VMwareNSX金融行业案例课件.ppt

1、王培久王培久资深系统工程师资深系统工程师网络虚拟化网络虚拟化-VMware NSX在金融的应用和案例分享在金融的应用和案例分享议程议程数据中心云计算对网络的要求数据中心云计算对网络的要求网络虚拟化总体架构案例分析总结CONFIDENTIAL2新一代数据中心发展的业务和技术驱动新一代数据中心发展的业务和技术驱动企业企业IT向云架构转型向云架构转型逻辑计算计算存储存储网络网络?资源池化提高资源利用率简化运维动态迁移自动均衡资源物理逻辑计算与存储虚拟化计算与存储虚拟化专用硬件和品牌厂商绑定CAPEX OPEX高网络对上层应用封闭手工配置和管理应用部署周期长应用和网络紧耦合云计算驱动下云计算驱动下数据

2、中心的过去、现在和将来数据中心的过去、现在和将来阶段四:灵活的计算灵活的计算+灵活的网络灵活的网络NOW任何网络硬件平台任何网络硬件平台灵活网络服务：防火墙、路由、灵活网络服务：防火墙、路由、LB等等基于应用基于应用灵活快速地定义网络灵活快速地定义网络 阶段一:传统的计算传统的计算+传统的网络传统的网络1995阶段二:灵活的计算灵活的计算+传统的网络传统的网络2001阶段三:灵活的计算灵活的计算+大二层网络大二层网络2010计算虚拟化对数据中心网络的真正挑战是什么？计算虚拟化对数据中心网络的真正挑战是什么？CONFIDENTIAL6Floor-1:VLAN1 10.x.x.xFloor-2:V

3、LAN2 172.16.x.x敏捷性：应用可以按需定义特定应用的网络切片和逻辑拓扑结构，实现数据中心应用的快速灵活部署Any application any where不受二层网络STP、二层广播风暴、MAC地址表和VLAN数量的限制，实现any application any where东西向路由优化利用分布式路由技术实现虚拟化环境中Web/APP/DB层的东西向流量的优化，而不是所有南北和东西向流量都送到汇聚层交换机处理精细化网络服务基于虚拟机颗粒度和应用颗粒度的精细化安全控制基于虚拟机层面的服务均衡和SSL加密等自动化向上提供标准API接口，实现网络资源和服务的自动化部署传统网络存在的不

4、足传统网络存在的不足CONFIDENTIAL阶段一:传统的计算传统的计算+传统的网络传统的网络1995阶段二:灵活的计算灵活的计算+传统的网络传统的网络2001传统网络架构存在的不足传统网络架构存在的不足缺缺乏业务快速部署能力乏业务快速部署能力传统竖井式架构，业务区严格隔离，不支持业务的灵活快速传统竖井式架构，业务区严格隔离，不支持业务的灵活快速部署更不支持基于多租户多应用的网络切片功能部署更不支持基于多租户多应用的网络切片功能灵活性不足灵活性不足由于二层技术的限制各业务区尽量把二层域限制得越小越好，由于二层技术的限制各业务区尽量把二层域限制得越小越好，无法支持跨业务区的无法支持跨业务区的vm

5、otionvmotion等功能，业务的灵活性大大受限等功能，业务的灵活性大大受限缺乏虚拟资源安全和管理的监控手段缺乏虚拟资源安全和管理的监控手段对于网络部门来说，虚拟机的接入完全是个黑盒子，缺乏有对于网络部门来说，虚拟机的接入完全是个黑盒子，缺乏有效的虚拟机之间的安全管理和监控的手段效的虚拟机之间的安全管理和监控的手段不支持网络资源的自动化部署不支持网络资源的自动化部署所有网络的配置都是通过命令行手动完成，配置和运维管理所有网络的配置都是通过命令行手动完成，配置和运维管理非常复杂，导致当各种虚拟资源位置变化时，管理员不堪重非常复杂，导致当各种虚拟资源位置变化时，管理员不堪重负负资源利用率低资源

