VMware NSX vs. Cisco ACI

Дефинитивно врућа тема!

Виртуелизација значи одвајање инфраструктурних сервиса од хардвера. У мрежном свету постоји више форми виртуелизације, па су и VLAN-ови једна од форми мрежне виртуелизације, где се, поврх постојеће физичке LAN мреже, имплементирају логичке LAN мреже којe нису везанe само за један switch. Да би се у потпуности реализовала идеја о агилном Data centar-у, VLAN-ови дефинитивно нису били довољни као форма мрежне виртуелизације. Пре свега, због ограниченe скалабилности, друго због потребе да се виртуелизују и други мрежни сервиси, а треће због немогућности централизованог управљања свим мрежним сервисима почевши од L2 packet forwarding-а. Основни мрежни сервис – прослеђивање пакета је врло једноставан и састоји се у томе да се долазни пакет, на основу forwarding табеле, са долазног порта проследи на одлазни порт. Ова функција се смешта на мрежном хардверу у посебне чипове тзв. АSIC-е како би се добило на перформансама. Прорачунавање forwarding табела се изводи на x86 CPU-овима, па можемо рећи да мрежни хардвер има главу и тело, односно говорећи језиком струке, control plane и data plane. Управо је одвајање control plane-а од хардвера концепт мрежне виртуелизације  који се налази у основи идеје о Software-defined Networking-у (SDN-у) где хардвер остаје само брза и пропусна магистрала, која на основу forwarding табеле прослеђује пакете, а прорачунавање forwarding табела је централизовано. Шта тиме добијамо? Са једне стране перформантан и јефтин мрежни хардвер, а са друге стране софтверску флексибилност, одакле проистиче преко потребна аутоматизација. Идеју о Software-defined Data Center-у нису сви прихватили са истим одушевљењем, па су се управо у вези са тим изродила два правца која су се међусобно конфротирала: VMware NSX и Cisco ACI.

Cisco, најомиљенији вендор мрежног хардвера, као озбиљног конкурента у свом core business-у добио је компанију која се искључиво бави софтвером, а то је VМware. VМwarе је дефинитивно познат као лидер на пољу серверске виртуелизације, а серверском виртуелизацијом  је омогућено пре свега ефикасније искоришћење, а затим и могућност аутоматског додељивања  и управљања серверским хардвером. Тренд контроле расположивих ресурса се није зауставио са серверском виртуелизацијом. Напротив, он се наставио, па и убрзао јер је коначна идеја да апликација не добија само процесорско време, меморију и дисковни простор на захтев, већ да буде мобилна што значи да са њом морају једноставно, односно аутоматски мигрирати њено мрежно и безбедносно окружење. Да би мрежно и безбедносно окружење лако пратило своју апликацију, дошло се до захтева за централизованим управљањем и аутоматизацијом у пољу мрежних и сигурносних  решења.

Основна разлика у VMware-овој и Cisco-овој интерпретацији Software-defined Networking-а је у томе што Cisco задржава традиционалан модел који дистрибуира контролу мрежног саобраћаја, а додаје аутоматизацију кроз централизовање управљања полисом, а VMware централизује и управљање полисом и контролу мрежног саобрaћаја. Cisco не жели да напусти свој business model  и понуди перформантан и јефтин мрежни хардвер, већ инсистира на идеји о мрежним appliance-има што је нешто много више од једноставног софтвера на перформантном мрежном хардверу. Appliance је скуп функција тзв. feature-a на специјализованом мрежном хардверу што све повећава цену. Без дилеме, Cisco је велики играч који прво угради сопствене протоколе у своја решења, а потом и сам изгура њихову стандардизацију. Дакле, често су feature-и  Cisco proprietary чиме се постиже цена која не може да се упореди са другим произвођачима и чиме се корисник дугорочно везује за vendor-a (vendor lock-in).  Cisco је, након објаве VMware NSX-а, понудио своју верзију Software-defined Networking-а (SDN-а) која се назива Application Centric Infrastructure (ACI). Application Centric Infrastructure (ACI) је и даље везана за хардвер и то је тренутно више концепт који иницијално захтева значајна улагања будући да је за реализацију Cisco ACI Fabric-е потребно, између осталог, купити Cisco Nexus 9000 серије свичева.

