VMware虚拟网络-NSX架构篇（1）

概述

最近VMware的官网vmware.com经过了改版，主页上单独把

网络连接

作为一个大项菜单，其包含的内如下：

我们可以看到V记在网络方向的转型：

对容器和Kubernetes的支持和重视，包括容器网络，Service Mech和容器安全等
更加全面的网络解决方案，涉及云网、数据中心网络、容器网络、SD-WAN、网络安全以及网络自动化及运维。从虚拟网络层面来讲，业界没有第二家可以有这个广度和深度了
NSX-V解决方案不再提，NSX的产品家族以NSX-T产品为中心，结合网络负载均衡（AVI）、网络虚拟防火墙、IPS/IPS、安全分析类产品、网络自动化和运维产品，成为V记网络解决方案的核心部分整体上可以用下面的图表示：

什么是NSX-T

那么NSX是什么？现在讲NSX，基本上已经指NSX-T了，我们看看官方对其的定义：

VMware NSX® Data Center 是一个支持虚拟云网络的网络虚拟化和安全性平台，能够以软件定义的方式实现可跨数据中心、云环境和应用框架进行延展的网络。借助 NSX Data Center，可以使网络和安全性更贴近应用，而无论应用在何处（包括虚拟机 [VM]、容器和裸机）运行。与虚拟机的运维模式类似，可独立于底层硬件对网络进行调配和管理。

上面这一段其实就是讲的NSX-T，我们知道NSX-V是仅仅同vSphere集成，并不能对容器和裸机提供网络服务。而NSX Cloud呢？ NSX Cloud是*为在公有云中原生运行的应用提供一致的网络连接和安全服务。*简单点讲：NSX Cloud就是再公有云，如 Microsoft Azure 和 Amazon AWS上面部署NSX以达到私有云和公有云一致的网络连接和安全体验。

如此看来，NSX-T的模型和工作原理，是我们理解V记网络版图的技术抓手，而入口就是VMware NSX Data Center。

NSX Data Center 提供了一组完整的逻辑网络和安全性功能及服务，其中包括逻辑交换、路由、防火墙保护、负载均衡、虚拟专用网络 (VPN)、服务质量 (QoS) 和监控。可以通过利用 NSX Data Center API 的任何云计算管理平台在虚拟网络中对这些服务进行调配。虚拟网络可以无中断地部署到任何现有网络硬件上，并且可以跨数据中心、公有云和私有云、容器平台和裸机服务器进行延展。

从主要功能上面来看，NSX提供了虚拟的：

网络基本功能：交换、路由和网关等
网络高级功能：负载均衡、分布式防火墙、VPN和NAT等
网络自动化
网络运维
容器网络
多云网络

探索NSX，就从其架构和功能实现开始吧

IT世界的变化以应用为导向，大抵可以分为Iphone出现和容器的大规模应用两次大的变革时间点，残喘十几年的物理机加各种功能性盒子组成的IT系统慢慢分崩离析，虚拟化、容器化和云化慢慢成为现代化应用新的栖身之所。

而连通这一切的网络，也随之变化，无从避免。

最初的物理机时代，每一个主机占据一个网络端口，分配一个IP地址，就如同城市的门牌号码，而网络也像是纵横交错的街道。人们通过门牌号码找到要去的地方，而网络上的端口和IP地址是应用找寻归途的门牌。

到了虚机时代，一个主机内要部署不同的虚拟主机，每个虚机都有自己的虚拟端口和IP地址，这像极了城市路一个里弄住了多家房客。原来通过里弄号码的方式找不到人了，怎么办？里弄里面再细分哪个房号，里弄里面必然有去到房门的路。而为了找到虚拟主机，虚拟网络也就应运而生。

再后来，一个路上的门牌号码，进去是一个园区，园区里有很多大厦，要找到人，不仅要知道园区的门牌号码，还得知道园区里面的大楼号，然后再大楼里面去找楼层和房号。容器时代的网络不就是这样吗？

要建好一个面向容器和虚机的虚拟网络，需要对网络和虚拟化都有深厚的积累，于是，VMware来了，

他说：物理网络的归盒子；虚拟网络归V记！

那你有什么法宝?

