مقایسه VXLAN در مقابل GENEVE
NSX-v از پروتکل کپسولسازی VXLAN استفاده میکند؛ در حالی که NSX-T از GENEVE که پروتکل مدرنتری است استفاده میکند.
جداسازی شبکه در VXLAN:
برای VXLAN از MAC over IP encapsulation استفاده میشود و اصل کار جداسازی شبکه با روش VLAN متفاوت است. VLAN سنتی تعداد محدودی شبکه دارد که طبق استاندارد ۸۰۲٫۱q 4094 اجرا میشود و جداسازی شبکه روی لایۀ ۲ شبکۀ فیزیکی با افزودن ۴ بایت در هدرهای قاب اترنت انجام میشود. حداکثر تعداد شبکههای مجازی برای VXLAN 2 ^ 24 است. شناسه شبکه VXLAN برای علامتگذاری هر شبکه مجازی در این حالت استفاده میشود. فریمهای لایه ۲ شبکه overlay در درون دادههای UDP منتقل شده از طریق یک شبکه فیزیکی کپسول میشوند. شماره پورت UDP در این مورد ۴۷۸۹ است.
هدر VXLAN از قسمتهای زیر تشکیل شده است.
- ۸ بیت برای پرچمها استفاده میشود. برای معتبر ساختن شناسه شبکه VXLAN (VNI) باید پرچم I روی ۱ تنظیم شود.۷ بیت دیگر، فیلدهای R هستند که رزرو شدهاند و باید هنگام انتقال صفر شوند. قسمتهای R تنظیم شده روی صفر در هنگام رسید نادیده گرفته میشوند.
- VXLAN Network Identifier (VNI) که به عنوان VXLAN Segment ID نیز شناخته میشود، یک مقدار ۲۴ بیتی است که برای تعیین شبکه همپوشانی منفرد استفاده شده، برای ارتباط ماشینهای مجازی با یکدیگر استفاده میشود.
- قسمتهای رزرو شده (۲۴ بیتی و ۸ بیتی) باید صفر تنظیم شده و در هنگام رسیدگی نادیده گرفته شوند.
اندازۀ هدر VXLAN ثابت است و برابر با ۸ بایت میشود. استفاده از فریمهای Jumbo با MTU تنظیم شده روی ۱۶۰۰ بایت یا بیشتر برای VXLAN توصیه میشود.
ژنو GENEVE:
هدر GENEVE بسیار شبیه VXLAN است و ساختار زیر را دارد:
- یک سرصفحۀ تونل جمع و جور در UDP از طریق IP محصور میشود.
- از یک هدر تونل ثابت کوچک برای ارائۀ اطلاعات کنترل و همچنین سطح پایه عملکرد و قابلیت همکاری استفاده میشود.
گزینههای طول متغیر برای امکان ایجاد نوآوریهای آینده در دسترس است.
اندازۀ هدر GENEVE متغیر است.
(GEneric NEtwork Virtualization Encapsulation) به عنوان یک پروتکل تونلزنی استفاده میکند که قابلیتهای سنتی بارگیری موجود در NIC کنترلکنندههای رابط شبکه را برای بهترین عملکرد حفظ میکند. فراداده اضافی میتواند به سرصفحههای همپوشانی اضافه شود و به شما کمک میکند تا تفاوت زمینه برای پردازش اطلاعات مانند تله متری پایان به پایان، ردیابی دادهها، رمزگذاری، امنیت و غیره در لایۀ انتقال داده بهبود یابد. اطلاعات اضافی موجود در فرادادهها TLV نوع، طول، مقدار نامیده میشود. GENEVE را VMware، Intel، Red Hat و Microsoft توسعه یافته است.GENEVE بر اساس بهترین مفاهیم پروتکلهای کپسولسازیVXLAN، STT و NVGRE ساخته شده است.
مقدار MTU برای فریمهای Jumbo باید حداقل ۱۷۰۰ بایت باشد. هنگام استفاده از کپسولسازی GENEVE که ناشی از قسمت متادیتای اضافی با طول متغیر برای هدرهای GENEVE MTU 1600 یا بالاتر است، برای VXLAN استفاده میشود. همان طور که یادآوری میکنید.
