NSX-v 與 NSX-T：全面比較

虛擬化技術徹底改變了資料中心的建置方式。當今多數資料中心皆採用硬體虛擬化技術,並將實體伺服器作為虛擬化平台,在這些伺服器上運行虛擬機器。此種做法有效提升了資料中心的可擴展性、靈活性與成本效益。 VMware 是虛擬化市場的領軍企業之一,其產品在 IT 產業備受推崇,其中 VMware ESXi 虛擬化平台與 VMware vCenter 更是 VMware vSphere 虛擬化解決方案中廣為人知的核心元件。

網路是每個資料中心(包括虛擬化資料中心)的關鍵組成部分,若您的虛擬化資料中心有大規模網路及複雜的網路配置需求,建議考慮採用軟體定義網路(SDN)。 軟體定義網路是一種旨在提升網路敏捷性與靈活性的架構。SDN 的目標是透過讓企業與服務供應商能快速回應不斷變化的業務需求,從而改善網路控制能力。VMware 重視客戶需求,並提供 VMware NSX 解決方案以建構軟體定義網路。今天的部落格文章將介紹 VMware NSX,並探討 VMware NSX-v 與 VMware NSX-T 之間的差異。

NAKIVO for VMware vSphere 備份

為 VMware vSphere 虛擬機器提供全面資料保護及快速還原選項。支援本地、異地及雲端的備份目標。具備防勒索軟體功能。

探索解決方案

什麼是 VMware NSX？它有哪些用途？

VMware NSX 是一套網路虛擬化解決方案,可讓您在虛擬化資料中心中建置軟體定義網路。正如虛擬機器(VM)從實體伺服器硬體中抽象化出來一樣,包含交換器、埠、路由器、防火牆等組件的虛擬網路,亦建構於虛擬空間中。虛擬網路的配置與管理皆獨立於底層硬體。虛擬機器會連接到 虛擬交換器; 虛擬網路之間的連線是透過虛擬路由器來實現,而存取規則則配置在虛擬防火牆上。此外,亦可使用網路負載平衡功能。VMware NSX 是 VMware vCloud Networking & Security (vCNS),以及於 2012 年被 VMware 收購的 Nicira NVP。

微分段

在虛擬環境中採用傳統方法配置多個網路之間的存取時,通常會部署實體路由器或運行於虛擬機器上的邊緣閘道,但這種方法既不特別快速,也不夠便利。VMware 透過內建於超管理程式核心的分散式防火牆,在 NSX 中實現了微分段的概念。安全政策,以及針對 IP 位址、MAC 位址、虛擬機器、應用程式和其他物件的網路互動參數,皆設定於此分散式防火牆中。 若 NSX 部署於貴公司內部且使用 Active Directory 網域控制器 (ADDC),則可透過 Active Directory 使用者與群組等物件來設定規則。每個物件皆可視為其所屬網路安全邊界內的微分段,該網路擁有專屬的 DMZ(非軍事區)。

分散式防火牆讓您能夠對虛擬資料中心實體(例如虛擬機器)進行區段分割。區段分割可基於虛擬機器名稱與屬性、使用者身分、vCenter 物件(如資料中心與主機),或基於傳統網路屬性(如 IP 位址、連接埠群組等)。

Edge 防火牆元件可協助您滿足關鍵的邊界安全需求,例如基於 IP/VLAN 架構建立 DMZ、在多租戶虛擬資料中心中實現租戶間隔離、網路位址轉換 (NAT)、合作夥伴 (外部網路) VPN,以及基於使用者的 SSL VPN。

若將虛擬機器從一個主機遷移至另一個主機(即從一個子網遷移至另一個子網),系統會根據新位置自動套用相應的存取規則與安全政策。若遷移後的虛擬機器上運行著資料庫伺服器,防火牆中為該虛擬機器設定的規則,在遷移至另一台主機或網路後仍會持續生效,使資料庫伺服器能夠存取運行於未遷移虛擬機器上的應用程式伺服器。 這正是使用 VMware NSX 時,靈活性與自動化能力提升的實際範例。NSX 對於雲端供應商及大型虛擬基礎架構尤為實用。VMware 提供兩種 NSX 軟體定義網路平台:NSX-v 與 NSX-T。

