Colin Jao, 饒康立NSX Architect

VMware

VMware NSX-T

Data Center

©

BRANCH

BRANCH

BRANCH

BRANCH

BRANCH

BRANCH

BRANCH

BRANCH

TELCO/NFV

TELCO/NFV

EDGE/IOT

TELCO/NFV

BRANCH

BRANCH

EDGE/IOT

EDGE/IOT

The Virtual Cloud Network在任何環境連接並保護您的核心業務

©

網路及安全的管理與自動化部署

vRealize Automation應用端到端的完整自動化

Network Insight網路探索與資訊搜尋

雲平台管理 自動化工作流 藍圖 / 樣板 資訊細節 / 探索 可視化

網路及安全虛擬化

AppDefense現代化的虛擬應用安全

NSX SD-WAN

by VeloCloud廣域網路連接與應用優化

NSX Hybrid Connect資料中心及公有雲間的

應用遷移

NSX Data Center資料中心應用的網路彈性

部署與安全阻隔

NSX Cloud公有雲應用的網路維運及

安全防護

安全 整合 可延展性 自動化 彈性部署

VMware NSX 家族產品建構Virtual Cloud Network的基礎

©

實體環境、限制於私有資料中心內

以手動、緩慢的流程進行 IT 環境的組態及管理維

難以適應新數位世界內的安全與合規標準

不同的團隊各自進行運算、儲存、網路、安全的維運

傳統的 IT 架構

應用與資料會以不同的形態，存在於不同私有

/ 公有地點的虛擬化及容器架構內

數位轉型的現實

在企業數位轉型中的應用演進

On-premises

On-premisesBranch

Legacy apps

Cloud native

apps

3 tier apps

©

傳統實體網路架構的現實：綁手綁腳的環境

企業大幅導入運算虛擬化

• 建立虛擬機器

• 多個虛機共用伺服器資源

• 快照、備份、HA、節省空間

• vMotion / DRS

虛擬化環境越來越大，

問題：能夠跨機櫃vMotion嗎？

VM1 VM2

Subnet A Subnet B

VM1 VM2

Logical View

IP A.1 IP A.2

Subnet A

©

傳統實體網路架構的現實：綁手綁腳的環境

實際的網路環境狀況：

業務機器已經虛擬化了

但這些機器的網路地址與連接方式並沒有！

VM1

Subnet A Subnet B

VM1 VM2

Logical View

IP A.1 IP A.2

Subnet A Subnet B

VM2

©

傳統實體網路架構的現實：綁手綁腳的環境

然後網路設備商告訴大家，必須

要導入特殊技術與特別型號機器，

才能打造資料中心內的大二層VM1

Subnet A

VM1 VM2

Logical View

IP A.1 IP A.2

Subnet A

VM2

©

傳統實體網路架構的現實：綁手綁腳的環境

但問題沒有就這樣解決了。

比如說，你的機器還需要上層的網路與安全服務吧

要建置與準備這些上層服務需要多少時間？

要怎麼把已經虛擬化或容器化的服務導向這些實體設備？

如果我的環境有很多組應用，又有生產、開發、測試環境，我是不是需要準備很多這些設備？

VM1

Subnet A

VM1 VM2

Logical View

IP A.1 IP A.2

Subnet A

VM2

?