NSX-v و NSX-T به دلیل تفاوت کپسولسازی پوشش داده شده در این بخش، با یکدیگر سازگار نیستند.
شبکه لایۀ ۲
اکنون میدانید که چطور قابهای اترنت لایۀ مجازی ۲ از طریق شبکههای IP کپسوله میشوند، از این رو زمان آن رسیده است که پیادهسازی شبکههای لایۀ ۲ مجازی برای NSX-v و NSX-T را بررسی کنیم.
انتقال گرهها و سوئیچهای مجازی
گرههای حمل و نقل و سوئیچهای مجازی نشاندهندۀ اجزای انتقال داده NSX هستند.
Transport Node(TN) دستگاه سازگار با NSX است که در انتقال ترافیک و پوشش شبکه NSX شرکت میکند. برای اینکه بتواند به عنوان یک گره حمل و نقل عمل کند، یک گره باید یک میزبان را شامل شود.
NSX-v به طور معمول در vSphere نیاز به استفاده از سوئیچ مجازی توزیع شده vSphere (VDS) دارد. برای NSX-v نمیتوان از سوئیچهای مجازی استاندارد استفاده کرد.
NSX-T فرض میکند که شما باید یک سوئیچ مجازی توزیع شده NSX-T (N-VDS) را مستقر کنید.vSwitches باز (OVS) برای میزبانهای KVM و VMware vSwitches استفاده شده و برای میزبانهای ESXiمیتوانند استفاده شوند.
N-VDS سوئیچ توزیع شده مجازی که قبلاً به عنوان میزبان شناخته میشد، یک جزء نرمافزاری NSX در گره حمل و نقل است که انتقال ترافیک را انجام میدهد.N-VDS جز component اصلی صفحه داده گرههای حمل و نقل است که ترافیک را هدایت میکند و حداقل یک کنترلکنندۀ رابط شبکه فیزیکی (NIC) دارد. سوئیچهای NSX (N-VDS) مستقل از گرههای مختلف حمل و نقل عمل میکنند، اما میتوان آنها را با اختصاص همان نامها برای مدیریت متمرکز گروهبندی کرد.
در هایپروایزر ESXi، N-VDS با استفاده از VMware vSphere توزیعی که از طریق ماژول ایجاد شده NSX-vSwitch است که در هسته هایپروایزر بارگیری میشود و آن را اجرا میکنند. در ناظران KVM کلید میزبان را ماژول Open-vSwitch (OVS) پیادهسازی میشود.
مناطق حمل و نقل برای NSX-v و NSX-T در دسترس هستند. مناطق حمل و نقل حدود توزیع شبکههای منطقی را تعریف میکنند. هر منطقه حمل و نقل به NSX Switch (N-VDS) خود متصل است. مناطق حمل و نقل برای NSX-T به خوشهها مرتبط نیستند.
به دلیل کپسولسازی GENEVE، دو نوع ناحیه حمل و نقل برای VMware NSX-T وجود داردOverlay یا VLAN. در موردVMware NSX-v، یک ناحیه حمل و نقل، فقط محدودیت توزیع VXLAN را مشخص میکند.
حالتهای تکرار سوئیچ منطقی
هنگامی که دو ماشین مجازی مستقر در میزبانهای مختلف مستقیماً با هم ارتباط برقرار میکنند، ترافیک unicast در حالت کپسوله شده بین دو آدرس IP نقطه پایانی اختصاص داده شده به هایپروایزر بدون نیاز به سیلاب رد و بدل میشود. گاهی اوقات، ترافیک شبکه لایۀ ۲ که از طریق یک ماشین مجازی ایجاد میشود باید به همان اندازه ترافیک لایه ۲ در شبکههای فیزیکی سنتی تحت تأثیر قرار گیرد. به عنوان مثال، اگر فرستنده آدرس MAC رابط شبکه مقصد را نمیداند. این بدان معناست که ترافیک یکسانی (پخش، تکپخش، چندپخشی) باید برای همه ماشینهای مجازی متصل به یک سوئیچ منطقی ارسال شود. اگر ماشینهای مجازی در میزبانهای مختلفی زندگی میکنند، ترافیک باید در آنها تکرار شود. ترافیک پخش، تکپخش و چندرسانهای به عنوان ترافیک BUM نیز شناخته میشود.
