理查德Sillito
加拿大航空公司WestJet是VMware NSX网络虚拟化工具最早的客户之一,该工具最初是为了解决安全问题而使用的。有个足球雷竞技app《网络世界》主编约翰·迪克斯最近采访了西捷航空的技术专家理查德·西利托,了解了该公司对网络虚拟化的了解。
让我们从您的环境的缩略描述开始。
我们有两个地理上分散的数据中心,一个主数据中心有大约2000台服务器,其中雷竞技电脑网站80%是虚拟化的,另一个中心有大约500台服务器用于灾难恢复。我们还有第三个正在关闭的数据中心。雷竞技电脑网站
是什么推动你走向SDN?
我们的环境最初是为南北交通设计的。您进入并访问DMZ,您可能访问内部服务器,也可能访问安全内部服务器,然后再次返回。这条路很简单。但一旦我们开始整合其他系统,我们引入了更多东西交通。
例如,我们为电子商务网站和企业用户提供了独立的网络连接,并认为这两者永远不会相遇。然后我们引入了身份管理,并表示身份将用于认证和为西捷航空的每个人提供服务,包括员工和客人。
人们登录Westjet.com,客户门户就会出现,他们会提供某些服务,但如果你以员工身份登录,你会得到所有这些服务以及额外的公司服务。所以突然之间,这两种服务的细分就没有任何意义了。你进入eCom,到公司非军事区连接到那个服务,然后进入公司服务。正是这种多重路径开始给我们的网络带来巨大压力。
更重要的是,我们已经增加了许多其他服务。我们的奖励计划最初是自己的网站,但后来我们把它整合到主网站中,假期是一个独立的网站,我们也会把它整合进去,因为客人不想登录一个网站做这个,又登录另一个网站做那个。他们希望能够登录并访问他们的所有服务。因此,当我们将这些整合到一个门户网站时,我们将进一步增加东西方向的流量。
所以你意识到你有问题在酝酿,你是如何将SDN或网络虚拟化作为解决方案的?
这个东西方向的交通问题扩散到防火墙。随着连接数量的增加,防火墙规则几乎呈指数级增长。所以我们看到了防火墙规则的快速增长。但随着服务的扩大,情况也会变得更糟,因为当你启动一个新服务器时,你会为该服务器创建所有的防火墙规则。这意味着当你纵向扩张时,你需要承担工作量。
所以这确实是一个安全问题。我们处理安全问题的方式是强迫网络做一些事情,就像我老板说的,不自然的事情。我发现这是一个细分问题。我们分割的方式没有意义。
我研究了不同的细分模型,从基于数据分类的细分开始。但是,使用该模型,您需要的防火墙规则数量(因为这些敏感数据系统仍然需要与非敏感数据系统进行通信)仍然会导致一个巨大的规则集。你还有很多东西要维护。
然后我从遵从性的角度来看,同样的问题也出现了。我们的PCI系统仍然需要与数据中心中的许多其他系统进行通信。雷竞技电脑网站这并没有解决细分问题。
然后我看了看网络,说:“网络就是服务。这就是它的作用。服务通常与端口相关联,如果你有一个组织良好的数据中心,它们通常与网络上的某个位置相关联。”雷竞技电脑网站所以当我从服务的角度来看待它时,它变得非常简单。
所以我开发了这个模型,我们把它带到技术委员会,我们得到了批准,开始研究技术。第一个想法是将二层透明防火墙与我们的核心路由器配对。我称它为大铁解决方案,因为路由器在桥接的二层模式下运行,你只需把它插入流量流的中间。基本上,我们有核心路由器,只需要通过防火墙从核心路由器发送数据。所以它本身没有第三层接口。
你为什么不喜欢这种方法?
这是昂贵的,并没有优化东西交通。它所做的就是把东西方向的交通问题放在网络的一个地方这样我们就可以投入足够的资源来解决它。但当VMware推出这个叫做NSX的新产品时,我们正在从一系列公司中寻找多种选择。我们让他们来现场,马上就有了反应。
促使我们开始采用这种方法的一大因素是将物理设备带入虚拟世界的理念;事实上,我们可以创建一个由物理和虚拟设备组成的网络段。你可以通过VLAN来实现,但这并不完美。这里的解决方案要优雅得多。
第二件事是能够通过保持主机上的流量来优化东西流量的概念,这在现实世界中是做不到的。我们的计划涉及到所有这些不同的服务泡沫,每个泡沫必须将流量发送到核心,以便与另一个泡沫对话。就像我说的,如果我们把这个问题集中起来,我们可以扔更多的硬件去解决它,但是更好的是,如果这些工作负载在同一个主机上,那么我们就可以在主机上检查流量,而不用把它发送到核心上再返回。
你在主机上有虚拟防火墙吗?
这是正确的。他们称之为逻辑分布式防火墙。
你使用VMware的虚拟防火墙吗?
是的。现在我们专注于Layer 1-4的防火墙。更高级别的检查通常是南北检查,所以我们在边缘仍然有硬件防火墙,我们有其他安全设备在它到达数据中心之前进行检查。雷竞技电脑网站但我们知道我们也想在东西交通上增加一些5-7层,所以我们正在寻找供应商。这就是所谓服务链接的有趣哲学的由来。
通过服务链接,我可以将设备插入到流量中,但没有典型的网络限制。路由不是很具体,所以今天我必须从这个工作负载中获取所有流量并将其路由到安全设备,然后过滤并发送。但我为什么要把我的备份流量发送到web应用程序防火墙之类的东西呢?所以我们倾向于超载安全设备因为我们必须让所有的流量通过它们。
但是有了服务链接,控制器就会聪明地说:“哦,如果端口是80或443,那么就把流量分流到web应用程序防火墙,但是端口是7777备份流量,没有必要让你通过那里。”所以我们可以更有选择性地对待交通。整个想法就是减少我们需要为这些设备购买的容量。
回到把物理设备带入虚拟世界的想法上,你能扩展一下吗?
