VMwareNSX金融行業(yè)案例

王培久資深系統(tǒng)工程師網(wǎng)絡(luò)虛擬化-VMwareNSX

在金融的應(yīng)用和案例分享議程數(shù)據(jù)中心云計(jì)算對(duì)網(wǎng)絡(luò)的要求網(wǎng)絡(luò)虛擬化總體架構(gòu)案例分析總結(jié)CONFIDENTIAL2云計(jì)算大數(shù)據(jù)應(yīng)用的虛擬化安全合規(guī)性24x7業(yè)務(wù)連續(xù)性業(yè)務(wù)

敏捷性SDN節(jié)能環(huán)保新一代數(shù)據(jù)中心發(fā)展的業(yè)務(wù)和技術(shù)驅(qū)動(dòng)企業(yè)IT向云架構(gòu)轉(zhuǎn)型邏輯計(jì)算存儲(chǔ)網(wǎng)絡(luò)?資源池化提高資源利用率簡(jiǎn)化運(yùn)維動(dòng)態(tài)遷移自動(dòng)均衡資源物理邏輯計(jì)算與存儲(chǔ)虛擬化專用硬件和品牌廠商綁定CAPEXOPEX高網(wǎng)絡(luò)對(duì)上層應(yīng)用封閉手工配置和管理應(yīng)用部署周期長(zhǎng)應(yīng)用和網(wǎng)絡(luò)緊耦合云計(jì)算驅(qū)動(dòng)下

數(shù)據(jù)中心的過(guò)去、現(xiàn)在和將來(lái)階段四:靈活的計(jì)算+靈活的網(wǎng)絡(luò)NOW任何網(wǎng)絡(luò)硬件平臺(tái)靈活網(wǎng)絡(luò)服務(wù)：防火墻、路由、LB等基于應(yīng)用靈活快速地定義網(wǎng)絡(luò)

階段一:傳統(tǒng)的計(jì)算+傳統(tǒng)的網(wǎng)絡(luò)1995階段二:靈活的計(jì)算+傳統(tǒng)的網(wǎng)絡(luò)2001階段三:靈活的計(jì)算+大二層網(wǎng)絡(luò)2010計(jì)算虛擬化對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的真正挑戰(zhàn)是什么？CONFIDENTIAL6Floor-1:VLAN1–10.x.x.xFloor-2:VLAN2–172.16.x.x敏捷性：應(yīng)用可以按需定義特定應(yīng)用的網(wǎng)絡(luò)切片和邏輯拓?fù)浣Y(jié)構(gòu)，實(shí)現(xiàn)數(shù)據(jù)中心應(yīng)用的快速靈活部署Anyapplicationanywhere不受二層網(wǎng)絡(luò)STP、二層廣播風(fēng)暴、MAC地址表和VLAN數(shù)量的限制，實(shí)現(xiàn)anyapplicationanywhere東西向路由優(yōu)化利用分布式路由技術(shù)實(shí)現(xiàn)虛擬化環(huán)境中Web/APP/DB層的東西向流量的優(yōu)化，而不是所有南北和東西向流量都送到匯聚層交換機(jī)處理精細(xì)化網(wǎng)絡(luò)服務(wù)基于虛擬機(jī)顆粒度和應(yīng)用顆粒度的精細(xì)化安全控制基于虛擬機(jī)層面的服務(wù)均衡和SSL加密等自動(dòng)化向上提供標(biāo)準(zhǔn)API接口，實(shí)現(xiàn)網(wǎng)絡(luò)資源和服務(wù)的自動(dòng)化部署傳統(tǒng)網(wǎng)絡(luò)存在的不足CONFIDENTIAL階段一:傳統(tǒng)的計(jì)算+傳統(tǒng)的網(wǎng)絡(luò)1995階段二:靈活的計(jì)算+傳統(tǒng)的網(wǎng)絡(luò)2001傳統(tǒng)網(wǎng)絡(luò)架構(gòu)存在的不足缺乏業(yè)務(wù)快速部署能力傳統(tǒng)豎井式架構(gòu)，業(yè)務(wù)區(qū)嚴(yán)格隔離，不支持業(yè)務(wù)的靈活快速部署更不支持基于多租戶多應(yīng)用的網(wǎng)絡(luò)切片功能靈活性不足由于二層技術(shù)的限制各業(yè)務(wù)區(qū)盡量把二層域限制得越小越好，無(wú)法支持跨業(yè)務(wù)區(qū)的vmotion等功能，業(yè)務(wù)的靈活性大大受限缺乏虛擬資源安全和管理的監(jiān)控手段對(duì)于網(wǎng)絡(luò)部門來(lái)說(shuō)，虛擬機(jī)的接入完全是個(gè)黑盒子，缺乏有效的虛擬機(jī)之間的安全管理和監(jiān)控的手段不支持網(wǎng)絡(luò)資源的自動(dòng)化部署所有網(wǎng)絡(luò)的配置都是通過(guò)命令行手動(dòng)完成，配置和運(yùn)維管理非常復(fù)雜，導(dǎo)致當(dāng)各種虛擬資源位置變化時(shí)，管理員不堪重負(fù)資源利用率低各業(yè)務(wù)區(qū)網(wǎng)絡(luò)為各業(yè)務(wù)區(qū)專用，不支持一個(gè)物理網(wǎng)絡(luò)為多租戶/多應(yīng)用服務(wù)CONFIDENTIAL階段三:靈活的計(jì)算+大二層網(wǎng)絡(luò)2010大二層網(wǎng)絡(luò)架構(gòu)帶來(lái)的好處?kù)`活性高借助大二層技術(shù)，虛擬資源可以跨業(yè)務(wù)區(qū)部署，同時(shí)支持vmotion等功能，業(yè)務(wù)的靈活性大大提高大二層網(wǎng)絡(luò)架構(gòu)存在的不足過(guò)渡技術(shù)應(yīng)用案例非常少，從數(shù)據(jù)中心發(fā)展看已經(jīng)成為過(guò)渡技術(shù)，各廠商目前都在Vmware主導(dǎo)的VXLAN上尋求更好的解決方案缺乏虛擬資源安全和管理的監(jiān)控手段對(duì)于網(wǎng)絡(luò)部門來(lái)說(shuō)，虛擬機(jī)的接入完全是個(gè)黑盒子，缺乏有效的虛擬機(jī)之間的安全管理和監(jiān)控的手段不支持網(wǎng)絡(luò)資源的自動(dòng)化部署所有網(wǎng)絡(luò)的配置都是通過(guò)命令行手動(dòng)完成，配置和運(yùn)維管理非常復(fù)雜，導(dǎo)致當(dāng)各種虛擬資源位置變化時(shí)，管理員不堪重負(fù)技術(shù)本身存在局限性無(wú)論是IETFTRILL還是思科的FabricPath都沒(méi)有解決二層網(wǎng)的三個(gè)根本問(wèn)題：Flooding、MAC表項(xiàng)擴(kuò)展和VLAN擴(kuò)展大二層網(wǎng)絡(luò)帶來(lái)的好處和存在的不足NOW

