02月13日 綜合消息:對于SDN產(chǎn)品,供應(yīng)商最終將會從觀望轉(zhuǎn)為真正交付應(yīng)用。在這個轉(zhuǎn)變過程中發(fā)揮核心作用的是思科和VMware,因?yàn)樗麄兌紘@各自收購的 Insieme和Nicira重新打造了SDN和網(wǎng)絡(luò)虛擬化戰(zhàn)略。VMware的網(wǎng)絡(luò)虛擬化戰(zhàn)略完全基于軟件,而思科SDN則由硬件驅(qū)動。
VMware網(wǎng)絡(luò)虛擬化:觸及每一個虛擬機(jī)管理資源池
VMware NSX有兩種形式:vSphere和多虛擬機(jī)管理程序。vSphere版本已經(jīng)集成到現(xiàn)有的VMware ESXi部署中,并且基于分布式虛擬交換機(jī)(dVS)。路由、防火墻和負(fù)載均衡等4~7層功能都來自于虛擬云網(wǎng)絡(luò)安全性(vCNS)。同時,多虛擬機(jī)管理 程序版本則面向Xen和KVM部署環(huán)境的需求,并且基于Open vSwitch項(xiàng)目。雖然NSX可以利用Arista、Brocade和瞻博網(wǎng)絡(luò)等交換機(jī)供應(yīng)商的硬件方式2/3層網(wǎng)關(guān)服務(wù),但是NSX并沒有與任何一家 供應(yīng)商綁定,因此可以運(yùn)行在任何物理IP網(wǎng)絡(luò)上。這一點(diǎn)可能很受管理員的歡迎,因?yàn)樗麄儾粫黄仁褂靡恍┨囟ü?yīng)商的產(chǎn)品,然后也不會要付出昂貴代價才能 升級現(xiàn)有網(wǎng)絡(luò)并添加SDN特性。
使用VMware網(wǎng)絡(luò)虛擬化創(chuàng)建堆疊網(wǎng)絡(luò)
NSX控制器集群由三個上游邏輯系統(tǒng)構(gòu)成,然后由它們執(zhí)行各種虛擬機(jī)管理功能,如路由、交換和7層防火墻。它由NSX Manager Web接口或NSX RESTful API控制。NSX利用vSphere的功能輕松管理宿主,并且將它擴(kuò)展到整個網(wǎng)絡(luò)上。這使得邏輯網(wǎng)絡(luò)、防火墻、路由器和負(fù)載均衡的創(chuàng)建過程比在 Visio上創(chuàng)建文檔還要簡單。由于能夠在現(xiàn)有交換機(jī)上創(chuàng)建堆疊網(wǎng)絡(luò),所以許多復(fù)雜操作都在底層物理網(wǎng)絡(luò)上完成,其中流量將通過GRE、VXLAN (UDP傳輸)或STT(一種類TCP傳輸)協(xié)議實(shí)現(xiàn)點(diǎn)對點(diǎn)通道傳輸。
然而,這種抽象是一種雙刃劍。雖然發(fā)布新服務(wù)的過程完全不需要人工干預(yù),但是物理網(wǎng)絡(luò)也因此失去了應(yīng)用層可見性。雖然我們可以將區(qū)分服務(wù)代碼點(diǎn) Differentiated Services Code Point (DSCP)從內(nèi)部數(shù)據(jù)包復(fù)制到外部數(shù)據(jù)包,但是流量仍然不可避免地要離開虛擬網(wǎng)絡(luò)而進(jìn)入物理網(wǎng)絡(luò)。工作在7層網(wǎng)絡(luò)上的流量管理設(shè)備將無法識別到通道中的 流量,如入侵檢測傳感器、數(shù)據(jù)包整形器和WAN優(yōu)化器。網(wǎng)絡(luò)管理工具也失去了監(jiān)控兩種網(wǎng)絡(luò)層次的靈活性,因此可能變得毫無用處。長期而言,這些問題都將得 到解決,但是可能流量被迫需要重新設(shè)計,這是網(wǎng)絡(luò)經(jīng)理們不愿意看到的。
全新的思科ACI
Cisco ACI是一個同時包含硬件和軟件的框架,而不是只有專門處理現(xiàn)有網(wǎng)絡(luò)的軟件套件。它基于Nexus 9000交換機(jī),由應(yīng)用策略基礎(chǔ)架構(gòu)控制器(Application Policy Infrastructure Controllers, APICs)控制。APIC位于數(shù)據(jù)路徑之外,負(fù)責(zé)將底層的Nexus物理設(shè)備與Nexus 1000v虛擬交換機(jī)相連?;蛟SACI的最強(qiáng)大之處是它引入的分層對象模型:
租賃人 Tenants
上下文(虛擬路由與轉(zhuǎn)發(fā)) Context (virtual routing and forwarding)
終端組(End point groups, EPG)
終端 End points
應(yīng)用網(wǎng)絡(luò)配置模板 Application network profiles
訪問控制、服務(wù)插入和QoS策略將通過契約在EPG之間定義和連接。不同的應(yīng)用層將匯集到終端組中,如Web層、數(shù)據(jù)庫層和管理層,然后作為不同的應(yīng)用網(wǎng)絡(luò)配置模板來集中管理。這種抽象代表了應(yīng)用程序當(dāng)時的管理方式,并且不會強(qiáng)制要求重新設(shè)計架構(gòu)就能夠適合任意環(huán)境需求。
思科SDN與NSX各自面臨的挑戰(zhàn)
由硬件主導(dǎo)的思科解決方案解決了NSX部署可能遇到的許多可見性問題。它能夠通過“單獨(dú)一個控制”視圖監(jiān)控底層和堆疊網(wǎng)絡(luò),這是一個不可忽視的賣 點(diǎn),而且還非常吸引一些企業(yè)。然而,為了實(shí)現(xiàn)這個功能,思科ACI必須依賴于一種專門開發(fā)的高端硬件——Nexus 9000交換機(jī)。
要求客戶花大價錢購買一個高端交換設(shè)備,這可能會成為一個問題。并非所有人都需要有1000多個端口的非獨(dú)占10Gbps接口,現(xiàn)在就普遍應(yīng)用還為 時尚早。將Nexus 2000 Series Fabric Extenders更新到ACI解決方案將可以保護(hù)現(xiàn)有的硬件設(shè)備投入,當(dāng)然前提是要部署9000交換機(jī)。思科曾經(jīng)指出,網(wǎng)絡(luò)邊緣仍然需要使用Nexus 5000和7000,但是這個觀點(diǎn)可能并不是一直成立。實(shí)際上,SDN是一種端到端方案;長期而言,我們應(yīng)該避免控制孤島,因?yàn)樗鼤绊懡鉀Q方案的生存能 力。
讓思科高端設(shè)備更吸引人的是ACI有一個帶原生控制器的強(qiáng)大交換機(jī),它能夠解決許多基礎(chǔ)架構(gòu)可能遇到的增長問題。而且,通過龐大的ACI,思科可以 將ACI封裝在一個干凈的Technical Assistance Center產(chǎn)品包中。事實(shí)上,思科的銷售預(yù)期是將ACI部署視為一種重要的專業(yè)服務(wù)業(yè)務(wù),而不是客戶隨便就能嘗試完成的簡單業(yè)務(wù)。
同時,NSX可以整合到現(xiàn)有的vSphere部署中,因此可能贏得有預(yù)算壓力的管理員的青睞。利用他們現(xiàn)有的設(shè)備,而不是他們最終可能要購買的設(shè)備,更容易證明SDN的價值。
雖然短期而言NSX能夠更快部署,但是它要求客戶尋找一些方法連接堆疊網(wǎng)絡(luò)和底層管理設(shè)備,而且使用現(xiàn)有工具并不能輕松完成這個工作。將NSX從概 念驗(yàn)證階段推進(jìn)到實(shí)施階段,會給現(xiàn)有的物理基礎(chǔ)架構(gòu)帶來無法解決的問題。而且,VMware NSX的售價仍未公布,按照NSX實(shí)現(xiàn)所采用的單位虛擬機(jī)價格,最終的成本將會非常昂貴。
然而,網(wǎng)絡(luò)最終將會以增量方式發(fā)展。大多數(shù)管理員和架構(gòu)師都會選擇且必須基于現(xiàn)有的設(shè)備,而不是完全更換現(xiàn)有設(shè)備。在SDN和網(wǎng)絡(luò)虛擬化普遍應(yīng)用之前,這種狀態(tài)會一直保持。因此,VMware可能會在初期占據(jù)上風(fēng),而長期而言思科將會有更多作為。