VMware NSX-网络虚拟化（一、基础）

第一节：基础

传统的数据中心是用物理网络，提前规划好不同的业务往来，通过接不同的设备，或同一交换机上不同端口，利用vlanid来隔离，划分来区分不同的业务系统。这种模式，不但安装管理复杂，万一遇上管理人员流失，文档缺失，那就是巨大的坑。另外，随着，新技术和网络面临的挑战，设备更新换代，成本也是一大需要企业不得不面对的重要挑战。
针对物理物理的限制和笨重，出现了SDN的概念，即通过软件技术来逻辑实现整个物理物理实现的全部功能，且通过加入新的概念和管理理念，逻辑网络技术更加便捷和适合企业网络的敏捷管理要求。其中VMware作为业界最大的虚拟化厂商，其SDN产品NSX是其中最主要一支。

1.1、vsphere NSX

在基于 vSphere 的软件定义数据中心中，各个虚机的网络都连接在 Hypervisor 所提供的一个虚拟交换机上，这个交换机是横跨整个 vSphere 集群的各个物理服务器的，所以称之为分布式交换机 (Distributed Switch)，这里成为vDS，再说OpenStack里同类似的称为Dvs（分布式虚拟交换机）。所有虚机的网络通讯都是通过这个虚拟交换机来实现的，分布式交换机负责把数据包通过底层的物理网络转发到应该去的目的地。

NSX 为虚机提供了虚拟化的网络，把虚机和物理网络相隔离，做到了网络服务与具体的物理网络设备无关，使得用户在网络设备的选择和采购上有着更大的灵活性。NSX 在虚拟网络上可以提供几乎所有的网络服务，如：路由器、负载均衡、防火墙等。除了这些常规的功能，NSX 还能够提供一些传统物理网络无法实现或实现代价很高的功能：

东西向防火墙： 通常我们把数据中心内部的网络流量称之为东西向流量，数据中心内部和外部的流量称之为南北向流量。数据中心一般只在对外的网络边界上设置防火墙，因为原则上认为入侵风险来自于外部，数据中心内部是相对安全的。如果使用硬件防火墙的话，就需要在所有的业务系统之间设置防火墙，且不说这是一笔很大的硬件投资，就是防火墙规则的设置和维护也是一个巨大的工作量，所以没有数据中心会这么做。但是 NSX 可以很容易地通过软件实现这一功能，把来自于数据中心内部的入侵风险降到最低，即使黑客能够攻陷某一个应用，他也无法访问到数据中心内部其他的系统。
网络微分段： 传统的物理网络是用物理网段或 VLAN 来隔离不同网络的，而且只能隔离到物理服务器(同一服务器上的虚机之间还是没有隔离的)，当需要对网段进行调整时，需要调整物理网络或 VLAN，这可不是一件轻松的工作。微分段 (Micro-segmentation) 是通过分布式防火墙实现的功能，每个虚机都有一台防火墙，自然可以很轻松地隔离微分段之外的虚机。

NSX 所提供的虚拟化网络平台不再要求各业务系统的网络物理隔离，只需要标准化的交换机或路由器把整个数据中心联成一张大网，NSX 会在虚拟网络层上根据业务需求提供隔离(使用微分段技术)。数据中心网络的规划和管理大大简化，既可以降低网络设备的采购成本，也可以有效降低网络的运营管理成本。

在 NSX 虚拟网络上，传统网络中由硬件提供的路由 (RT – Routing) 、交换 (SW – Switching)、负载均衡 (LB – Load Balancing) 和防火墙 (FW – FireWall) 功能都改由软件来实现了，具有更大的灵活性。

NSX特点：

1）可实现业务持续性：虚机的网络环境都是由虚拟网络所提供的，当发生故障转移 (failover) 时，虚机不用改变包括 IP 地址在内的任何网络参数，NSX 会负责把虚机所依赖的整个虚拟网络环境以及对应的网络安全策略迁移到新的服务器上运行，从而保证业务的持续性。
2）分布式软件防火墙和微分段大大简化了数据中心的网络安全管理，相比物理网络环境能够实现更高等级的安全防护。

NSX 组件

1）NSX Manager：

部署完成后界面：

用web直接输入https://nsx_manager_ip/登录后如下：