軟件定義的虛擬化網(wǎng)絡(luò)CONFIDENTIAL9階段四:靈活的計(jì)算+靈活的網(wǎng)絡(luò)NOW任何網(wǎng)絡(luò)硬件平臺(tái)靈活網(wǎng)絡(luò)服務(wù)：防火墻、路由、LB等基于應(yīng)用靈活快速地定義網(wǎng)絡(luò)

敏捷性：應(yīng)用可以按需定義特定應(yīng)用的網(wǎng)絡(luò)切片和邏輯拓?fù)浣Y(jié)構(gòu)，實(shí)現(xiàn)數(shù)據(jù)中心應(yīng)用的快速靈活部署Anyapplicationanywhere不受二層網(wǎng)絡(luò)STP、二層廣播風(fēng)暴、MAC地址表和VLAN數(shù)量的限制，實(shí)現(xiàn)anyapplicationanywhere東西向路由優(yōu)化利用分布式路由技術(shù)實(shí)現(xiàn)虛擬化環(huán)境中Web/APP/DB層的東西向流量的優(yōu)化，而不是所有南北和東西向流量都送到匯聚層交換機(jī)處理精細(xì)化網(wǎng)絡(luò)服務(wù)基于虛擬機(jī)顆粒度和應(yīng)用顆粒度的精細(xì)化安全控制基于虛擬機(jī)層面的服務(wù)均衡和SSL加密等自動(dòng)化向上提供標(biāo)準(zhǔn)API接口，實(shí)現(xiàn)網(wǎng)絡(luò)資源和服務(wù)的自動(dòng)化部署議程數(shù)據(jù)中心云計(jì)算對(duì)網(wǎng)絡(luò)的要求網(wǎng)絡(luò)虛擬化總體架構(gòu)案例分析總結(jié)CONFIDENTIAL1011

