VMware NSX-V与NSX-T的对比

前面已经有文章对VMware的NSX-V的平台进行了相关介绍，本篇文章主要来介绍一下NSX-V和NSX-T的对比。

VMware NSX在现代化数据中心的四个主要优势，主要体现在：微分段、多云网络、网络自动化和云原生应用的支持。这些都是NSX-V和NSX-T共有的特征，那么他们到底有哪些不同呢？

第一个不同是部署方式的不同：

• NSX-V需要与vCenter做一对一的绑定，然后通过vCenter进行管理；
• NSX-T有单独的管理界面，与vCenter完全解耦合，并不需要通过vCenter进行管理；
• NSX-V需要部署独立的控制器；
• NSX-T从2.4开始，将Manager和Controller进行了集成，不需要单独进行部署；
• 由于NSX-T从vCenter上解耦合，需要完成N-VDS的相关配置。

第二个不同是封装方式的不同：

• NSX-V采用的是VxLAN的封装方式，而NSX-T采用的是GENEVE的封装方式。

传统VLAN具有大约4000个网段的限制，可以创建这些网段来划分流量。在当今以云为中心的网络环境中，您可能会遇到此数字的限制。但是，对于VXLAN，标头包含一个24位字段，该字段为唯一标识VXLAN的VXLAN网络标识符（VNI）保留。这允许创建大约1600万个左右的唯一段。这远远超出了传统的VLAN。

VxLAN封装格式

GENEVE是一种虚拟网络封装协议，其目的是仅定义封装数据格式。它不包括控制平面的任何信息或规范。GENEVE封装的数据格式使其尽可能灵活和可扩展。GENEVE被设计为可能携带的不仅仅是虚拟网络标识符信息。

毫无疑问，新的要求和需求将被包含在封装协议上。具有可扩展的灵活性并将元数据作为TLV（类型，长度，值）字段插入，允许GENEVE根据网络观点的需要设计为随时间演变。

GENEVE可以通过标准网络设备进行封装和传输。它可以使用单播或多播寻址。

事实证明，GENEVE封装协议的性能优于VXLAN，具有更高的吞吐量和更低的CPU利用率，即使与支持VXLAN卸载的硬件相比也是如此。VMware建议使用1600的MTU来考虑封装头。

GENEVE封装格式

在NSX-V中我们使用的是熟知的vDS，而在NSX-T中使用的则是N-VDS。

与使用vSphere Distributed Switch的NSX-V相比，N-VDS与VMware vCenter分离，是在ESXi等传输节点上创建的主机交换机。

它具有以下特征：

• 与vCenter Server分离
• 跨平台支持
• 不同的上行链路配置文件
• VLAN和覆盖逻辑交换机

NSX-T for Data Center为多云环境的数据中心提供了超越NSX-V的巨大优势，因为它与vCenter Server分离。这意味着N-VDS虚拟交换机也不依赖于vCenter Server进行配置。

第四个不同是路由的不同：

NSX-V和NSX-T都提供动态路由，允许在第2层段之间转发信息。当涉及虚拟环境时，NSX允许提供比传统路由器更加分散且高效的路由机制，使得虚拟机能够以较少的路由成本或不必要的跳跃进行通信。这包括东/西和北/南交通。

NSX-V路由

借助NSX-V，NSX Edge可提供网络边缘安全性和网关服务，能够隔离虚拟化网络。Edge可以安装为逻辑（分布式）路由器或边缘服务网关。

• NSX-V分布式逻辑路由器为东/西分布式路由提供租户IP地址空间和隔离服务。如果位于不同子网上的VM驻留在需要通信的同一主机上，则流量不必从主机遍历传统路由接口，然后返回到同一主机内的VM。相反，使用DLR，VM可以在没有这些不需要的跳的情况下进行通信
• NSX-V Edge服务网关通过提供实现此类通信所需的网关服务（如DHCP，VPN，NAT，动态路由和负载平衡），将隔离网络连接到共享上行链路

NSX-T路由

NSX-T中的路由已经从头开始设计用于当今的云和多云，具有多租户用例，需要支持多层路由。多层路由模型提供了提供商路由器功能和租户路由器功能之间所需的分离。这种多租户可用性内置于NSX-T平台。

• 第0层逻辑路由器 - 执行第0层逻辑路由器的功能。它处理逻辑和物理网络之间的流量
• 第1层逻辑路由器 - 执行第1层逻辑路由器的功能。其下行链路连接连接到逻辑交换机，上行链路连接连接到第0层逻辑路由器

有趣的是，NSX-T指出，运行多层路由不是强制性的。单个Tier-0逻辑路由器可以连接到物理基础设施以进行北向流量，然后直接连接到逻辑交换机南向。这允许在内核中分布式东/西路由以及集中的北/南路由。

在以下场景中，使用多层路由方法可以使您受益：

• 您有多个需要隔离的租户
• 提供者管理员和租户管理员之间的委托管理 - 提供者管理员控制第0层逻辑路由器和租户管理员控制第1层逻辑路由器
• 您正在利用Openstack，Kubernetes，Pivotal Cloud Foundry

当用户创建Tier-0或Tier-1逻辑路由器时，将在所有传输节点上创建分布式逻辑路由器实例。配置NAT等集中式服务时，会在Edge节点上创建SR。

第五个不同是安全性的不同：

NSX-T由于支持多平台，所以它对NSX-V的一些VC上的组件（DataCenter、Cluster等）并不支持。在NSX-T2.4版本后，NSX-T也开始支持第7层应用程序感知、基于身份的防火墙、第三方集成等功能。借助新的NSX-T管理仪表板和用户界面以及对Splunk和VMware vRealize Log Insight的支持，安全功能奇偶校验和新级别的分析和可视化，客户现在可以通过NSX-T获得比基于硬件的防火墙更高的安全性。