基于VMware NSX技术在民航某单位虚拟化平台的优化

文/刘宇

随着民航某单位虚拟化应用的发展，局本部的办公网络，网管网，管综网络，中南各地的CDM网络等都部署了虚拟化平台，局本部的生产信息系统备份平台更是以多台服务器及存储搭建了虚拟化平台承载了多个单位超过100台的虚拟服务器。正由于民航某单位的虚拟化规模的扩大，原本适当的虚拟化应用场景发生了变化，民航某单位虚拟化环境产生了风险。

1 民航某单位虚拟化的现状及风险

1.1 虚拟化平台各自为政

由于虚拟化平台是跟随项目申报及建设的，因此每一个虚拟化平台按照业务及其相关网络进行部署，虽然相同业务各地区间或按照统一规划具有逻辑序列的相关性，网络也互通存在一定的数据交互，但通过本地的vCenter进行管理的虚拟化平台是相对独立的。过多的虚拟化平台不利于统一监控运维，资源调配，配置管理，升级优化，使得管理难度增加，安全风险增大。

1.2 虚拟化平台版本不统一

虚拟化软件都使用 VMware，但由于虚拟化平台部署后一般没有升级计划。因此民航某单位的虚拟化平台版本参差不齐，大多数的虚拟主机的esxi版本为5.5,少量项目为6.0，最早部署的系统还存在5.1的版本。

1.3 单个虚拟平台的安全防护措施简陋

民航某单位生产信息系统越来越多地部署在虚拟平台上。由此同一虚拟化平台中的虚拟服务器间（东西向）的通信逐步增加，而虚拟化平台与其外（南北向）的通信相对减少。但是同一虚拟化平台间的网络信息安全基本由虚拟局域网vlan来保障，目前民航某单位基本以业务划分vlan，同一vlan间的虚拟服务器网络互通没有隔离。不同vlan间的虚拟服务器，通过业务网络交换机的访问控制列表ACL进行访问控制，考虑到其直观可读、条数限制、资源消耗、拦截日志、安全防护等方面与防火墙差距较大，其安全性存在风险。

1.4 虚拟平台间的网络路由及安全策略复杂繁琐

随着单个虚拟化平台的服务器存储资源的增多，每台虚拟主机涉及的虚拟交换机的网络配置都需要人手配置，随着信息系统增多，vlan数量增多，使用vSphere标准交换机(VSS)不全部完成相关的配置或许在相当长的时间内并不影响使用，却存在风险。

与此同时，vlan的ID数量有限，随着业务增加，信息系统间的数据融合增多。同一虚拟化平台间的vlan使用量持续增大，不同业务网络或虚拟化平台联通后vlan增加或冲突，都使得通过vlan进行网络隔离保障业务安全的方式存在vlan用尽的可预期风险。

如上所述，虚拟化平台的建设基于独立的项目和业务网络。中南各地的不同网络间的信息交互需要经过三层网络，期间跨越多个网络设备，且每个网络的边际都有自己的防火墙进行访问控制及安全防护。更为复杂的是，各地的广域网络路由资源情况，及本地设备配备与配置都因地制宜，各具特点，并不严格按照统一标准完全一致地部署。

鉴于网络存在的意义在于信息交互，数据传输，资源共享。在可预期的未来，随着业务发展，信息系统增加，各置位于不同物理位置或逻辑结构中承载着业务系统的虚拟化平台间的数据互访需求将持续增加。由此，新增业务需要进行的配置维护的成本增加，运维难度增大。

跨地域和系统间新增的单个业务的数据访问，业务可能需要至少经过四套防火墙，五台交换机，运维人员则需要在经过的交换机、防火墙上配置相应的路由，并在经过防火墙上开通相应的访问控制策略。复杂的网络路由及安全策略一方面使得运维难度增大，另一方面也使得排障难度增大，应急响应变缓。

