软件定义网络(SDN)的到来,经常被认为是一种改变游戏规则的技术,这使得两个行业巨头和前盟友互相竞争:思科和VMware。
尽管这些公司从不同的方向来SDN,他们的软件定义的愿望实际上保证了对抗。因此,既然两家公司都已摊开了自己的SDN卡,现在是时候对它们的方法进行比较和对比了。
VMware很早就以12亿美元的价格收购了SDN收购初创公司Nicira2012年代中期。Nicira的网络虚拟化策略非常适合VMware的整个产品集,允许与vSphere等产品紧密耦合。
在收购Nicira的一年之后,VMware宣布了它的网络虚拟化平台NSX等车型的底盘2013年8月。VMware的客户想要将他们的数据中心虚拟化策略提升到一个新的水平,现在可以向他雷竞技电脑网站们信任的供应商寻求核心虚拟化需求。
网络巨头思科公司在容忍SDN网络的发展上动作迟缓,可能是因为SDN网络的到来给思科带来了最大的损失,因为SDN网络技术承诺要将网络智能从包处理设备中分离出来,并将其集中在控制器中。事实上,思科的SDN战略已经混乱了近两年。尽管该公司在SDN的保护伞下推出了各种产品和举措,但直到现在,还没有任何一种策略能让客户感到自己拥有了一种凝聚力。
+也在网络世界有个足球雷竞技app思科有这个SDN业务|理解SDN+
随着应用中心基础设施(ACI)在11月的发布,思科终于透露了它认为SDN应该是什么样的。思科斥资8.63亿美元收购了“内部网络”公司(Insieme Networks),并将其作为一家“外转”初创公司进行投资。
那么,VMware NSX和思科ACI是如何结盟的呢?在新兴的SDN产品生态系统中,它们又处于什么位置呢?为了找到答案,我们将更深入地研究每一种产品,探索它们的关键元素,它们是如何做到的,以及这对客户意味着什么。
VMware NSX等车型的底盘
VMware工程架构师Brad Hedlund简洁地描述了NSX的目标:“我们希望您能够以与部署虚拟机相同的速度和操作效率为应用程序部署虚拟网络。”
NSX通过提供管理程序虚拟交换机来满足应用程序的连接性和安全性需求,从而实现了这一崇高的目标。虚拟交换机通过覆盖网络在物理网络之间相互连接,这是一个不小的成就。
那么VMware是如何做到这一点的呢?有几个关键元素,它们都围绕着一个分布式虚拟交换机(vSwitch)。
vSwitch位于hypervisor的网络边缘,处理本地虚拟机之间的链接。如果需要到远程资源的连接,vSwitch提供对物理网络的访问。NSX vSwitch不仅仅是一个简单的网桥,它还是一个路由器,如果需要的话,它还是一个防火墙。
如果vSwitch是NSX解决方案的核心,那么NSX控制器就是大脑。熟悉SDN架构的人都知道NSX控制器是应用程序和网络的仲裁者。控制器使用向北的api与应用程序进行对话,应用程序表达了它们的需求,控制器在一个向南的方向对NSX控制下的所有vswitch进行编程,以满足这些需求。控制器可以为这些南向链接讨论OpenFlow,但OpenFlow不是解决方案的唯一部分,甚至不是关键部分。事实上,VMware一般不强调OpenFlow。
有了NSX,控制器可以作为一个冗余的虚拟机集群在纯vSphere环境中运行,也可以在物理设备中为具有混合管理程序的客户运行。
分布式防火墙是NSX的另一个关键部分。在NSX模型中,安全是在vSwitch的网络边缘完成的。这个分布式防火墙的策略是集中管理的。从概念上讲,NSX分布式防火墙就像有许多小的防火墙,但是没有维护许多小的防火墙策略的负担。