بیایید تفاوت بین حالتهای تکثیر را برای NSX-v و NSX-T ببینیم:
NSX-vاز حالت Unicast، حالت Multicast و حالت ترکیبی پشتیبانی میکند.
NSX-Tاز حالت Unicast با دو گزینه پشتیبانی میکند: تکرار Hierarchical Two-Tier بهینهسازی شده، همان NSX-v و تکرار Head بهینهسازی نشده.
سرکوب ARPمیزان ترافیک پخششده ARP را از طریق شبکه کاهش میدهد و برای حالتهای تکثیر ترافیک Unicast و Hybrid در دسترس است. بنابراین سرکوب ARP برای NSX-v و NSX-T در دسترس باقی میماند.
هنگامی که یک VM1 درخواست ARP را برای دانستن آدرس MAC یک VM2 ارسال میکند، درخواست ARP از طریق سوئیچ منطقی رهگیری میشود. اگر سوئیچ از قبل ورودی ARP رابط شبکه هدف VM2 را داشته باشد، پاسخ ARP از طریق سوئیچ به VM1 ارسال میشود. در غیر این صورت، سوئیچ درخواست ARP را به یک کنترلکنندۀ NSXمیفرستد. اگر کنترلکننده NSX حاوی اطلاعات مربوط به اتصال VM IP به MAC باشد، کنترلکننده پاسخ را با آن اتصال ارسال میکند و سپس سوئیچ منطقی پاسخ ARP را به VM1میفرستد. اگر ورودی ARP روی کنترلر NSX وجود نداشته باشد، درخواست ARP مجدداً روی سوئیچ منطقی پخش میشود.
پل NSX لایه ۲
پل لایه ۲ برای انتقال بارهای کاری از شبکههای همپوشانی به VLAN یا تقسیم زیرشبکهها بین بارهای فیزیکی و مجازی مفید است.
NSX-v: این ویژگی در سطح هسته یک هایپروایزر کار میکند که یک VM کنترل روی آن اجرا میشود.
NSX-T: گره NSX-Bridge جداگانهای برای این منظور ایجاد میشود. گرههای پل NSX را میتوان به صورت خوشهای مونتاژ کرد تا تحمل خطای کل محلول را بهبود بخشد.
در NSX-v control VM، افزونگی با استفاده از طرح دسترسی بالا (HA) اجرا شد. یک نسخه از VM فعال است. در حالی که نسخۀ دوم VM در حالت آماده به کار قرار دارد. اگر VM فعال از کار افتاده باشد، ممکن است مدت زمان زیادی طول بکشد تا ماشین مجازی را تعویض کرده و با فعال کردن آن، VM stand-by را بارگیری کند.NSX-T با این عیب روبهرو نیست، زیرا به جای طرح فعال / آماده به کار برای HA از یک خوشۀ مقاوم در برابر خطا استفاده شده است.
مدل مسیریابی در VMware NSX
در مواردی که از VMware NSX استفاده میکنید، اصطلاحات زیر استفاده میشود:
ترافیک شرق غربی: به انتقال داده از طریق شبکه در مرکز داده اشاره دارد. این نام برای این نوع خاص از ترافیک استفاده میشود زیرا خطوط افقی روی نمودارها معمولاً نشاندهندۀه ترافیک شبکه محلی (LAN) است.
ترافیک شمال ــ جنوب: به ترافیک سرویس گیرنده سرور یا ترافیکی گفته میشود که بین یک مرکز داده و یک مکان خارج از مرکز داده (شبکههای خارجی) حرکت میکند. خطوط عمودی روی نمودارها معمولاً این نوع ترافیک شبکه را توصیف میکنند.
