VMwareNSX金融行業(yè)案例

王培久資深系統(tǒng)工程師網絡虛擬化-VMwareNSX

在金融的應用和案例分享議程數(shù)據(jù)中心云計算對網絡的要求網絡虛擬化總體架構案例分析總結CONFIDENTIAL2云計算大數(shù)據(jù)應用的虛擬化安全合規(guī)性24x7業(yè)務連續(xù)性業(yè)務

敏捷性SDN節(jié)能環(huán)保新一代數(shù)據(jù)中心發(fā)展的業(yè)務和技術驅動企業(yè)IT向云架構轉型邏輯計算存儲網絡?資源池化提高資源利用率簡化運維動態(tài)遷移自動均衡資源物理邏輯計算與存儲虛擬化專用硬件和品牌廠商綁定CAPEXOPEX高網絡對上層應用封閉手工配置和管理應用部署周期長應用和網絡緊耦合云計算驅動下

數(shù)據(jù)中心的過去、現(xiàn)在和將來階段四:靈活的計算+靈活的網絡NOW任何網絡硬件平臺靈活網絡服務：防火墻、路由、LB等基于應用靈活快速地定義網絡

階段一:傳統(tǒng)的計算+傳統(tǒng)的網絡1995階段二:靈活的計算+傳統(tǒng)的網絡2001階段三:靈活的計算+大二層網絡2010計算虛擬化對數(shù)據(jù)中心網絡的真正挑戰(zhàn)是什么？CONFIDENTIAL6Floor-1:VLAN1–10.x.x.xFloor-2:VLAN2–172.16.x.x敏捷性：應用可以按需定義特定應用的網絡切片和邏輯拓撲結構，實現(xiàn)數(shù)據(jù)中心應用的快速靈活部署Anyapplicationanywhere不受二層網絡STP、二層廣播風暴、MAC地址表和VLAN數(shù)量的限制，實現(xiàn)anyapplicationanywhere東西向路由優(yōu)化利用分布式路由技術實現(xiàn)虛擬化環(huán)境中Web/APP/DB層的東西向流量的優(yōu)化，而不是所有南北和東西向流量都送到匯聚層交換機處理精細化網絡服務基于虛擬機顆粒度和應用顆粒度的精細化安全控制基于虛擬機層面的服務均衡和SSL加密等自動化向上提供標準API接口，實現(xiàn)網絡資源和服務的自動化部署傳統(tǒng)網絡存在的不足CONFIDENTIAL階段一:傳統(tǒng)的計算+傳統(tǒng)的網絡1995階段二:靈活的計算+傳統(tǒng)的網絡2001傳統(tǒng)網絡架構存在的不足缺乏業(yè)務快速部署能力傳統(tǒng)豎井式架構，業(yè)務區(qū)嚴格隔離，不支持業(yè)務的靈活快速部署更不支持基于多租戶多應用的網絡切片功能靈活性不足由于二層技術的限制各業(yè)務區(qū)盡量把二層域限制得越小越好，無法支持跨業(yè)務區(qū)的vmotion等功能，業(yè)務的靈活性大大受限缺乏虛擬資源安全和管理的監(jiān)控手段對于網絡部門來說，虛擬機的接入完全是個黑盒子，缺乏有效的虛擬機之間的安全管理和監(jiān)控的手段不支持網絡資源的自動化部署所有網絡的配置都是通過命令行手動完成，配置和運維管理非常復雜，導致當各種虛擬資源位置變化時，管理員不堪重負資源利用率低各業(yè)務區(qū)網絡為各業(yè)務區(qū)專用，不支持一個物理網絡為多租戶/多應用服務CONFIDENTIAL階段三:靈活的計算+大二層網絡2010大二層網絡架構帶來的好處靈活性高借助大二層技術，虛擬資源可以跨業(yè)務區(qū)部署，同時支持vmotion等功能，業(yè)務的靈活性大大提高大二層網絡架構存在的不足過渡技術應用案例非常少，從數(shù)據(jù)中心發(fā)展看已經成為過渡技術，各廠商目前都在Vmware主導的VXLAN上尋求更好的解決方案缺乏虛擬資源安全和管理的監(jiān)控手段對于網絡部門來說，虛擬機的接入完全是個黑盒子，缺乏有效的虛擬機之間的安全管理和監(jiān)控的手段不支持網絡資源的自動化部署所有網絡的配置都是通過命令行手動完成，配置和運維管理非常復雜，導致當各種虛擬資源位置變化時，管理員不堪重負技術本身存在局限性無論是IETFTRILL還是思科的FabricPath都沒有解決二層網的三個根本問題：Flooding、MAC表項擴展和VLAN擴展大二層網絡帶來的好處和存在的不足NOW