NSX for vSphere (NSX-v) 與 VMware vSphere 緊密整合,並有部署需求 VMware vCenter. VMware NSX-v 專為 vSphere 虛擬化平台環境設計,且開發時間早於 NSX-T。

NSX-T(NSX-Transformers) 本解決方案專為各種虛擬化平台及多超管理程式環境設計,亦適用於 NSX-v 無法部署的使用情境。雖然 NSX-v 僅支援 VMware vSphere 的 SDN,但 NSX-T 同時支援 KVM、Docker、Kubernetes 和 OpenStack 的網路虛擬化堆疊,以及 AWS 原生工作負載。 VMware NSX-T 可在無需 vCenter Server 的情況下部署,並適用於異質運算系統。

下表列出了使用 NSX-v 的主要情境。該表分為三行,其中一行描述情境類別。使用 NSX-T 的情境以粗體字標示。

NSX 元件

VMware NSX 的主要組件包括 NSX Manager、NSX 控制器以及 NSX Edge 閘道器。

NSX Manager 是 NSX 的集中式元件,用於管理網路。NSX Manager 可作為虛擬機器部署在由 vCenter 管理的其中一台 ESXi 伺服器上(透過 OVA 範本)。若您使用的是 NSX-v,NSX Manager 僅能與單一 vCenter Server 協同運作;而 NSX-T 版的 NSX Manager 則可部署為 ESXi 虛擬機器或 KVM 虛擬機器,並能同時與多個 vCenter Server 協同運作。

NSX Manager for vSphere 是基於 Photon OS (類似於 vCenter Server 裝置)。

NSX-T Manager 在 Ubuntu 作業系統上運行。

NSX 控制器. NSX 控制器是一種用於建立傳輸隧道及控制虛擬網路的分散式狀態管理系統,可作為虛擬機器部署於 ESXi 或 KVM 虛擬化平台之上。NSX 控制器負責控制網路中的所有邏輯交換器,並處理有關虛擬機器、主機、交換器及 VXLAN 的資訊。透過配置三個控制器節點,可確保在其中一個 NSX 控制器節點發生故障時,系統仍能維持資料冗餘。

NSX Edge 這是一項閘道服務,可讓虛擬機器存取實體與虛擬網路。NSX Edge 可安裝為分散式虛擬路由器或服務閘道。可提供的服務包括:動態路由、防火牆、網路位址轉換 (NAT)、動態主機配置協定 (DHCP)、虛擬私人網路 (VPN)、負載平衡以及高可用性。

部署選項

NSX-v 與 NSX-T 的部署概念相當相似。部署 NSX 時,您應執行以下步驟:

• 請使用 VA,將 NSX Manager 作為虛擬機器部署在 ESXi 主機上。請務必在 vSphere vCenter 上註冊 NSX Manager(適用於 NSX-v)。若您使用的是 NSX-T,則可將 NSX Manager 作為 VA 部署在 KVM 主機上,因為 VMware NSX-T 允許您建立由多個 NSX Manager 組成的叢集。
• 部署三個 NSX 控制器,並建立一個 NSX 控制器叢集。
• 安裝 VIBs 若您使用 NSX-v,請在 ESXi 主機上安裝 (核心模組),以啟用分散式防火牆、分散式路由及 VXLAN。若您使用 NSX-T,則必須在 KVM 虛擬化平台管理程式上安裝核心模組。
• 在 ESXi 上將 NSX Edge 安裝為虛擬機器(適用於 NSX-v 和 NSX-T)。 若您使用 NSX-T 且無法將 Edge 作為虛擬機器安裝於 ESXi 上,則可將 Edge 部署於實體伺服器上。目前不支援在 KVM 虛擬化平台(適用於 NSX-T v.2.3)上將 Edge 安裝為虛擬機器。若需將 Edge 部署於實體伺服器,請在執行前先確認硬體相容性清單(CPU 和網路卡的相容性至關重要)。

NSX 共通功能

這兩種類型的 NSX 皆具備一系列功能。

NSX-v 與 NSX-T 的共通功能包括:

• 基於軟體的網路虛擬化
• 基於軟體的疊加層
• 分散式路由
• 分散式防火牆
• API 驅動的自動化
• 詳細監測與統計

請注意,NSX-v 與 NSX-T 的 API 有所不同。

授權

這兩種類型的 NSX 在授權方面完全相同,都能為您提供更大的靈活性與通用性。例如,您可以訂購用於 NSX for vSphere 的授權;若您對基礎架構進行調整,並需要部署 NSX-T,則可使用先前為 ESXi-v 取得的授權。NSX 就是 NSX——從授權角度來看並無區別,因為授權版本也完全相同。

覆蓋封裝

虛擬網路的覆蓋封裝技術,是透過在第三層上傳輸第二層資訊來抽象化虛擬網路。在現有的實體基礎架構上,於現有的第三層網路(IP 網路)之上建立一個邏輯第二層網路。因此,即使虛擬機器之間的路徑必須經過路由,兩台虛擬機器仍可透過網路相互通訊。實體網路可稱為底層網路。

VXLAN 與 GENEV 的比較

NSX-v 使用 VXLAN 封裝協定,而 NSX-T 則使用 GENEVE 這是一種更現代的協定。

VXLANVXLAN 採用 MAC over IP 封裝技術,其網路隔離的工作原理與 VLAN 技術不同。傳統 VLAN 的網路數量受限,根據 802.1q 標準,上限為 4094 個;其網路隔離是透過在乙太網路幀標頭中增加 4 位元組,於實體網路的第 2 層進行。 VXLAN 的虛擬網路最大數量為 2^24。在此使用情境下,會使用 VXLAN 網路識別碼來標記每個虛擬網路。覆蓋網路的第 2 層幀會封裝在透過實體網路傳輸的 UDP 數據報中。此處使用的 UDP 埠號為 4789。

VXLAN 標頭由以下部分組成。

• 有 8 位元用於旗標。若要執行某項操作,I 旗標必須設定為 1。 VXLAN Network ID (VNI) 有效。其餘 7 位元為 R 欄位,這些欄位為保留欄位,傳輸時必須設為零。接收時,設為零的 R 欄位將被忽略。
• VXLAN Network Identifier (VNI) 亦稱為 VXLAN Segment ID 是一個 24 位元數值,用於決定虛擬機器之間進行通訊時所使用的特定覆蓋網路。
• 保留欄位(24 位元與 8 位元)必須設定為零,並在接收時予以忽略。

VXLAN 標頭的大小是固定的,為 8 位元組。建議在 VXLAN 中使用巨型幀,並將 MTU 設定為 1600 位元組或以上。

GENEVE. 該 GENEVE 標頭與 VXLAN 非常相似,並具有以下結構:

• 一個緊湊型隧道標頭被封裝在 IP 上的 UDP 中。
• 使用一個小型固定隧道標頭來提供控制資訊,並確保基本的功能性與互通性。
• 提供可變長度的選項,以便未來能實現創新功能。

該的 GENEVE 標頭是可變的。

NSX-T 使用 GENEVE (GEneric NEtwork Virtualization Encapsulation) 作為一種隧道協定,它保留了網路介面控制器(NIC)上原有的傳統卸載功能,以實現最佳效能。可在覆蓋層標頭中加入額外的元資料,藉此改善情境差異化處理,以便在資料傳輸層上處理諸如端對端遙測、資料追蹤、加密、安全性等資訊。元資料中的額外資訊稱為 TLV (類型、長度、值)。 GENEVE 由 VMware、Intel、Red Hat 和 Microsoft 共同開發。 GENEVE 是基於 VXLAN, STT 以及 NVGRE 封裝協定。

使用時,巨型幀的 MTU 值必須至少為 1700 位元組 GENEVE 由變長元數據欄位所導致的封裝 GENEVE 標頭(如您所知,VXLAN 採用 1600 或更高的 MTU)。

