NAKIVO > Blog > VMware

NSX-v so với NSX-T: So sánh toàn diện

Updated: Tháng Năm 26, 2026

Tác giả:: Đội ngũ NAKIVO

Công nghệ ảo hóa đã mang lại những thay đổi mang tính cách mạng trong cách thức xây dựng các trung tâm dữ liệu. Phần lớn các trung tâm dữ liệu hiện đại đều sử dụng ảo hóa phần cứng và triển khai các máy chủ vật lý làm hypervisor để chạy các máy ảo trên các máy chủ đó. Cách tiếp cận này giúp cải thiện khả năng mở rộng, tính linh hoạt và hiệu quả chi phí của trung tâm dữ liệu. VMware là một trong những nhà cung cấp hàng đầu trên thị trường ảo hóa và các sản phẩm của họ được đánh giá cao trong ngành công nghệ thông tin, với VMware ESXi Hypervisor và VMware vCenter là các thành phần nổi tiếng của giải pháp ảo hóa VMware vSphere.

Mạng là thành phần quan trọng của mỗi trung tâm dữ liệu, bao gồm cả trung tâm dữ liệu ảo hóa, và nếu bạn cần các mạng quy mô lớn và cấu hình mạng phức tạp cho trung tâm dữ liệu ảo hóa của mình, hãy xem xét sử dụng mạng định nghĩa bằng phần mềm (SDN). Mạng định nghĩa bằng phần mềm là một kiến trúc nhằm mục đích làm cho mạng trở nên linh hoạt và dễ thích ứng. Mục tiêu của SDN là cải thiện khả năng kiểm soát mạng bằng cách cho phép các doanh nghiệp và nhà cung cấp dịch vụ phản ứng nhanh chóng với các yêu cầu kinh doanh luôn thay đổi. VMware quan tâm đến khách hàng của mình và cung cấp giải pháp VMware NSX để xây dựng các mạng định nghĩa bằng phần mềm. Bài đăng trên blog hôm nay sẽ đề cập đến VMware NSX và tìm hiểu sự khác biệt giữa VMware NSX-v và VMware NSX-T.

NAKIVO cho sao lưu VMware vSphere

NAKIVO cho sao lưu VMware vSphere

Bảo vệ dữ liệu toàn diện cho các máy ảo VMware vSphere và các tùy chọn khôi phục tức thì. Các điểm sao lưu an toàn tại chỗ, ngoài cơ sở và trên đám mây. Các tính năng chống ransomware.

KHÁM PHÁ GIẢI PHÁP

VMware NSX là gì và có thể sử dụng như thế nào?

VMware NSX là một giải pháp ảo hóa mạng cho phép bạn xây dựng các mạng được định nghĩa bằng phần mềm (SDN) trong các trung tâm dữ liệu ảo hóa. Giống như cách các máy ảo (VM) được tách biệt khỏi phần cứng máy chủ vật lý, các mạng ảo bao gồm các thiết bị chuyển mạch, cổng, bộ định tuyến, tường lửa, v.v., cũng được xây dựng trong không gian ảo. Các mạng ảo được cấp phát và quản lý độc lập với phần cứng cơ sở. Các máy ảo được kết nối với các cổng ảo của bộ chuyển mạch ảo; kết nối giữa các mạng ảo được thực hiện thông qua các bộ định tuyến ảo, và các quy tắc truy cập được cấu hình trên các tường lửa ảo. Ngoài ra, cân bằng tải mạng cũng có sẵn. VMware NSX là phiên bản kế thừa của VMware vCloud Networking & Security (vCNS)và Nicira NVP, công ty đã được VMware mua lại vào năm 2012.

Phân đoạn vi mô

Khi sử dụng phương pháp truyền thống để cấu hình truy cập giữa các mạng trong môi trường ảo, thường triển khai một bộ định tuyến vật lý hoặc cổng biên chạy trên máy ảo, tuy nhiên phương pháp này không đặc biệt nhanh chóng hay tiện lợi. VMware đã triển khai khái niệm phân đoạn vi mô trong NSX bằng cách sử dụng tường lửa phân tán được tích hợp vào lõi của hypervisor. Các chính sách bảo mật, thông số tương tác mạng cho địa chỉ IP, địa chỉ MAC, máy ảo, ứng dụng và các đối tượng khác đều được thiết lập trong tường lửa phân tán này. Các quy tắc có thể được cấu hình bằng cách sử dụng các đối tượng như người dùng và nhóm Active Directory nếu NSX được triển khai trong công ty của bạn nơi sử dụng Máy chủ Kiểm soát Đô thị Active Directory (ADDC). Mỗi đối tượng có thể được xem như một phân đoạn vi mô trong vùng bảo mật riêng của mạng tương ứng, có vùng DMZ (vùng phi quân sự) riêng.

