Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
NSX network virtualization
Milan Vujović
Šta je SDDC?
• Sve tri komponente virtualizovane
• SDDC nije produkt, SDDC je pristup
• SDDC je u potpunosti automatizovan, nezavisan od
hardvera i lokacije
• Može da se prostire na više fizički udaljenih lokacija
Virtuelizacija mreža
Virtuelizacija mreža
Problemi: Tradicionalni pristup organizacije mreža ne omogućava
programabilno kreiranje novih mreža
Konfiguracija uređaja je uglavnom spora, potrebno je
konfigurisati svaki uređaj posebno
Redundantan L2 segment, STP, TRILL
L2 over L3
Administratori su skloni greškama
Rešenje je virtuelizacija mreža • Centralizovana konfiguracija
• Automatizacija
• Mikrosegmentacija
Sta je omogućilo virtuelizaciju mreža?
OpenFlow
Korišćenje overlay mreža
VXLAN (VTEP), STT
“mrežni hipervizor”
Cisco ACI
Nexus 9000
Overlay mreže
L2 Frame L2 FrameVXLANHDR UDPHDROuter
IPHDR
OuterMACHDR
L2 Frame
VM Sends a standard L2 Frame
1
Source Hypervisor (VTEP)Adds VXLAN, UDP and IP Headers
2
Destination Hypervisor [VXLAN Tunnel End Point (VTEP)] de-encapsulates headers
4
Physical Network forwards frame as standard IP frame
3
Original L2 Frame delivered to VM
5
7
Virtuelne mreže su izolovane (overlapping IP addresses)
IPv6 over IPv4
Komponente NSX-a
NSX kontroler
Komponenta u kontrolnoj ravni odgovorna za upravljanje
switching i ruting modulima u hipervizorima.
NSX kontroler upravlja MAC, ARP i VTEP tabelama
Realizuje se kao klaster kontrolera, gde svaki kontroler
upravlja odredjenim logičkim mrežama
VXLAN replikacija
Tri moda replikacije BUM saobraćaja:
Multicast (IGMP, multcast routing)
Unicast (za mala okruženja)
Hybrid
1600 bytes MTU
Od verzije vSphere 6 više tcp/ip stekova
DLR i EDGE
• DLR (distribuirani logički ruter) je komponenta u kernelu
hipervizora zadužena za rutiranje
• Multitenant podrška
• EDGE je VM zadužena za centralizovano rutiranje
Funkcije EDGE gw-a
• Zadužen za komunikaciju sa “fizičkim svetom”
• Firewall
• NAT
• DHCP
• statičko rutiranje i dinamičko rutiranje(OSPF, BGP, ISIS)
• Load Balancing
• Site-to-Site VPN, SSL VPN
• L2VPN
Distributed vs Central routing
75% saobraćaja u datacentrima je izmedju servera (Eest-West)
Slabije performanse?
Distribuirani firewall
Komponenta instalirana u kernelu hipervizora
Polisa na nivou vNIC
Security polisa je vezana za VM, gde god se ona
nalazila
Mnogo efikasniji pristup od centralizovanog firewall-a
Scale Out rešenje
Moguća je integracija sa third-party rešenjima
Distribuirani firewall
NSX i third-party security rešenja
NSX DFW je osnovni statefull firewall, ne pruža
napredne funkcionalnosti
Next Genaration Firewall funkcionalnosti:
Application visibilty
User, device and application aware policies
Protection against known and unknown threats
Tagovanje mašina
Palo Alto Networks Next-Gen Firewall Example
Internet
Security Policy
Security Admin
TrafficSteering
NSX i SDDC
Data Center Security
Automatizacija data centara i cloud okruženja
Migracija data centara
Disaster Recovery
Scale out rešenje
Hvala na pažnji!