欢迎进入Dell服务器|Dell存储|华为服务器|华为交换机|Dell工作站|戴尔服务器代理|华为服务器代理|戴尔服务器渠道网站
全国服务热线
13810713934
政府企业
中国环保部数据中心NSX实施方案

一、 项目背景

中国环保部IT经过多年的建设,数据中心已经建立完善的信息工程化应用平台。在现代化的IT建设过程中,基础平台服务器虚拟化为部中心IT发展提供了良好的支持。现阶段虚拟化为更好更快捷的服务未来云平台及业务需求,在原有服务器虚拟化上部署vmware虚拟化NSX网络,它能够提供云平台快速部署业务,在环保部芍药居数据中心迁移虚拟机,保障业务的不中断,同时提供在同一网段内虚拟机网络安全隔离。

二、 环保部基础平台现状

环保部网络由两个数据中心组成,分别是芍药居数据中心和环保部数据中心,两个数据中心应用专线连接。网络平台采用主流的万兆网络平台、基础业务平台系统采用虚拟化VMware5.1承载各类业务,提供大概200多个虚拟机在为业务服务。环保部拓扑图


三、 NSX 设计方案

设计方案概要
整个虚拟化环境设置两个集群,NSX组件包含虚拟防火墙、虚拟路由器及VXlan,他们分别在两个数据中心部署,虚拟机通过VXlan传输,保障两个数据中心之间相互迁移不掉网。
具体设计如下:
1、集群设计:采用两个集群分别部署在不同站点,即芍药居机房10台服务服务器和环保部机房 6 台物理主机。
2、虚拟化层设计:两个数据中心采用同一套vCenter进行管理,在不同站点分别配置相应的管理VLAN和vMotion VLAN。 管理网段和vMotion网络实现全网路由可达。分别部署业务VDS,和管理的VSS,实现虚拟机的接入。
3、NSX组件设计:
  虚拟防火墙设计:两个数据中心部署分布式防火墙,保障虚拟机之间的网络安全
  虚拟路由设计:edge两个分别部署两个数据中心、DLR两个分别部署两个数据中心,两个虚拟路由之间运行OSPF协议,edge同外界通信采用静态路由
  Vxlan设计:部署两个Vxlan,分别部署不同数据中心;需要为VxLAN分配一个新VLAN ID和IP网段。
环保部数据中心逻辑网络图如下:

四、 NSX部署方案

       基于环保部现状进行详细的网络和安全架构设计,本实施方案仅包括数据中心虚拟化平台部分,传统物理服务器保持原有架构不变,同时方案充分考虑利旧原有设备原则。
     环保部虚拟化集群由16台高性能服务器和共享存储组成,部署VMware vSphere虚拟化软件,承载约近200个业务系统。采用 本方案采用在原有服务器虚拟化平台之上增加网络虚拟化软件方式实现数据中心网络和安全改造,无需增加物理设备;网络虚拟化平台支持自动备份和网络还原。下述讲述了NSX的实施过程。