روتر توزیعی منطقی(DLR) یک روتر مجازی است که میتواند از مسیرهای ثابت و پروتکلهای مسیریابی پویا مانند OSPF، IS-IS یا BGP استفاده کند.
مستأجر به مشتری یا سازمانی گفته میشود که به یک محیط امن و منزوی که ارائه دهندۀ خدمات مدیریت شده (MSP) فراهم میکند، دسترسی یابد. یک سازمان بزرگ میتواند با در نظر گرفتن هر بخش به عنوان یک مستأجر واحد، از معماری چند مستأجر استفاده کند. VMware NSX میتواند به ویژه برای ارائه زیرساخت به عنوان یک سرویس (IaaS) مفید باشد.
بررسی مسیریابی در NSX-v
NSX برای vSphere از DLR روتر منطقی توزیع شده و مسیریابی متمرکز استفاده میکند. در هر هایپروایزر یک ماژول هستۀ مسیریابی وجود دارد که میتوان روی آن رابط بین رابطهای منطقی (LIF) در روتر توزیع شده را انجام داد.
بیایید به عنوان مثال، یک طرح معمول مسیریابی برای NSX-v را در نظر بگیریم، هنگامی که شما یک مجموعه سه بخشی دارید: VMهای دارای پایگاه داده، VMهای با سرورهای برنامه و VMهای با وب سرورها. ماشینهای مجازیِ این بخشها (آبی آسمانی، سبز و آبی عمیق) به یک روتر منطقی توزیع شده (DLR) متصل میشوند که به نوبۀ خود از طریق درگاههای لبه (NSX Edge) به شبکههای خارجی متصل میشود.
اگر با چندین مستأجر کار میکنید، میتوانید از ساخت و ساز چند لایه NSX Edge استفاده کنید، یا هر مستأجر میتواند DLR اختصاصی و کنترلر VM اختصاصی خود را داشته باشد، دسته دوم روی خوشۀ لبه قرار دارد. دروازه NSX Edge با ارائه سرویسهای مشترک دروازه مانند DHCP، VPN، NAT، مسیریابی پویا و تعادل Load، شبکههای خرد شده و خرد را به شبکههای اشتراکی (uplink) متصل میکند. استقرارهای معمول NSX Edge در DMZ، VPN Extranets و محیطهای چند مستأجر Cloud وجود دارد که NSX Edge برای هر مستأجر مرزهای مجازی ایجاد میکند.
اگر شما به انتقال ترافیک از یک ماشین مجازی واقع در بخش Aآبی مستأجر اول به بخش Aمستأجر دوم نیاز دارید، ترافیک باید از دروازه NSX Edge عبور کند. در این حالت، هیچ مسیریابی توزیعی وجود ندارد، زیرا ترافیک باید از یک نقطه عبور کند که دروازه NSX Edge تعیین شده است.
همچنین میتوانید اصل کار را در مورد طرحی مشاهده کنید که اجزا به خوشه تقسیم میشوند: خوشه مدیریت، خوشه لبه و خوشه محاسبه. در این مثال، هر خوشه از ۲ میزبان ESXi استفاده میکند. اگر دو VM در یک میزبان ESXi یکسان اجرا شوند، اما به بخشهای مختلف شبکه تعلق داشته باشند، ترافیک از دروازه NSX Edge که در میزبان ESXi دیگر خوشه Edge واقع شده عبور میکند. پس از مسیریابی، این ترافیک باید به میزبان ESXi برگردانده شود که ماشینهای مجازی منبع و مقصد در آن در حال اجرا هستند.
مسیر انتقال ترافیک در این حالت مطلوب نیست. از مزایای موجود برای مسیریابی توزیع شده در مدل چند مستأجر با درگاههای Edge نمیتوان استفاده کرد، در نتیجه تأخیر بیشتری برای ترافیک شبکه شما ایجاد میکند.
بررسی مسیریابی در NSX-T
NSX-T برای حل مسائل توضیح داده شده در بالا از یک مدل مسیریابی توزیع شدۀ دو لایه استفاده میکند.Tier0 و Tier1 هر دو در گرههای Transport ایجاد میشوند؛ مورد دوم ضروری نیست، اما برای بهبود مقیاسپذیری در نظر گرفته شده است.
