VMware-NSX與Cisco-ACI真實客觀對比

VMware NSX與Cisco ACI真實客觀對比大 家好，我叫范恂毅由于喜歡三國的周瑜，因此自稱“范大都督”因此，如果聽到有人喊“都督”，那就是在喊我啦我主要負責(zé)數(shù)據(jù)中心售前工作，會涉及網(wǎng)絡(luò) （包括Underlay和Overlay）、服務(wù)器虛擬化、存儲、安全、應(yīng)用交付等畢竟經(jīng)驗尚淺，在大神們面前，難免有班門弄斧之嫌，有任何不對的地 方，歡迎大家指正最 近，Cisco公司的好幾個微信公眾號，都在轉(zhuǎn)載一篇文章——《省錢，還是高效？Cisco ACI與VMware NSX對比》由于本人第一份工作就是Cisco金牌代理商，之后又考了安全、語音和數(shù)據(jù)中心3個方向的CCIE，因此朋友圈子里有很多Cisco代理商 和原廠的朋友，加上之后研究服務(wù)器虛擬化、SDN、網(wǎng)絡(luò)虛擬化、存儲和應(yīng)用交付認識的一些朋友，我看到了這篇文章在思科圈內(nèi)甚至IT圈內(nèi)瘋狂轉(zhuǎn)載這 篇文章，明顯是Cisco公司內(nèi)部工程師和市場部的員工寫的軟文，我全文都讀了，感覺有失公允，我有點看不下去了……我需要公證客觀地做一些評析在這 里，請讀者不要懷疑我的判斷能力和立場首先，我既非Cisco公司亦非VMware公司的員工，是以旁觀者的身份和身份看這個問題，還是比較公正和客觀 的。

其次，我對第一代基于OpenFolw的SDN、下一代增加了網(wǎng)絡(luò)虛擬化功能的SDN都有深入研究，對于Cisco ACI與VMware NSX的解決方案的理解還是非常深入的，并不是像一個IT行業(yè)記者或是只對Cisco、VMware的主要業(yè)務(wù)（網(wǎng)絡(luò)、服務(wù)器虛擬化）有了解的一個工程師 的視角看這個問題那么，我們進入正題吧^_^這篇文章，上來就做了一個概述，用三段話給讀者注入一個強烈的impression，讓所有不知內(nèi)情的讀者產(chǎn)生Cisco ACI是業(yè)內(nèi)最好的下一代SDN和網(wǎng)絡(luò)虛擬化解決方案的印象原文如下所述，筆者沒有對里面的文字做出任何修改：思科ACI是一個集成的重疊網(wǎng)絡(luò)模型，它在一個以應(yīng)用為中心、由策略驅(qū)動的一致框架中，將物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)融合為一個網(wǎng)絡(luò)VMware NSX是一種基于重疊網(wǎng)絡(luò)的虛擬機監(jiān)控程序模式，以VMware為中心，要求網(wǎng)絡(luò)網(wǎng)關(guān)與裸機應(yīng)用及其他網(wǎng)絡(luò)端點進行通信思 科ACI提供單一管理平臺，用于管理所有應(yīng)用組件，包括物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)、第4層至第7層 (L4-7) 服務(wù)，在未來還會包括計算和存儲ACI 將網(wǎng)絡(luò)與應(yīng)用的運行狀況相關(guān)聯(lián)，且具有深度可視性和故障排除功能NSX引入的單純是重疊網(wǎng)絡(luò)，不具備對底層物理網(wǎng)絡(luò)的直接可視性，需通過其他工具實現(xiàn)重 疊網(wǎng)絡(luò)與底層網(wǎng)絡(luò)之間的關(guān)聯(lián)。

