软件定义网络(SDN)的到来通常被讨论为游戏更改技术,正在拍摄两个行业的主页和前盟友:Cisco和VMware。
虽然这些公司来自不同方向的SDN,但他们的软件定义了愿望几乎可以保证对抗。所以现在都在桌面上奠定了他们的SDN卡,是时候比较和对比他们的方法。
VMware在早期的SDN上跳上了12亿美元收购启动Nicira2012年中期.Nicira的网络虚拟化策略适合VMware的整体产品集,允许与vSphere等产品紧密耦合。
在Nicira收购后一年多,VMware宣布推出其网络虚拟化平台NSX.2013年8月。希望将数据中心虚拟化策略带到下一个级别的VMware客户现在可以查看他们信任其核心虚拟化需求的供2020欧洲杯预赛应商。
网络巨头思科对SDN的发展反应迟缓,这可能是因为SDN的到来给思科带来了最大的损失,因为该技术承诺将从包处理设备中获取网络智能,并将其集中在控制器中。事实上,思科的SDN战略已经模糊了近两年。尽管该公司在SDN的保护伞下推出了各种产品和举措,但直到现在,还没有什么能让客户感受到像一个有凝聚力的战略。
+也在网络世界足球竞猜app软件思科拥有这个SDN的东西|理解SDN+
随着11月宣布的以应用为中心的基础设施(ACI),思科终于透露了它认为SDN应该是什么样子。思科斥资8.63亿美元收购Insieme Networks,后者是思科投资的一家“spin-in”初创公司。思科使出全身解数向大众宣传ACI。
那么VMware NSX和Cisco ACI如何排队以及它们在新兴SDN生态系统中落下的产品?要了解我们将深入了解每个产品,探索他们所做的关键要素,它们是如何做到的,以及对客户的意义。
VMware NSX.
VMware工程架构师Brad Hedlund简洁地描述了NSX的目标:“我们希望您能够以与部署虚拟机相同的速度和运行效率为应用程序部署虚拟网络。”
NSX通过配置虚拟机管理程序虚拟交换机来解决此崇高目标,以满足应用程序的连接和安全性。虚拟交换机使用覆盖网络在物理网络上彼此连接,这不是卑鄙的壮举。
那么VMware如何完成这一点?有几个关键元素,所有这些元素都围绕分布式虚拟交换机(vswitch)旋转。
坐在管理程序中的网络边缘,VSwitch处理本地虚拟机之间的链接。如果需要与远程资源的连接,则VSwitch提供对物理网络的访问。不仅仅是一个简单的桥梁,NSX vSwitch也是路由器,如果需要,是防火墙。
如果vSwitch是NSX解决方案的核心,那么NSX控制器就是大脑。对于熟悉SDN架构的人来说,NSX控制器是应用程序和网络的仲裁者。控制器使用北向api与表达其需求的应用程序进行通信,并对NSX控制下的所有vswitch进行南向编程,以满足这些需求。控制器可以为那些南向链接使用OpenFlow,但OpenFlow不是解决方案的唯一部分,甚至不是关键部分。事实上,VMware通常不强调OpenFlow。
使用NSX,控制器可以作为纯vSphere环境中的虚拟机的冗余群集,或用于具有混合虚拟机管理程序的客户的物理设备。
分布式防火墙是NSX的另一个关键部分。在NSX模型中,安全性在VSwitch中的网络边缘完成。集中管理此分布式防火墙的策略。概念上,NSX分布式防火墙就像有许多小防火墙一样,但没有维护许多小型防火墙政策的负担。
创建虚拟网络段是覆盖协议。VMware的选择支持多维管理程序环境意味着它们也支持多个叠加。支持虚拟可扩展LAN(VXLAN),无状态传输隧道(STT)和通用路由封装(GRE),NSX通过拍摄传统以太网帧来构建虚拟网络,并在覆盖包内封装(隧道隧道)。每个叠加包都标有一个定义虚拟网络段的唯一标识符。
当然,并非所有网络都知道如何处理NSX定义的虚拟网络。要将非NSX网络连接到NSX环境和反之亦然,流量通过NSX网关,由VMware描述为“斜坡/关闭斜坡”进出逻辑网络。
多维管理程序支持是NSX策略的重要组成部分,添加,正如Citrix Xen和KVM用户到混合。实际上,NSX是许多环境元素的不可知论者,包括网络硬件,这是一个重要的属性。从网络工程角度来看,这对理解至关重要。
Hedlund通过这种方式:“当您将NSX放入带网络虚拟化的图片时,您可以将虚拟基础架构与物理拓扑分开。通过解耦和虚拟机制之间的隧道,您不一定需要在所有机架和所有VM之间都有第2层。您只需要具有IP连接。如果这就是您喜欢构建的情况,您可以保留第2层网络。您可以使用连接到第3层核心开关的机架式开关层构建一个第3层结构,该齿轮开关提供横向输出,强大的ECMP IP转发结构。现在,第2层邻接,逻辑切换和路由都是由虚拟机管理程序中的可编程vswitch提供的。“
换句话说,网络硬件不必使用MPLS,802.1Q VLAN,VRF或其他网络抽象来创建安全分离的多租户网络。相反,NSX受控vswitch通过隧道在叠加中隧道运行管理程序到管理程序流量来处理这一点。潜在的网络的责任仅仅是转发覆盖流量。
对于工程师来说,通过这种转发模型思考,广播、组播和未知单播(BUM)流量需要泛洪可能会带来问题,因为BUM帧会被覆盖层从底层网络硬件中隐藏起来。Hedlund说:“在边缘管理程序中,我们可以看到所有终端主机。当一个虚拟机打开时,我们马上就知道它的IP地址和MAC地址。我们不需要通过网络协议收集或了解这些信息。”因为NSX知道所有的端点,所以不需要未知的单播泛洪。组播和广播数据包在系统管理程序之间复制。
