一、概览
VMware提供了两种NSX软件定义的网络平台:NSX-v和NSX-T。
NSX-v与VMware vSphere紧密集成,需要先部署VMware vCenter。VMware NSX-v特定于vSphere虚拟机 hypervisor环境,是在NSX-T之前开发的。
NSX-T设计用于异构的虚拟化平台和多hypervisor环境,也可用于NSX-v不适用的情况。NSX-v仅支持VMware vSphere的SDN,但NSX-T还支持KVM、Docker、Kubernetes和OpenStack的网络虚拟化堆栈以及AWS原生工作负载。VMware NSX-T可以在不使用vCenter服务器的情况下部署,并可用于异构计算系统。
1)数据中心中的VMware NSX具有四个主要优点,可以使网络现代化。
>微分段:
>多云网络:
>网络自动化:可以从编程API接口进行完全访问,配置和管理,通过使用PowerCLI和其他脚本和配置管理工具(例如vRealize Automation),可以以流畅的,软件定义的方式自动化和配置NSX。
>云原生应用:
2)NSX的体系结构中,存在三种不同的操作平面:管理,控制和数据平面
3)NSX基础结构由主要组件:
NSX Manager – NSX Manager提供对NSX解决方案的管理平面的访问,还提供对可以从编程角度进行交互的API的访问。NSX Manager部署为NSX-V和NSX-T平台中的虚拟设备;NSX-T 2.4引入了包含NSX Manager和NSX Controller的组合设备
NSX Controller – NSX Controller是NSX基础结构组件,它使用网络封装协议创建覆盖网络,以承载跨物理网络各个部分的虚拟网络流量;对于NSX-T 2.4,该控制器与NSX Manager结合使用
NSX Edge – NSX Edge为NSX基础结构以及DHCP,NAT,HA和负载平衡器提供路由和网关服务
4)概念:
微分段:当使用传统方法在虚拟环境中配置多个网络之间的访问时,通常会部署运行在VM上的物理路由器或ESG,尽管这种方法不是特别快速或方便。VMware通过使用内置在hypervisor核心中的分布式防火墙,在NSX中实现了微分段概念。相关安全策略、IP地址、MAC地址、VM、应用程序和其他对象的网络交互参数都可在该分布式防火墙中设置。如NSX部署在ADDC(AD域控),还可以使用Active Directory用户和组等对象来配置规则;每个对象都可以被视为具有自己的DMZ(非军事区),可看作是各自网络的自身安全边界中的一个微段。分布式防火墙允许我们分割虚拟数据中心实体,如虚拟机。分段可以基于VM名称和属性、用户身份、vCenter对象(如数据中心和主机),也可以基于传统的网络属性(如IP地址、端口组等)。Edge防火墙组件可帮助用户满足关键的外围安全要求,例如基于IP/VLAN构造构建DMZ、多租户虚拟数据中心中的租户到租户隔离、网络地址转换(NAT)、合作伙伴(外部网)VPN和基于用户的SSL VPN。
如果VM从一个主机迁移到另一个主机,从一个子网迁移到另一个子网,则会根据新位置应用访问规则和安全策略。如果数据库服务器正在迁移的VM上运行,则在完成迁移到其他主机或网络后,防火墙中为此VM设置的规则将继续适用于此VM,从而保证数据库服务器仍可访问那些未迁移的(原来的)VM上运行的应用程序服务器。
二、总体区别
NSX-V是原始的软件定义的网络解决方案,基于VMware在2012年收购Nicira。
NSX-V是围绕VMware vSphere生态系统构建的,并且包含VMware vSphere中所期望的要求,例如拥有vCenter Server和ESXi主机。VMware NSX-V解决方案现已更名为NSX-V数据中心,它是从vSphere产品线衍生而来的两种技术中的较老版本。
NSX-T是下一代软件定义的网络SDN解决方案,它提供了VMware的软件定义网络的下一代演进。NSX-T中的“ T”用于“变形金刚”。如果您当前正在寻找新的NSX部署进行本地安装,那么考虑使用NSX-T是完全有意义的,NSX-V可以简单地折叠到NSX-T提供的功能。NSX-T现在更名为NSX-T数据中心。
NSX-T和NSX-V的主要区别在于,NSX-T已从VMware vSphere中“解锁”。换句话说,您不必具有vCenter Server即可部署NSX-T。这使VMware可以进入云和更多混合基础架构的新领域。当前,NSX-T包含对不同虚拟机管理程序和环境的支持。