我们有一些XML防火墙,一些负载均衡器和信用卡标记盒,所以从我的应用程序的角度来看,如果我需要标记一个信用卡号码,我将它发送到那里并取回它,其他服务也是如此。
现在,如果我在提供这些服务的硬件上创建虚拟接口,那么我就可以将这些虚拟接口映射到覆盖网络,并使每个框出现在多个覆盖中。所以现在对于服务所有者来说非常简单。他们以为自己在和代币经纪人谈话。“这是同一个IP地址空间,所以它一定是我的代币代理。”我们只是把它混淆了,让它们在泡泡里出现。
你会使用OpenFlow来绑定这些硬件吗?
硬件厂商的目标是参与SDN网络。它们必须这样做,因为如果你仔细观察的话,整个东西都是由隧道连接在一起的。即使有了OpenFlow,它仍然是通过隧道连接在一起的。所以必须有某种方法让数据包知道它必须到那个交换机然后用VNI把它传递到那个交换机让VNI把它转换成VXLAN。它从哪里得到这些信息?最好的地方就是控制器。
但最大的问题是物理空间和虚拟空间。这就像是两个不同的SDN阵营,那么这个世界将如何走到一起呢?我个人的感觉是,我们将会看到,而且我们已经开始看到,SDN控制器共享状态。
但是您还没有真正开始将网络硬件组件集成到这个网络虚拟化世界中吗?
我们有,也有挑战。我们有办法克服这些挑战,所以我们将在虚拟世界中拥有实体,但我们不会以我们最终想要的方式拥有它。但供应商正在进入这一领域。
所以你决定选择NSX。你在这方面的立场是什么?
我们还在设计阶段,很快就会实施。我们在实验室里做了很多工作。我们很幸运能成为第一个测试客户。NSX在我们实验室已经有一年多了。
你是一个纯粹的VMware商店吗?没有其他管理程序要应付吗?
不。如果你有其他的管理程序,真正的挑战是,你不能得到优化的东西流量。因为它实际上是逻辑分布式路由器和逻辑分布式防火墙,可以让你保持主机上的流量。这是旧的东西,如果你想要所有的功能,你最终会被锁定。
这个要多久才能推出?这个过程是怎样的?
一根绳子有多长?我们的想法是从我们的网站开始,我们希望在12月之前建成。当然,我们希望看到它在年底前投入使用。大概有200台服务器那么大。
+也在网络世界有个足球雷竞技app企业准备好网络虚拟化了吗?+
向网络虚拟化的转变是否要求您在组织层面上做出任何改变?
看到这种进化真的很有趣。有很多方面。有些人想知道,“虚拟化之后我的工作是什么样子的?”然后整个想法是,“我们是否要创建一个独立的云团队?”或者这是一种基于社区的方法?”实际上,我们有建筑师在研究什么运营模式对西捷航空最有利。
我在早期阶段是如何合理化的——因为我需要让人们开始一起工作——我说,让我们创建一个云团队;从IT部门拉出资源并将它们聚集在一起。一个挑战是我们没有那么大。我们只有230名IT人员。你开始从某些群体中抽出一两个人你就减少了他们五分之一的能力。
如果你把这些人拉进一个团队,他们就会变得孤立,脱离自己的世界。现在可以将虚拟网络与物理网络分离了。您正在将虚拟安全与物理安全分离。你正在将所有这些脱钩,这是一件健康的事情吗?当然,它使运行云更容易,但它是否在您的it中创建了连续性?我认为没有。
所以最终我想,建立一个软件定义的数据中心和建立一个数据中心没有什么不同,当我们建立我们的上一个数据中心时,雷竞技电脑网站我们没有说,“好吧,我们把人们从IT部门拉出来,放到东部数据中心团队。”每个小组都有一个代表,他们将成为把知识引进和再引进的桥梁。
所以我从根本上用同样的方式看待它,并说,“让我们假设我们正在建立一个数据中心。”雷竞技电脑网站所以我召集了网络方面的人,服务器运维方面的人,安全方面的人,还有一群架构师,我们成立了一个叫做V团队的小组。我们每周开会一次,制定设计方案,解决问题,听演讲,做那周日程上的任何事情。
NSX是如何在今天的实验室中存在的?每个小方面你都做模型吗?
它仍然相对封闭,但这是软件定义网络的优点之一。你可以让它变得非常复杂,但它不会影响物理层。只要你有几个来回发送流量的主机,你就在验证你需要验证的一切。它很简洁,因为它的伸缩性很好。这就是它的美妙之处。现在所有的事情都在规模上失败了,所以它会在某个点上失败,对吧?对我们来说,一个相对较小的数据中心相比其他运营NSX的人,我们去技术顾问委员会,听到他们推动雷竞技电脑网站的数字,然后我们想,“是的,我们可能不需要担心这些。”
还有什么是我们没有提到但你认为在这段旅程中很重要的吗?
如果我真的要总结的话,那就是我们找到了一种方法,将网络安全策略置于其中,而不依赖于网络的工作方式。我记得我们有一次关于web堆栈的白板会议,有人说我们必须考虑把流量路由到防火墙。我说:“不,我们没有。你只要让交通流动。我将设置策略,并在策略从虚拟机进出时应用该策略。我不管你怎么说。这对我来说不再重要了,因为我可以围绕虚拟机设置策略。”这种能力,我认为,将会是巨大的。