NSX network virtualization · hipervizora zadužena za rutiranje • Multitenant podrška • EDGE...
Transcript of NSX network virtualization · hipervizora zadužena za rutiranje • Multitenant podrška • EDGE...
-
NSX network virtualization
Milan Vujović
-
Šta je SDDC?
• Sve tri komponente virtualizovane
• SDDC nije produkt, SDDC je pristup
• SDDC je u potpunosti automatizovan, nezavisan od
hardvera i lokacije
• Može da se prostire na više fizički udaljenih lokacija
-
Virtuelizacija mreža
-
Virtuelizacija mreža
Problemi: Tradicionalni pristup organizacije mreža ne omogućava
programabilno kreiranje novih mreža
Konfiguracija uređaja je uglavnom spora, potrebno je
konfigurisati svaki uređaj posebno
Redundantan L2 segment, STP, TRILL
L2 over L3
Administratori su skloni greškama
Rešenje je virtuelizacija mreža • Centralizovana konfiguracija
• Automatizacija
• Mikrosegmentacija
-
Sta je omogućilo virtuelizaciju mreža?
OpenFlow
Korišćenje overlay mreža
VXLAN (VTEP), STT
“mrežni hipervizor”
Cisco ACI
Nexus 9000
-
Overlay mreže
L2 Frame L2 FrameVXLANHDR UDPHDROuter
IPHDR
OuterMACHDR
L2 Frame
VM Sends a standard L2 Frame
1
Source Hypervisor (VTEP)Adds VXLAN, UDP and IP Headers
2
Destination Hypervisor [VXLAN Tunnel End Point (VTEP)] de-encapsulates headers
4
Physical Network forwards frame as standard IP frame
3
Original L2 Frame delivered to VM
5
-
7
Virtuelne mreže su izolovane (overlapping IP addresses)
IPv6 over IPv4
-
Komponente NSX-a
-
NSX kontroler
Komponenta u kontrolnoj ravni odgovorna za upravljanje
switching i ruting modulima u hipervizorima.
NSX kontroler upravlja MAC, ARP i VTEP tabelama
Realizuje se kao klaster kontrolera, gde svaki kontroler
upravlja odredjenim logičkim mrežama
-
VXLAN replikacija
Tri moda replikacije BUM saobraćaja:
Multicast (IGMP, multcast routing)
Unicast (za mala okruženja)
Hybrid
1600 bytes MTU
Od verzije vSphere 6 više tcp/ip stekova
-
DLR i EDGE
• DLR (distribuirani logički ruter) je komponenta u kernelu
hipervizora zadužena za rutiranje
• Multitenant podrška
• EDGE je VM zadužena za centralizovano rutiranje
-
Funkcije EDGE gw-a
• Zadužen za komunikaciju sa “fizičkim svetom”
• Firewall
• NAT
• DHCP
• statičko rutiranje i dinamičko rutiranje(OSPF, BGP, ISIS)
• Load Balancing
• Site-to-Site VPN, SSL VPN
• L2VPN
-
Distributed vs Central routing
75% saobraćaja u datacentrima je izmedju servera (Eest-West)
-
Slabije performanse?
-
Distribuirani firewall
Komponenta instalirana u kernelu hipervizora
Polisa na nivou vNIC
Security polisa je vezana za VM, gde god se ona
nalazila
Mnogo efikasniji pristup od centralizovanog firewall-a
Scale Out rešenje
Moguća je integracija sa third-party rešenjima
-
Distribuirani firewall
-
NSX i third-party security rešenja
NSX DFW je osnovni statefull firewall, ne pruža
napredne funkcionalnosti
Next Genaration Firewall funkcionalnosti:
Application visibilty
User, device and application aware policies
Protection against known and unknown threats
Tagovanje mašina
-
Palo Alto Networks Next-Gen Firewall Example
Internet
Security Policy
Security Admin
TrafficSteering
-
NSX i SDDC
Data Center Security
Automatizacija data centara i cloud okruženja
Migracija data centara
Disaster Recovery
Scale out rešenje
-
Hvala na pažnji!