Tường lửa phân tán cho phép bạn phân đoạn các thực thể trung tâm dữ liệu ảo như máy ảo. Việc phân đoạn có thể dựa trên tên và thuộc tính của máy ảo, danh tính người dùng, các đối tượng vCenter như trung tâm dữ liệu và máy chủ, hoặc dựa trên các thuộc tính mạng truyền thống như địa chỉ IP, nhóm cổng, v.v.

Thành phần Tường lửa Edge giúp bạn đáp ứng các yêu cầu bảo mật biên quan trọng, chẳng hạn như xây dựng DMZ dựa trên cấu trúc IP/VLAN, cách ly giữa các khách hàng trong trung tâm dữ liệu ảo đa khách hàng, Chuyển đổi Địa chỉ Mạng (NAT), VPN đối tác (extranet) và VPN SSL dựa trên người dùng.

A traditional approach for configuring access between network components and a micro-segmentation approach used in VMware NSX.

Nếu một máy ảo (VM) được di chuyển từ máy chủ này sang máy chủ khác—từ mạng con này sang mạng con khác—các quy tắc truy cập và chính sách bảo mật sẽ được áp dụng theo vị trí mới. Nếu máy chủ cơ sở dữ liệu đang chạy trên một máy ảo (VM) đã được di chuyển, các quy tắc được thiết lập cho máy ảo này trong tường lửa sẽ tiếp tục hoạt động sau khi quá trình di chuyển sang máy chủ hoặc mạng khác hoàn tất, cho phép máy chủ cơ sở dữ liệu truy cập vào máy chủ ứng dụng đang chạy trên máy ảo chưa được di chuyển. Đây là một ví dụ minh họa cho sự linh hoạt và tự động hóa được nâng cao khi sử dụng VMware NSX. NSX đặc biệt hữu ích cho các nhà cung cấp dịch vụ đám mây và các hạ tầng ảo quy mô lớn. VMware cung cấp hai loại nền tảng mạng định nghĩa bằng phần mềm NSX – NSX-v và NSX-T.

NSX cho vSphere (NSX-v) được tích hợp chặt chẽ với VMware vSphere và yêu cầu triển khai VMware vCenter. VMware NSX-v dành riêng cho môi trường hypervisor vSphere và được phát triển trước NSX-T.

NSX-T (NSX-Transformers) được thiết kế cho các nền tảng ảo hóa khác nhau và môi trường đa hypervisor, đồng thời có thể được sử dụng trong các trường hợp NSX-v không áp dụng được. Trong khi NSX-v chỉ hỗ trợ SDN cho VMware vSphere, NSX-T còn hỗ trợ ngăn xếp ảo hóa mạng cho KVM, Docker, Kubernetes và OpenStack cũng như các khối lượng công việc gốc của AWS. VMware NSX-T có thể được triển khai mà không cần vCenter Server và được áp dụng cho các hệ thống tính toán hỗn hợp.

Các kịch bản chính để sử dụng NSX-v được liệt kê trong bảng dưới đây. Bảng được chia thành ba hàng, trong đó một hàng mô tả danh mục kịch bản. Các kịch bản sử dụng NSX-T được đánh dấu bằng phông chữ đậm.

Bảo mật Tự động hóa Đảm bảo tính liên tục của ứng dụng
Phân đoạn vi mô Tự động hóa CNTT Phục hồi thảm họa
Bảo mật người dùng cuối Môi trường phát triển đám mây Tập hợp nhiều trung tâm dữ liệu
DMZ ở bất kỳ đâu Hạ tầng đa người dùng Kết nối đa đám mây

Các thành phần của NSX

Các thành phần chính của VMware NSX bao gồm NSX Manager, các bộ điều khiển NSX và các cổng NSX Edge.

NSX Manager là thành phần trung tâm của NSX được sử dụng để quản lý mạng. NSX Manager có thể được triển khai dưới dạng máy ảo (VM) trên một trong các máy chủ ESXi được quản lý bởi vCenter (từ mẫu OVA). Trong trường hợp sử dụng NSX-v, NSX Manager chỉ có thể hoạt động với một máy chủ vCenter, trong khi NSX Manager cho NSX-T có thể được triển khai dưới dạng máy ảo ESXi hoặc KVM và có thể hoạt động với nhiều máy chủ vCenter cùng lúc. NSX Manager cho vSphere dựa trên Photon OS (tương tự như vCenter Server Appliance).

NSX-T Manager chạy trên hệ điều hành Ubuntu.

