VMware的NSX网络虚拟化工具颂扬细粒度控制的早期用户

理查德sillito

理查德Sillito

加拿大航空公司WestJet的公司是VMware的NSX网络虚拟化工具最早的客户,它最初达到以解决安全问题之一。足球竞猜app软件网络世界主编约翰·迪克斯最近与WestJet的技术专家理查德Sillito找出哪些公司正在了解网络虚拟化。

让我们与您的环境的缩略图描述开始。

我们有两个地理上分散的数据中心,一个主要数据中心有大约2000台服务器,其2020欧洲杯预赛中80%是虚拟化的,另一个中心有大约500台服务器用于灾难恢复。我们还将关闭第三个并列数据中心。2020欧洲杯预赛

什么推动你走向SDN?

我们的环境最初设计为南北交通。你进来,打在DMZ,你也许打一个内部服务器,也许一个安全的内部服务器,然后你回来了一次。所以,这条道路是非常简单的。但是,一旦我们开始整合其他系统中,我们介绍了很多东西交通。

例如,电子商务和企业使用的互联网连接是分开的,我们的想法是这两者永远不会见面。然后,我们引入了身份管理,并表示身份将被用来进行身份验证,并为西捷的员工和客人提供服务。

人们登录Westjet.com,访客门户就会出现,他们会提供某些服务,但如果你以员工身份登录,你会得到所有这些服务以及额外的企业服务。所以突然之间,这两种服务的分割就没有任何意义了。你进入eCom,然后进入企业DMZ,连接到那个服务,然后进入企业服务。正是这种多重路径开始给我们的网络带来巨大压力。

此外,我们还增加了许多其他服务。我们的奖励计划最初是一个独立的网站,但后来我们把它整合到主网站中,而假期是一个独立的网站,我们也会整合它,因为客人不想登录一个网站做这个,登录另一个网站做那个。他们想要登录并能够访问他们所有的服务。所以当我们把这些整合到一个门户网站时,东西方的流量就会增加得更多。

所以,您意识到问题正在酝酿,那么您是如何使用SDN或网络虚拟化作为解决方案的呢?

这种东西交通问题扩散到了防火墙上。随着连接数量的增加,防火墙规则几乎呈指数级增长。所以我们看到了防火墙规则的快速增长。但随着服务规模的扩大,情况也会变得更糟,因为当您建立一个新服务器时,您需要为该服务器创建所有的防火墙规则。这意味着当你垂直扩展时,你承担了工作量。

所以这确实是个安全问题。我们处理安全问题的方式迫使网络去做一些事情,就像我老板说的,不自然的事情。这时我发现这是一个分割问题。分割的方式没有意义。

我研究了不同的分割模型,从基于数据分类的分割思想开始。但使用这种模型,您需要的防火墙规则数量——因为这些敏感数据系统仍然需要与非敏感数据系统通信——仍然会产生一个巨大的规则集。您仍有很多需要维护的规则。

然后我从遵从性的角度来看,同样的问题出现了。我们的PCI系统仍然需要与数据中心中的许多其他系统进行通信。2020欧洲杯预赛所以这并没有解决分割问题。

然后我看了看网络,然后说,“网络是关于服务的。这就是它的作用。服务通常与端口相关联,如果您有一个组织良好的数据中心,那么它们通常与网络上的某个位置相关联。2020欧洲杯预赛“所以,当我开始从服务的角度看问题时,事情就变得非常简单。

所以我开发了这个模型,我们把它的技术委员会,我们得到了批准,开始寻找技术。第一个想法是做配对层与我们的核心路由器2个透明防火墙。我把那个大铁溶液,因为路由器的桥接第2层模式下运行,你只插入一个业务流中的中间。所以基本上我们必须在核心路由器和公正的发夹交通关闭通过防火墙的核心路由器。所以这是它本身没有三层接口。

你不喜欢这种方式,为什么?