6、利用率低各业务区网络为各业务区专用，不支持一个物理网络为多租各业务区网络为各业务区专用，不支持一个物理网络为多租户户/多应用服务多应用服务CONFIDENTIAL阶段三:灵活的计算灵活的计算+大二层网络大二层网络2010大二层网络架构带来的好处大二层网络架构带来的好处灵活性高灵活性高借助大二层技术，虚拟资源可以跨业务区部署，同时支持借助大二层技术，虚拟资源可以跨业务区部署，同时支持vmotionvmotion等功能，业务的灵活性大大提高等功能，业务的灵活性大大提高大二层网络架构存在的不足大二层网络架构存在的不足过渡技术过渡技术应用案例非常少，从数据中心发展看已经成为过渡技术，各应用案例非常少，

7、从数据中心发展看已经成为过渡技术，各厂商目前都在厂商目前都在VmwareVmware主导的主导的VXLANVXLAN上寻求更好的解决方案上寻求更好的解决方案缺乏虚拟资源安全和管理的监控手段缺乏虚拟资源安全和管理的监控手段对于网络部门来说，虚拟机的接入完全是个黑盒子，缺乏有对于网络部门来说，虚拟机的接入完全是个黑盒子，缺乏有效的虚拟机之间的安全管理和监控的手段效的虚拟机之间的安全管理和监控的手段不支持网络资源的自动化部署不支持网络资源的自动化部署所有网络的配置都是通过命令行手动完成，配置和运维管理所有网络的配置都是通过命令行手动完成，配置和运维管理非常复杂，导致当各种虚拟资源位置变化时，管理员不

8、堪重非常复杂，导致当各种虚拟资源位置变化时，管理员不堪重负负技术本身存在局限性技术本身存在局限性无论是无论是IETF TRILLIETF TRILL还是思科的还是思科的FabricPathFabricPath都没有解决二层网都没有解决二层网的三个根本问题：的三个根本问题：FloodingFlooding、MACMAC表项扩展和表项扩展和VLANVLAN扩展扩展大二层网络带来的好处和存在的不足大二层网络带来的好处和存在的不足NOW软件定义的虚拟化网络软件定义的虚拟化网络CONFIDENTIAL9阶段四:灵活的计算灵活的计算+灵活的网络灵活的网络NOW任何网络硬件平台任何网络硬件平台灵活网络服务：

9、防火墙、路由、灵活网络服务：防火墙、路由、LB等等基于应用基于应用灵活快速地定义网络灵活快速地定义网络 v 敏捷性：应用可以按需定义特定应用的网络切片和逻辑拓扑结构，实现数据中心应用的快速灵活部署v Any application any where不受二层网络STP、二层广播风暴、MAC地址表和VLAN数量的限制，实现any application any wherev 东西向路由优化利用分布式路由技术实现虚拟化环境中Web/APP/DB层的东西向流量的优化，而不是所有南北和东西向流量都送到汇聚层交换机处理v 精细化网络服务基于虚拟机颗粒度和应用颗粒度的精细化安全控制基于虚拟机层面的服务均衡

10、和SSL加密等v 自动化向上提供标准API接口，实现网络资源和服务的自动化部署议程议程数据中心云计算对网络的要求网络虚拟化总体架构网络虚拟化总体架构案例分析总结CONFIDENTIAL1011 云平台云平台新业务请求软件定义的虚拟化网络总体架构软件定义的虚拟化网络总体架构vCenter OperationsMgmtvCloud Automation Center IaaS PaaS DaaSApplicationDirectorMgmt vCloud Director/ConnectorvCenter Site Recovery ManagervSphereCloud Service Prov

11、idersHyper-visorsCMSNSX IaaS PaaS DaaS支撑任意的应用(无需修改)虚拟网络虚拟网络VMware NSX 网络虚拟化平台逻辑交换网络任意网络硬件架构云管理平台（vCAC,OpenStack,Cloudstack）逻辑防火墙逻辑负载均衡逻辑路由网络逻辑VPNX86虚拟化层NSX软件定义的虚拟化网络组成要素软件定义的虚拟化网络组成要素L2L3Virtual NetworkL2Open vSwitchNSX GatewayVMVMvSpherevSphereKVMXenServervSwitchvSwitch vSwitchvSwitchHWSWController

