NSX-T系列一：介绍

网络虚拟化的实现原理：

NSX 为虚机提供了虚拟化的网络，把虚机和物理网络相隔离，做到了网络服务与具体的物理网络设备无关，使得用户在网络设备的选择和采购上有着更大的灵活性。NSX 在虚拟网络上可以提供几乎所有的网络服务，如：路由器、负载均衡、防火墙等。除了这些常规的功能，NSX 还能够提供一些传统物理网络无法实现或实现代价很高的功能：

东西向防火墙：

通常我们把数据中心内部的网络流量称之为东西向流量，数据中心内部和外部的流量称之为南北向流量。数据中心一般只在对外的网络边界上设置防火墙，因为原则上认为入侵风险来自于外部，数据中心内部是相对安全的。如果使用硬件防火墙的话，就需要在所有的业务系统之间设置防火墙，且不说这是一笔很大的硬件投资，就是防火墙规则的设置和维护也是一个巨大的工作量，所以没有数据中心会这么做。但是 NSX 可以很容易地通过软件实现这一功能，把来自于数据中心内部的入侵风险降到最低，即使黑客能够攻陷某一个应用，他也无法访问到数据中心内部其他的系统。

网络微分段：

传统的物理网络是用物理网段或 VLAN 来隔离不同网络的，而且只能隔离到物理服务器（同一服务器上的虚机之间还是没有隔离的），当需要对网段进行调整时，需要调整物理网络或 VLAN，这可不是一件轻松的工作。微分段 (Micro-segmentation) 是通过分布式防火墙实现的功能，每个虚机都有一台防火墙，自然可以很轻松地隔离微分段之外的虚机。

软件定义数据中心：

各个业务系统在 NSX 虚拟网络平台上相互隔离，但共用同一个物理网络。

NSX 所提供的虚拟化网络平台不再要求各业务系统的网络物理隔离，只需要标准化的交换机或路由器把整个数据中心联成一张大网，NSX 会在虚拟网络层上根据业务需求提供隔离（使用微分段技术）。数据中心网络的规划和管理大大简化，既可以降低网络设备的采购成本，也可以有效降低网络的运营管理成本。

在NSX 虚拟网络上，传统网络中由硬件提供的路由 (RT – Routing) 、交换 (SW – Switching)、负载均衡 (LB – Load Balancing)和防火墙 (FW – FireWall) 功能都改由软件来实现了，具有更大的灵活性。

VMware昨天推出了其NSX网络虚拟化软件最重要的一次升级。这次升级实际上是将网络与VMware虚拟机管理程序（运行虚拟机，或者在软件中模拟的计算机）进行分离。

至顶网网络频道 02月28日 编译：VMware昨天推出了其NSX网络虚拟化软件最重要的一次升级。这次升级实际上是将网络与VMware虚拟机管理程序（运行虚拟机，或者在软件中模拟的计算机）进行了分离。

据悉，VMware的NSX-T Data Center 2.4和NSX Cloud现在运行在AWS、微软和IBM的基础设施即服务平台上，以及VMware自己的混合云和本地产品上。

通过这次发布，VMware将完全转向混合云和多云环境。据Gartner称，到明年混合云及多云环境将在3/4的大型企业中普及。这是VMware推动所谓“虚拟云网络”战略的一部分，在该战略下，NSX本身属于“从数据中心到云端到边缘基础设施一个无处不在的软件层”的重要组成部分，也是VMware与思科展开竞争的关键，后者也有类似端到端的愿景。

此外，VMware公布了抢眼的客户采用数据。VMware表示，已经有10000个客户站点部署了NSX，其中包括82家财富100强企业和70％的全球财富500强企业。

除了运行在主流云之外，NSX网络虚拟化平台现在还嵌入到了整个VMware产品组合中，包括VMware Cloud Foundation、VMware Cloud on AWS、VMware Enterprise Pivotal Container Service和VMware vCloud Network Function Virtualization，也将成为Amazon最近公布的云堆栈本​​地版AWS Outposts中的一部分。

以应用为中心

对于拥有大型网络（越来越多地涵盖了多个云）的企业组织而言，网络虚拟化被视为一种从基于设备管理的视角，转向以应用需求为驱动的视角。

NSX高级产品营销经理Jonathan Morin说：“我们过去常常谈论‘NSX无处不在’，这次发布扩展了这一概念，但将重点从无处不在转向了每个人。我们正在将应用作为业务的中心。”