Са друге стране, VMware NSX омогућава да се физичка мрежа третира као pool транспортног капацитета где су мрежни и сигурносни сервиси придружени виртуелним машинама на нивоу виртуелних мрежних адаптера. У језгру овог решења је NSX controller и он репрезентује control plane који је физички одвојен од мрежне платформе којом управља. NSX controller прихвата API request-е од northbound менаџмент платформи као што су на пример vCloud, OpenStack или менаџмент апликација које корисника сам развија. NSX controller, на основу конфигурације, прорачунава мрежну топологију и програмира виртуелне свичеве на нивоу хипервизора користећи, између осталог OpenFlow протокол. vSwitch je виртуелни свич у ESXi кернелу и он представља data plane. И NSX controller и  vSwitch лако скалирају додавањем нових машина или нових хостова, респективно. Зато кажемо да су то scale-out решења јер се перфомансе повећавају додавањем нових, истих машина, а не повећањем капацитета једне машине.

Следећи блокови VMware NSX-а креирају окружење у ком је могуће изградити виртуелне Data center-е мрежне топологије по избору.

  • Скуп API интерфејса
  • NSX controller
  • in-ESXi-kernel vSwitch + add-on kernel modules for distributed routing, firewalling and VXLAN bridging
  • tunneling (STT, VXLAN)

VXLAN

Основни задатак приликом дизајна мреже је да она буде стабилна, скалабилна и перформантна. Стабилност и редудантност L2 сегмената мреже и даље се најчешће ослања на Spanning Tree протокол и његове деривате, али због превеликог времена конвергенције током ког мрежно окружење није стабилно, тражила су се друга решења. Прва решења су се односила на препоруке о смањивању L2 сегмената мреже и померању L3 границе ближе приступном слоју, као и на препоруке о стекованим свичевима у Core-у (Cisco 6500 VSS, Cisco Nexus 5000 vPC). Наредна решења су довела до TRILL протокола који обезбеђује редудантност L2 сегмената, а функционише по принципима протокола рутирања. У вези са TRILL протоколом су настала и proprietary решења за мрежни fabric, пре свега у Data center-у, која обезбеђују велике и стабилне L2 сегментe (Cisco Fabric Path, Brocade VCS, Juniper QFabric). Ова решења су свакако неопходна за изградњу стабилне L2 fabric-е у Data center-у, али она не могу да обезбеде ширење L2 сегменатa ван границe примарног Data center-а до на пример секундарног Data center-а или провајдера Cloud-а. Потребна је била екстензија L2 сегмената без нарушавања стабилности преко L3 границе и тако смо дошли до IETF стандарда „Virtual eXtensible Local Area Network“ односно VXLAN-а. VXLAN је важан елемент VMware NSX решења.


У оквиру виртуелног Data center-а могуће је имплементирати не само VMware NSX дистрибуирани firewall, већ и third-party мрежна безбедносна решења на нивоу виртуелног мрежног адаптера или испред виртуелног Data center-а, а која скалирају заједно са виртуелним Data center-ом. То је као да смо „велике“ security appliance-е које данас стоје на ивици Data center-а разбили на коцкице и гурнули ближе самим машинама. Али тако разбијен сервис много боље скалира и лакше се одржава. Иницијална улагања не значе куповину appliance-а грубо димензионисаних за раст у наредне три године, већ безбедносни сервис расте заједно са сервисом или Data center-ом који штити. Решење иде и корак даље јер је идеја да безбедносно окружење прати своју апликацију чак и у ситуацији, ако она мигрира у Cloud. У неким од првих докумената које је Cisco написао на тему дизајна multitenant Cloud-а препоручена је форма виртуелизације којом се  Cisco ASA  дели на security context-е, а Cisco рутер на VRF-ове (Virtual Routing and Forwarding) како би се на нивоу физичких мрежних уређаја обезбедила потпуна изолација корисника Cloud-а. VMware са NSX-ом нуди боље решење где се Cisco ASA security context-и и VRF-ови имплементирају у приступном слоју на генеричком x86 хардверу. У вези са овим се увек поставља питање перформанси. Перформансе су дистрибуиране, а сигурносни сервис има перформансе баш по мери јер свака машина може да добије свој део сигурносног сервиса у мери којој захтева.

Braineering тим сматра да презентоване технологије не представљају само нову парадигму када су у питању мрежни и сигурносни сервиси већ и будућност ових сервиса. VMware NSX и екосистем решења око VMware NSX-а не тичу се само Cloud провајдера, већ сваког Data center-а. Пратите наш blog. Разрада следи!