12、 ClusterAPIVLANNSX ManagerHW PartnerVTEP DeviceCMPVLANVLANLayer 3 IP Network软件定义的虚拟化网络工作原理软件定义的虚拟化网络工作原理 ExternalNetworks 简单,易复制，自动化地实现多租户云网络 软件定义的虚拟化网络软件定义的虚拟化网络-敏捷性敏捷性v 根据应用需求利用vxlan技术按需定义应用的网络切片和逻辑拓扑结构(Web/App/DB)实现数据中心应用的快速灵活部署VLAN1 10.x.x.xVLAN2 172.16.x.xVLAN2 192.168.x.x Virtual NetworkVirtua

13、l Layer 2 88.33.x.x(whatever)软件定义的虚拟化网络软件定义的虚拟化网络-真正的真正的Any application any where利用VXLAN解决数据中心网络存在的三大问题：vAny application any wherev大二层架构下存在的：MAC地址表、VLAN和二层Flooding三大问题v数据复制支持unicast、hybrid和multicast模式解决目前vxlan没有control plane带来的flooding问题传统的边界防火墙已经被证实为不足够安全,而用传统方式实现 micro-segmentation 基本上不可行对内部流量不管控I

14、nternetInternet安全性不充分管理上不可能软件定义的虚拟化网络软件定义的虚拟化网络-分布式防火墙分布式防火墙Micro-SegmentationVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMBenefits安全策略直接部署到 VM网络端口No“Choke Point”,no more hair pin分布式处理,线速过滤,水平扩展安全策略管理简化by context policy rule vNIC level 管控,安全与网络无关集中管控软件定义的虚拟化网络软件定义的虚拟化网络-分布式防火墙分布式防火墙Micro-Segmentation软件定义的虚拟化网络软件定义

15、的虚拟化网络-分布式路由分布式路由软件定义的虚拟化网络软件定义的虚拟化网络-分布式防火墙分布式防火墙CONFIDENTIAL20软件定义的虚拟化网络软件定义的虚拟化网络-自动化自动化通过标准的REST API 向上支持多种企业云管理平台（Vcloud Director,vCAC,OpenStack,Cloudstack）实现网络虚拟化资源的自动部署软件定义的虚拟化网络软件定义的虚拟化网络-集中化运维和监控集中化运维和监控议程议程数据中心云计算对网络的要求网络虚拟化总体架构案例分析案例分析总结CONFIDENTIAL22NSX CustomersEOR PODTOR POD服务器机房三层交换核心

16、EOR PODTOR POD服务器机房某保险公司某保险公司:利用利用NSX实现虚拟化资源的精细化安全管理和监控实现虚拟化资源的精细化安全管理和监控缺乏虚拟机颗粒的安全管理和监控手段v 尽管南向安全可以通过汇聚层防火墙控制但虚拟化应用规模越来越大，缺乏有效的东西向流量安全控制手段，同时希望虚拟机vmotion时，安全策略随动，不需要任何变更v 行业监管的要求，需要监控特定虚拟化环境中特定虚机的进出流量v 同时希望虚机可以跨机房和三层网络随意VmotionNSX:VxlanNSX:VxlanEOR PODTOR POD服务器机房三层交换核心EOR PODTOR POD服务器机房NSX Contro

17、llerNSX ManagervCenter Server某保险公司某保险公司:利用利用NSX实现虚拟化资源的精细化安全管理和监控实现虚拟化资源的精细化安全管理和监控v利用NSX分布式虚拟防火墙功能，实现虚拟机环境的精细化安全管理，同时实现虚拟机vmotion时，安全策略随动，不需要任何变更v支持基于特点应用或虚机的span和rspan功能实现流量的实时监控满足行业监管的要求v借助vxlan技术实现跨机房和三层网络随意Vmotion某商业银行某商业银行:利用利用NSX构建新一代金融互联网渠道构建新一代金融互联网渠道客户需求：随着金融互联化的快速发展，越来越多业务子系统向网银区迁移，同时大量的新