VMware网络和安全高级副总裁Tom Gillis表示，我们的目标是让配置和管理网络的任务与在公有云中的内部部署一样简单。“在公有云中，开发人员单击按钮就可以启动工作负载，这种敏捷性是由软件驱动的。我们正在为数据中心带来同样的自动化水平。”

这次发布的新版本最重要的功能之一是简化了安装，VMware表示，软件定义网络的配置时间从几天缩短到几分钟。使用Ansible开源配置管理工具包构建的模块，可以实现安装工作流程的自动化。VMware表示，此外还增加了一个基于HTML5的新用户界面，以提供说明性指导，减少完成配置任务所需的点击次数和页面跳转次数。

VMware表示，将基础设施管理转移到代码中，可以消除配置开销并让开发人员使用策略定义来处理自己的部署，从而让企业能够更快速地开发应用。Gillis表示：“安装非常简单，你以前要安装许多组件，现在只有一个。”

软件定义网络还可以让企业组织在应用层面指定策略，而不必担心配置单个设备，从而增强安全性。“异构环境中可能就有5000个防火墙规则，手动编写所有规则几乎是不可能的。NSX对这些组件的内容有着内在的理解，可以在内部部署和云端模式下应用策略。”

网络虚拟化也改善了资源利用率，其方式与服务器虚拟化将多个处理器视为一个处理器的方式相同。Gillis说，客户通过虚拟化可以将设备利用率提高30％到35％。

新推出的NSX尚未包含用于管理软件定义WAN的原生功能，但去年VMware收购了VeloCloud Networks之后将这些功能整合到了内部。这两个产品系列将同时独立存在，但Gillis表示，“我们要将SD-WAN与数据中心产品融合在策略层中。”

NSX-V和NSX-T都提供了动态路由，该路由允许在第2层网段之间转发信息。当涉及到虚拟环境时，NSX允许提供比传统路由器更多得多的分布式和高效的路由机制，从而使虚拟机能够以更少的路由成本或不必要的跃点进行通信。这既包括东/西和北/南交通。

NSX-V路由

借助NSX-V，NSX Edge可提供能够隔离虚拟网络的网络边缘安全性和网关服务。Edge可以安装为逻辑（分布式）路由器或边缘服务网关。

[if !supportLists]· [endif]NSX-V分布式逻辑路由器为东西方分布式路由提供租户IP地址空间和隔离服务。如果位于不同子网上的VM驻留在同一主机上，则需要进行通信，则不必将流量从主机传输到传统的路由接口，然后再传输回同一主机内的VM。取而代之的是，借助DLR，VM可以进行通信而无需这些不必要的跃点

[if !supportLists]· [endif]NSX-V Edge服务网关通过提供进行通信所需的网关服务（例如DHCP，VPN，NAT，动态路由和负载平衡）将隔离的网络连接到共享的上行链路

NSX-T路由

NSX-T中的路由是针对当今的云和多云而设计的，具有多租户用例，需要支持多层路由。多层路由模型提供了提供商路由器功能和租户路由器功能之间所需的隔离。这种多租户可用性直接内置于NSX-T平台中。

[if !supportLists]· [endif]第0层逻辑路由器–执行第0层逻辑路由器的功能。它处理逻辑网络和物理网络之间的流量

[if !supportLists]· [endif]第1层逻辑路由器–执行第1层逻辑路由器的功能。它的下行链路连接到逻辑交换机，而上行链路连接到第0层逻辑路由器

有趣的是，使用NSX-T注意，运行多层路由不是强制性的。单个Tier-0逻辑路由器可以连接到物理基础设施以进行北向通信，然后直接连接到南向逻辑交换机。这允许在内核中进行分布式东/西路由，也可以进行集中式北/南路由。

在以下情况下，使用多层路由方法将使您受益：

[if !supportLists]· [endif]您有多个需要隔离的租户

[if !supportLists]· [endif]提供者管理员和租户管理员之间的委派管理–提供者管理员控制第0层逻辑路由器，而租户管理员控制第1层逻辑路由器

[if !supportLists]· [endif]您正在利用Openstack，Kubernetes，Pivotal Cloud Foundry—明辰智航

---