VM1 VM2IP A.1 IP A.2

Subnet A

VM1

VM2

©

新模式：網路及安全虛擬化

網路虛擬化機制：

在虛擬層直接運作快速部署的邏輯交換器

不同伺服器主機上的虛機或容器，透過封裝機制，將網路封包藉由實體網路進行傳輸

NSX 內記錄所有虛機 / 容器接取在哪個邏輯交換器上，以及位於哪台伺服器主機上

在虛擬層直接運作網路及安全服務

Subnet A Subnet B

VM1

VM2

VM1 VM2

Logical View

IP N.1 IP N.2

Logical Switch

TEP: Tunnel End Point

©

新模式：網路及安全虛擬化

對於實體網路環境的簡單需求：

• IP能通

• 伺服器間啟用Jumbo Frame，

提供至少 1700 byte 的 MTU

在虛擬層直接運作網路及安全服務

Subnet A Subnet B

VM1VM1 VM2

Logical View

IP N.1 IP N.2

VM2

Logical Switch

TEP: Tunnel End Point

©

新模式：網路及安全虛擬化

對於實體網路環境的簡單需求：

• IP能通

• 伺服器間啟用Jumbo Frame，

提供至少 1700 byte 的 MTU

→適用於任意網路架構

• 傳統網路三層式架構

• Fabrid / 大二層

• 三層Spine/Leaf

• 硬體SDN方案

可以和任何現有實體網路架構結合

host1

N-VDS

host2

N-VDSTEP A.1 TEP B.1

©

新模式：網路及安全虛擬化

對於實體網路環境的簡單需求：

• IP能通

• 伺服器間啟用Jumbo Frame，

提供至少 1600 byte 的 MTU

→搭配任意廠商：

• 任意單一網路廠商設備

• 不同網路廠商設備混搭

• 不同世代設備混搭

可以運作於任意網路設備商的環境內

host1

N-VDS

host2

N-VDSTEP A.1 TEP B.1

©

應用系統需求的網路配置，能夠如同虛機般彈性快速建立

網路配置能夠就像是建立虛機一樣：

• 可以不同環境配置相同地址，不造成衝突

• 可以集中快速配置或移除

• 所有操作均可透過 API 呼叫，可透過雲平台或組態管理工具達成自動化

VM1 VM2

Logical View

IP N.1 IP N.2

Subnet N

VM1 VM2IP N.1 IP N.2

Subnet N

VM3 VM4IP M.1 IP M.2

Subnet M

VM1 VM2

VM1 VM2

VM3 VM4

Subnet A Subnet B

©

網路與安全服務的虛擬化

微分段架構

• 每個虛機或容器的虛擬網卡(vnic) 都可透過標準Stateful

防火牆進行防護

• 即使在同樣網段與相同伺服器上的虛機或容器間，亦可進行阻隔

• 防火牆政策集中，同時進行多個環境 / 應用 / 租戶的統合管理

微分段機制提供完整的應用網路層防護

VM1 VM2

Logical View

IP N.1 IP N.2

Subnet N

VM1 VM2IP N.1 IP N.2

Subnet N

VM3 VM4IP M.1 IP M.2

Subnet M

VM1

VM2

VM1

VM2

VM3

VM4

Subnet A Subnet B

©

網路與安全服務的虛擬化NSX可提供完整的上層網路與安全服務

Subnet A Subnet B

VM1 VM2

Logical View

VM5 VM6

VM3 VM4

VM1 VM2

VM3 VM4Internet

VM5

負載平衡

防火牆VPN

DHCP

邏輯交換器

NAT

邏輯路由器

虛實網路連接

Meta

Data

Proxy

VM6

©

是否能夠在不同的平台上運作

完整網路虛擬化方案：

• 提供虛機以及容器完整網路與安全方案

• 甚至可以運作在實體機 (agent)

• 可以跨不同的vCenter運作

• 可以跨不同的虛擬化平台(ESXi, KVM)

• 在企業資料中心內甚至跨公有雲運作

在任何地點提供軟體定義網路功能

ESXi HV

ESXi HV

ESXi HV

N-VDS

N-VDS

N-VDS

KVM HV

KVM HV

N-VDS

N-VDS

ESXi HV

N-VDS

vCenter1

vCenter2 KVM

Bare Metal

Server

NSX

VM

NSX

AWS, Azure, VMC on AWS

©

介紹 NSX-T Data Center

網路維運及可視性自動化平台整合

任意虛擬化平台 – ESX, KVM

多樣性的應用支持 – 虛機、容器、實體機

多樣化雲平台支援 – 企業資料中心、混合雲、公有雲 (AWS, Azure, VMC on AWS)

網路彈性部署 應用安全防護

©

NSX-T Data Center 架構：適用於私有雲、公有雲、及容器環境

控制層

資料傳輸層

管理層

私有雲或公有雲架構

NSX Central Controller

NSX Manager

(VPN Gateway, DirectConnect, ExpressRoute)