NSX 僅為虛擬網(wǎng)絡(luò)提供自動化，目前尚不提供任何對底層物理設(shè)備的管理思 科ACI提供開放式接口和應(yīng)用編程接口 (API)，支持多虛擬機監(jiān)控程序環(huán)境借助應(yīng)用策略基礎(chǔ)架構(gòu)控制器（APIC-即ACI控制器的開放式北向和南向API），能夠?qū)崿F(xiàn)與現(xiàn)有管理、協(xié)調(diào)、 第 4-7層服務(wù)以及物理和虛擬設(shè)備的無縫集成客戶因此能夠?qū)F(xiàn)有的IT系統(tǒng)集成到ACI架構(gòu)中，從而實現(xiàn)全面的投資保護NSX 僅針對基于vSphere和基于Linux的虛擬機監(jiān)控程序提供不同的產(chǎn)品和功能，并且不支持 Microsoft Hyper-V，因此會限制客戶的選擇除 此之外，NSX 要求參與重疊網(wǎng)絡(luò)的每臺主機都具有許可證NSX 架構(gòu)需要更強的計算能力才能在確保高級別可用性的情況下實施網(wǎng)關(guān)功能和運行管理組件思科的集成重疊網(wǎng)絡(luò)方法則可以實現(xiàn)架構(gòu)精簡，需要的組件更少，并為多 種類型的工作負載提供自動化和可視性優(yōu)勢這意味著，與 NSX 相比，ACI 的購置成本會顯著降低首 先，對于第一段，Cisco認為，自己的ACI解決方案是以應(yīng)用為中心的，而VMware NSX解決方案是以VMware為中心的以應(yīng)用為中心，確實是一個可以奪人眼球的觀點，然而，這種以應(yīng)用為中心，卻不是真正實現(xiàn)數(shù)據(jù)中心中自動化部署應(yīng) 用和運維的手段。

Cisco的所謂“以應(yīng)用為中心”，無非是將應(yīng)用所在的虛擬機看成一個EP（End Point），一些類似的EP，可以打包成一個組，叫做EPG（End Point Group），Cisco針對這些EP或者EPG，使用策略驅(qū)動模型，實現(xiàn)了一個更好的，無關(guān)虛擬機IP地址和端口的QoS功能，Cisco認為這就是以 應(yīng)用為中心畢竟之前，QoS策略在網(wǎng)絡(luò)層面之上需要進行全局配置，并應(yīng)用到端口或VLAN IP地址之上，在虛擬化環(huán)境中，由于虛擬機經(jīng)常會進行遷移，這樣的QoS配置很難滿足用戶需求，Cisco的策略驅(qū)動模型已經(jīng)做的夠好了，但是NSX環(huán)境 中也能做到無關(guān)虛擬機IP地址和端口的QoS和安全策略，并且我認為，只實現(xiàn)了應(yīng)用的QoS不是真正的以應(yīng)用為中心真正的以應(yīng)用為中心的解決方案，必須 結(jié)合F5BIG-IP/BIG-IQ平 臺（或類似專注應(yīng)用交付解決方案的公司的產(chǎn)品），實現(xiàn)軟件定義應(yīng)用服務(wù)（Software-DefiedApplication Services，SDAS），即應(yīng)用的自動化部署和運維在這一點上，ACI和NSX都需要與F5這樣的廠商合作如果沒有F5這樣的合作廠商，ACI 環(huán)境中除了實現(xiàn)了更好的QoS外，沒有對應(yīng)用交付提出更好的優(yōu)化功能，而NSX中卻可以自己實現(xiàn)分布式或集中式的負載均衡，做到簡單的應(yīng)用交付。

此外，文 中Cisco指責(zé)NSX解決方案是“以VMware為中心”的NSX網(wǎng)絡(luò)虛擬化平臺，支持運行在所有的物理網(wǎng)絡(luò)設(shè)備和所有的虛擬化平臺（除了 Hyper-V）之上——如果允許在KVM或Xen平臺之上，連vSphere和vCenter都不需要購買，何來以VMware為中心一說？ 但是ACI呢？底層物理網(wǎng)絡(luò)必須是Nexus 9000設(shè)備，這難道不是以Nexus 9000為中心嗎？其 次，對于第二段，Cisco認為，自己的ACI解決方案，實現(xiàn)了物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)的統(tǒng)一管理，而NSX無法實現(xiàn)對底層物理網(wǎng)絡(luò)的管理首先，Cisco 實現(xiàn)底層物理網(wǎng)絡(luò)管理的方法是ACI解決方案必須使用Nexus 9000系列設(shè)備，一旦使用其他廠商的物理交換機設(shè)備，甚至Cisco其他系列的交換機（如Nexus 7000、Nexus 5000、Catalyst 6500系列），都無法實現(xiàn)ACI解決方案，更別說物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)的統(tǒng)一管理了此外，數(shù)據(jù)中心中在基礎(chǔ)架構(gòu)層面，最重要的三個平臺，必然是網(wǎng)絡(luò)平臺 （包括物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)）、計算平臺（換句話說就是x86服務(wù)器虛擬化）、存儲平臺ACI實現(xiàn)了物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)的統(tǒng)一管理，但是并無法管理和調(diào)度 計算資源和存儲資源。