云平臺(tái)新業(yè)務(wù)請(qǐng)求軟件定義的虛擬化網(wǎng)絡(luò)總體架構(gòu)vCenterOperations

MgmtvCloudAutomationCenter

IaaSPaaSDaaSApplicationDirectorMgmtvCloudDirector/ConnectorvCenter

SiteRecovery

ManagervSphereCloud

ServiceProvidersHyper-

visorsCMSNSX

IaaS

PaaS

DaaS支撐任意的應(yīng)用(無(wú)需修改)虛擬網(wǎng)絡(luò)VMwareNSX網(wǎng)絡(luò)虛擬化平臺(tái)邏輯交換網(wǎng)絡(luò)任意網(wǎng)絡(luò)硬件架構(gòu)云管理平臺(tái)（vCAC,OpenStack,Cloudstack）邏輯防火墻邏輯負(fù)載均衡邏輯路由網(wǎng)絡(luò)邏輯VPNX86虛擬化層NSX軟件定義的虛擬化網(wǎng)絡(luò)組成要素L2L3VirtualNetworkL2OpenvSwitchNSXGatewayVMVMvSpherevSphereKVMXenServervSwitchvSwitchvSwitchvSwitchHWSWControllerClusterAPIVLANNSXManagerHWPartnerVTEPDeviceCMPVLANVLANLayer3IPNetwork軟件定義的虛擬化網(wǎng)絡(luò)工作原理

ExternalNetworks

簡(jiǎn)單,易復(fù)制，自動(dòng)化地實(shí)現(xiàn)多租戶云網(wǎng)絡(luò)

軟件定義的虛擬化網(wǎng)絡(luò)-敏捷性根據(jù)應(yīng)用需求利用vxlan技術(shù)按需定義應(yīng)用的網(wǎng)絡(luò)切片和邏輯拓?fù)浣Y(jié)構(gòu)(Web/App/DB)實(shí)現(xiàn)數(shù)據(jù)中心應(yīng)用的快速靈活部署

VirtualNetworkVirtualLayer2–88.33.x.x(whatever)軟件定義的虛擬化網(wǎng)絡(luò)-真正的Anyapplicationanywhere利用VXLAN解決數(shù)據(jù)中心網(wǎng)絡(luò)存在的三大問(wèn)題：Anyapplicationanywhere大二層架構(gòu)下存在的：MAC地址表、VLAN和二層Flooding三大問(wèn)題數(shù)據(jù)復(fù)制支持unicast、hybrid和multicast模式解決目前vxlan沒(méi)有controlplane帶來(lái)的flooding問(wèn)題DataCenterPerimeter傳統(tǒng)的邊界防火墻已經(jīng)被證實(shí)為不足夠安全,而用傳統(tǒng)方式實(shí)現(xiàn)micro-segmentation基本上不可行對(duì)內(nèi)部流量不管控InternetInternet安全性不充分管理上不可能DataCenterPerimeter軟件定義的虛擬化網(wǎng)絡(luò)-分布式防火墻Micro-SegmentationVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMBenefits…安全策略直接部署到VM網(wǎng)絡(luò)端口No“ChokePoint”,nomorehairpin分布式處理,線速過(guò)濾,水平擴(kuò)展安全策略管理簡(jiǎn)化bycontextpolicyrulevNIC

level管控,安全與網(wǎng)絡(luò)無(wú)關(guān)