ترافیک با استفاده از بهینهترین مسیر منتقل میشود، زیرا مسیریابی بعد از آن روی هایپروایزر ESXi یا KVM انجام میشود که ماشینهای مجازی در آن در حال اجرا هستند. تنها موردی که باید از یک نقطه ثابت مسیریابی استفاده شود، اتصال به شبکههای خارجی است. گرههای Edge جداگانهای روی سرورهایی مستقر شدهاند که هایپروایزر را اجرا میکنند.
سرویسهای اضافی مانند BGP، NAT و Edge Firewall را میتوان در گرههای Edge فعال کرد، که به نوبه خود میتوانند به عنوان یک خوشه برای بهبود در دسترس بودن ترکیب شوند. علاوه بر این، NSX-T همچنین تشخیص خرابی سریعتر را فراهم میکند. به زبان ساده، بهترین وسیله برای توزیع مسیریابی، مسیریابی در زیرساخت مجازی شده است.
آدرس IP برای شبکههای مجازی
هنگام پیکربندیNSX-v، باید طرحی از آدرس دهی IP در داخل بخشهای NSX تهیه کنید. سوئیچهای منطقی ترانزیت که DLRها و دروازههای Edge را به هم پیوند میدهند نیز باید در این مورد اضافه شوند. اگر از تعداد زیادی دروازه Edge استفاده میکنید، باید طرح آدرس IP را برای بخشهایی تنظیم کنید که با این دروازههای Edge به یکدیگر مرتبط شدهاند.
اما NSX-Tنیازی به این عملیات ندارد. تمام بخشهای شبکه بین Tier0 و Tier1 به طور خودکار آدرسهای IP را به دست میآورند. از هیچ پروتکل مسیریابی پویا استفاده نمیشود ــ در عوض، از مسیرهای ثابت استفاده میشود و یک سیستم به طور خودکار اجزا را به هم متصل و پیکربندی را آسانتر میکند. نیازی به صرف زمان زیادی دربارۀ برنامهریزی آدرس IP برای اجزای شبکه سرویس (ترانزیت) نیست.
ادغام برای بازرسی ترافیک
NSX-v که با سرویسهای شخص ثالث مانند آنتی ویروسهای غیر عامل، فایروال پیشرفته (فایروالهای نسل بعدی) ادغام شده است، IDS سیستمهای تشخیص نفوذ،IPS سیستمهای پیشگیری از نفوذ و انواع دیگر خدمات بازرسی ترافیک را ارائه میدهد. ادغام با انواع ذکر شده بازرسی ترافیک با استفاده از یک گذرگاه محافظت شده VMCI رابط ارتباطی ماشین مجازی در یک لایه هسته هایپروایزر انجام میشود.
NSX-T در حال حاضر این قابلیتها را ارائه نمیدهد.
امنیت در NSX
فایروالهای توزیع شده در سطح هسته برای NSX-v و NSX-T پیکربندی میشوند و روی سطح آداپتور مجازی VM کار میکنند. گزینههای امنیتی سوئیچ برای هر دو نوع NSX موجود است، اما گزینه «محدودیت نرخ پخش و پخش چندرسانهای» فقط برای NSX-T در دسترس است.
NSX-T به شما امکان میدهد قوانین را به صورت یکی یکی اعمال کنید، در نتیجه منطقیتر از گرههای حمل و نقل استفاده میشود. به عنوان مثال، میتوانید قوانینی را بر اساس اشیا following زیر اعمال کنید: سوئیچ منطقی، پورت منطقی.
NSGroup برای دستیابی به سطوح بالاتر کارایی و بهینهسازی، میتوان از این ویژگی برای کاهش پیکربندی تنظیم شده روی کلید منطقی، پورت منطقی یا NSGroup استفاده کرد. شما همچنین میتوانید علاوه بر میزبانی از استقرار چند مستأجر، فضای مقیاس و چرخههای جستوجوی قانون را نیز ذخیره کنید و قوانین خاص مستأجر را اعمال کنید (قوانینی که برای بارهای مستأجر مناسب اعمال میشود).