Bộ điều khiển NSX . Bộ điều khiển NSX là một hệ thống quản lý trạng thái phân tán được sử dụng để phủ lên các đường hầm truyền tải và điều khiển các mạng ảo, có thể được triển khai dưới dạng máy ảo trên các trình ảo hóa ESXi hoặc KVM. Bộ điều khiển NSX kiểm soát tất cả các bộ chuyển mạch logic trong mạng và xử lý thông tin về các máy ảo (VM), máy chủ, bộ chuyển mạch và VXLAN. Việc có ba nút điều khiển đảm bảo tính dự phòng dữ liệu trong trường hợp một nút điều khiển NSX bị hỏng.

NSX Edge là dịch vụ cổng cung cấp quyền truy cập vào các mạng vật lý và ảo cho các máy ảo (VM). NSX Edge có thể được cài đặt dưới dạng bộ định tuyến ảo phân tán hoặc cổng dịch vụ. Các dịch vụ sau đây có thể được cung cấp: định tuyến động, tường lửa, Chuyển đổi Địa chỉ Mạng (NAT), Giao thức Cấu hình Máy chủ Động (DHCP), Mạng Riêng Ảo (VPN), Cân bằng Tải và Khả năng Sẵn sàng Cao.

NSX-v vs NSX-T - architecture (a simplified diagram).

Tùy chọn Triển khai

Khái niệm triển khai khá tương tự cho cả NSX-v và NSX-T. Bạn nên thực hiện các bước sau để triển khai NSX:

  • Triển khai NSX Manager dưới dạng máy ảo (VM) trên máy chủ ESXi bằng thiết bị ảo. Đảm bảo đăng ký NSX Manager trên vSphere vCenter (đối với NSX-v). Nếu sử dụng NSX-T, NSX Manager có thể được triển khai dưới dạng thiết bị ảo trên máy chủ KVM vì VMware NSX-T cho phép tạo cụm các máy chủ NSX Manager.
  • Triển khai ba bộ điều khiển NSX và tạo cụm bộ điều khiển NSX.
  • Cài đặt VIBs (các mô-đun kernel) trên các máy chủ ESXi để kích hoạt tường lửa phân tán, định tuyến phân tán và VXLAN nếu bạn đang sử dụng NSX-v. Nếu bạn đang sử dụng NSX-T, các mô-đun kernel cũng phải được cài đặt trên các hypervisor KVM.
  • Cài đặt NSX Edge dưới dạng máy ảo trên ESXi (đối với NSX-v và NSX-T). Nếu bạn đang sử dụng NSX-T và không thể cài đặt Edge dưới dạng máy ảo trên ESXi, Edge có thể được triển khai trên máy chủ vật lý. Việc cài đặt Edge dưới dạng máy ảo trên các hypervisor KVM hiện chưa được hỗ trợ (đối với NSX-T v.2.3). Nếu bạn cần triển khai Edge trên máy chủ vật lý, hãy kiểm tra danh sách tương thích phần cứng (quan trọng đối với CPU và NIC) trước khi thực hiện.

Các tính năng chung của NSX

Có một loạt các tính năng có sẵn cho cả hai loại NSX.

Các tính năng chung cho NSX-v và NSX-T là:

  • Ảo hóa mạng dựa trên phần mềm
  • Lớp phủ dựa trên phần mềm
  • Định tuyến phân tán
  • Tường lửa phân tán
  • Tự động hóa dựa trên API
  • Giám sát và thống kê chi tiết

Lưu ý rằng các API của NSX-v và NSX-T là khác nhau.

Cấp phép

Chính sách cấp phép giống nhau cho cả hai loại NSX, mang lại cho bạn sự linh hoạt và tính phổ quát cao hơn. Ví dụ: bạn có thể đặt mua giấy phép để sử dụng NSX cho vSphere, và nếu bạn thực hiện một số thay đổi trong cơ sở hạ tầng của mình và cần triển khai NSX-T, bạn có thể sử dụng giấy phép đã mua cho ESXi-v. NSX là NSX – không có sự khác biệt về mặt cấp phép, vì các phiên bản cấp phép cũng giống nhau.

Đóng gói lớp phủ

Đóng gói lớp phủ cho mạng ảo được sử dụng để trừu tượng hóa mạng ảo bằng cách truyền thông tin lớp 2 qua lớp 3. Một mạng lớp 2 logic được tạo ra trên các mạng lớp 3 hiện có (mạng IP) trên cơ sở hạ tầng vật lý hiện có. Kết quả là, hai máy ảo có thể giao tiếp với nhau qua mạng, ngay cả khi đường dẫn giữa các máy ảo phải được định tuyến. Mạng vật lý có thể được gọi là mạng underlay.

VXLAN vs GENEV

NSX-v sử dụng giao thức đóng gói VXLAN trong khi NSX-T sử dụng GENEVE một giao thức hiện đại hơn.

