Các lộ trình thay thế của VMware cho Mạng & Bảo mật: Di chuyển từ vDS/NSX sang OVS/Linux Bridge/SDN (Phân đoạn, Phân đoạn vi mô, Lưu lượng Đông-Tây)

Trong danh mục sản phẩm VMware, vDS (vSphere Distributed Switch) và NSX cung cấp các khả năng cốt lõi của ảo hóa mạng. Đặc biệt, ảo hóa mạng và bảo mật phân tán do NSX đại diện (chẳng hạn như tường lửa phân đoạn vi mô và phân tán) thường được coi là một trong những chỉ số chính để xác định liệu một nền tảng có khả năng thay thế hoàn toàn VMware hay không.

Xét về xu hướng của ngành, ngày càng nhiều doanh nghiệp đang chuyển sang các kiến trúc mở và có khả năng tổng hợp hơn: áp dụng các công nghệ chuyển mạch ảo nguồn mở như Linux Bridge hoặc OVS (Open vSwitch) ở lớp mặt phẳng dữ liệu và đạt được mục tiêu tự động hóa mạng và thực thi chính sách bảo mật ở lớp điều khiển và chính sách thông qua OVN, OpenStack Neutron, Kubernetes CNI (bao gồm eBPF) hoặc bộ điều khiển độc quyền. Quá trình chuyển đổi này cho phép các doanh nghiệp giảm sự phụ thuộc vào việc triển khai nguồn đóng của một nhà cung cấp, xây dựng khả năng kết nối mạng đám mây theo cách dễ kiểm soát hơn và hỗ trợ quản trị lưu lượng Đông-Tây và các biện pháp thực hành Zero Trust đồng thời đáp ứng các yêu cầu về hiệu suất và bảo mật.

Bài viết này sẽ thảo luận về các lộ trình kỹ thuật điển hình để di chuyển từ vDS/NSX sang hệ sinh thái bảo mật và mạng ảo nguồn mở, tập trung vào phát triển mạng, hiệu suất mặt phẳng dữ liệu (bao gồm OVS-DPDK) cũng như các phương pháp triển khai và ranh giới của phân khúc vi mô.

Sự phát triển của mạng đám mây: Từ vDS đến OVS và Linux Bridge

Thiết bị chuyển mạch ảo là một trong những thành phần cốt lõi của cơ sở hạ tầng đám mây. Trong khi VMware vDS cung cấp trải nghiệm quản lý tập trung và nhất quán, khung triển khai và vận hành của nó bị ràng buộc sâu sắc với hệ sinh thái VMware: việc tích hợp với hệ thống kiểm soát của bên thứ ba và nền tảng đám mây không đồng nhất thường yêu cầu khả năng thích ứng bổ sung, đồng thời các chiến lược và hoạt động di chuyển đa nền tảng khó tái sử dụng trực tiếp hơn. Với nhu cầu ngày càng tăng về cơ sở hạ tầng mở và đa đám mây/đám mây lai, ngày càng nhiều trung tâm dữ liệu lựa chọn áp dụng chuyển mạch ảo nguồn mở và giao diện mở để nâng cao tính di động và tính linh hoạt tích hợp.

Những hạn chế của kiến trúc vDS độc quyền

Trong các kiến trúc mạng độc quyền tập trung vào vDS/NSX, các doanh nghiệp thường phải đối mặt với những hạn chế trong thế giới thực sau:

1. Mặt phẳng điều khiển và liên kết chuỗi công cụ O&M: Các mô hình đối tượng mạng, biểu thức chính sách, trực quan hóa và phương pháp bản địa hóa lỗi được kết hợp chặt chẽ với các nền tảng cụ thể, dẫn đến chi phí thay thế hoặc phối hợp giữa các miền cao.
2. Khả năng lập trình hạn chế và tích hợp bên ngoài: Về mặt quy trình xử lý gói (chẳng hạn như đóng gói, gắn thẻ, ACL/QoS, sao chép/lấy mẫu) và tích hợp với các hệ thống điều khiển bên ngoài, thường có sự phụ thuộc vào giao diện dành riêng cho nhà cung cấp và nhịp phát triển phiên bản.
3. Khó khăn trong việc di chuyển và triển khai đám mây lai: Khi khối lượng công việc di chuyển qua các cụm hoặc đám mây, cần phải xử lý bổ sung để đảm bảo tính nhất quán của chính sách, ánh xạ hệ thống nhận dạng/thẻ, khả năng quan sát và vòng kiểm tra; nếu không thì khó đảm bảo “chính sách đi theo doanh nghiệp”.