軟件定義的虛擬化網絡CONFIDENTIAL9階段四:靈活的計算+靈活的網絡NOW任何網絡硬件平臺靈活網絡服務：防火墻、路由、LB等基于應用靈活快速地定義網絡

敏捷性：應用可以按需定義特定應用的網絡切片和邏輯拓撲結構，實現(xiàn)數(shù)據(jù)中心應用的快速靈活部署Anyapplicationanywhere不受二層網絡STP、二層廣播風暴、MAC地址表和VLAN數(shù)量的限制，實現(xiàn)anyapplicationanywhere東西向路由優(yōu)化利用分布式路由技術實現(xiàn)虛擬化環(huán)境中Web/APP/DB層的東西向流量的優(yōu)化，而不是所有南北和東西向流量都送到匯聚層交換機處理精細化網絡服務基于虛擬機顆粒度和應用顆粒度的精細化安全控制基于虛擬機層面的服務均衡和SSL加密等自動化向上提供標準API接口，實現(xiàn)網絡資源和服務的自動化部署議程數(shù)據(jù)中心云計算對網絡的要求網絡虛擬化總體架構案例分析總結CONFIDENTIAL1011

云平臺新業(yè)務請求軟件定義的虛擬化網絡總體架構vCenterOperations

MgmtvCloudAutomationCenter

IaaSPaaSDaaSApplicationDirectorMgmtvCloudDirector/ConnectorvCenter

SiteRecovery

ManagervSphereCloud

ServiceProvidersHyper-

visorsCMSNSX

IaaS

PaaS

DaaS支撐任意的應用(無需修改)虛擬網絡VMwareNSX網絡虛擬化平臺邏輯交換網絡任意網絡硬件架構云管理平臺（vCAC,OpenStack,Cloudstack）邏輯防火墻邏輯負載均衡邏輯路由網絡邏輯VPNX86虛擬化層NSX軟件定義的虛擬化網絡組成要素L2L3VirtualNetworkL2OpenvSwitchNSXGatewayVMVMvSpherevSphereKVMXenServervSwitchvSwitchvSwitchvSwitchHWSWControllerClusterAPIVLANNSXManagerHWPartnerVTEPDeviceCMPVLANVLANLayer3IPNetwork軟件定義的虛擬化網絡工作原理

ExternalNetworks

簡單,易復制，自動化地實現(xiàn)多租戶云網絡

軟件定義的虛擬化網絡-敏捷性根據(jù)應用需求利用vxlan技術按需定義應用的網絡切片和邏輯拓撲結構(Web/App/DB)實現(xiàn)數(shù)據(jù)中心應用的快速靈活部署

VirtualNetworkVirtualLayer2–88.33.x.x(whatever)軟件定義的虛擬化網絡-真正的Anyapplicationanywhere利用VXLAN解決數(shù)據(jù)中心網絡存在的三大問題：Anyapplicationanywhere大二層架構下存在的：MAC地址表、VLAN和二層Flooding三大問題數(shù)據(jù)復制支持unicast、hybrid和multicast模式解決目前vxlan沒有controlplane帶來的flooding問題DataCenterPerimeter傳統(tǒng)的邊界防火墻已經被證實為不足夠安全,而用傳統(tǒng)方式實現(xiàn)micro-segmentation基本上不可行對內部流量不管控InternetInternet安全性不充分管理上不可能DataCenterPerimeter軟件定義的虛擬化網絡-分布式防火墻Micro-SegmentationVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMBenefits…安全策略直接部署到VM網絡端口No“ChokePoint”,nomorehairpin分布式處理,線速過濾,水平擴展安全策略管理簡化bycontextpolicyrulevNIC

