思科软件定义网络的方法可跨运行VMware虚拟平台的交换硬件和数据中心应用来管理政策,但当添加VMware的SDN安全选项进来时,思科的技术就发挥不了什么作用了。
那些同时使用这两家供应商SDN产品的企业都十分谨慎,他们分别将这两款产品用于不同的任务。通常情况下,思科的SDN技术(被称为应用为中心的基础设施ACI)主要用于对硬件交换机应用网络政策。而另一方面,VMware公司的NSX则主要用于管理虚拟化环境内的安全机制——微分段。
在上述情况中,企业无法充分利用ACI,当在没有NSX的情况下,ACI可创建和分发政策来管理用户的整个数据中心网络基础设施,包括VMware环境。
这个兼容性问题主要是因为思科和VMware的SDN产品采用不同类型的VXLAN协议。VXLAN(或者说虚拟可扩展LAN)是一种封装协议,用于在交换硬件上运行虚拟网络。
通过ACI从NSX转发数据需要封装信息,这意味着在VXLAN封装内创建封装。虽然这个方法可行,但IT服务公司OneNeck IT Solutions LLC数据中心架构师兼ACI专家Brian Dooley表示,这并不是最好的方法。
对于已经采用思科及其他供应商的硬件构建了网络基础设施的企业来说,更好的方法是跳过NSX,使用ACI用于微分段,以及管理所有其他网络政策。
ACI微分段在VMware中不好用
那些完全使用思科SDN产品的企业会发现在VMware环境中应用微分段规则很麻烦,这是因为ACI执行微分段的方法是通过在VMware管理程序主机(提供网络服务到该供应商的VM)上部署思科应用虚拟交换机(AVS)。
一般情况下,思科的AVS在VMware环境中无法像在该供应商的vSphere分布式交换机(VDS)那样正常运作。VDS是ACI更好的选择,如果企业现在还没有将其用于微分段的话。
美国德州Hutto独立学区网络管理员Keith Reynolds表示,专家们的共识是AVS需要更多的时间才能更加成熟。
Reynolds称:“思科似乎仍然在完善它。”Hutto使用ACI来执行网络政策,管理着该学区学生和教师每天使用的3000个Chromebooks。
微分段机制越来越受欢迎,它可防止已经感染一个应用的攻击者发送恶意软件到另一个软件中去。该方法涉及将数据中心分离为工作负载或应用,然后采用政策来限制这些逻辑单元之间的通信。
最终,企业在决定是否使用ACI、NSX或同时使用两者时,应该在概念证明实验室中全面测试这两种技术,以确定哪种技术更适合其数据中心。
“如果企业希望获得强大的网络功能,我通常会建议选择ACI解决方案,”他表示,“不过我们也有些客户想要朝向虚拟化环境方面。”
作者:Antone Gonsalves 翻译:邹铮
来源:51CTO