思科軟件定義網(wǎng)絡(luò)的方法可跨運(yùn)行VMware虛擬平臺(tái)的交換硬件和數(shù)據(jù)中心應(yīng)用來(lái)管理政策,但當(dāng)添加VMware的SDN安全選項(xiàng)進(jìn)來(lái)時(shí),思科的技術(shù)就發(fā)揮不了什么作用了。
那些同時(shí)使用這兩家供應(yīng)商SDN產(chǎn)品的企業(yè)都十分謹(jǐn)慎,他們分別將這兩款產(chǎn)品用于不同的任務(wù)。通常情況下,思科的SDN技術(shù)(被稱為應(yīng)用為中心的基礎(chǔ)設(shè)施ACI)主要用于對(duì)硬件交換機(jī)應(yīng)用網(wǎng)絡(luò)政策。而另一方面,VMware公司的NSX則主要用于管理虛擬化環(huán)境內(nèi)的安全機(jī)制——微分段。
在上述情況中,企業(yè)無(wú)法充分利用ACI,當(dāng)在沒(méi)有NSX的情況下,ACI可創(chuàng)建和分發(fā)政策來(lái)管理用戶的整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)設(shè)施,包括VMware環(huán)境。
這個(gè)兼容性問(wèn)題主要是因?yàn)樗伎坪蚔Mware的SDN產(chǎn)品采用不同類型的VXLAN協(xié)議。VXLAN(或者說(shuō)虛擬可擴(kuò)展LAN)是一種封裝協(xié)議,用于在交換硬件上運(yùn)行虛擬網(wǎng)絡(luò)。
通過(guò)ACI從NSX轉(zhuǎn)發(fā)數(shù)據(jù)需要封裝信息,這意味著在VXLAN封裝內(nèi)創(chuàng)建封裝。雖然這個(gè)方法可行,但I(xiàn)T服務(wù)公司OneNeck IT Solutions LLC數(shù)據(jù)中心架構(gòu)師兼ACI專家Brian Dooley表示,這并不是最好的方法。
對(duì)于已經(jīng)采用思科及其他供應(yīng)商的硬件構(gòu)建了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的企業(yè)來(lái)說(shuō),更好的方法是跳過(guò)NSX,使用ACI用于微分段,以及管理所有其他網(wǎng)絡(luò)政策。
ACI微分段在VMware中不好用那些完全使用思科SDN產(chǎn)品的企業(yè)會(huì)發(fā)現(xiàn)在VMware環(huán)境中應(yīng)用微分段規(guī)則很麻煩,這是因?yàn)锳CI執(zhí)行微分段的方法是通過(guò)在VMware管理程序主機(jī)(提供網(wǎng)絡(luò)服務(wù)到該供應(yīng)商的VM)上部署思科應(yīng)用虛擬交換機(jī)(AVS)。
一般情況下,思科的AVS在VMware環(huán)境中無(wú)法像在該供應(yīng)商的vSphere分布式交換機(jī)(VDS)那樣正常運(yùn)作。VDS是ACI更好的選擇,如果企業(yè)現(xiàn)在還沒(méi)有將其用于微分段的話。
美國(guó)德州Hutto獨(dú)立學(xué)區(qū)網(wǎng)絡(luò)管理員Keith Reynolds表示,專家們的共識(shí)是AVS需要更多的時(shí)間才能更加成熟。
Reynolds稱:“思科似乎仍然在完善它。”Hutto使用ACI來(lái)執(zhí)行網(wǎng)絡(luò)政策,管理著該學(xué)區(qū)學(xué)生和教師每天使用的3000個(gè)Chromebooks。
微分段機(jī)制越來(lái)越受歡迎,它可防止已經(jīng)感染一個(gè)應(yīng)用的攻擊者發(fā)送惡意軟件到另一個(gè)軟件中去。該方法涉及將數(shù)據(jù)中心分離為工作負(fù)載或應(yīng)用,然后采用政策來(lái)限制這些邏輯單元之間的通信。
最終,企業(yè)在決定是否使用ACI、NSX或同時(shí)使用兩者時(shí),應(yīng)該在概念證明實(shí)驗(yàn)室中全面測(cè)試這兩種技術(shù),以確定哪種技術(shù)更適合其數(shù)據(jù)中心。
“如果企業(yè)希望獲得強(qiáng)大的網(wǎng)絡(luò)功能,我通常會(huì)建議選擇ACI解決方案,”他表示,“不過(guò)我們也有些客戶想要朝向虛擬化環(huán)境方面。”
京公網(wǎng)安備 11010502049343號(hào)