level管控,安全與網絡無關

集中管控

軟件定義的虛擬化網絡-分布式防火墻Micro-Segmentation軟件定義的虛擬化網絡-分布式路由軟件定義的虛擬化網絡-分布式防火墻CONFIDENTIAL20軟件定義的虛擬化網絡-自動化通過標準的RESTAPI向上支持多種企業(yè)云管理平臺（VcloudDirector,vCAC,OpenStack,Cloudstack）實現(xiàn)網絡虛擬化資源的自動部署軟件定義筒的虛擬化散網絡-集中化貪運維和先監(jiān)控議程數(shù)據(jù)中汪心云計蝕算對網棋絡的要汗求網絡虛俊擬化總海體架構案例分正析總結CON拐FID妖ENT睛IAL22NSX載Cu殼sto找mer寺sEOR談PO祖DTORP森OD服務器褲機房三層交何換核心EOR拴PO劍DTOR服POD服務器當機房某保險鴿公司:利用NSX實現(xiàn)虛擬聽化資源的辛精細化安怪全管理和素監(jiān)控缺乏虛輔擬機顆繩粒的安駝全管理奇和監(jiān)控燈手段盡管南果向安全浸可以通風過匯聚老層防火馳墻控制但虛擬教化應用歷規(guī)模越抄來越大待，缺乏闊有效的東西向上流量安貿全控制礙手段，同時希望站虛擬機vmo脅tio炊n時，安棟全策略漂隨動，綁不需要波任何變俯更行業(yè)監(jiān)管灘的要求，龍需要監(jiān)控辮特定虛擬胸化環(huán)境中特定矛虛機的趣進出流顧量同時希扶望虛機冊可以跨俱機房和紹三層網此絡隨意Vmot到ionNSX:久Vxla綱nEOR撐PODTORP引OD服務器演機房三層交測換核心EOR舍PO纏DTOR鉆POD服務器機謀房NSXControllerNSXManagervCenterServer某保險公朵司:利用NSX實現(xiàn)虛擬戀化資源的緊精細化安怕全管理和捎監(jiān)控利用NSX分布式虛攏擬防火墻箱功能，實手現(xiàn)虛擬機悟環(huán)境的精插細化安全管理覺，同時實掃現(xiàn)虛擬機vmot楚ion時，安紫全策略命隨動，琴不需要屠任何變汗更支持基驢于特點配應用或載虛機的spa淋n和rsp燦an功能實現(xiàn)崇流量的實讀時監(jiān)控滿足行業(yè)卵監(jiān)管的要喝求借助vxl怒an技術實鑼現(xiàn)跨機撐房和三覺層網絡僵隨意Vmot內ion某商業(yè)荷銀行:利用NSX構建新一借代金融互快聯(lián)網渠道客戶需求罩：隨著金融至互聯(lián)化的拐快速發(fā)展遷，越來越窮多業(yè)務子乞系統(tǒng)向網五銀區(qū)遷移定，同時大陳量的新業(yè)呆務也不斷屬快速推出繪，現(xiàn)有網谷銀出口架崇構在以下膏幾個方面臟存在諸多強問題：擴展性不思足現(xiàn)有架構寺無法滿足標創(chuàng)新型互密聯(lián)網應用橡不斷推出鉛的要求：遠移動應用娘、手機APP、地圖、網上商穴城、大數(shù)佳據(jù)等部署不盈靈活原有架停構下DMZ區(qū)主要壩集中在帶某一機撫房，跨杜樓層或藥跨機房哲部署相尤對困難截，同時輩更無法期支持虛負擬資源痕跨機房周的靈活稈調度互聯(lián)網DMZ區(qū)普遍采澇用虛擬機醋方式，缺欄乏針對虛缺機的安全控初制和精棍細化管怠理不支持應兔用快速和騎自動化部暮署敏捷自動化安全L3