Cầu Linux: Tính ổn định cho khối lượng công việc tiêu chuẩn

Đối với các môi trường ưu tiên sự đơn giản, cầu nối Linux là giải pháp thay thế cơ bản. Được tích hợp trực tiếp vào nhân Linux, đây là phần phụ trợ mạng ảo hóa hoàn thiện nhất. Nó hoạt động như một bộ chuyển mạch Lớp 2 tiêu chuẩn, chuyển tiếp các gói dựa trên địa chỉ MAC. Đối với các cấu trúc liên kết mạng tĩnh—chẳng hạn như các ứng dụng doanh nghiệp nội bộ—cầu nối Linux cung cấp chi phí thấp hơn và khắc phục sự cố dễ dàng hơn bằng cách sử dụng các lệnh Linux tiêu chuẩn.

OVS: Công tắc ảo có thể lập trình cho nền tảng đám mây (Khả năng của mặt phẳng dữ liệu)

Các đám mây có người dùng chung yêu cầu phía điều khiển của OVS (Open vSwitch). Nó đứng ngoài sự đơn giản của một cây cầu. OVS hoạt động như một trình điều khiển SDN. Nó nắm giữ những đường hầm mới như VXLAN. Điều này cho phép đội ngũ CNTT tạo ra các mạng che phủ trên các trang web thực. Nó kéo các mạng ảo ra khỏi thiết bị. Việc chuyển sang thiết lập OVS sẽ mang lại không gian cho các đường dẫn giao thông tự động chạy. Nó cũng tham gia với các hệ thống kiểm soát đám mây khác nhau.

OVS-DPDK: Tăng tốc mặt phẳng dữ liệu cho các kịch bản hiệu suất cao

Tốc độ được xếp hạng cao trong sự lo lắng trong quá trình di chuyển. Các ứng dụng quan tâm đến độ trễ không thể xử lý tải bổ sung từ mạng lõi cũ. Bản sửa lỗi định mức trường là OVS-DPDK (Bộ công cụ phát triển mặt phẳng dữ liệu).

Phá vỡ nút cổ chai hạt nhân

OVS tiêu chuẩn hoạt động trong không gian nhân hệ điều hành, nơi việc xử lý các gói kích hoạt ngắt CPU và chuyển đổi ngữ cảnh. Điều này tạo ra tắc nghẽn ở tốc độ cao. OVS-DPDK giải quyết vấn đề này thông qua “Bỏ qua hạt nhân”, sử dụng trình điều khiển chế độ thăm dò không gian người dùng (PMD) để ghim các lõi CPU cụ thể vào quá trình xử lý gói. Điều này giúp loại bỏ chi phí gián đoạn, cho phép đường dẫn dữ liệu chạy hoàn toàn trong không gian người dùng.

Mạng hiệu suất cao cho khối lượng công việc sử dụng nhiều dữ liệu và AI

Việc thúc đẩy OVS-DPDK có ý nghĩa rất lớn đối với các công việc về AI và dữ liệu lớn. Đào tạo mô hình cần băng thông lớn trên các nút. Một khối trong switch ảo có thể cắt GPU khỏi dữ liệu. Triển khai thiết lập OVS-DPDK để đảm bảo mạng phù hợp với các kỹ năng tính toán. Nó thường mang lại tốc độ chạy kernel cơ bản gấp 10 lần.

Đạt được bảo mật không tin cậy: Triển khai phân khúc vi mô mà không cần NSX

Phân khúc vi mô xuất hiện như một nguyên nhân chính để giữ vững VMware NSX. Tuy nhiên, điều quan trọng là phải hiểu rằng tính năng an toàn Zero-Trust bỏ qua các giấy phép đã đóng.

Đảm bảo lưu lượng Đông Tây trong Trung tâm dữ liệu

Sự an toàn ở biên giới cũ thiếu những mối nguy hiểm ngày nay. VMware NSX bảo vệ lưu lượng truy cập đông-tây bằng cách thiết lập tường lửa ở cấp độ vNIC. Nhưng các cơ sở đám mây mở đạt được mức an toàn tương tự bằng cách áp dụng các quy tắc từ thiết bị thực. Điều này đảm bảo an toàn cho máy ảo. Nó giữ bất kể vị trí di chuyển của nó.

Triển khai tường lửa phân tán thông qua các tiêu chuẩn mở

Trong cài đặt OVS, quy tắc giới hạn thay đổi thành hướng dẫn luồng. Khi quản trị viên thiết lập Nhóm bảo mật, cơ sở sẽ gửi những nhóm này đến lớp OVS. Điều này mở ra một quy tắc tốt. Nó có thể tách nhà phát triển khỏi các máy ảo đang hoạt động hoặc giữ các máy ảo xấu. Nó chỉ làm như vậy thông qua bộ phần mềm. Thông qua phân khúc vi mô theo các tiêu chuẩn mở, các công ty có thể thúc đẩy khung Zero-Trust mạnh mẽ. Họ không bị ảnh hưởng bởi sự lôi kéo của người bán.