由於本節所述的覆蓋封裝差異,NSX-v 與 NSX-T 並不相容。

第二層網路

現在您已經了解虛擬第 2 層乙太網路幀是如何在 IP 網路上進行封裝的,因此,是時候來探討 NSX-v 和 NSX-T 的虛擬第 2 層網路實作方式了。

傳輸節點與虛擬交換器

傳輸節點和虛擬交換器是 NSX 的資料傳輸元件。

運輸樞紐 (TN) 是參與流量傳輸及 NSX 網路覆蓋層的 NSX 相容裝置。節點必須包含主機交換器,才能作為傳輸節點運作。

NSX-v 需求:需要使用 vSphere 分散式虛擬交換器 (VDS) 如同 vSphere 中的慣例。標準虛擬交換器無法用於 NSX-v。

NSX-T 假設您需要部署一個 NSX-T 分散式虛擬交換器 (N-VDS). Open vSwitches (OVS) KVM 主機使用 KVM 主機,而 ESXi 主機則使用 VMware vSwitch,皆可作為此用途。

N-VDS (此虛擬分散式交換器先前稱為 hostswitch)是部署於傳輸節點上的 NSX 軟體元件,負責執行流量傳輸。 N-VDS 是傳輸節點資料平面中的主要組件,負責轉發流量,並至少擁有一個實體網路介面控制器(NIC)。 NSX Switches (N-VDS) 各運輸節點雖彼此獨立,但可透過指派相同名稱進行分組,以便集中管理。

在 ESXi 虛擬化平台 N-VDS 是透過 VMware vSphere 分散式交換器來實現的,方式是透過 NSX-vSwitch 載入至虛擬機器管理程式核心的模組。在 KVM 虛擬機器管理程式中,主機切換功能是由 Open-vSwitch (OVS) 模組。

運輸區 此功能同時適用於 NSX-v 和 NSX-T。傳輸區域定義了邏輯網路分佈的範圍。每個傳輸區域皆與其對應的 NSX 交換機 (N-VDS) 連結。 NSX-T 的傳輸區不與叢集連結。

由於 GENEVE 封裝技術,VMware NSX-T 的傳輸區分為兩種類型:覆蓋網路 (Overlay) 或 VLAN。至於 VMware NSX-v,傳輸區僅定義 VXLAN 的分佈範圍。

邏輯交換機的複製模式

當位於不同主機上的兩台虛擬機器直接通訊時,單播流量會以封裝模式在分配給虛擬化管理程式的兩個端點 IP 位址之間交換,無需進行泛洪。有時,由虛擬機器發起的第二層網路流量必須像傳統實體網路中的第二層流量那樣進行泛洪,例如當發送方不知道目的地網路介面的 MAC 位址時。 這意味著相同的流量(廣播、單播、多播)必須發送給所有連接到同一邏輯交換器的虛擬機器。若虛擬機器位於不同主機上,則流量必須複製到這些主機。廣播、單播和多播流量亦稱為 BUM 流量。

讓我們來看看 NSX-v 與 NSX-T 之間複製模式的差異。

NSX-v 支援單播模式、多播模式及混合模式。

NSX-T 支援單播模式,並提供兩種選項:分層式兩層複製(已優化,與 NSX-v 相同)以及主節點複製(未優化)。

ARP 抑制 此功能可減少透過網路傳送的 ARP 廣播流量,並適用於單播和混合流量複製模式。因此,ARP 抑制功能同時適用於 NSX-v 和 NSX-T。

當 VM1 發送 ARP 請求以查詢 VM2 的 MAC 位址時,該 ARP 請求會被邏輯交換機攔截。 若交換器已擁有 VM2 目標網路介面的 ARP 條目,則由交換器將 ARP 回應傳送至 VM1。 否則,交換機將 ARP 請求發送至 NSX 控制器。若 NSX 控制器包含 VM IP 與 MAC 綁定資訊,控制器會傳送包含該綁定資訊的回覆,隨後邏輯交換機將 ARP 回應發送至 VM1。若 NSX 控制器上沒有 ARP 條目,則 ARP 請求會在邏輯交換機上重新廣播。

NSX 第 2 層橋接

第 2 層橋接對於將工作負載從覆蓋網路遷移至 VLAN,或將子網分隔至實體與虛擬工作負載之間,都相當有用。

NSX-v: 此特點運作於執行控制虛擬機的虛擬化程式核心層級。

NSX-T: 為此目的,會建立一個獨立的 NSX-bridge 節點。NSX bridge 節點可組裝成叢集,以提升整個解決方案的容錯能力。

在 NSX-v 控制虛擬機器中,冗餘是透過高可用性 (HA) 方案來實現的。其中一個虛擬機器副本處於活動狀態,而另一個則處於備用狀態。若活動虛擬機器發生故障,切換虛擬機器並將備用虛擬機器轉為活動狀態以載入資料,可能會耗費一些時間。NSX-T 則沒有這個缺點,因為它採用了具容錯能力的叢集,而非透過活動/備用方案來實現高可用性。

