掌管NSX部门的VMware网路与安全性事业部执行副总裁兼总经理Rajiv Ramaswami
图片来源:iThome
目前许多企业开始使用软体定义资料中心(SDDC)架构私有云,但VMware执行长Pat Gelsinger表示:「VMware也不会就此打住」,未来还要延伸到异质云资源中。因此VMware推出了跨云基础架构,要让企业可以在任何跨云环境、跨装置上运作程式,并且利用统一平台进行管理。为了完成VMware跨云策略的野望,打通异质环境的NSX便是其中关键。
因此我们也访问了今年2月网路虚拟化之父Martin Casado离开后,接任掌管NSX部门的VMware网路与安全性事业部执行副总裁兼总经理Rajiv Ramaswami,一探NSX在VMware跨云布局中所扮演的战略角色。
?Q? NSX在跨云战略中扮演的角色为何?
?A? NSX是VMware完成跨云战略的基础,今日企业多将NSX部署在内部资料中心。但是在未来跨云资料中心架构中,使用者得在AWS、Google等公有云环境中运作应用程式。有些企业并没有使用VMware的产品,而是透过公有云的VM环境,运作工作流程。
现在VMware要在公有云上部署NSX实例(Instance),以后可能透过提供NSX服务向企业用户收费,或是企业也可以购买NSX,并且在公有云上部署。就如本地资料中心般,所有在公有云上运作的工作流程,都会被NSX所保护。
同时,企业也可以将本地资料中心运作的工作流程,迁移到公有云。例如现在支援VMware Cloud Foundation的IBM Softlayer,甚至还可以使用VM迁移功能vMotion。
?Q? 未来NSX如何支援非vSphere环境?
?A? AWS底层就是非vSphere环境,他们拥有自家的Hypervisor以及基础架构。而NSX之所以能做到跨云运作,其中有一个关键元件叫做Open vSwitch,而VMware不需要经过AWS同意,也可以自行开启VM,在里面运作Open vSwitch。
而VMware客户在AWS上所运行的VM,都会连结至Open vSwitch。因此,我们就可以在公有云上享受NSX的自动化功能,并且设定相关资安规则。
虽然NSX目前大多在VMware环境中运作,而且大部分企业用户也都拥有vSphere,但是,现在NSX也可在非vSphere环境中运作。
今年年初,VMware发布一个非vSphere版本的NSX,它也会用于我们的跨云策略中,目前NSX所支援的Hypervisor有KVM及Xen等虚拟化环境,以后我们还要支援微软的Hyper-V。
?Q? NSX要如何延伸支援Container环境?
?A? Container技术现在有Docker、Mesos以及Kubernetes等工具。Docker的网路介面不太一样,而Mesos、Kubernetes遵循一定的开源标準,它们的网路介面也有开源套件。
藉由这些套件,VMware可以设定一组Open vSwitch端点(Endpoint)与Container连接,每个容器内部都会部署Open vSwitch端点。
对于想要使用容器技术的企业,VMware具备了开放API、部署Open vSwitch端点的Container。因此,藉由NSX就可以确保Container运作的安全性,同时还能串接起所有的Container。
?Q?? NSX可以让容器进入企业正式环境吗?
?A? 如果想要提供Container自动连结、网路、安全性等功能,那幺NSX会很适合有此需求的企业。
?Q? 你对NSX有什幺规画?
?A? 第一是跨云服务,像是VMworld大会所展出的跨云服务(Cross-Cloud Service)很快就要成为正式产品,因此,VMware也会推出支援AWS环境的NSX。第二个是延伸支援Container环境,我们很快也要推出正式产品。
最后,则是加强既有的微切分功能(Micro-Segmentation)。如果我们可以取得更多相关资讯,例如企业内运行的应用程式,或是了解应用程式执行的功能,VMware就可以建立更完善的资安规则。而NSX的长期计画,则是锁定在分散式网路加密(Distributed Network Encryption),例如,对特定网域进行加密,网域外使用者无法看到此网域VM间传输的内容。
当然,企业也可以选择封装实体网路间的连结。但是两者间做法的差异在于,VMware可以隔离不同网段,而某区段内的应用程式可以互相沟通。我们也预计在明年推出这个功能。
?Q? VMware与网通厂商未来的合作计画?
?A? 今日许多网通厂商还是着力于实体网路设备,像是思科、Juniper、Brocade,实体网路永远都会有存在需求,因为企业需要实体设备进行串接伺服器。
在实体世界中,企业靠着实体设备串接伺服器、路由器,及交换器等设备。不过,VMware做的事情,则是在实体网路上运行虚拟网路。NSX就是个虚拟网路层,不同VM间的应用程式,不必透过底层实体网路,利用NSX就可以互相对接。透过微切分功能还可以设定权限,限定某些VM间的沟通。
?Q? NSX是VMware用来与思科竞争的产品吗?
?A? 答案是对,不过同时也不对。我认为大多数企业都在谈,想要利用思科的设备部署实体网路,并且使用ACI、NSX作为虚拟层。
今日大多数NSX都是部署在思科网路设备上运作。企业用户也会利用思科的应用中心基础架构(Application Centric Infrastructure,ACI)管理实体网路,同时运作NSX。目前有许多企业採取这样的作业模式,所以在此情况下,VMware与思科并不是竞争关係。
但是提到NSX中的微切分功能,彼此就会互相竞争了。因为VMware可以做到VM层级的资安防护,但是思科做不到,因为他们在Hypervisor累积的技术不如VMware。
?Q? NSX未来会开源吗?
?A? 我们有把一部分元件开源,像是Open vSwitch就是开源计画。这个专案对我们很重要,因为它让我们可以跨公有云及非VMware环境。
同时,我们还有其他开源计画,像是Open Virtual Network(OVN)。我认为它是一个轻量级版本的NSX,而社群也可以一同参与开发。
虽然API并不在开源计画中,但是它们开放给任何想要的人使用,例如VMware就把API开放给所有生态系中的伙伴。此外,与Container的介接套件也在开源计画中。
I 相关 / Other
产业云应用开始吹入台湾,台湾企业五达电通的农产品物流即时监控机制,能透过闸道器将资料传送到IBM的Bluemix云端平台进行分析,以即时监控农产品运输和销售流程。(图片来源/iThome) 近日IBM全球云端战略有新目
实时热点 杨洁篪主持中俄第十二轮战略安全磋商 杨洁篪指出,中俄要保持密切沟通,落实好两国元首达成的重要共识,不断加强战略安全领域的沟通、磋商和协作,加大相互...书记孟建柱和国务委员杨洁篪邀请,俄罗斯联邦安全
吴翔震近来推出写真诗集“抱你写诗”,身材受到关注,不过胯下“那一包”也引起话题,甚至被指可能有动手脚,吴翔震再三澄清内裤里真的没有塞东西,急着找工作人员证明,不过对于尺寸,他认为是“妈妈生得好”,吴翔
移动互联网微时代 你还在原地不动吗?
前言:目前越来越多的人通过移动性终端下载音乐观看视频、预订餐饮机票旅游,或实现网上购物和网上支付等。手机在手,一路畅通!在高速移动通信网络和智能终端的成熟下
数位政委的定位就是资讯长,而资讯长要处理资讯部门缺人才、缺经费和制度性三大问题。—— 前行政院长张善政 图片来源: iThome 唐凤担任台湾首位数位政委,各界对她都高度期待,且对数位政委的工作内容也有诸多想像