Trong quá trình thay thế VMware, nhiều người dùng tìm cách tăng cường bảo mật trung tâm dữ liệu thông qua thay thế ảo hóa. Là một tính năng gốc, Nhóm bảo mật ZSphere đạt được hiệu quả bảo mật tương đương với hiệu quả chi phí cao hơn.

Công nghệ của ZSphere Security Group là tường lửa phân tán tập trung vào quản lý lưu lượng Đông-Tây, hỗ trợ kiểm soát lưu lượng vào và ra ở cấp độ NIC máy ảo (VM). Nó cho phép phân khúc vi mô cấp doanh nghiệp thông qua kiến ​​trúc phân tán, chính sách động và kiểm soát chi tiết, cung cấp khả năng bảo vệ an ninh mạng linh hoạt và hiệu quả cho môi trường ảo hóa. Nó là một thành phần quan trọng cho ZStack ZSphere để thay thế phân khúc vi mô VMware NSX.

Nó cung cấp khả năng kiểm soát bảo mật cho các VM NIC, lọc hiệu quả TCP/UDP/ICMP và các gói dữ liệu khác vào và ra NIC theo các quy tắc bảo mật được chỉ định. Theo mặc định, nó quy định rằng chỉ các VM trong cùng một nhóm bảo mật mới có thể liên lạc với nhau. Các nhóm bảo mật có thể được sử dụng để cách ly các máy ảo trong trung tâm dữ liệu, tách các máy chủ ảo của các bộ phận kinh doanh khác nhau thành các nhóm bảo mật khác nhau. Trong cùng một nhóm bảo mật, các quy tắc cũng có thể được đặt giữa các máy ảo dựa trên nhu cầu kinh doanh để đảm bảo rằng máy ảo chỉ thực hiện các giao tiếp mạng thiết yếu, từ đó tối đa hóa tính bảo mật của máy chủ ảo.

Nguyên tắc cốt lõi của ZSphere Security Groups là kiến trúc tường lửa phân tán. Là một tường lửa phân tán, các quy tắc được gửi trực tiếp đến Iptables của máy chủ nơi VM cư trú để thực hiện lọc lưu lượng. Mỗi VM NIC có thể được liên kết với nhiều nhóm bảo mật, với mức độ ưu tiên của quy tắc được điều chỉnh linh hoạt.

ZStack: Hãy để mọi công ty có đám mây riêng

Khi các doanh nghiệp điều hướng quá trình chuyển đổi từ ảo hóa truyền thống sang kiến trúc đám mây độc lập, hiện đại, việc lựa chọn đối tác cơ sở hạ tầng phù hợp là rất quan trọng. ZStack nổi bật là nhà cung cấp phần mềm cơ sở hạ tầng AI và điện toán đám mây hàng đầu, tận tâm với sứ mệnh: “Hãy để mọi công ty có đám mây riêng”. Với phạm vi trải rộng trên 30 quốc gia và cơ sở người dùng gồm hơn 5.000 khách hàng doanh nghiệp, ZStack đã tự khẳng định mình là một giải pháp thay thế mạnh mẽ cho những gã khổng lồ ảo hóa truyền thống.

ZStack không chỉ về ảo hóa; nó là một nền tảng toàn diện được thiết kế cho kỷ nguyên thông minh. các ZStack AIOS (AI Infra) tích hợp liền mạch với các hệ thống mạng hiệu suất cao như OVS-DPDK để hỗ trợ nhu cầu tính toán cường độ cao trong đào tạo và suy luận AI. Bằng cách cung cấp khả năng lập lịch tài nguyên GPU nâng cao và quản lý thống nhất các máy ảo, bộ chứa và kim loại trần, ZStack cung cấp nền tảng vững chắc cho tương lai cho chuyển đổi kỹ thuật số.

