VMware NSX Genel Mimarisi ve Bileşenleri

  1. Opdotech
  2. Blog
  3. VMware NSX Genel Mimarisi ve Bileşenleri

VMware NSX Genel Mimarisi ve Bileşenleri

Merhabalar,

Bir önceki yazımda genel olarak network sanallaştırma ve VMware NSX ürünü ile ilgili bilgiler paylaşmıştım. Bu yazımda ise NSX’in genel mimarisi ve bileşenleri hakkında bilgi vermeye çalışacağım. Bazı terimlerin Türkçe karşılıkları çok anlamlı olmadığından İngilizce olarak yazmak zorunda kalacağım.

Aslında SDN mimarileri ile oluşturulan yapılar genel olarak data plane, control plane ve management plane’in ayrılması üzerine kurgulanıyor. Ayrıca bu ayrım yapının iş yükünden etkilemeden büyümesine ve ölçeklenmesine kolaylık sağlamakta. NSX mimarisinde bileşenlerinin yerleşimi de bu katmanlar baz alınarak inşa edilmiştir. Şekil-1 de bu ayrım açıkça görünmektedir.

Şekil – 1 NSX Genel Mimari ve Bileşenleri

Data Plane :

Data plane temel olarak NSX VSwitch yani vSphere Distributed Switch (VDS) üzerine oturan katmandır. VDS’in NSX den öncede var olduğunu biliyoruz fakat NSX ile beraber VDS in yanına direk kernel seviyesinde çalışan Distributed Firewall ve Distributed Routing özellikleri gelmektedir.  Ayrıca kernel modül üzerinde çalışan bu servisler dışında VXLAN dünyası ile VLAN dünyasını birleştiren L2 veya L3 gateway servisleri de bu plane üzerinde yer almaktadır. Öncelikle data plane üzerinde bulunan distributed servislerden kısaca bahsedersek ;

  1. Distributed Logical Switch : Distrubuted switch (Dağıtık Anahtarlama) özelliği ile L2 domainlerin sanallaştırma ortamının üzerine kurulduğu tüm fiziksel fabric’e uzanmasını sağlıyoruz. Biz bu L2 segmentlere daha önce VLAN derken şimdi bu segmentler artık bizim için birer VXLAN oluyor(Şekil-2)
  2. Distributed & Edge Routing : Farklı subnetler arasındaki trafiğin hypervisor dışına çıkmadan routing in direk hypervisor kernel seviyesinde yapılmasını sağlanmaktadır. Bir de bunu minimal CPU/RAM kullanımı ile sağlanmaktadır. Özetle Distributed Logical Router (DLR) tüm hypervisor e uzanarak East-West trafiğindeki routing işlemini üstlenmektedir. Aynı host içindeki farklı subnette olan iki sanal makine için trafiğin hypervisor den çıkmaması doğal olarak performansı trafik performansını olumlu yönde etkilemektedir. Ayrıca NSX Edge servis (NSX Edge Router) de Kuzey-Güney yani fiziksel dünyaya çıkan trafikteki routing i üstlenmiş oluyor.
  3. Distributed Firewall : NSX in en iddalı özelliklerinden biri olan Distributed Firewall özelliği L2-L4 firewall özelliklerinin direk kernel ve vNIC serviyesinde uygulanmasına olanak sağlıyor. Bu özellik sayesinde doğu-batı trafiğinin fiziksel cihazlarda darboğaza girmesine engel olunurken gerçek anlamda microsegmantasyon da sağlanmış oluyor. Bunu yaparken de line-rate performansı minimal CPU ve RAM ihtiyacı ile yapıyor. (Kulağa hoş geliyor değil mi? Private VLAN artık tarihe karışıyor:)) Ayrıca NSX, bir önceki makalemde belirttiğim gibi NSX Distributed Firewall 3party üreticilere ortak bir platform oluşturduğu için onlarla entegre olarak bizlere çok daha fazla katma değer sağlayabiliyor. (L7 Firewall, Antivirus, IPS vs). Dağıtık servislerin yanında Edge servis olarak da ;
  4. Edge Firewall : Edge firewall servisi aslında NSX Edge Service Gateway’in(ESG) bir özelliğidir. Fiziksel firewall ile Distributed Firewall arasında bir katman daha oluşturmak istenen altyapılarda yapılandırılabilir.
  5. VPN : ESG ile DataCenter ları birbirine bağlamak için L2 VPN, IP SEC VPN desteklenirken, uzak kullanıcılar için de SSL VPN servisi desteklenmektedir.
  6. Load Balancing : Bu servis ile de SSL termination ile beraber L4/L7 load balancing özelliklerini sağlamaktadır. Load balancer iki farklı deployment modeli ile karşımıza çıkıyor. Bunlardan bir tanesi in-line ve diğeri Proxy mode.
  7. DHCP & NAT Servisleri : NSX Edge Service Gateway(ESG) ile beraber dhcp server, relay ve NAT servisleri de sağlanabilmektedir. Özellikle sanallaştırma ortamındaki networklerin dış dünyaya NAT ile taşınması olası bir ihtiyaç olabilir.