路由模型

若您使用的是 VMware NSX,則會使用以下術語:

東西向車流 指的是在資料中心內部透過網路傳輸資料。由於圖表中的水平線通常代表區域網路(LAN)流量,因此此名稱專門用於指稱這類特定的流量。

南北向交通 指客戶端與伺服器之間的流量,或是資料中心與資料中心外部位置(外部網路)之間的流量。圖表中的垂直線通常用來表示此類網路流量。

分散式邏輯路由器 (DLR) 是一款虛擬路由器,可使用靜態路由以及 OSPF、IS-IS 或 BGP 等動態路由協定。

租戶 指由託管服務供應商(MSP)提供隔離且安全的環境,供客戶或組織使用。大型組織可透過將每個部門視為單一租戶,來採用多租戶架構。VMware NSX 在提供基礎設施即服務(IaaS)方面尤為實用。

NSX-v 中的路由

NSX for vSphere 採用 DLR(分散式邏輯路由器)與集中式路由機制。每個虛擬化平台(hypervisor)上皆安裝有路由核心模組,用於在分散式路由器上的邏輯介面(LIF)之間執行路由。

舉例來說,當您擁有一組包含三個區段的環境時,可參考 NSX-v 的典型路由方案:分別是執行資料庫的虛擬機器、執行應用程式伺服器的虛擬機器,以及執行網頁伺服器的虛擬機器。 這些區段(天藍色、綠色和深藍色)的虛擬機器連接到一個分散式邏輯路由器(DLR),而該路由器則透過邊緣閘道(NSX Edge)連接到外部網路。

若您正在處理多個租戶,可以使用分層的 NSX Edge 架構,或者讓每個租戶擁有專屬的 DLR 和控制器虛擬機器,後者位於邊緣叢集中。 NSX Edge 閘道器透過提供 DHCP、VPN、NAT、動態路由及負載平衡等通用閘道服務,將隔離的端點網路連接至共用(上行)網路。NSX Edge 的常見部署場景包括 DMZ、VPN 外部網路,以及多租戶雲端環境——在這些環境中,NSX Edge 會為每個租戶建立虛擬邊界。

若您需要傳輸來自位於 A 段 (藍色)的第一位租戶 A 段 對於第二個租戶而言,流量必須經過 NSX Edge 閘道。在此情況下,並不存在分散式路由,因為流量必須經過單一節點,即指定的 NSX Edge 閘道。

您也可以從示意圖中了解元件如何劃分為不同叢集的工作原理:管理叢集、邊緣叢集和運算叢集。在此範例中,每個叢集皆使用 2 台 ESXi 主機。若兩台虛擬機器在同一台 ESXi 主機上運行,但屬於不同的網路區段,則流量會經過位於邊緣叢集另一台 ESXi 主機上的 NSX Edge 閘道,其位置在邊緣叢集。 路由處理完成後,此流量必須傳回至來源與目的地虛擬機器所運行的 ESXi 主機。

在此情況下,流量傳輸路徑並非最佳。無法利用邊緣閘道在多租戶模型中進行分散式路由所帶來的優勢,導致您的網路流量延遲增加。

NSX-T 中的路由

NSX-T 採用雙層分散式路由模型來解決上述問題。兩者皆 Tier0 以及 Tier1 這些路由是在傳輸節點上建立的,其中後者雖非必要,但旨在提升可擴展性。

流量會透過最優路徑傳輸,因為路由作業是在虛擬機器所運行的 ESXi 或 KVM 虛擬化平台(hypervisor)上執行的。唯一必須使用固定路由點的使用情境,是連線至外部網路時。在運行虛擬化平台的伺服器上,會部署獨立的邊緣節點。