Ngoài ra, ZStack cung cấp bốn lộ trình riêng biệt để thay thế VMware: ảo hóa, nền tảng đám mây doanh nghiệp, cơ sở hạ tầng siêu hội tụ (HCI) và nền tảng đám mây. Nó có công cụ di chuyển V2V toàn diện và duy trì khả năng tương thích rộng rãi với nhiều phần cứng tiêu chuẩn ngành khác nhau. Nhận thấy nhu cầu toàn cầu về cơ sở hạ tầng CNTT độc lập và có thể kiểm soát, ZStack đã đạt được nhiều chứng chỉ ngành quốc tế, đảm bảo tuân thủ và bảo mật cho các hoạt động kinh doanh quan trọng. Cho dù đối với một tổ chức tài chính yêu cầu phân khúc vi mô nghiêm ngặt hay một công ty sản xuất cần sự ổn định của điện toán biên, ZStack đều cung cấp ma trận sản phẩm cho phép các doanh nghiệp xây dựng các đám mây tự trị, mạnh mẽ của riêng họ.

Câu hỏi thường gặp

Câu hỏi: OVS-DPDK khác với OVS tiêu chuẩn về hiệu suất trong thế giới thực như thế nào?

A: Khoảng cách chính nằm ở tốc độ làm việc của gói. OVS tiêu chuẩn dựa trên nhân hệ điều hành. Điều đó rút ra sự nghỉ ngơi để quản lý các gói dữ liệu. Điều này gây ra gánh nặng cho CPU. OVS-DPDK nhảy kernel hoàn toàn. Nó sử dụng chế độ kiểm tra không gian người dùng để đặt lõi CPU hoạt động theo gói. Ở những thời điểm thực tế, như giao dịch nhanh hoặc liên kết nhóm AI, OVS-DPDK trao lưu lượng cao hơn nhiều (thường là gấp 10 lần). Nó cũng cắt giảm độ trễ. Điều này giúp mạng không chặn các ứng dụng nhanh.

Câu hỏi: Có thể triển khai phân đoạn vi mô mà không cần mua VMware NSX không?

Đ: Vâng, không còn nghi ngờ gì nữa. Phân khúc vi mô được coi là một ý tưởng an toàn. Nó không phải là một tính năng gắn liền với một người bán. Các cơ sở đám mây mở, như ZStack, đưa nó vào bằng cách thiết lập các quy tắc tường lửa trải rộng ngay tại phần mạng ảo của VM (vNIC). Bằng cách sử dụng Nhóm bảo mật và bảng luồng OVS, những căn cứ này có thể đưa ra các quy tắc cắt giảm giao thông chặt chẽ đối với giao thông đông-tây. Vì thế, các công việc luôn tách biệt nhau. Bạn bỏ qua các giấy phép đắt tiền gắn liền với VMware NSX.

Câu hỏi: Khi nào tôi nên chọn cầu nối Linux qua OVS cho cơ sở hạ tầng của mình?

Trả lời: Hãy sử dụng cầu nối Linux nếu không gian của bạn dễ dàng, ổn định và Lớp 2 cơ bản vượt lên trên các phần SDN cao. Nó phù hợp với những không gian bỏ qua mạng bìa cứng (như VXLAN) hoặc thay đổi quy tắc chương trình. Cây cầu Linux nằm trong kernel và luôn nhẹ. Vì vậy, nó thường phù hợp với những không gian đơn giản, thiết lập ảo tốt nhất. Ở đó, gánh nặng và sự rối rắm của OVS không còn phù hợp.

Câu hỏi: Việc di chuyển từ vDS sang giải pháp dựa trên OVS có làm gián đoạn các chính sách mạng hiện tại của tôi không?

A: Việc di chuyển cần được suy tính trước. Tuy nhiên, những căn cứ mới sẽ cung cấp công cụ để giảm bớt sự khó chịu. Thay đổi này có nghĩa là khớp các Vlan và nhóm cổng cũ từ vDS với bản dựng cầu nối OVS hoặc Linux mới. Nền tảng đám mây cao thường đóng gói các công cụ di chuyển V2V. Đây là các bộ mạng tự động bật. Vì vậy, các liên kết và quy tắc giới hạn của bạn vẫn được giữ nguyên trong quá trình chuyển đổi từ ảo hóa cũ sang không gian đám mây mới.

Hỏi: ZStack xử lý sự phức tạp của việc quản lý OVS và bảo mật mạng như thế nào?

Đáp: ZStack che giấu sự phức tạp của các công nghệ ngầm. Nó dựa trên sức mạnh cầu nối OVS và Linux cho phía dữ liệu. Tuy nhiên, nó cung cấp UI/UX dễ dàng cho các quy tắc. Quản trị viên có thể đặt các phần mạng cứng, như Cân bằng tải, VPN và quy tắc phân đoạn vi mô, thông qua màn hình rõ ràng. ZStack auto biến các mục tiêu này của công ty thành các quy tắc công nghệ cần thiết (bảng luồng, iptables) ở mặt sau. Điều này mang lại sức mạnh cho SDN mà không cần biết cách thực hiện lệnh dòng.