup & Replication może pomóc w wykonywaniu Tworzenie kopii zapasowej VMware w niezawodny i wydajny sposób, nawet jeśli korzystasz z klastrów.

Wypróbuj NAKIVO Backup & Replication

Wypróbuj NAKIVO Backup & Replication

Skorzystaj z bezpłatnej wersji próbnej, aby poznać wszystkie funkcje rozwiązania w zakresie ochrony danych. 15 dni za darmo. Bez żadnych ograniczeń dotyczących funkcji ani pojemności. Nie trzeba podawać danych karty kredytowej.

Wypróbuj za darmo

People also read

Picture
Kompleksowe porównanie typów instancji platformy Microsoft Azure
Picture
Omówienie opcji szyfrowania kopii zapasowej
Picture
Przewodnik po migracji pamięci masowej w Hyper-V