Control Plane :

NSX Controller, control plane in ana bileşenidir. NSX Controller ESX Host lar üzerindeki distribute edilen arp,mac ve vtep tablo bilgilerini tutar. NSX Controller data plane trafiğinden tamamen bağımsız cluster olarak 3 adet aktif aktif ve yedekli olarak çalışan bir yapıdır. Tüm bu bilgiler cluster içindeki bu üç controller da senkronize edilmektedir.

Control plane de NSX Controller a ilaveten Distributed Logical Router(DLR) için datanın üzerinden geçmediği sadece routing paylaşımı ve kontrolü için Control VM bulunmaktadır. Aklımızdan çıkarmamamız gereken husus data trafiği control plane üzerindeki bileşenlerden geçmemektedir.

Management Plane :

NSX Manager tüm NSX ekosistemini yönettiğimiz management plane e oturan NSX bileşinidir.  NSX manager ile yukarıda saydığımız tüm bileşenleri yönetiyoruz. NSX manager vcenter web client yönetim arayüzüne bir eklenti olarak gelmektedir. (Şekil-4)

Şekil-4 NSX Manager

Ayrıca NSX manager 3party entegrasyonlarda da çok etkin rol almaktadır. Tüm entegrasyonlar NSX manager üzerinden yapılmaktadır. Mesela NSX i Intel Security (Mcafee) ile entegre edecekseniz entegrasyon NSX manager ile ePO (Intel Security yönetim platformu) arasında yapılıyor. (sonraki makalelerde bu entegrasyonu anlatacağım) Yani özetle NSX ortamımızın tüm REST API girişleri NSX manager üzerinden olurken, NSX Manager controller lar ile de REST API üzerinden haberleşmektedir.

VMware’in SDDC konseptinde yer alan aşağıdaki ürünler ile de NSX Manager üzerinden iletişim sağlıyoruz. NSX bu ürünlerle entegrasyonu ile çok fazla katma değer elde ediyor olacağız. (ileriki makalelerde fırsat buldukça değineceğiz)

  • VMware vRealize Automation (vRA)
  • VMware Log Insight (LI)
  • VMware vRealize Operations Manager (vROps)
  • VMware Integrated OpenStack (VIO)

Tüm bu saydığımız bu bileşenler arasındaki iletişimi gösteren güzel bir çizim ile makalemi bitirmek istiyorum.

Şekil-5 NSX Bileşenlerin iletişimi

Şekilden de görüldüğü gibi NSX Manager Controller ile REST API üzerinden iletişim halindeyken, NSX Controller ESX Host lar ile SSL üzerinden haberleşiyor. Ayrıca NSX Manager ESG ile SSL üzerinden haberleşmekte.

Sonraki makalelerim de NSX kurulum adımları, NSX – Palo Alto, NSX – Intel Security (Mcafee) ve NSX -HP switch entegrasyonlarının nasıl yapıldığını anlatmaya çalışacağım. Bu yazımda bana verdiği desteklerden dolayı Dumlu Timuralp’e teşekkür ediyorum.