不过,覆盖并不是NSX网络虚拟化消息的全部。VMware工程师架构师Scott Lowe表示:“NSX的巨大增值之一是,我们现在可以将L4-L7网络服务引入虚拟网络,并能够提供这些服务,实例化它们,并将它们作为虚拟网络的一部分进行管理。”
通过L4-L7网络服务,他意味着分布式防火墙和负载平衡器。作为NSX的一部分,VMware提供了这些附加组件,因为它允许更大的网络效率。在传统的网络模型中,集中防火墙和负载均衡器必须具有对其转向的流量进行处理。对于数据中心中包含的主机到主机流量,这意味着必须忽略主机之间的直接路径,以支持包括网络设2020欧洲杯预赛备的主机到主机路径。
NSX通过将这些服务在网络边缘放置在网络边缘,作为管理程序vswitch流量流的一部分来解决此问题。更重要的是,这些服务由NSX控制器管理,减少网络运营商负责的元素。
尽管提供了NSX的L4-L7服务,但VMware认识到客户可能需要额外的功能,因此NSX将包括支持第三方设备。“我们不会试图成为世界上最好的负担平衡器,或者世界上最好的防火墙,并击败了每个人的特征,击败了每个人的特色。“我们将尝试提供80% - 客户将部署的大多数功能。但是,如果有特定的防火墙或负载平衡器需要额外的功能,我们希望为那些集成的人提供一个平台。“
事实上,VMware宣布新南威尔士州拥有一个新兴的合作生态系统,将Arista、Brocade、Cumulus、Palo Alto Networks、Citrix、F5、赛门铁克和其他几家公司列为产品集成到NSX环境的供应商。
尽管NSX拥有强大的网络虚拟化平台,现有客户可以追溯到Nicira时代,但也有批评者。工程界表达的主要担忧是,NSX缺乏与网络交换硬件的通信,严重依赖vSwitch的可编程性来实现网络虚拟化目标。
虽然VMware已经完成了最佳矛盾,但事实上仍然是NSX根本没有具体了解形成底层结构的所有网络硬件,NSX覆盖范围乘坐,这对来自流量工程到故障隔离的所有内容有影响负荷分配。这并不是说NSX没有知识的物理网络,而是那么大多数NSX所知道的都被推断出来。
VMware的官方博客站点深入了解NSX可以帮助将问题域分离为在对应用程序问题进行故障排除时向右方向的点管理员,包括物理网络的问题。但对于NSX,物理底层网络主要是一个云,隧道数据包在一侧进入并在另一侧退出。
除了网络硬件批评之外,来自组织的早期报告探索NSX CITE定价作为采用障碍。VMware和80%所有者EMC对复杂的SKU构建表和昂贵的许可方案没有使IT组织Wince,据说NSX也不例外。也就是说,VMware内的人们表示,他们意识到这一领域的客户担忧,并希望避免另一个“vtax”公共关系崩溃。足以说,潜在的NSX客户需要在这个领域进行调整。
思科aci.
思科名称选择了SDN努力,以应用程序为中心的基础架构(ACI),这是非常重要的,因为它发送了消息。使用ACI,思科专注于将网络基础架构塑造到特定网络应用的需求。
这包括网络虚拟化吗?当然可以。但是对于ACI,网络虚拟化并不是全部。相反,ACI是一个完整的SDN解决方案,它围绕着IT应用程序是组织中最重要的东西的思想。
从这个意义上说,很难直接比较NSX和ACI。虽然NSX和ACI之间有一些功能重叠,但ACI不仅仅回答了这个问题,“网络如何才能虚拟化?”相反,ACI回答了这样一个问题:“网络如何围绕应用程序的需求进行转换?”
与NSX的解决方案一样复杂和微妙,ACI的范围更广,方法也更新颖。可以想象,一个组织可以在ACI之上运行NSX——但不能反过来。
所有这些都说,ACI作为整个解决方案还没有发货。这些想法都在那里。已经写了大量代码。产品组件已被命名。但对于客户来说,ACI并不真正存在。投资于可用的ACI组件的客户正在投资路线图,承诺在2014年日历年交付的完整ACI解决方案。
筛选搁置,思科已经花了很多时间,描述了ACI对网络社区的愿景。解决方案复杂,许多元素一起工作以重新思考网络如何完成网络。
ACI平台最有形的元件是Nexus 9000交换机,今天运输。9000个交换机是高密度10gbe和40gbe,内置于“商家加”硅的想法,如商人硅加定制思科Asics。商船是Broadcom Trident II,由其他几个开关供应商使用。定制ASIC用于帮助ACI服务交付,但有关如何以及为什么尚未被Cisco发布的详细信息。
应用程序策略基础架构控制器(APIC)将安全性,分段,优先级排序等转化为网络编程。思科以冗余选项的物理形式因子提供APIC,因为作为虚拟机提供APIC将显示“鸡肉和鸡蛋”问题。Mike Dvorkin,首席科学家和insieme网络共同发现,使得“对于[ACI]面料来引导,您需要APIC。但是对于要作为VM安装和电源的APIC,您需要织物。
与许多SDN模型一样,APIC位于应用程序和网络之间,将应用程序需要的内容转换为满足这些需求的网络配置。思科说APIC是开放的,因为访问APIC数据的api对任何希望写入APIC数据的人都是可用的。事实上,客户将能够下载“开放设备包”,允许目前不属于ACI基础设施的网络硬件暴露给APIC。