VXLAN . Giao thức đóng gói MAC qua IP được sử dụng cho VXLAN và nguyên lý hoạt động của việc cách ly mạng khác với kỹ thuật VLAN. VLAN truyền thống có số lượng mạng giới hạn là 4094 theo tiêu chuẩn 802.1q, và việc cách ly mạng được thực hiện ở lớp 2 của mạng vật lý bằng cách thêm 4 byte vào tiêu đề khung Ethernet. Số lượng mạng ảo tối đa cho VXLAN là 2^24. Trong trường hợp này, mã định danh mạng VXLAN được sử dụng để đánh dấu từng mạng ảo. Các khung Lớp 2 của mạng phủ được đóng gói bên trong các gói tin UDP được truyền qua mạng vật lý. Số cổng UDP trong trường hợp này là 4789.

VXLAN is used to encapsulate Ethernet frames of software defined VMware NSX-v networks.

Đầu đề VXLAN bao gồm các phần sau.

  • 8 bit được sử dụng cho các cờ. Cờ I phải được đặt thành 1 để làm cho VXLAN Network ID (VNI) hợp lệ. 7 bit còn lại là các trường R được dành riêng và phải được đặt thành 0 khi truyền. Các trường R được đặt thành 0 sẽ bị bỏ qua khi nhận.
  • VXLAN Network Identifier (VNI) còn được gọi là VXLAN Segment ID là một giá trị 24-bit được sử dụng để xác định mạng lớp phủ riêng lẻ được sử dụng cho việc giao tiếp giữa các máy ảo (VM) với nhau.
  • Các trường dành riêng (24-bit và 8-bit) phải được đặt thành 0 và bị bỏ qua khi nhận.

Kích thước của tiêu đề VXLAN là cố định và bằng 8 byte. Việc sử dụng khung Jumbo với MTU được đặt thành 1600 byte trở lên được khuyến nghị cho VXLAN.

A VXLAN header that is used for VMware NSX-v overlay encapsulation.

GENEVE. Tiêu đề GENEVE trông rất giống VXLAN và có cấu trúc như sau:

  • Một tiêu đề đường hầm gọn nhẹ được đóng gói trong UDP qua IP.
  • Một tiêu đề đường hầm cố định nhỏ được sử dụng để cung cấp thông tin điều khiển, cũng như mức độ chức năng và khả năng tương tác cơ bản.
  • Các tùy chọn độ dài biến đổi có sẵn để hỗ trợ việc triển khai các cải tiến trong tương lai.

The GENEVE header that is used for VMware NSX-T overlay encapsulation.

Kích thước của GENEVE tiêu đề là biến đổi.

NSX-T sử dụng GENEVE (GEneric NEtwork Virtualization Encapsulation) như một giao thức đường hầm giúp duy trì các khả năng offload truyền thống có sẵn trên NIC (Bộ điều khiển giao diện mạng) để đạt hiệu suất tốt nhất. Có thể thêm metadata bổ sung vào các tiêu đề lớp phủ để cải thiện việc phân biệt ngữ cảnh khi xử lý thông tin như telemetry đầu cuối, theo dõi dữ liệu, mã hóa, bảo mật, v.v. trên lớp truyền dữ liệu. Thông tin bổ sung trong metadata được gọi là TLV (Loại, Độ dài, Giá trị). GENEVE được phát triển bởi VMware, Intel, Red Hat và Microsoft. GENEVE dựa trên các khái niệm tốt nhất của các giao thức đóng gói VXLAN, STTNVGRE .

Giá trị MTU cho khung Jumbo phải ít nhất là 1700 byte khi sử dụng phương thức đóng gói GENEVE do trường metadata có độ dài biến đổi trong tiêu đề GENEVE (MTU 1600 hoặc cao hơn được sử dụng cho VXLAN như bạn đã biết).

NSX-v và NSX-T không tương thích do sự khác biệt về phương thức đóng gói lớp phủ được giải thích trong phần này.

Mạng Lớp 2

Bây giờ bạn đã biết cách các khung Ethernet lớp 2 ảo được đóng gói trên mạng IP, do đó, đã đến lúc khám phá việc triển khai mạng lớp 2 ảo cho NSX-v và NSX-T.

Các nút vận chuyển và bộ chuyển mạch ảo

Các nút vận chuyển và bộ chuyển mạch ảo đại diện cho các thành phần truyền dữ liệu của NSX.

Nút vận chuyển (TN) là thiết bị tương thích với NSX tham gia vào việc truyền tải lưu lượng và mạng overlay của NSX. Một nút phải chứa một hostswitch để có thể hoạt động như một nút truyền tải. NSX-v yêu cầu phải sử dụng bộ chuyển mạch ảo phân tán vSphere (VDS) như thông thường trong vSphere. Không thể sử dụng các bộ chuyển mạch ảo tiêu chuẩn cho NSX-v.