NSX-T专注于支持云原生应用程序,裸机工作负载,多管理程序环境,公共云和多云环境。实际上,ESXi,KVM,裸机服务器,Kubernetes,OpenShift,AWS和Azure支持NSX-T。
最近,亚马逊宣布了Amazon Outposts产品,该产品即将在数据中心内进行配置。Amazon Outposts的一个鲜为人知的事实是,即使不提供本地版本的AWS上的VMware Cloud的Amazon“仅”解决方案也具有由VMware NSX-T驱动的网络。
NSX-T 2.4版本是NSX-T的里程碑版本。在2.4发行之前,NSX-V始终具有比NSX-T更多的功能,这始终是两者之间的一个差异点,而对NSX-V的关注最多。但是,NSX-T Data Center 2.4改变了一切。它标志着每个人都在等待的主要版本NSX-T。与NSX-V达到相对功能均等的版本终于在这里。
现在,NSX-T 2.4已发布,前进的道路是NSX-T数据中心。如上所述,您应该在NSX-T上进行部署。NSX-T代表了明天的SDN技术,因为它专注于云并且与特定的虚拟机管理程序或平台无关。
NSX-V是VMware提供的功能强大的SDN解决方案,但它代表了今天和昨天而不是明天的技术。明天的工作负载将集中在云上,并且与虚拟机管理程序无关。VMware意识到了这一点,并在战略上对NSX-T进行了工程设计,以应对本地,混合和多云环境的软件定义网络挑战。
三、部署方式
与在vSphere环境中部署NSX-V或NSX-T的高层比较,该过程看起来非常相似。对于每个NSX解决方案,部署都是从部署NSX Manager开始的,但是相似之处从此结束。
NSX-V要求您向VMware vCenter注册NSX Manager
NSX-T允许您将NSX-T解决方案指向VMware vCenter以注册您的传输节点或ESXi主机
NSX-V Manager是一个独立的解决方案,需要部署其他NSX Controller
带有NSX-T 2.4的NSX-T Manager是组合的设备,在同一虚拟设备中同时包含NSX Manager和Controller功能
NSX-T具有必须完成的N-VDS附加配置,包括上行链路配置文件等
四、NSX-V与NSX-T许可
有趣的是,NSX-V和NSX-T的许可完全相同。因此,如果您具有NSX-V的许可证密钥,则可以将此许可证密钥插入NSX-T,它将起作用。至少在这一点上,VMware尚未从许可角度区分解决方案。这也包括每个产品的许可版本。
五、封装协议:NSX-V:VXLAN和NSX-T:GENEVE
当在进行了封装的情况下查看NSX-V与NSX-T时,NSX-V使用更传统的VXLAN封装,而NSX-T采用了一种称为GENEVE的更新封装协议。
VXLAN或VxLAN是一种虚拟网络封装协议,可帮助解决与传统虚拟LAN或VLAN相关的许多限制和挑战。VXLAN使用一种封装,该封装允许将第2层帧封装在UDP数据报内,从而允许跨物理网络边界或网段逻辑地形成网络。
用VXLAN创建的虚拟网络被称为VXLAN隧道,并通过软件或实际的物理交换机端口终止,该端口可以理解为可以与启用VXLAN的网络通信。这些终结点定义为VXLAN隧道终结点或VTEP。
传统的VLAN有大约4000个网段的限制,可以创建这些网段来划分流量。在当今以云为中心的网络环境中,此数字可能会遇到限制。但是,对于VXLAN,标头包含一个24位字段,该字段保留给唯一标识VXLAN的VXLAN网络标识符(VNI),但VXLAN的MTU值必须为1600或更高,以容纳额外的封装头空间,这样就可以创建大约1600万个唯一的细分。这远远超出了传统VLAN。使用以VXLAN VTEP终止的VNI构造,您可以创建跨越整个物理基础架构并以与传统第2层VLAN几乎相同的方式运行的“逻辑”网络。该覆盖网络在物理底层的顶部流动。下图为vxlan通信的网络示意图:
VXLAN采用MAC over IP封装,网络隔离的工作原理不同于VLAN技术。传统VLAN的网络数量有限,根据802.1q标准,网络数量为4094,通过在以太网帧头中添加4个字节,在物理网络的第2层上实现网络隔离。VXLAN的最大虚拟网络数为2^24。在这种情况下,VXLAN网络标识符用于标记每个虚拟网络。覆盖网络的第2层帧封装在通过物理网络传输的UDP数据报中。
VXLAN header由以下几个部分组成:
8位用于标志。为了使VXLAN网络ID(VNI)有效,I 标志必须设置为1。其他7位是保留的R字段,在传输时必须设置为零。在接收时忽略设置为零的R字段。
VXLAN网络标识符(VNI),也称为VXLAN段ID,是一个24位值,用于确定用于相互通信虚拟机的单个overlay网络。
保留字段(24位和8位)必须设置为零,并在收到时忽略。
VXLAN头的大小是固定的,等于8字节。建议VXLAN使用MTU设置为1600字节或更多的巨型帧。
GENEVE(Geneve)是一种虚拟网络封装协议,其明确目标是仅定义封装数据格式。它不包含控制平面的任何信息或规范。GENEVE封装的数据格式使其具有尽可能高的灵活性和可扩展性。GENEVE经过精心设计,可以承载的不仅仅是虚拟网络标识符信息。
毫无疑问,新的要求和需求将在封装协议中被抛弃。具有灵活性,可扩展性并可以将元数据作为TLV(类型,长度,值)字段插入,从而使GENEVE能够根据网络的需求随时间推移而发展。
GENEVE可以通过标准网络设备进行封装和传输。它可以使用单播或多播寻址。
相关经验验证,GENEVE封装协议的性能也比VXLAN更好,吞吐量更高,CPU利用率更低。VMware建议使用MTU 1600来声明封装头。
六、二层网络区分
VMware NSX-T虚拟分布式交换机是VMware虚拟交换机系列中最新的交换机类型。它是一种NSX-T技术,而传统的NSX-V使用vDS;N-VDS其是与VMware vCenter分离,N-VDS虚拟交换机将不依赖vCenter Server进行配置,并且会在传输节点(例如ESXi)上创建的主机交换机。它具备:从vCenter Server解耦,跨平台支持(可以在VMware vSphere环境之外使用),可定义不同的上行配置文件,配置VLAN和覆盖逻辑交换机等特征。
N-VDS虚拟交换机的特征:
1)pnic是主机上的物理端口
2)可以将pnic捆绑在一起以形成链路聚合(LAG)
3)上行链路是N-VDS的逻辑接口
4)上行链路分配了Pnic或LAG
5)ESXi上可以有任何组合(KVM主机只能定义一个LAG)
N-VDS分组政策:
1)分组策略:定义上行链路冗余和故障转移模型
2)NSX-T中剩余的两个策略–故障转移顺序和源端口(仅在ESXi中)
3)N-VDS虚拟交换机不支持基于负载的分组和IP哈希分组
NSX-T逻辑交换机是使用GENEVE封装而不是VXLAN形成的,并且创建了与VXLAN创建的NSX-V中使用的逻辑交换机类似的覆盖功能。逻辑交换机位于NSX-T的“高级网络和安全性”功能下,并提供允许通用交换机流量功能(例如BUM流量)的逻辑交换机。
NSX-T第2层桥接解决方案涉及ESXi桥接群集,桥接端点和桥接节点。ESXi桥群集可提供桥节点的高可用性。在这种情况下,桥接节点(例如ESXi)实际上就是桥接。用于在虚拟网络和物理网络之间桥接的NSX-T逻辑交换机具有VLAN ID。网桥端点标识网桥的属性,例如网桥群集ID和VLAN ID。
NSX-V,逻辑交换机是分布式的,可以跨计算群集。这样可以实现跨物理VLAN边界的诸如vMotioning虚拟机之类的功能。MAC / FIB表包含在逻辑软件表中。逻辑交换机映射到特定的VXLAN,该VXLAN封装VM流量并通过基础物理网络发送。对于NSX-V,NSX控制器是逻辑交换机的中央控制点,并保留使用逻辑交换机的所有对象的信息。
NSX-V中的逻辑交换机允许在逻辑交换机和物理VLAN之间创建第2层桥接,实现包括从物理到虚拟或V2V的迁移,将无法虚拟化的设备连接到NSX基础结构以及物理路由器,防火墙等。多个2层网桥可映射到单个物理VLAN。您可以在NSX-V内部运行多个L2桥接。NSX-V要求在同一vSphere Distributed Switch(VDS)上具有VLAN端口组(一般一个即可)和VXLAN逻辑交换机。
七、架构区分
八、路由比较
NSX-V和NSX-T都提供了动态路由,该路由允许在第2层网段之间转发信息。
NSX-V路由:
借助NSX-V,NSX Edge可提供能够隔离虚拟网络的网络边缘安全性和网关服务。Edge可以安装为逻辑(分布式)路由器或边缘服务网关。
NSX-V分布式逻辑路由器为东西方向(vm之间)分布式路由提供租户IP地址空间和隔离服务。如果位于不同子网上的VM驻留在同一主机上,则需要进行通信,则不必将流量从主机传输到传统的路由接口,然后再传输回同一主机内的VM。取而代之的是,借助DLR,VM可以进行通信而无需这些不必要的跃点。NSX-V Edge服务网关通过提供进行通信所需的网关服务(例如DHCP,VPN,NAT,动态路由和负载平衡)将隔离的网络连接到共享的上行链路。