Public Cloud

Linux VM Windows VMNSX Cloud

Gateway

VMware Cloud on AWS

Private Cloud

NSX Edge VM or Bare Metal

ESXi KVM

N-VDS N-VDS

Multi-Hypervisor

Container

Cloud ServiceManager

Bare Metal

NSX NSX

Cloud Foundry Adapter

NSX Container Plugin

K8/OS Adapter

©

NSX-T 在容器方案的主要應用情境

容器及虛機間的網路連接

微服務的網路負載平衡

容器間與微服務間的微分段機制

跨容器與虛機的統合管理

基於CNI建立容器及虛機間的網路連結

細緻到單一Pod的微分段機制

統合容器與虛機的網路及安全維運

軟體定義，與Kubernetes完整結合的負載平衡機制

©

適用於大規模生產容器環境

簡化的 Day-2 網路維運及除錯

完整結合Kubernetes Network

Plugin，提供容器間與容器至虛機

間彈性並動態的網路連接

可提供NAT及純粹路由模式

提供完整的網路維運及除錯工具

特徵

效益

容器及虛機間的網路連接企業等級的容器連接網路

Kubernetes Container Network

Cloud Foundry Container Network

VM or Bare-metal Network

BGP or Static Routes

Data Center

Network

NSX Data

Center

©

應用 Scale-Out / Scale-In 自動化

隨需建立軟體定義方案，成本降低

企業等級，L4~L7負載平衡機制

完整支援Kubernetes Ingress /

Load Balancer服務機制

Pivotal Container Service 與

OpenShift 的方案整合

特徵

效益

微服務的網路負載平衡軟體定義，可擴展的負載平衡機制

NSX Data

Center

Cloud Foundry Go-Routers

GO GO GO

Kubernetes Service

©

達成完整的企業應用合規及防護需求

簡易及統合的管理

細緻到每個 pod 的 Stateful 防火牆防護

支援基於Kubernetes Label的群組防護

機制 (Label-Based Policy) 或是K8S

Network Policy

統合容器與虛機環境的安全管理

特徵

效益

容器間與微服務間的微分段機制於容器環境，達成企業等級的應用阻隔與合規需求

Namespace:

prod-internetNamespace:

prod-internal

Production Cluster

2 31

NSX Data

Center

©

NSX-T 提供 Kubernetes 完整網路及安全防護方案方案概述

> kubectl create namespace foo

> kubectl run nginx-foo --image=nginx -n foo

> vim k8s-ingress-policy.yaml

kind: Ingress> kubectl create -f nsx-demo-policy.yaml

> vim k8s-service-lb-policy.yaml

kind: Service

type: LoadBalancer> kubectl create -f nsx-demo-policy.yaml

> vim k8s-network-policy.yamlkind: NetworkPolicy> kubectl create -f nsx-demo-policy.yaml

Data Center

Network

NSX Edge

Router

Namespace

“foo” Router

Load

Balancer

網路及安全配置完整結合Kubernetes，

達成原生容器方案的網路及安全自動化

支援於vSphere / RHEL / Ubuntu上運作

的虛擬化Kubernetes方案，以及RHEL

的K8S實體機架構

特徵

NSX-T Data Center 可以達成跨虛機與容器間的統合網路維運

©

NSX Cloud：跨私有雲及公有雲的網路安全控制及維運

• 跨雲的網路可視性與Day 2 維運

• 跨雲的統合安全部署政策

應用跨雲運作時的統合安全部署與維運機制

AWS AzureFuture Public

CloudsPrivate Cloud

Visibility across your

clouds

Visibility

Performance

Security Consume with your existing

tools

Data Center Cloud

NSX

©

在 NSX 介面上進行私有雲與公有雲的統合管理

©

NSX Cloud 已包含了最主要的公有雲服務提供商

©

NSX-T Data Center 平台功能說明

• 跨虛擬化平台 (ESX & KVM)

• 支援 VM, Containers

• 公有雲 (VMware Cloud Service)

• 獨立的 HTML 5 管理介面

• 獨立的vSwitch構件(Hostswitch / OVS)

• 網路虛擬化 (Geneve) 或基於VLAN 的邏輯網路

• L2 Bridging

• 分散式路由器

• ECMP、靜態路由、BGP

• DPDK 閘道器支援 –虛機或實體機架構

• 南北向防火牆

• 東西向微分段防火牆

• NAT

• Load-Balancer

• DHCP

基礎網路功能安全及上層服務平台

VPN

©

NSX-T Data Center 平台功能及維運機制說明

• 基於 REST /JSON 的 API支援

• vRA / Openstack方案整合

• K8s方案整合

• 基於標籤的安全群組支援(Security Grouping)

• 虛擬環境 Inventory 整合

• 架構及路徑追蹤 (Traceflow, Port Connections)

• 網路封包轉送 (Port Mirroring)

• 網路流紀錄 (IPFix)

• 系統狀態監控與封包紀錄

• 整合vRealize Log Insight

• 整合vRealize Network Insight

• 整合IDM的RBAC控制

• 升級精靈

• 組態備份及回復

• 可選擇的 Tech Support Logs

網路除錯網路維運自動化

©

識別

應用及資料

政策 可擴充性分析與可視化

安全連接 可靠度

虛擬桌面與行動管理

私有資料中心

虛機、容器及微服務

分支機構

公有雲

電信網路

物聯網

橫跨不同應用、不同平台、私有及公有雲、區域及廣域網路的安全及網路統合維運

Virtual Cloud Network