NSX-T giả định rằng bạn cần triển khai một bộ chuyển mạch ảo phân tán NSX-T (N-VDS). Open vSwitches (OVS) được sử dụng cho các máy chủ KVM và các bộ chuyển mạch ảo VMware được sử dụng cho các máy chủ ESXi có thể được sử dụng cho mục đích này.

N-VDS (bộ chuyển mạch ảo phân tán trước đây được gọi là hostswitch) là một thành phần phần mềm NSX trên nút truyền tải, thực hiện việc truyền tải lưu lượng. N-VDS là thành phần chính của mặt phẳng dữ liệu của các nút truyền tải, có chức năng chuyển tiếp lưu lượng và sở hữu ít nhất một bộ điều khiển giao diện mạng vật lý (NIC). NSX Switches (N-VDS) của các nút truyền tải khác nhau là độc lập nhưng có thể được nhóm lại bằng cách gán cùng một tên để quản lý tập trung.

Trên các hypervisor ESXi, N-VDS được triển khai bằng cách sử dụng VMware vSphere Distributed Switch thông qua mô-đun NSX-vSwitch được tải vào nhân của hypervisor. Trên các hypervisor KVM, hostswitch được triển khai bởi mô-đun Open-vSwitch (OVS) .

Các vùng vận chuyển có sẵn cho cả NSX-v và NSX-T. Các vùng vận chuyển xác định giới hạn phân phối của các mạng logic. Mỗi vùng vận chuyển được liên kết với bộ chuyển mạch NSX (N-VDS) của nó. Các vùng truyền tải cho NSX-T không được liên kết với các cụm.

Có hai loại vùng vận chuyển cho VMware NSX-T do sử dụng đóng gói GENEVE: Overlay hoặc VLAN. Đối với VMware NSX-v, vùng vận chuyển chỉ xác định giới hạn phân phối của VXLAN.

Chế độ sao chép bộ chuyển mạch logic

Khi hai máy ảo nằm trên các máy chủ khác nhau giao tiếp trực tiếp, lưu lượng unicast được trao đổi ở chế độ đóng gói giữa hai địa chỉ IP đầu cuối được gán cho các hypervisor mà không cần phải lan truyền. Đôi khi, lưu lượng mạng lớp 2 do một VM tạo ra phải được phát tán tương tự như lưu lượng lớp 2 trong các mạng vật lý truyền thống, ví dụ như khi người gửi không biết địa chỉ MAC của giao diện mạng đích. Điều này có nghĩa là cùng một lưu lượng (phát sóng, unicast, multicast) phải được gửi đến tất cả các VM kết nối với cùng một bộ chuyển mạch logic. Nếu các VM nằm trên các máy chủ khác nhau, lưu lượng phải được nhân bản sang các máy chủ đó. Lưu lượng phát sóng, đơn hướng và đa hướng còn được gọi là lưu lượng BUM.

Hãy xem sự khác biệt giữa các chế độ nhân bản cho NSX-v và NSX-T.

NSX-v hỗ trợ chế độ Unicast, chế độ Multicast và chế độ Hybrid.

NSX-T hỗ trợ chế độ Unicast với hai tùy chọn: Sao chép theo cấu trúc hai tầng (đã được tối ưu hóa, tương tự như đối với NSX-v) và sao chép đầu (chưa được tối ưu hóa).

Chức năng ức chế ARP giúp giảm lượng lưu lượng phát sóng ARP được truyền qua mạng và có sẵn cho các chế độ sao chép lưu lượng Unicast và Hybrid. Do đó, tính năng Ức chế ARP có sẵn cho cả NSX-v và NSX-T.

Khi một VM1 gửi yêu cầu ARP để biết địa chỉ MAC của VM2, yêu cầu ARP này sẽ bị bộ chuyển mạch logic chặn lại. Nếu bộ chuyển mạch đã có mục ARP cho giao diện mạng đích của VM2, bộ chuyển mạch sẽ gửi phản hồi ARP đến VM1. Nếu không, bộ chuyển mạch sẽ gửi yêu cầu ARP đến bộ điều khiển NSX. Nếu bộ điều khiển NSX chứa thông tin về mối liên kết IP-MAC của VM, bộ điều khiển sẽ gửi phản hồi kèm theo mối liên kết đó, sau đó bộ chuyển mạch logic sẽ gửi phản hồi ARP đến VM1. Nếu không có mục ARP trên bộ điều khiển NSX, yêu cầu ARP sẽ được phát lại trên bộ chuyển mạch logic.

Cầu nối lớp 2 của NSX

Cầu nối lớp 2 hữu ích cho việc di chuyển tải công việc từ mạng overlay sang VLAN, hoặc chia tách các mạng con giữa các tải công việc vật lý và ảo.