18、业务也不断快速推出，现有网银出口架构在以下几个方面存在诸多问题：v 扩展性不足现有架构无法满足创新型互联网应用不断推出的要求：移动应用、手机APP、地图、网上商城、大数据等v 部署不灵活原有架构下DMZ区主要集中在某一机房，跨楼层或跨机房部署相对困难，同时更无法支持虚拟资源跨机房的灵活调度v 互联网DMZ区普遍采用虚拟机方式，缺乏针对虚机的安全控制和精细化管理v 不支持应用快速和自动化部署L3L2POD AL2L3POD BL3L2POD YL2L3POD ZOSPF ECMP v 基础架构层面的标准化可复制和快速部署采用基于POD的标准架构v 网络资源的可复制和快速部署采用NSX架构按需要快

19、速复制应用网络和相关的网络服务v VXLAN实现DMZ区到数据中心任何位置的按需扩展v 配置管理有NSX通过图形界面统一完成v 采用分布式防火墙技术实现虚机层面的安全管理和策略的随动v 为了NSX将和企业云平台集成，实现应用的自动化部署某商业银行某商业银行:利用利用NSX构建新一代金融互联网渠道构建新一代金融互联网渠道CONFIDENTIAL28某商业银行某商业银行:利用利用NSX实现业务系统网络实现业务系统网络P2V的迁移的迁移硬件环境业务网络层次：核心层：Cisco N7000核心路由器两台，AA方式提供核心路由。汇聚层：H3C F5000多层防火墙两台，互为主备方式提供3层接入和防火墙功

20、能。H3C 12508交换机两台，堆叠方式提供2层接入。现有架构下服务器资源以基于x86的物理服务器和小型机为主客户在未来两年内要完成90%业务系统P2V的迁移3层网关H3C F5KH3C 12508Cisco N7K现有环境下客户面临的问题：v 现有物理机环境下设备采购和运维成本过高v 应用部署周期长（1-2个以上）v 资源利用率低P2V迁移客户重点关注的问题：v 虚机层面的安全控制和管理监控v 虚机层面东西向的路由优化v 虚机跨三层的vmtionv 现有物理环境和虚机环境的无缝迁移CONFIDENTIAL29某商业银行某商业银行:利用利用NSX实现业务系统网络实现业务系统网络P2V的迁移的

21、迁移P2V改造后物理架构P2V改造后逻辑架构CONFIDENTIAL30物理连线部分承载目前管理业务区使用的不进行网关变更的VLAN。老网关新建环境流量L2-Bridge迁移规划Edge GW新部署规划Edge ClusterCompute ClusterVTEP迁移环境流量物理连线物理连线原有物理环境新建x86环境Cisco N7KF5K1250812510M9K某商业银行某商业银行:利用利用NSX实现业务系统网络实现业务系统网络P2V的迁移的迁移议程议程数据中心云计算对网络的要求网络虚拟化总体架构案例分析总结总结CONFIDENTIAL31HypervisorX86 HostsLine r

22、atePer hostPhysical orVirtual10K Logical Switches硬件软件硬件软件云管理平台Line ratePer hostNo Tromboning1,000Logical RoutersPer domainLine ratePer hostKernel Integrated25,000 CPS2 millionSessionsScale-OutLine ratethroughput1M CPS10M ConcurrentFW,LB,VPNNSX 的价值的价值1101001,000Hosts30 Gbps300 Gbps3 Tbps30 TbpsThe Po

23、wer of a Distributed System分布式交换分布式路由分布式防火墙网关服务VMware NSX Software 虚机网络虚机网络现有的网络架构交换交换路由路由防火墙防火墙LB,VPN网关服务网关服务30 Terabits per secondVMware NSX APIHypervisorX86 HostsHardwareSoftware投资运维成本HardwareSoftware转发效率敏捷与速度NSX 的价值的价值1101001,000Hosts30 Gbps300 Gbps3 Tbps30 Terabits per secondThe Power of a Distributed System现有网络架构简洁的简洁的IP转发网络转发网络No VLAN,No ACL,No Firewall Rules业务敏捷，业务敏捷，创造价值创造价值投资保护，降低成本投资保护，降低成本简化简化运维，提升效率运维，提升效率分布式交换分布式路由分布式防火墙网关服务VMware NSX Software 谢谢！谢谢！