1.5 未依据虚拟化特点制定运维人员的管理规章

虚拟平台属地化管理固然能够权责明晰，但是对应所需的精通虚拟化的运维人员则相应呈几何级数增加。即便不考虑人员技术水平本身良莠不齐的情况，虚拟平台作为基础的服务提供平台，其与业务系统、本地网络有密切联系。虚拟化平台的运维人员，业务系统的运维人员，网络及防火墙等设备的运维人员，一般情况下并非同一个人，其中由于相应的职责界面与协作流程不清晰导致的沟通协调，信息共享乃至故障排查，应急响应的成本也值得考虑。依据虚拟化特点制定运维人员的管理规章是亟待解决的问题。

虚拟化的优势在于资源优化，管理便捷，安全性能提升，极具可扩展性。然而，可见的现状却是虚拟化平台林立，相互之间未能实现跨平台资源共享；随着业务发展管理复杂，效率降低；响应缓慢，安全隐患；网络vlan资源如同ipv4一样越用越少，可扩展性受限。而这种现状与预期的背离，并不是由于VMware本身的问题，实际上是由于我们的业务规模不断增大，信息交互不断增多，可是我们依然使用了小规模场景下的配置，并不断粗放式地复制部署导致的。

2 VMware NSX网络虚拟化的作用

少量的三层网络设备组成的比较简单的网络环境里我们可以使用静态路由，一定规模的网络里我们还是要使用动态路由。当我们的虚拟化规模变大到一定程度，当我们可预期的未来虚拟化的应用会更为迅速地部署，我们的虚拟化使用场景正在发生改变，那么固有的模式或许尚能维系，却并非最佳的策略。

立足于多虚拟化平台的现实下，若将现存的各VMware虚拟化平台作为一个跨平台的统一环境来考量，则可以发现，目前民航某单位的信息通讯都在这个跨平台的VMware虚拟化平台中，即东西向数据交互占了绝大多数。

这种跨平台实现多个不同VMware虚拟化平台下的资源统一调配的方案，在VMware中可通过VMware NSX网络虚拟化平台实现。

2.1 VMware NSX 简介

正如服务器虚拟化可以通过编程方式对基于软件的虚拟机 (VM) 执行创建、生成快照、删除和还原操作，VMware NSX网络虚拟化也是通过编程方式对基于软件的虚拟网络执行创建、生成快照、删除和还原操作。从而使得运维人员对复杂的物理网络的管理变得便捷高效。

通过VMware NSX网络虚拟化可以虚拟出跨硬件的交换机，集成交换、路由、访问控制、防火墙、VPN、QoS、负载均衡等一整套的功能，实现分布式的以VM为中心的管理，即在其管理平台上统一迁移，管理可跨服务器，存储，网络。VMware NSX 能够部署在任何 IP 网络上，只需利用现有的物理网络基础架构即可使用NSX。

2.2 VxLAN 简介

VxLAN是VMware NSX的核心技术之一，其使用MAC in IP （L2 overlay UDP）的方法进行封装。VxLAN包头添加了一个新的24位的二进制标识，可以标识 1600万个VxLAN网段。这样也就突破了传统网络中VLAN数量只有4096个的限制。

VxLAN的功能既可以实现位于同一IP网段的不同VLAN间用户的二层互通，又可实现不同从VLAN间的二层隔离，以及同一交换机上同一VLAN内部用户之间的二层隔离，不同交换机上同一VLAN中的用户不隔离。通过这一技术可以实现在多VLAN用户服务器共享的同时，隔离相同VLAN中的不同用户主机的目的。

通过VxLAN可实现网络扁平化，目前民航某单位虚拟化平台为业务配置的vlan，在VxLAN环境下则不再需要，它可以为每个VM分配基于MAC地址的ID，在平台内部基于ID来管理数据交互。由此，路由，访问控制等功能直接基于VM来实现。