NSX-v: Tính năng này hoạt động ở cấp độ nhân của hypervisor nơi máy ảo điều khiển đang chạy.

NSX-T : Một nút cầu nối NSX riêng biệt được tạo ra cho mục đích này. Các nút cầu nối NSX có thể được ghép thành cụm để cải thiện khả năng chịu lỗi của toàn bộ giải pháp.

Trong máy ảo điều khiển NSX-v, tính dự phòng được thực hiện bằng cách sử dụng cơ chế Tính sẵn sàng cao (HA). Một bản sao máy ảo đang hoạt động trong khi bản sao máy ảo thứ hai ở chế độ chờ. Nếu máy ảo đang hoạt động bị lỗi, có thể mất một chút thời gian để chuyển đổi máy ảo và tải máy ảo chờ bằng cách kích hoạt nó. NSX-T không gặp nhược điểm này, vì nó sử dụng cụm chịu lỗi thay vì phương án hoạt động/chờ sẵn cho HA.

VMware NSX layer 2 bridging

Mô hình định tuyến

Trong trường hợp sử dụng VMware NSX, các thuật ngữ sau được sử dụng:

Lưu lượng đông-tây đề cập đến việc truyền dữ liệu qua mạng bên trong trung tâm dữ liệu. Tên gọi này được sử dụng cho loại lưu lượng này vì các đường ngang trên sơ đồ thường biểu thị lưu lượng mạng cục bộ (LAN).

Lưu lượng Bắc-Nam đề cập đến lưu lượng máy khách-máy chủ hoặc lưu lượng di chuyển giữa trung tâm dữ liệu và một vị trí bên ngoài trung tâm dữ liệu (mạng bên ngoài). Các đường thẳng đứng trên sơ đồ thường mô tả loại lưu lượng mạng này. Bộ định tuyến logic phân tán (DLR) là một bộ định tuyến ảo có thể sử dụng các tuyến tĩnh và các giao thức định tuyến động như OSPF, IS-IS hoặc BGP.

Khách hàng thuê (Tenant) là một khách hàng hoặc tổ chức được cấp quyền truy cập vào một môi trường an toàn, được cách ly do nhà cung cấp dịch vụ quản lý (MSP) cung cấp. Một tổ chức lớn có thể sử dụng kiến trúc đa khách hàng bằng cách xem mỗi bộ phận như một khách hàng riêng biệt. VMware NSX có thể đặc biệt hữu ích trong việc cung cấp Dịch vụ Hạ tầng (IaaS).

Định tuyến trong NSX-v

NSX cho vSphere sử dụng DLR (bộ định tuyến logic phân tán) và định tuyến tập trung. Trên mỗi hypervisor đều có mô-đun nhân định tuyến để thực hiện định tuyến giữa các giao diện logic (LIF) trên bộ định tuyến phân tán.

Hãy xem xét, ví dụ, sơ đồ định tuyến điển hình cho NSX-v, khi bạn có một tập hợp ba phân đoạn: các máy ảo (VM) chạy cơ sở dữ liệu, các VM chạy máy chủ ứng dụng và các VM chạy máy chủ web. Các VM của các phân đoạn này (xanh da trời, xanh lá cây và xanh đậm) được kết nối với một bộ định tuyến logic phân tán (DLR), bộ định tuyến này lại được kết nối với các mạng bên ngoài thông qua các cổng biên (NSX Edge).

Nếu bạn làm việc với nhiều khách hàng, bạn có thể sử dụng cấu trúc NSX Edge nhiều tầng, hoặc mỗi khách hàng có thể có DLR và máy ảo điều khiển riêng, trong đó máy ảo điều khiển nằm trên cụm biên. Cổng NSX Edge kết nối các mạng bị cô lập, mạng stub với các mạng chia sẻ (uplink) bằng cách cung cấp các dịch vụ cổng chung như DHCP, VPN, NAT, định tuyến động và cân bằng tải. Các triển khai phổ biến của NSX Edge bao gồm trong DMZ, mạng VPN ngoại vi và môi trường đám mây đa khách hàng, nơi NSX Edge tạo ra các ranh giới ảo cho từng khách hàng.

Nếu bạn cần truyền lưu lượng từ một máy ảo nằm trong segment A (màu xanh) của khách hàng đầu tiên đến segment A của khách hàng thứ hai, lưu lượng phải đi qua cổng NSX Edge. Trong trường hợp này, không có định tuyến phân tán, vì lưu lượng phải đi qua điểm duy nhất là cổng NSX Edge được chỉ định.

A path of the network traffic in NSX-v.