NSX基本组件

NSX聚集了四个基本模块:数据转发平面、控制平面、管理平面和应用平面,如下图所示。

 
Ø 数据转发平面
NSX数据转发平面由NSX vSwitch组成。NSX for vSphere中的vSwitch基于vSphere Distributed Switch (VDS)(或用于非 ESXi 虚拟化管理程序的 Open vSwitch),还包括其他组件,可提供丰富的服务。附加NSX组件包括在虚拟化管理程序内核中运行的用于提供分布式路由、分布式防火墙等服务并实现VXLAN桥接功能的内核模块 (VIB)。
NSX vSwitch(基于 VDS 或 OVS)可对物理网络进行抽象化处理并在虚拟化管理程序中提供访问级别的交换。它对网络虚拟化至关重要,因为它可实现独立于物理构造的逻辑网络(例如 VLAN)。vSwitch的一些优势如下所示。
u 利用 VXLAN、STT、GRE 等协议以及集中式网络配置支持覆盖网络。覆盖网络可实现以下功能:
Ÿ 在现有物理基础架构上创建一个覆盖现有 IP 网络的灵活的逻辑层 2(第 2 层),而无需重新设计任何数据中心网络
Ÿ 配置通信(东西向和南北向),同时让租户之间保持相互隔离
Ÿ 应用工作负载和虚拟机独立于覆盖网络,并且就像连接到物理第 2 层网络一样运行
u NSX vSwitch 有利于实现虚拟化管理程序的大规模扩展。
u 端口镜像、NetFlow/IPFIX、配置备份和还原、网络运行状况检查、QoS 和 LACP 等多种功能可在虚拟网络内提供一个全面的流量管理、监控和故障排除工具包。
此外,数据平面还包含网关设备,这些设备可提供从逻辑网络空间 (VXLAN) 到物理网络 (VLAN) 的第 2 层桥接,可将虚拟网络VXLAN连接到非虚拟主机、远程站点和外部网络VLAN。网关设备通常是NSX Edge 虚拟设备。NSX Edge 提供第 2 层、第 3 层、外围防火墙、负载平衡和 SSL VPN、DHCP 等其他服务。
NSX网关服务提供一个进出软件定义的数据中心的安全路径,网关节点可以部署为Active/Active HA对,提供IP路由、NAT、防火墙、VPN和负载均衡服务,用于保护和控制一个或多个NSX虚拟网络的南北向的流量。
有些NSX内的应用程序可能需要连接数据中心内的非虚拟化主机上的服务,比如IP存储。对于这种需求,NSX提供了L2网关服务,专用L2网关节点的HA pair、或合作伙伴的ToR交换机,能够在NSX虚拟网络和物理VLAN之间做桥接。
Edge的L2网关服务也能放置于远程站点,将远程VLAN与一个NSX虚拟网络桥接,用于虚机跨书记中心二层互相访问。
从虚拟网络到物理网络的第 2 层桥接功能也可以由支持解封 VXLAN 流量的功能的物理网络交换机实现。
Ø 控制平面
这是一组高可用的、可横向扩展的x86系统集群,负责以编程的方式跨越整个架构部署虚拟网络。控制器集群接收来自管理平台的API请求,计算虚拟网络拓扑,主动编程hypervisor vswitch和网关,赋予适当的实时配置和转发状态。随着计算环境的动态变更,控制器集群更新必要的组件,使虚拟网络状态与虚拟计算状态保持在同步状态。
NSX控制器集群提供一个逻辑上集中,但物理上分布的控制层。高可用集群中的每一台x86机器共享所有所需工作量的等量部分,为任何丢失的集群节点提供即刻备份的容量。当虚拟网络需要扩展时,可按需向集群添加节点,任意节点丢失不会影响转发平面的数据转发。
NSX控制器集群对所有用NSX调配的网络服务和虚拟机都具有可见能力。有了这样的权威认知,NSX控制器集群能够抢先编程所有NSX组件,实现虚拟网络拓扑。在针对vSphere优化的环境里,控制器与VDS一起实现multicast free的VXLAN功能,另外VDR分布式路由的转发信息也是由控制平面生成分发给各个X86上的转发模块。NSX控制器集群完全是带外的,不参与处理数据包转发。
NSX 控制板在 NSX Controller 中运行。在采用 VDS 的 vSphere 优化环境中,控制器可实现自由多播 VXLAN 以及 VDR 等元素的控制板编程。在多虚拟化管理程序环境中,控制器节点对 vSwitch 转发板进行编程。
无论是哪种情况,控制器都只是控制板的一部分,不会有任何数据板流量通过它传递。控制器节点还部署在具有奇数个成员的集群中,以实现高可用性和可扩展性。控制器节点发生任何故障都不会对数据板流量造成任何影响。
Ø NSX管理平面:NSX管理器
NSX管理器提供了一个基于WEB的、用户交互友好的GUI管理仪表板,用于系统安装、管理和排错。系统管理员可以查看所有NSX组件和虚拟网络元素(逻辑交换机、逻辑路由器、网关,等等)的日志以及连接状态。NSX 管理器提供REST API与各种外部平台接口。
就像虚拟机一样,NSX管理器可以为虚拟网络做完整快照,用于备份、还原、自省和归档。NSX 管理平面由 NSX Manager 构建。NSX Manager 在 vSphere 环境中为 NSX 提供单个配置点和 REST API 入口点。
Ø 应用平面
NSX的应用可以直接通过NSX管理器UI驱动。在 vSphere 环境中,可通过 vSphere Web UI 本身使用。通常,在网络虚拟化中,终端用户与其云管理平台联系在一起,以部署应用。NSX 通过 REST API 提供一组丰富的集成功能,几乎可集成到任何 CMP。还可通过 VMware vCloud Automation Center、vCloud Director 以及具有用于 NSX 的 Neutron 插件的 OpenStack,获得开箱即用的集成功能。

Copyright © Dell服务器|Dell存储|华为服务器|华为交换机|Dell工作站|戴尔服务器代理|华为服务器代理|戴尔服务器渠道 版权所有 京ICP备19045621号
全国服务电话:13810713934   传真:13681011021
公司地址:北京市海淀区