可在 Edge 節點上啟用 BGP、NAT 和 Edge 防火牆等附加服務,並將這些節點組合成叢集以提升可用性。此外,NSX-T 還提供更快速的故障偵測功能。簡而言之,分配路由的最佳方式就是在虛擬化基礎架構內部進行路由。

虛擬網路的 IP 位址配置

當您進行設定時 NSX-v, 您需要為 NSX 區段制定一套 IP 位址規劃方案。在此情況下,還必須新增連接 DLR 與 Edge 閘道的轉接邏輯交換器。若您使用大量 Edge 閘道,應針對由這些 Edge 閘道連接的區段制定 IP 位址規劃方案。

NSX-T然而,這並不需要執行這些操作。所有位於 Tier0 以及 Tier1 自動取得 IP 位址。系統不採用動態路由協定,而是使用靜態路由,並由系統自動連接各組件,使設定更為簡便;您無需花費大量時間規劃服務(中繼)網路組件的 IP 位址配置。

交通檢查系統整合

NSX-v 提供與第三方服務的整合,例如無代理防毒軟體、進階防火牆(新一代防火牆)、入侵偵測系統(IDS)、入侵防禦系統(IPS)以及其他類型的流量檢測服務。與上述流量檢測類型的整合,是在虛擬化管理程式核心層級上,透過受保護的 VMCI bus(虛擬機器通訊介面)。

NSX-T 目前尚未提供這些功能。

安全

可針對 NSX-v 和 NSX-T 配置核心層級的分散式防火牆,其運作於虛擬機器(VM)的虛擬網卡層級。這兩種 NSX 類型皆提供交換器安全選項,但 “Rate-limit Broadcast & Multicast traffic” 此選項僅適用於 NSX-T。

NSX-T 允許您以更細粒度的方式套用規則,從而使傳輸節點得到更合理的利用。例如,您可以根據以下物件套用規則:邏輯交換器、邏輯埠、NSGroup。此特點可用於減少邏輯交換器、邏輯埠或 NSGroup 實例上的規則集配置,以實現更高的效率與最佳化。 除了支援多租戶部署外,您還能節省資源空間與規則查詢週期,並套用租戶專屬規則(即僅套用至特定租戶工作負載的規則)。

在 NSX-v 和 NSX-T 中,建立和套用規則的流程相當相似。兩者的差異在於:針對 NSX-T 建立的政策會傳送至所有控制器,並在控制器端將規則轉換為 IP 位址;而在 NSX-v 中,政策則會立即傳輸至 vShield Firewall Daemon (VSFWD).

NSX-v 與 NSX-T – 比較表

既然您已經熟悉了 VMware NSX 最引人入勝的特點,接下來讓我們總結本文探討過的 NSX-v 與 NSX-T 主要特點,並透過表格進行比較。

結論

若您僅使用 vSphere 環境,NSX-v 是最理想的解決方案;而 NSX-T 不僅適用於 vSphere,在建構虛擬網路的框架下,亦可應用於 KVM、Docker、Kubernetes 及 OpenStack 等虛擬化平台。 關於哪種 NSX 類型更優,並無標準答案。您應選擇 NSX-v 或 NSX-T,取決於您的需求以及各 NSX 類型所提供的特點。

NSX 的授權政策相當使用者友善——無論您打算使用哪種 NSX 類型,只需購買一張 NSX 授權即可。 日後您可以根據需求,在 NSX-v 環境中安裝 NSX-T,或反之亦然,並繼續使用您現有的單一 NSX 授權。

透過 NSX 解決方案,您可以利用 VMware 建置專屬的軟體定義資料中心。VMware 為您提供 聚類特點 為了確保運作連續性、高可用性及容錯能力,虛擬機器備份絕非多餘的措施。

請定期備份與不同專案相關的生產環境虛擬機器,以及作為 VMware vSphere 和 VMware NSX 組件運行的虛擬機器(例如 vCenter、NSX Manager、NSX Controller、NSX Edge),以保護您的資料。 NAKIVO Backup & Replication 可以協助您建立 VMware 備份 即使您使用叢集,也能以可靠且高效的方式運作。

試試看 NAKIVO Backup & Replication

立即申請免費試用,全面體驗本解決方案的所有資料保護特點。15 天免費試用。無功能或容量限制。無需提供信用卡資訊。

免費試用