Bạn cũng có thể xem nguyên lý hoạt động trên sơ đồ phân chia các thành phần thành các cụm: Cụm quản lý, Cụm Edge và Cụm tính toán. Trong ví dụ này, mỗi cụm sử dụng 2 máy chủ ESXi. Nếu hai máy ảo đang chạy trên cùng một máy chủ ESXi nhưng thuộc các phân đoạn mạng khác nhau, lưu lượng sẽ đi qua cổng NSX Edge nằm trên một máy chủ ESXi khác của cụm Edge. Sau khi định tuyến, lưu lượng này phải được truyền trở lại máy chủ ESXi nơi các máy ảo nguồn và đích đang chạy.

A path of the network traffic from one tenant to another in VMware NSX-v.

Trong trường hợp này, lộ trình truyền tải lưu lượng không tối ưu. Các lợi ích của định tuyến phân tán trong mô hình đa người dùng với các cổng Edge không thể được tận dụng, dẫn đến độ trễ cao hơn cho lưu lượng mạng của bạn.

Định tuyến trong NSX-T

NSX-T sử dụng mô hình định tuyến phân tán hai tầng để giải quyết các vấn đề được giải thích ở trên. Cả Tier0Tier1 đều được tạo trên các nút Transport, trong đó nút sau không bắt buộc nhưng được thiết kế để cải thiện khả năng mở rộng.

Lưu lượng được truyền qua đường dẫn tối ưu nhất, vì quá trình định tuyến sau đó được thực hiện trên hypervisor ESXi hoặc KVM nơi các máy ảo đang chạy. Trường hợp duy nhất phải sử dụng điểm định tuyến cố định là khi kết nối với mạng bên ngoài. Có các nút Edge riêng biệt được triển khai trên các máy chủ chạy hypervisor.

A two-tier routing model used in VMware NSX-T.

Các dịch vụ bổ sung như BGP, NAT và Tường lửa Edge có thể được kích hoạt trên các nút Edge, sau đó có thể được kết hợp thành một cụm để cải thiện tính sẵn sàng. Hơn nữa, NSX-T còn cung cấp khả năng phát hiện sự cố nhanh hơn. Nói một cách đơn giản, phương pháp tốt nhất để phân phối định tuyến là định tuyến bên trong cơ sở hạ tầng ảo hóa.

Định địa chỉ IP cho mạng ảo

Khi cấu hình NSX-v , bạn cần lập kế hoạch định địa chỉ IP bên trong các phân đoạn NSX. Các bộ chuyển mạch logic trung gian kết nối DLRs và cổng Edge cũng phải được thêm vào trong trường hợp này. Nếu bạn sử dụng số lượng lớn cổng Edge, bạn nên lập kế hoạch định địa chỉ IP cho các phân đoạn được kết nối bởi các cổng Edge này.

NSX-T , tuy nhiên, không yêu cầu các thao tác này. Tất cả các phân đoạn mạng giữa Tier0Tier1 đều nhận địa chỉ IP tự động. Không sử dụng các giao thức định tuyến động—thay vào đó, các đường dẫn tĩnh được sử dụng và hệ thống tự động kết nối các thành phần, giúp việc cấu hình trở nên dễ dàng hơn; bạn không cần phải dành nhiều thời gian để lập kế hoạch địa chỉ IP cho các thành phần mạng dịch vụ (transit).

Tích hợp để kiểm tra lưu lượng

NSX-v cung cấp khả năng tích hợp với các dịch vụ của bên thứ ba như phần mềm chống vi-rút không cần trình điều khiển, tường lửa nâng cao (tường lửa thế hệ mới), IDS (Hệ thống phát hiện xâm nhập), IPS (Hệ thống ngăn chặn xâm nhập) và các loại dịch vụ kiểm tra lưu lượng khác. Việc tích hợp với các loại kiểm tra lưu lượng được liệt kê được thực hiện ở lớp nhân hypervisor bằng cách sử dụng bus VMCI (Giao diện Giao tiếp Máy ảo) được bảo vệ.

NSX-T hiện tại chưa cung cấp các tính năng này.

Bảo mật

Tường lửa phân tán cấp nhân có thể được cấu hình cho NSX-v và NSX-T, hoạt động ở cấp độ bộ điều hợp ảo của máy ảo. Các tùy chọn bảo mật chuyển mạch có sẵn cho cả hai loại NSX, nhưng tùy chọn Rate-limit Broadcast & Multicast traffic chỉ có sẵn cho NSX-T.