而NSX在管理層面上，完全成為了vCenter的一個插件，實現(xiàn)了虛擬網(wǎng)絡(luò)和服務(wù)器虛擬化的統(tǒng)一管理和調(diào)度，這么比較的話，ACI 和NSX完全打了個平手——各能管理和調(diào)度兩塊平臺如果數(shù)據(jù)中心內(nèi)用戶使用了VMware VSAN的解決方案，VMware甚至連存儲資源也做到了統(tǒng)一管理和調(diào)度Cisco這篇文章的作者很聰明，寫了一句“在未來還會包括計算和存儲”，給用 戶畫了個餅?zāi)敲?，NSX未來其實也可以深度集成物理硬件的，NSX解決方案的前身Nicira公司正是SDN概念的提出者和Openflow、Open vSwitch的開發(fā)者，這意味著只要物理硬件支持Openflow和OVSDB協(xié)議，就都可以將自己交給NSX Controller進行管理，只是現(xiàn)在多數(shù)物理硬件廠商沒有與VMware進行聯(lián)合開發(fā)而已Arista和Brocade公司已經(jīng)實現(xiàn)了將自己的物理 網(wǎng)絡(luò)硬件產(chǎn)品以服務(wù)的形式交給NSX Controller管理，相信之后這串名單會越來越上，這其實也算“NSX在未來能實現(xiàn)所有物理網(wǎng)絡(luò)硬件設(shè)備的統(tǒng)一管理”如果Cisco喜歡談未來 Roadmap，那么為什么別人不能談呢？況且NSX與Arista、Brocade公司的合作已經(jīng)成型，不是單純的Roadmap了。

而對于ACI，管 控其他廠商網(wǎng)絡(luò)硬件甚至自己廠商的非Nexus 9000設(shè)備的硬件設(shè)備，在Roadmap上嗎？再 者，對于第三段，Cisco的寫手又抓住了很多讀者對API不熟悉的現(xiàn)狀，大書特書開放式接口和應(yīng)用編程接口 (API)不是Cisco一家獨有的，幾乎所有物理硬件和虛擬化軟件廠商，都能提供這樣的接口，ACI和NSX都可以針對這些接口進行再編程、再開發(fā)，并 控制其設(shè)備和運行的應(yīng)用這里Cisco寫手又抓住了NSX目前不支持Hyper-V環(huán)境進行攻擊Cisco喜歡說“未來支持”，那么我想說的 是，NSX對Hyper-V的支持，很快也會發(fā)布了……就算不支持，其實也無傷大雅，因為微軟也有自己的網(wǎng)絡(luò)虛擬化平臺HNV（Hyper-V Network Virtualization），部署了Hyper-V的用戶，不大會再使用ACI或NSX解決方案的，且這個市場很小——Hyper-V大量使用在微軟 自己的Azure云中，在企業(yè)中很少使用，因為Hyper-V基于Windows Server，而Windows Server最大的問題是需要經(jīng)常停機進行補丁和升級，這令很多企業(yè)用戶敬而遠之因此，ACI現(xiàn)今和NSX未來對Hyper-V的支持，都只是錦上添 花，沒必要拿出來進行特別的對比。