它是昂贵的,但是没有得到优化,东西交通。它所做的就是把那个东西的交通问题,并把它放在一个地方的网络,我们可以再扔掉它足够的资源来处理进去。但是,我们在看一些从一系列公司的期权当VMware与这家名为NSX新的东西出来。我们让他们降下来,目前并立即开始凝胶我们。

即开始驾驶我们向进场的一件大事是将物理设备到虚拟世界的概念;我们可以创建一个包括物理和虚拟设备的网段的事实。你可以做到这一点与一个VLAN,但它不是漂亮。这里的解决方案是更优雅。

飞机

第二件事是通过保持主机上的流量来优化东西方向的流量,这在现实世界中是做不到的。我们的计划包括所有这些不同的服务泡沫,每个泡沫将不得不把流量发送到核心,以便与另一个泡沫交谈。所以,就像我说的,如果我们集中这个问题,我们可以投入更多的硬件,但更好的是,如果这些工作负载在同一台主机上,我们可以在主机上检查流量,而不用将它发送到核心和返回。

您是通过主机上的虚拟防火墙实现的吗?

这是正确的。他们把它叫做逻辑分布式防火墙。

你使用VMware的虚拟防火墙吗?

是的。现在我们专注于1-4层的防火墙。更高层次的检查通常是南北检查,所以我们仍然有硬件防火墙在边缘,我们有其他安全设备在它到达数据中心之前进行检查。2020欧洲杯预赛但是我们知道我们想要增加一些东西交通的5-7层,所以我们正在寻找供应商。这就是所谓服务链接的有趣哲学。

使用服务链接,我可以将设备插入到流量中,但没有典型的网络限制。路由不是很具体,所以今天我需要把所有流量从这个工作负载路由到安全设备,然后过滤并发送。但是,我为什么要将我的备份流量发送到web应用程序防火墙之类的东西呢?所以我们倾向于让安全设备超载,因为我们必须让所有的流量都通过这些设备。

但是使用服务链接,控制器会很聪明地说:“哦,如果这是端口80或443,那么就将该流量分流到web应用程序防火墙,但是端口7777备份流量,没有必要将您发送到那里。”“所以我们可以对交通更加挑剔。整个想法就是减少我们需要为这些设备购买的容量。

回到将物理设备引入虚拟世界的想法,你能对此进行扩展吗?

我们有一些XML防火墙,一些负载均衡器和信用卡记号化盒,所以从我的应用程序的角度来看,如果我需要记号化一个信用卡号码,我发送它到那里并取回它,其他服务也是如此。

现在,如果我在提供这些服务的硬件盒上创建虚拟接口,那么我就可以将这些虚拟接口映射到覆盖网络,并使每个盒子出现在多个覆盖中。所以现在对于服务所有者来说非常简单。他们认为自己在和代币经纪人对话。它是相同的IP地址空间,所以它一定是我的令牌代理。“我们只是混淆了这一点,给了他们一个存在于泡沫中的空间。”

您会使用OpenFlow来绑定这些硬件吗?

硬件厂商的目标是参加了SDN网络。他们不得不因为整个事情与隧道串在一起,如果你看它。即使开流,但它仍然与隧道串在一起。因此,必须有某种方式为分组要知道,它得去到那个开关,然后将其传送到与VNI那个开关,并有VNI它转换为VXLAN。它从哪里获得这些信息?从得到它最好的地方是控制器。

但最大的问题是物理与虚拟空间。这几乎就像两个不同的阵营SDN,这世界是怎么样走到一起的?我个人的感觉是,我们要看到,而且我们已经开始看到,SDN控制器共享状态。

但是你还没有真正开始您的网络硬件组件集成到这个网络虚拟世界呢?

我们有,而且有挑战。我们必须克服的挑战,所以我们必须在虚拟世界中的物理的方式,但我们不会有它,我们最终想要的方式。但是,供应商正在成长到那个空间。

所以你决定使用NSX。你在这方面处于什么位置?