L2PODAL2

L3PODBL3

L2PODYL2

L3PODZOSPF

ECMP

基礎架構用層面的標掛準化可復最制和快速酷部署采用基哲于POD的標準遍架構網絡資源籌的可復制黨和快速部恒署采用NSX架構按需李要快速復喬制應用網尺絡和相關的網鏡絡服務VXLA鄭N實現(xiàn)DMZ區(qū)到數(shù)孩據(jù)中心著任何位青置的按際需擴展配置管理易有NSX通過圖形揉界面統(tǒng)一攝完成采用分布悉式防火墻桃技術實現(xiàn)蠶虛機層面五的安全管梁理和策略撕的隨動為了NSX將和企曠業(yè)云平挑臺集成橋，實現(xiàn)需應用的自動化部戲署某商業(yè)銀交行:利用NSX構建新淘一代金熄融互聯(lián)救網渠道CON偏FID索ENT裳IAL28某商業(yè)宰銀行:利用NSX實現(xiàn)業(yè)務套系統(tǒng)網絡P2V的遷移硬件環(huán)境業(yè)務網套絡層次暮：核心層：Cisc川oN70須00核心路鈔由器兩奔臺，AA方式提供射核心路由桿。匯聚層：H3CF50喝00多層防火候墻兩臺，互為主央備方式提郵供3層接入和塊防火墻功普能。H3C1250扣8交換機殖兩臺，奔堆疊方刮式提供2層接入?，F(xiàn)有架構唐下服務器鼓資源以基享于x86的物理附服務器吳和小型罷機為主客戶在汪未來兩占年內要涂完成90%業(yè)務系統(tǒng)P2V的遷移3層網關H3C

F5KH3C

12508CiscoN7K現(xiàn)有環(huán)境蛇下客戶面搞臨的問題價：現(xiàn)有物理嗓機環(huán)境下錦設備采購貧和運維成恒本過高應用部署的周期長（1-2個以上）資源利蜘用率低P2V遷移客稱戶重點以關注的撇問題：虛機層面謎的安全控夕制和管理融監(jiān)控虛機層野面東西氧向的路臘由優(yōu)化虛機跨茄三層的vmt基ion現(xiàn)有物完理環(huán)境址和虛機旨環(huán)境的驢無縫遷饞移CONF窄IDEN窮TIAL29某商業(yè)煩銀行:利用NSX實現(xiàn)業(yè)喇務系統(tǒng)糠網絡P2V的遷移P2V改造后蒼物理架歉構P2V改造后悟邏輯架污構CON突FID葉ENT休IAL30物理連線部易分承載目鄰前管理業(yè)盲務區(qū)使用挺的不進行鋸網關變更浙的VLA孤N。老網關新建環(huán)藥境流量L2-鑼Bri好dge遷移規(guī)劃Edg協(xié)eGW新部署碗規(guī)劃Edg廢eClu踩ste臂rCom糖put歸eClu頌ste斯rVTEP遷移環(huán)境流量物理連線原有物理膽環(huán)境新建x86環(huán)境Cisc膠oN7KF5K1250刮81251怎0M9K某商業(yè)銀臨行:利用NSX實現(xiàn)業(yè)彩務系統(tǒng)城網絡P2V的遷移議程數(shù)據(jù)中心香云計算對鄉(xiāng)豐網絡的要后求網絡虛擬屬化總體架閉構案例分院析總結CON協(xié)FID盛ENT澤IAL31Hype憤rvis蠢orX86進Ho穴stsLineratePerhostPhysicalorVirtual10KLogicalSwitches硬件軟件硬件軟件云管理陳平臺LineratePerhostNoTromboning1,000LogicalRoutersPerdomainLineratePerhostKernelIntegrated25,000CPS2millionSessionsScale-OutLineratethroughput1MCPS10MConcurrentFW,LB,VPNNSX的價值1101001,000Hosts30Gbps300Gbps3Tbps30TbpsThePowerofaDistributedSystem分