创建虚拟网络段覆盖协议。VMware的选择,支持多管理程序环境意味着他们也支持多种覆盖。支持虚拟可扩展局域网(VXLAN),无国籍运输隧道(STT)和通用路由封装(GRE),NSX通过建立以传统以太网帧和内部的叠加包的封装(隧道)他们的虚拟网络。每个叠加分组被标记有一个唯一的标识符,它定义虚拟网络段。
当然,并非所有网络都知道如何使用nsx定义的虚拟网络。要将非NSX网络连接到NSX环境,反之亦然,流量通过NSX网关,VMware将其描述为进入或离开逻辑网络的“入/出匝道”。
多系统管理程序支持是NSX策略的一个重要部分,它添加了Citrix Xen和KVM用户。事实上,NSX与许多环境元素无关,包括网络硬件,这是一个重要的属性。从网络工程的角度来看,理解这一点至关重要。
赫德伦德是这样说的:“当你把NSX放到网络虚拟化的画面中,你就把虚拟基础设施从物理拓扑中分离了出来。通过在管理程序之间进行解耦和隧道操作,您不必在所有机架和所有vm之间都使用第2层。你只需要有IP连接。如果你喜欢的话,你可以保留一个第二层的网络。您可以构建一个第3层织物,其中机架开关的第3层顶部连接到第3层核心交换机,提供一个扩展的、健壮的ECMP IP转发织物。现在,第二层邻接、逻辑交换和路由都由hypervisor中的可编程vSwitch提供。
换句话说,网络硬件不需要使用MPLS、802.1q VLANs、VRFs或其他网络抽象来创建安全隔离的多租户网络。相反,NSX控制的vSwitch通过在覆盖层中从管理程序到管理程序的隧道传输来处理这个问题。底层网络的职责仅仅是转发覆盖通信量。
对于考虑这种转发模型的工程师来说,广播、多播和未知的需要泛洪的单播(BUM)流量似乎会造成问题,因为BUM帧会被覆盖层从底层网络硬件中隐藏。Hedlund说:“在edge系统管理程序中,我们可以看到所有的终端主机。当VM打开时,我们立即知道它的IP地址和MAC地址。我们不需要通过网络协议来收集或学习。”Since all the endpoints are known to NSX, there’s no requirement for unknown unicast flooding. Multicast and broadcast packets are copied from hypervisor to hypervisor.
不过,覆盖并不是NSX网络虚拟化消息的全部。VMware工程师架构师Scott Lowe表示:“NSX的巨大增值之一是,我们现在可以将L4-L7网络服务引入虚拟网络,并能够提供这些服务、实例化它们并将它们作为虚拟网络的一部分进行管理。”
对于L4-L7网络服务,他指的是分布式防火墙和负载平衡器。作为NSX的一部分,VMware提供了这些额外的组件,因为它允许更高的网络效率。在传统的网络模型中,集中式防火墙和负载平衡器必须引导流量进行处理。对于包含在数据中心中的主机到主机的流量,这意味着必须忽略主机之间的直接路径,以支持包含网雷竞技电脑网站络设备的主机到主机的路径。
NSX通过在网络边缘内嵌放置这些服务,作为hypervisor vSwitch的流量的一部分,解决了这个问题。更重要的是,这些服务由NSX控制器管理,降低了内容的网络运营商负责。
尽管NSX的L4-L7服务是可用的,VMware意识到客户可能需要额外的功能,因此NSX将包括对第三方设备的支持。“我们不会试图成为世界上最好的负载平衡器或世界上最好的防火墙,在功能上击败所有人,”赫德伦德说。“我们将尝试提供80%——客户将部署的大部分功能。但如果你需要从特定的防火墙或负载平衡器中获得额外的功能,我们希望为这些功能提供一个集成的平台。”
事实上,VMware宣布NSW与一个崭露头角的合作伙伴生态系统合作,将Arista、Brocade、Cumulus、Palo Alto Networks、Citrix、F5、Symantec和其他几家厂商的产品列入NSX环境中。
