思科軟件定義網(wǎng)絡(luò)的方法可跨運行VMware虛擬平臺的交換硬件和數(shù)據(jù)中心應(yīng)用來管理政策����,但當(dāng)添加VMware的SDN安全選項進來時����,思科的技術(shù)就發(fā)揮不了什么作用了�����。
思科軟件定義網(wǎng)絡(luò)的方法可跨運行VMware虛擬平臺的交換硬件和數(shù)據(jù)中心應(yīng)用來管理政策����,但當(dāng)添加VMware的SDN安全選項進來時,思科的技術(shù)就發(fā)揮不了什么作用了��。
那些同時使用這兩家供應(yīng)商SDN產(chǎn)品的企業(yè)都十分謹慎���,他們分別將這兩款產(chǎn)品用于不同的任務(wù)��。通常情況下��,思科的SDN技術(shù)(被稱為應(yīng)用為中心的基礎(chǔ)設(shè)施ACI)主要用于對硬件交換機應(yīng)用網(wǎng)絡(luò)政策����。而另一方面,VMware公司的NSX則主要用于管理虛擬化環(huán)境內(nèi)的安全機制——微分段�。
在上述情況中,企業(yè)無法充分利用ACI�����,當(dāng)在沒有NSX的情況下�����,ACI可創(chuàng)建和分發(fā)政策來管理用戶的整個數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����,包括VMware環(huán)境����。
這個兼容性問題主要是因為思科和VMware的SDN產(chǎn)品采用不同類型的VXLAN協(xié)議。VXLAN(或者說虛擬可擴展LAN)是一種封裝協(xié)議��,用于在交換硬件上運行虛擬網(wǎng)絡(luò)���。
通過ACI從NSX轉(zhuǎn)發(fā)數(shù)據(jù)需要封裝信息�����,這意味著在VXLAN封裝內(nèi)創(chuàng)建封裝��。雖然這個方法可行���,但IT服務(wù)公司OneNeck IT Solutions LLC數(shù)據(jù)中心架構(gòu)師兼ACI專家Brian Dooley表示,這并不是最好的方法���。
對于已經(jīng)采用思科及其他供應(yīng)商的硬件構(gòu)建了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的企業(yè)來說���,更好的方法是跳過NSX,使用ACI用于微分段����,以及管理所有其他網(wǎng)絡(luò)政策。
ACI微分段在VMware中不好用
那些完全使用思科SDN產(chǎn)品的企業(yè)會發(fā)現(xiàn)在VMware環(huán)境中應(yīng)用微分段規(guī)則很麻煩�,這是因為ACI執(zhí)行微分段的方法是通過在VMware管理程序主機(提供網(wǎng)絡(luò)服務(wù)到該供應(yīng)商的VM)上部署思科應(yīng)用虛擬交換機(AVS)。
一般情況下�����,思科的AVS在VMware環(huán)境中無法像在該供應(yīng)商的vSphere分布式交換機(VDS)那樣正常運作���。VDS是ACI更好的選擇����,如果企業(yè)現(xiàn)在還沒有將其用于微分段的話。
美國德州Hutto獨立學(xué)區(qū)網(wǎng)絡(luò)管理員Keith Reynolds表示��,專家們的共識是AVS需要更多的時間才能更加成熟����。
Reynolds稱:“思科似乎仍然在完善它。”Hutto使用ACI來執(zhí)行網(wǎng)絡(luò)政策����,管理著該學(xué)區(qū)學(xué)生和教師每天使用的3000個Chromebooks。
微分段機制越來越受歡迎���,它可防止已經(jīng)感染一個應(yīng)用的攻擊者發(fā)送惡意軟件到另一個軟件中去��。該方法涉及將數(shù)據(jù)中心分離為工作負載或應(yīng)用��,然后采用政策來限制這些邏輯單元之間的通信�。
最終��,企業(yè)在決定是否使用ACI��、NSX或同時使用兩者時�,應(yīng)該在概念證明實驗室中全面測試這兩種技術(shù)��,以確定哪種技術(shù)更適合其數(shù)據(jù)中心����。
“如果企業(yè)希望獲得強大的網(wǎng)絡(luò)功能���,我通常會建議選擇ACI解決方案�����,”他表示,“不過我們也有些客戶想要朝向虛擬化環(huán)境方面���。”