集中管控

軟件定義的虛擬化網(wǎng)絡(luò)-分布式防火墻Micro-Segmentation軟件定義的虛擬化網(wǎng)絡(luò)-分布式路由軟件定義的虛擬化網(wǎng)絡(luò)-分布式防火墻CONFIDENTIAL20軟件定義的虛擬化網(wǎng)絡(luò)-自動(dòng)化通過(guò)標(biāo)準(zhǔn)的RESTAPI向上支持多種企業(yè)云管理平臺(tái)（VcloudDirector,vCAC,OpenStack,Cloudstack）實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化資源的自動(dòng)部署軟件定義筒的虛擬化散網(wǎng)絡(luò)-集中化貪運(yùn)維和先監(jiān)控議程數(shù)據(jù)中汪心云計(jì)蝕算對(duì)網(wǎng)棋絡(luò)的要汗求網(wǎng)絡(luò)虛俊擬化總海體架構(gòu)案例分正析總結(jié)CON拐FID妖ENT睛IAL22NSX載Cu殼sto找mer寺sEOR談PO祖DTORP森OD服務(wù)器褲?rùn)C(jī)房三層交何換核心EOR拴PO劍DTOR服POD服務(wù)器當(dāng)機(jī)房某保險(xiǎn)鴿公司:利用NSX實(shí)現(xiàn)虛擬聽(tīng)化資源的辛精細(xì)化安怪全管理和素監(jiān)控缺乏虛輔擬機(jī)顆繩粒的安駝全管理奇和監(jiān)控?zé)羰侄伪M管南果向安全浸可以通風(fēng)過(guò)匯聚老層防火馳墻控制但虛擬教化應(yīng)用歷規(guī)模越抄來(lái)越大待，缺乏闊有效的東西向上流量安貿(mào)全控制礙手段，同時(shí)希望站虛擬機(jī)vmo脅tio炊n時(shí)，安棟全策略漂隨動(dòng)，綁不需要波任何變俯更行業(yè)監(jiān)管灘的要求，龍需要監(jiān)控辮特定虛擬胸化環(huán)境中特定矛虛機(jī)的趣進(jìn)出流顧量同時(shí)希扶望虛機(jī)冊(cè)可以跨俱機(jī)房和紹三層網(wǎng)此絡(luò)隨意Vmot到ionNSX:久Vxla綱nEOR撐PODTORP引OD服務(wù)器演機(jī)房三層交測(cè)換核心EOR舍PO纏DTOR鉆POD服務(wù)器機(jī)謀房NSXControllerNSXManagervCenterServer某保險(xiǎn)公朵司:利用NSX實(shí)現(xiàn)虛擬戀化資源的緊精細(xì)化安怕全管理和捎監(jiān)控利用NSX分布式虛攏擬防火墻箱功能，實(shí)手現(xiàn)虛擬機(jī)悟環(huán)境的精插細(xì)化安全管理覺(jué)，同時(shí)實(shí)掃現(xiàn)虛擬機(jī)vmot楚ion時(shí)，安紫全策略命隨動(dòng)，琴不需要屠任何變汗更支持基驢于特點(diǎn)配應(yīng)用或載虛機(jī)的spa淋n和rsp燦an功能實(shí)現(xiàn)崇流量的實(shí)讀時(shí)監(jiān)控滿足行業(yè)卵監(jiān)管的要喝求借助vxl怒an技術(shù)實(shí)鑼現(xiàn)跨機(jī)撐房和三覺(jué)層網(wǎng)絡(luò)僵隨意Vmot內(nèi)ion某商業(yè)荷銀行:利用NSX構(gòu)建新一借代金融互快聯(lián)網(wǎng)渠道客戶需求罩：隨著金融至互聯(lián)化的拐快速發(fā)展遷，越來(lái)越窮多業(yè)務(wù)子乞系統(tǒng)向網(wǎng)五銀區(qū)遷移定，同時(shí)大陳量的新業(yè)呆務(wù)也不斷屬快速推出繪，現(xiàn)有網(wǎng)谷銀出口架崇構(gòu)在以下膏幾個(gè)方面臟存在諸多強(qiáng)問(wèn)題：擴(kuò)展性不思足現(xiàn)有架構(gòu)寺無(wú)法滿足標(biāo)創(chuàng)新型互密聯(lián)網(wǎng)應(yīng)用橡不斷推出鉛的要求：遠(yuǎn)移動(dòng)應(yīng)用娘、手機(jī)APP、地圖、網(wǎng)上商穴城、大數(shù)佳據(jù)等部署不盈靈活原有架停構(gòu)下DMZ區(qū)主要壩集中在帶某一機(jī)撫房，跨杜樓層或藥跨機(jī)房哲部署相尤對(duì)困難截，同時(shí)輩更無(wú)法期支持虛負(fù)擬資源痕跨機(jī)房周的靈活稈調(diào)度互聯(lián)網(wǎng)DMZ區(qū)普遍采澇用虛擬機(jī)醋方式，缺欄乏針對(duì)虛缺機(jī)的安全控初制和精棍細(xì)化管怠理不支持應(yīng)兔用快速和騎自動(dòng)化部暮署敏捷自動(dòng)化安全L3