我们还在设计阶段,很快就会实现。我们在实验室里做了很多工作。我们很幸运地成为了第一个测试客户。NSX已经在我们实验室使用了一年多了。

你是一个纯粹的VMware商店吗?没有其他需要处理的管理程序吗?

不。如果使用其他虚拟机监控程序,真正的挑战是无法得到优化的东西通信。因为逻辑分布式路由器和逻辑分布式防火墙允许你保持主机上的流量。所以这是旧的东西,如果你想要所有的功能,你最终会被锁定。

多久这个拿地推出?什么是这一进程?

一根绳子有多长?我们的想法是从我们的网站开始,我们希望在12月之前完成。当然,我们希望看到它在今年年底前投入使用。大约有200个服务器。

+也在网络世界足球竞猜app软件企业准备好网络虚拟化了吗?+

将转移到网络虚拟化需要你改变什么组织明智?

看到这种进化真的很有趣。有很多方面。有些人想知道,“虚拟化之后我的工作是什么样子的?”然后还有一个完整的想法,“我们要创建一个独立的云团队吗?”或者这是一种基于社区的方法?“实际上,我们有建筑师在研究什么是最适合西捷的运营模式。

我如何合理化它在早期阶段 - 因为我需要让人们开始对这个合作 - 我说,让我们只需要创建一个云团队;拉出来的资源的IT,并把它们放在一起。那么,一个挑战是我们没有那么大。我们只有大约230人的IT是。你开始拉一两个人了某些群体的且已按五分之一,减少了他们的能力。

如果你把这些人拉进一个团队,他们就会被孤立,与他们的世界分离。因此,现在您正在将虚拟网络与物理网络解耦。您正在将虚拟安全与物理安全解耦。你把这些都解耦了,这是健康的做法吗?当然,它使云的运行更容易,但它是否在您的it中创造了连续性?我认为没有。

所以最终我想,建立一个软件定义的数据中心和建立一个数据中心没有什么不同,当我们建立我们最后一个数据中心的时2020欧洲杯预赛候,我们没有说,“好,我们要把人从它里面拉出来,把他们放到东部数据中心团队。“我们每个小组都派了代表参加,他们将是知识输入和输出的桥梁。

所以我从根本上用同样的方式看待它,并说:“让我们假装我们在建造一个数据中心。2020欧洲杯预赛于是我召集了网络人员、服务器操作人员、安全人员和一群架构师,成立了一个名为V团队的团队。我们每周开会一次,制定设计方案,解决问题,听演讲,无论那周的日程安排是什么。

NSX在今天的实验室中是如何存在的?每一个细节都是你自己设计的吗?

它相对来说仍然是被包容的,但这是软件定义网络的优点之一。您可以使其非常复杂,但它不会影响物理层。只要有两台主机来回发送通信,你就验证了所有需要验证的东西。它很简洁,因为它缩放得很好。这就是它的美妙之处。现在所有的事情在规模上都失败了,所以总有一天会失败,对吧?与运行NSX的其他人相比,我们拥有一个相对较小的数据中心,这对我们来说很美妙。我们去到技术顾2020欧洲杯预赛问委员会,听到他们提出的数字,我们会说,“是的,我们可能不用担心这个。”

还有什么是我们没有提到的,你认为在这次旅行中很重要的吗?

如果我真的要把它归结为,我们真的找到了一种方法来放置一个网络安全策略,它不依赖于网络的工作方式。我记得我们有一个关于web堆栈的白板会议,有人说我们必须考虑路由流量到防火墙。我说,“不,我们没有。你只是让交通顺畅。我将设置策略,该策略将在进入和离开虚拟机时应用。我不在乎你怎么走。这对我来说不再重要了,因为我可以在虚拟机周围设置策略。“我认为,这种能力将是巨大的。

加入对网络世界的社足球竞猜app软件区Facebook的LinkedIn对那些顶级心态的话题发表评论。

版权©2014足球竞彩网下载

IT薪资调查:结果在