روند ایجاد و اعمال قوانین برای NSX-v و NSX-T کاملاً مشابه است. تفاوت در این است که سیاستهای ایجاد شده برای NSX-T به تمام کنترلکنندههایی ارسال میشود که در آن قوانین به آدرسهای IP تبدیل میشوند، در حالی که درNSX-v، سیاستها بلافاصله به vShield Firewall Daemon (VSFWD) منتقل میشوند.
NSX-v در مقابل NSX-T – جدول مقایسه
اکنون که با جالبترین قابلیتهای VMware NSX آشنا شدید، بیایید ویژگیهای اصلی NSX-v و NSX-T را که در این پست وبلاگ بررسی شده است، علاوه بر مقایسۀ آنها در جدول، خلاصه کنیم
NSX-V | VSX-T | |
ادغام دقیق با vSphere | بله | خیر |
کارد کردن بدون vCenter | خیر | بله |
پشتیبانی از چندین نمونه NSX Manager از طرف vCenter | خیر | بله |
شبکۀ مجازی را برای سیستمعاملهای زیر فراهم میکند | VMware vSphere | KVM، Docker، Kubernetes و OpenStack، AWS، VMware vSphere |
استقرار NSX Edge | ESXI VM | GENEVE |
N-VDS از سوییچهای مجازی استفاده میکند | توزیع شده از طرف vSphere
سوییچ VDS |
Unicast دو لایه یا سر |
سرکوب ARP | بله | بله |
مسیریابی توزیع شدۀ دولایه | خیر | بله |
برای بخشهای IP پیکربندی طرح آدرس | کتابچه راهنما | خودکار بین ردیف صفر و ردیف یک |
ادغام برای بازرسی ترافیک | بله | خیر |
فایروال توزیعشده در سطح هسته | بله | خیر |
VMware NSX یک بستر مجازیسازی شبکه عالی است که میتواند از جانب ارائهدهندگان خدمات مدیریتشده برای ارائۀ زیرساخت به عنوان سرویس (IaaS) مورد استفاده قرار گیرد.NSX-v بهترین راهحل است؛ اگر فقط از یک محیط vSphere استفاده کنید، در حالی که NSX-T نه تنها برای vSphere بلکه برای سیستمعاملهای مجازیسازی KVM، Docker، Kubernetes و OpenStack در چارچوب ساخت شبکههای مجازی نیز استفاده شود. در مورد اینکه کدام نوع NSX بهتر است پاسخ واحدی وجود ندارد. اینکه شما باید از NSX-v یا NSX-T استفاده کنید، به نیازها و ویژگیهای شما از طرف هر نوع NSX بستگی دارد. محبوبترین ویژگیهای NSX-v و NSX-T در پست وبلاگ امروز توضیح داده شده است. خط مشی صدور مجوز NSX کاربرپسند است ــ صرف نظر از نوع NSX که میخواهید استفاده کنید، فقط باید یک مجوز NSX بخرید. بعداً میتوانید NSX-T را در یک محیط NSX-v نصب کنید یا برعکس.
بسته به نیاز خود و با استفاده از راهحل NSXمیتوانید مرکز دادۀ خود را با نرمافزار تعریف شده با VMware بسازید. VMware ویژگیهای خوشهبندی را برای اطمینان از تداوم عملکرد، در دسترس بودن زیاد و تحمل خطا در اختیار شما قرار میدهد، با وجود این، تهیۀ نسخه پشتیبان از ماشین VM اقدام مازادی نخواهد بود. برای محافظت از دادههای خود، مرتباً از VMهای تولیدی خود استفاده کنید که مربوط به پروژههای مختلف و VMهایی هستند که به عنوان اجزای VMware vSphere و VMware NSX مانندvCenter، NSX Manager، NSX Controller، NSX Edge اجرا میشوند و میتوانید از آنها پشتیبان تهیه کنید.
با ما در ارتباط باشید