由于基于VxLAN的网络在功能上彼此分离，当虚拟机在数据中心间或云间迁移时，其IP地址无需改变。这可极大提高应用移动性，进而改进灾难恢复、业务连续性和可扩展性。

在华为设备中，存在与VxLAN技术类似的MUX VLAN配置可实现同样的目的。

2.3 VMware NSX网络虚拟化的作用

跨平台统一的VMware管理平台，通过权限和账号满足最小颗粒度需求的分级管理，满足管理需要，统一的日志、事件和报表也为故障分析及处置提供便利。

简洁的大二层网络，网络现状是利用vlan可以分割广播域，提供业务间基于vlan的防护同时通过三层的路由实现vlan间的数据交互。虽然利用VLAN可以灵活地构建网络，但是同时，它也带来了网络结构复杂化的问题。特别是由于数据流纵横交错，一旦发生故障时，准确定位并排除故障会比较困难。通过大二层网络，根据需要修改从vlan号而无需同时考虑网段调整、多个设备的路由表更新，使得网络间的管理、变更变得十分简单。

精细而安全的安全策略，通过统一的系统及应用层级别的安全策略的设置，使安全策略的设置更为精细而而安全。

使运维人员便捷高效地管理网络，统一管理安全、监控审计及日常运维，使得运维人员不需要面对多个不同的设备，逐一调整网络配置及安全策略，使管理更为便捷而高效。

提升设备利用率，通过统一规划整体网络及安全架构，可制定更有效的安全策略，同时也可以避免大量互不信任的网络间防火墙对防火墙的不合理部署，或者为了路由功能而增加的网络设备等，有效降低额外的开销，提升设备利用率。

具有可扩展性，由于大二层的网络、统一的管理平台，可复制的安全策略的应用，使得网络、业务拓展变得十分便捷。

3 优化部署方案

将民航某单位各虚拟化平台的虚拟主机业务网络与管理网络分离，而管理网络置于同一网络中，即以建立 VxLAN的大二层管理网络而替代现有的三层网络，以使得同一vCenter管理或跨vCenter管理成为可能。民航某单位对于各虚拟化平台有统一的网络规划，只是没有置于同一网络中。

将虚拟主机升级至VMware ESXi 6.5或更高版本；将VCenter升级至6.5或更高版本。通过统一管理后，日后升级运维也将变得规范。

将虚拟主机从vSphere标准交换机迁移至vSphere分布式交换机。同时使虚拟交换机配置变得简单高效。

可跨vCenter部署VMware NSX 6.2.2或以上，NSX的逻辑网络可以平滑的跨越多个VMware vCenter构建的数据中心实现网络的贯通和防火墙策略的同步。需要提供多台虚拟服务器，目前虚拟主机硬件资源可满足需求。

不改变现有防火墙及网络设备配置的前提下，将现有业务的通过NSX的逻辑交换机，逻辑路由器及逻辑防火墙防火墙实现。通过 NSX Edge 指定静态路由和动态路由，通过Edge防火墙监控南北向流量以提供外围安全功能，通过分布式防火墙进行东西向访问控制，通过L2 网桥将逻辑交换机连接Vlan，通过身份防火墙还可以使用基于域活动目录（AD）用户的分布式防火墙规则（该项高于目前我局应用的防火墙安全标准）。VMware NSX能够在现有物理网络的基础架构上进行部署。

新增业务通过NSX的保障其安全性。从而使日后的虚拟服务器的安全管理变得简捷高效同时提升安全性。

通过NSX建立的跨vCenter部署统一的逻辑网络的基础上，日后可部署灾备和多活数据中心。从而，简化管理，提升冗余，增强容灾能力，同时提升设备资源利用率。

4 小结

由此可见通过VMware NSX网络虚拟化的部署可以有效干预民航某单位虚拟化平台每况愈下的安全管理状况，并整合现有资源，为设备安全，运维便捷，架构优化，人员管理，系统发展等多方面升级提供可能。同时，本文对于扩展虚拟化平台业务于民航某单位之外，涉及VMware虚拟化平台的跨平台管理同样具有借鉴价值。