NSX-T路由:
NSX-T中的路由是针对当今的云和多云而设计的,具有多租户用例,需要支持多层路由。多层路由模型提供了提供商路由器功能和租户路由器功能之间所需的隔离。这种多租户可用性直接内置于NSX-T平台中。
第0层逻辑路由器–执行第0层逻辑路由器的功能。它处理逻辑网络和物理网络之间的流量
第1层逻辑路由器–执行第1层逻辑路由器的功能。它的下行链路连接到逻辑交换机,而上行链路连接到第0层逻辑路由器
有趣的是,使用NSX-T注意,运行多层路由不是强制性的。单个Tier-0逻辑路由器可以连接到物理基础设施以进行北向通信,然后直接连接到南向逻辑交换机。这允许在内核中进行分布式东/西路由,也可以进行集中式北/南路由。
在以下情况下,使用多层路由方法将受益:
1)您有多个需要隔离的租户
2)提供者管理员和租户管理员之间的委派管理–提供者管理员控制第0层逻辑路由器,而租户管理员控制第1层逻辑路由器
3)您正在利用Openstack,Kubernetes,Pivotal Cloud Foundry,当用户创建Tier-0或Tier-1逻辑路由器时,将在所有传输节点上创建分布式逻辑路由器实例。配置集中式服务(如NAT)后,将在边缘节点上创建SR。
九、安全性
与NSX-T相比,NSX-V具有更多的安全性和功能。NSX-V是主要的软件定义解决方案,通过其SDN解决方案将vSphere客户带到今天的今天,而NSX-T是前进的方向。从NSX-T 2.4开始,VMware在安全性等主要功能领域使NSX-T与NSX-V具有同等功能方面做出了明确的声明。
十、附录:
参考:https://www.nakivo.com/blog/nsx-v-vs-nsx-t-comprehensive-comparison/
###10.1 NSX for vSphere和NSX-T的终结版
NSX Data Center for vSphere 和 NSX-T Data Center 的多个版本已达到其生命发布结束 (EoD) 里程碑和/或不再建议部署这些版本。这些版本也将从之后的分发中删除,并且不再提供下载。
1)NSX-V:建议尽快升级到 NSX for vSphere 的最新版本或迁移到 NSX-T,因为 NSX for vSphere 不再处于通用支持阶段。
2)NSX-T:建议升级到最新 NSX-T 版本系列的最新版本。
以下是即将淘汰的版本:以下发行系列将于 2022 年 5 月 4 日从分发/下载中删除
NSX Data Center for vSphere 6.0.x
NSX Data Center for vSphere 6.1.x
NSX Data Center for vSphere 6.2.x
NSX Data Center for vSphere 6.3.x
NSX-T Data Center 1.1.x
NSX-T Data Center 2.0.x
NSX-T Data Center 2.1.x
此外,VMware 将删除以下 NSX 版本,因为它们存在 Log4j 漏洞,不再推荐使用,并且不是 VCF BOM 的组件。
NSX Data Center for vSphere 6.4.0
NSX Data Center for vSphere 6.4.1
NSX Data Center for vSphere 6.4.2
NSX Data Center for vSphere 6.4.3
NSX Data Center for vSphere 6.4.4
NSX Data Center for vSphere 6.4.8
NSX Data Center for vSphere 6.4.11
NSX-T Data Center 2.2.0
NSX-T Data Center 2.3.0
NSX-T Data Center 2.3.1
NSX-T Data Center 2.4.0
NSX-T Data Center 2.4.1
NSX-T Data Center 2.4.2
NSX-T Data Center 2.4.3
NSX-T Data Center 2.5.0
NSX-T Data Center 3.0.0.0
NSX-T Data Center 2.1.1