L2PODAL2

L3PODBL3

L2PODYL2

L3PODZOSPF

ECMP

基礎(chǔ)架構(gòu)用層面的標(biāo)掛準(zhǔn)化可復(fù)最制和快速酷部署采用基哲于POD的標(biāo)準(zhǔn)遍架構(gòu)網(wǎng)絡(luò)資源籌的可復(fù)制黨和快速部恒署采用NSX架構(gòu)按需李要快速?gòu)?fù)喬制應(yīng)用網(wǎng)尺絡(luò)和相關(guān)的網(wǎng)鏡絡(luò)服務(wù)VXLA鄭N實(shí)現(xiàn)DMZ區(qū)到數(shù)孩據(jù)中心著任何位青置的按際需擴(kuò)展配置管理易有NSX通過(guò)圖形揉界面統(tǒng)一攝完成采用分布悉式防火墻桃技術(shù)實(shí)現(xiàn)蠶虛機(jī)層面五的安全管梁理和策略撕的隨動(dòng)為了NSX將和企曠業(yè)云平挑臺(tái)集成橋，實(shí)現(xiàn)需應(yīng)用的自動(dòng)化部戲署某商業(yè)銀交行:利用NSX構(gòu)建新淘一代金熄融互聯(lián)救網(wǎng)渠道CON偏FID索ENT裳IAL28某商業(yè)宰銀行:利用NSX實(shí)現(xiàn)業(yè)務(wù)套系統(tǒng)網(wǎng)絡(luò)P2V的遷移硬件環(huán)境業(yè)務(wù)網(wǎng)套絡(luò)層次暮：核心層：Cisc川oN70須00核心路鈔由器兩奔臺(tái)，AA方式提供射核心路由桿。匯聚層：H3CF50喝00多層防火候墻兩臺(tái)，互為主央備方式提郵供3層接入和塊防火墻功普能。H3C1250扣8交換機(jī)殖兩臺(tái)，奔堆疊方刮式提供2層接入。現(xiàn)有架構(gòu)唐下服務(wù)器鼓資源以基享于x86的物理附服務(wù)器吳和小型罷機(jī)為主客戶在汪未來(lái)兩占年內(nèi)要涂完成90%業(yè)務(wù)系統(tǒng)P2V的遷移3層網(wǎng)關(guān)H3C

F5KH3C

12508CiscoN7K現(xiàn)有環(huán)境蛇下客戶面搞臨的問(wèn)題價(jià)：現(xiàn)有物理嗓機(jī)環(huán)境下錦設(shè)備采購(gòu)貧和運(yùn)維成恒本過(guò)高應(yīng)用部署的周期長(zhǎng)（1-2個(gè)以上）資源利蜘用率低P2V遷移客稱戶重點(diǎn)以關(guān)注的撇問(wèn)題：虛機(jī)層面謎的安全控夕制和管理融監(jiān)控虛機(jī)層野面東西氧向的路臘由優(yōu)化虛機(jī)跨茄三層的vmt基ion現(xiàn)有物完理環(huán)境址和虛機(jī)旨環(huán)境的驢無(wú)縫遷饞移CONF窄IDEN窮TIAL29某商業(yè)煩銀行:利用NSX實(shí)現(xiàn)業(yè)喇務(wù)系統(tǒng)糠網(wǎng)絡(luò)P2V的遷移P2V改造后蒼物理架歉構(gòu)P2V改造后悟邏輯架污構(gòu)CON突FID葉ENT休IAL30物理連線部易分承載目鄰前管理業(yè)盲務(wù)區(qū)使用挺的不進(jìn)行鋸網(wǎng)關(guān)變更浙的VLA孤N。老網(wǎng)關(guān)新建環(huán)藥境流量L2-鑼Bri好dge遷移規(guī)劃Edg協(xié)eGW新部署碗規(guī)劃Edg廢eClu踩ste臂rCom糖put歸eClu頌ste斯rVTEP遷移環(huán)境流量物理連線原有物理膽環(huán)境新建x86環(huán)境Cisc膠oN7KF5K1250刮81251怎0M9K某商業(yè)銀臨行:利用NSX實(shí)現(xiàn)業(yè)彩務(wù)系統(tǒng)城網(wǎng)絡(luò)P2V的遷移議程數(shù)據(jù)中心香云計(jì)算對(duì)鄉(xiāng)豐網(wǎng)絡(luò)的要后求網(wǎng)絡(luò)虛擬屬化總體架閉構(gòu)案例分院析總結(jié)CON協(xié)FID盛ENT澤IAL31Hype憤rvis蠢orX86進(jìn)Ho穴stsLineratePerhostPhysicalorVirtual10KLogicalSwitches硬件軟件硬件軟件云管理陳平臺(tái)LineratePerhostNoTromboning1,000LogicalRoutersPerdomainLineratePerhostKernelIntegrated25,000CPS2millionSessionsScale-OutLineratethroughput1MCPS10MConcurrentFW,LB,VPNNSX的價(jià)值1101001,000Hosts30Gbps300Gbps3Tbps30TbpsThePowerofaDistributedSystem分