NSX!

NSX架构

首先，NSX是SDN理念的产物，那么它的架构一定是管控分离的。

上图是NSX整体架构，设计者为NSX构建了三个平面，分别是

数据平面、控制平面和管理平面

管理平面

为系统提供了一个API入口点。它负责维护用户配置、处理用户查询，并在所有管理、控制和数据平面节点上执行操作任务。

NSX-T Manager为NSX-T生态系统实施管理平面。它提供一个聚合的系统视图，是NSX-T的集中网络管理组件。NSX-T Manager以虚拟机的形式提供，并提供以下功能：

通过RESTfulAPI或NSX-T用户界面作为用户配置的唯一入口点。

负责将所需配置存储在其数据库中。NSX-T管理器存储用户对系统的最终配置请求。此配置将由NSX-T管理器推送到控制平面，以成为一个已实现的配置（即数据平面中有效的配置）。

除了系统信息（如统计信息）外，还检索所需配置。

所有NSX-T组件都运行一个管理平面代理（MPA），将它们连接到NSX-T管理器。

控制平面

控制平面根据管理平面的配置计算系统的运行时状态。它还负责传播数据平面的组件报告的拓扑信息，并将无状态配置推送到转发引擎。

NSX-T将控制平面分成两部分：

中央控制平面（CCP）-CCP作为称为CCP节点的虚拟机集群实施。集群形式提供了资源的冗余性和可伸缩性。从逻辑上讲，CCP与所有数据平面流量分开，这意味着控制平面中的任何故障都不会影响现有的数据平面操作。用户流量不通过CCP集群。
本地控制平面（LCP）-LCP在传输节点上运行。它与它控制的数据平面相邻，并与CCP相连。LCP负责对数据平面的转发条目进行编程。

刚出生的NSX组件上有单独形态的管理平面组件和控制平面组件（虚机形式），在NSX-T 2.4以后，V记将管理平面组件和控制平面组件合二为一，在组件上统一为NSX Manager。

数据平面

数据平面根据控制平面填充的表执行数据包的无状态转发或转换。它向控制平面报告拓扑信息并维护包级统计信息。

传输节点是运行本地控制平面守护进程和实现NSX-T数据平面的转发引擎的主机。N-VDS/VDS负责根据可用网络服务的配置交换数据包。

NSX-T中有几种类型的传输节点：

N-VDS: NSX虚拟分布式交换机是一个通用的软件定义的交换机平台，它独立于虚拟化管理程序。它是传输节点数据平面中涉及的主要组件。n-vds在传输节点上运行的组件之间（如虚拟机之间）或内部组件与物理网络之间转发流量。在NSX-T 3.0之后，可以利用vSphere 7上的分布式交换机vDS作为NSX虚拟分布式交换机；
虚拟机监控程序传输节点：虚拟机监控程序传输节点是为NSX-T准备和配置的虚拟机监控程序。N-VDS向在这些虚拟机监控程序上运行的虚拟机提供网络服务。NSX-T目前支持VMware；
ESXi和KVM管理程序：KVM实现的N-VDS是基于开放式虚拟交换机（OVS）的，与平台无关。它可以移植到其他管理程序中，并作为NSX-T在其他环境（例如云、容器等）中实现的基础。
Edge节点：VMware NSX Edge节点是专用于运行无法分发到管理程序的网络服务的服务设备。它们被分组在一个或多个集群中，代表一个能力池。记住它不是一个人在战斗！

对于主机来说，本地控制平面（LCP）和数据平面功能，通过主机准备这一过程预制在相应的物理设备中，使其成为传输节点。