尽管NSX拥有强大的网络虚拟化平台和可以追溯到Nicira时代的现有客户,但它也有批评者。工程社区主要关注的是NSX缺乏与网络交换硬件的通信,严重依赖于vSwitch可编程性来实现网络虚拟化目标。
虽然VMware尽其所能反驳这一观点,但事实是NSX并没有对构成NSX覆盖层底层结构的所有网络硬件有具体的了解,这对从流量工程到故障隔离和负载分配的所有事情都有影响。这并不是说NSX对物理网络一无所知,而是说NSX所知道的大部分知识都是推断出来的。
VMware的官方博客站点深入地解释了NSX可以帮助隔离问题域,从而在故障诊断应用程序问题(包括物理网络问题)时为管理员指出正确的方向。但是对NSX来说,物理底层网络很大程度上是一个云,隧道数据包从一边进入另一边退出。
除了对网络硬件的批评外,研究NSX的组织的早期报告还将价格作为采用的障碍。VMware和80%的所有者EMC对复杂的SKU构建表和昂贵的许可计划并不陌生,这让IT组织望而却步,据报道,NSX也不例外。尽管如此,VMware内部人士表示,他们已经意识到客户对这一领域的担忧,并希望避免另一场“vTax”公关灾难。可以这样说,潜在的NSX客户需要关注这个领域。
思科ACI
Cisco为其SDN工作选择的名称“应用程序中心基础设施(Application Centric Infrastructure, ACI)”非常重要,因为它会发送消息。有了ACI,思科专注于塑造网络基础设施,以满足特定网络应用的需求。
包括网络虚拟化吗?当然可以。但是对于ACI,网络虚拟化并不是全部。相反,ACI是一个完整的SDN解决方案,围绕着IT应用程序是组织中最重要的概念。
在这个意义上,很难直接比较NSX和ACI。虽然NSX和ACI之间存在一些功能重叠,但ACI不仅仅回答了这个问题:“如何实现网络虚拟化?”相反,ACI回答了这个问题:“如何转换网络以满足应用程序的需求?”
虽然解决方案像NSX一样复杂和微妙,但ACI的范围更广,方法也更新颖。可以想象,一个组织可以在ACI上运行NSX——但反过来不行。
尽管如此,ACI作为一个完整的解决方案还没有发布。想法都在那里。已经编写了大量的代码。产品组件已经命名。但是对于客户来说,ACI并不存在。投资于可用ACI组件的客户正在投资于路线图,这些路线图承诺在2014年交付完整的ACI解决方案。
除了可用性警告之外,思科还花了大量时间向网络社区描述ACI的愿景。解决方案是复杂的,许多元素一起工作,重新思考如何完成网络。
ACI平台最实际的元素是今天发布的Nexus 9000开关线。9000个开关是高密度的10GbE和40GbE,建立在“商人加”硅的概念上,就像在商人硅加定制思科ASICs。商人硅是博通三叉戟II,由其他几个开关供应商使用。自定义专用集成电路用于协助ACI服务的交付,但有关如何和为什么的细节尚未由思科公布。
应用程序策略基础设施控制器(APIC)将应用程序策略转换成网络编程,用于安全性、分段、优先级等。由于将APIC作为虚拟机交付会出现“先有鸡还是先有蛋”的问题,所以思科以物理形式和冗余选项交付APIC。Insieme Networks的首席科学家和联合创始人迈克•德沃金(Mike Dvorkin)指出,“要让(ACI)组织引导,你需要APIC。”但是要将APIC作为VM安装和启动,您需要使用这种结构。
与许多SDN模型一样,APIC位于应用程序和网络之间,将应用程序所需转换为满足这些需要的网络配置。思科表示,APIC是开放的,因为访问APIC数据的api将向任何希望向其写信的人开放。事实上,客户将能够下载“开放设备包”,这些包允许目前不属于ACI基础设施的网络硬件公开给APIC。