NSX-T cho phép bạn áp dụng các quy tắc một cách chi tiết hơn, dẫn đến việc các nút truyền tải được sử dụng hợp lý hơn. Ví dụ, bạn có thể áp dụng quy tắc dựa trên các đối tượng sau: bộ chuyển mạch logic, cổng logic, NSGroup. Tính năng này có thể được sử dụng để giảm cấu hình bộ quy tắc trên các thực thể bộ chuyển mạch logic, cổng logic hoặc NSGroup nhằm đạt được mức độ hiệu quả và tối ưu hóa cao hơn. Bạn cũng có thể tiết kiệm không gian lưu trữ và chu kỳ tra cứu quy tắc, đồng thời hỗ trợ triển khai đa người dùng (multi-tenancy) và áp dụng các quy tắc cụ thể cho từng người dùng (các quy tắc được áp dụng cho các tải công việc của người dùng tương ứng).

Quy trình tạo và áp dụng quy tắc khá tương tự giữa NSX-v và NSX-T. Điểm khác biệt là các chính sách được tạo cho NSX-T được gửi đến tất cả các bộ điều khiển (Controllers), nơi các quy tắc được chuyển đổi thành địa chỉ IP, trong khi ở NSX-v, các chính sách được chuyển trực tiếp đến vShield Firewall Daemon (VSFWD).

NSX-v vs NSX-T – Bảng so sánh

Giờ đây, khi bạn đã làm quen với các tính năng thú vị nhất của VMware NSX, hãy cùng tóm tắt các tính năng chính của NSX-v và NSX-T đã được khám phá trong bài viết này, đồng thời so sánh chúng trong bảng.

NSX-v NSX-T
Tích hợp chặt chẽ với vSphere Không
Hoạt động mà không cần vCenter Không
Hỗ trợ nhiều phiên bản vCenter thông qua NSX Manager Không
Cung cấp mạng ảo cho các nền tảng ảo hóa sau VMware vSphere VMware vSphere, KVM, Docker, Kubernetes, OpenStack, các khối lượng công việc gốc của AWS
Triển khai NSX Edge Máy ảo ESXi Máy ảo ESXi hoặc máy chủ vật lý
Các giao thức đóng gói lớp phủ VXLAN GENEVE
Các bộ chuyển mạch ảo (N-VDS) được sử dụng vSphere Distributed Switch (VDS) Open vSwitch (OVS) hoặc VDS
Các chế độ sao chép công tắc logic Unicast, Multicast, Hybrid Unicast (Hai tầng hoặc Đầu)
Chặn ARP
Định tuyến phân tán hai tầng Không
Cấu hình sơ đồ địa chỉ IP cho các phân đoạn mạng Thủ công Tự động (giữa Tier 0Tier 1)
Tích hợp để kiểm tra lưu lượng Không
Tường lửa phân tán cấp nhân hệ điều hành

Kết luận

NSX-v là giải pháp tối ưu nhất nếu bạn chỉ sử dụng môi trường vSphere, trong khi NSX-T có thể được sử dụng không chỉ cho vSphere mà còn cho các nền tảng ảo hóa KVM, Docker, Kubernetes và OpenStack trong khuôn khổ xây dựng mạng ảo. Không có câu trả lời duy nhất về loại NSX nào tốt hơn. Việc bạn nên sử dụng NSX-v hay NSX-T phụ thuộc vào nhu cầu của bạn và các tính năng mà mỗi loại NSX cung cấp.

Chính sách cấp phép NSX rất thân thiện với người dùng – bạn chỉ cần mua một giấy phép NSX, bất kể loại NSX nào bạn định sử dụng. Sau này, bạn có thể cài đặt NSX-T trong môi trường NSX-v hoặc ngược lại, tùy thuộc vào nhu cầu của bạn, và tiếp tục sử dụng giấy phép NSX duy nhất của mình.

Bạn có thể xây dựng trung tâm dữ liệu định nghĩa bằng phần mềm (SDDC) của riêng mình với VMware bằng cách sử dụng giải pháp NSX. VMware cung cấp cho bạn các đặc trưng phân cụm để đảm bảo tính liên tục của hoạt động, tính sẵn sàng cao và khả năng chịu lỗi, tuy nhiên việc sao lưu VM sẽ không phải là biện pháp dư thừa.

Hãy sao lưu thường xuyên các máy ảo sản xuất liên quan đến các dự án khác nhau và các máy ảo chạy như các thành phần của VMware vSphere và VMware NSX (chẳng hạn như vCenter, NSX Manager, NSX Controller, NSX Edge) để bảo vệ dữ liệu của bạn. NAKIVO Backup & Replication có thể giúp bạn tạo Sao lưu VMware một cách đáng tin cậy và hiệu quả ngay cả khi bạn đang sử dụng các cụm.

Hãy thử NAKIVO Backup & Replication

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. Dùng thử miễn phí trong 15 ngày. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí

People also read

Picture
Cách tạo ổ cứng có dung lượng cố định cho máy ảo Hyper-V
Picture
Cách cài đặt Kali Linux trên máy ảo VMware
Picture
Thiết bị NAS của Synology: Nên chọn loại nào?