最 后，對于第四段，Cisco的寫手又說了，NSX需要每臺主機都購買License，且對于一些網(wǎng)關(guān)設(shè)備，需要另外購買主機，這樣會增加成本沒 錯，NSX解決方案確實需要NSX License，這個問題我們需要分兩種情況進行討論第一種情況，畢竟vSphere是最主流、功能最為強大的商業(yè)虛擬化解決方案，在全球 hypervisor的市場份額遠超半成，因此NSX和ACI解決方案，都很有可能使用vSphere作為底層虛擬化平臺，但需要讀者了解的是，無論 NSX還是ACI，實現(xiàn)虛擬網(wǎng)絡(luò)都需要vSphere支持分布式交換機（VDS），而vSphere Enterprise Plus版本才支持VDS，但是NSX license自動攜帶了VDS功能，這就意味著我們在Standard版本的vSphere環(huán)境中也可以部署NSX解決方案，但ACI就慘了，需要購買 昂貴的vSphere Enterprise Plus版本來支持第二種情況，是ACI和NSX都支持開源的虛擬化平臺KVM和Xen，那么在KVM和Xen的環(huán)境下，ACI就真的省錢了嗎？ACI 只能使用Nexus9000設(shè)備作為底層物理平臺，限制了其的使用——只有新建數(shù)據(jù)中心時用戶才會考慮ACI，如果是改造，哪個用戶會將所有的物理網(wǎng)絡(luò)設(shè) 備全換掉呢？換掉這些物理硬件的費用，成本遠遠超過了NSX License吧，就算是新建數(shù)據(jù)中心，購買Nexus 9000的成本也是存在的，而NSX可以在廉價甚至白牌交換機的平臺之上實現(xiàn)SDN和網(wǎng)絡(luò)虛擬化，這樣算起來，兩者成本其實半斤八兩。

對于Cisco寫手 提到的NSX網(wǎng)關(guān)設(shè)備需要增加計算機資源的問題，在NSX 6.2版本之上已經(jīng)得到解決——基于VXLAN的NSX分布式路由器可以直接作為外部物理設(shè)備的VLAN的網(wǎng)關(guān)，因此我們無需特別配置Edge設(shè)備作為與 外界通訊（包括二層和三層通訊）的橋梁，Edge設(shè)備僅會作為實現(xiàn)高級功能（類似NFV的那些功能）的形式出現(xiàn)，這些功能包括負載均衡、NAT、VPN 等，而ACI解決方案中的Nexus 9000系列交換機則都不能實現(xiàn)，除非再引入Cisco的路由器或防火墻，才能實現(xiàn)NAT和VPN（負載均衡則完全不能實現(xiàn)），但流量需要繞過這些路由器 或防火墻進行處理，并不是優(yōu)化的之后的內(nèi)容，Cisco寫手一直抓住NSX目前對物理網(wǎng)絡(luò)設(shè)備的管控能力較差進行大書特書，卻選擇性的忽略ACI平臺無法支持虛擬化中計算資源的管理和調(diào)度能力限于篇幅，我們就不一一列舉并評論了，相信讀者看了前4段分析，腦海中應(yīng)該有一些概念浮現(xiàn)最 后，Cisco寫手設(shè)計了一個場景，證明自己的解決方案是省錢的，卻選擇性忽略了這種解決方案只適用于數(shù)據(jù)中心新建，而不是改造——ACI解決方案只能使 用Nexus 9000系列交換機，且還需要支持ACI的板卡。

此外，Cisco認為，NSXEdge會導(dǎo)致計算機數(shù)量的增加，卻不提自己需要至少三臺APIC控制器的 成本——APIC控制器集群，是至少三臺超高性能的Cisco UCS服務(wù)器加上ACI相關(guān)軟件的成本再者，Cisco設(shè)計的場景中，NSX的底層平臺使用的是Arista高端系列交換機，卻忽略了NSX網(wǎng)絡(luò)虛擬化 平臺可以運行在廉價甚至白牌交換機的平臺之上還有，在license的計算上，Cisco寫手讓ACI和NSX解決方案都使用vSphere Enterprise Plus的license，也許他自己都不知道NSX license中自帶VDS功能吧～因此，我在這里做一個小小的總結(jié)：· ACI解決方案綁架了Nexus 9000物理網(wǎng)絡(luò)設(shè)備硬件，無法進行數(shù)據(jù)中心改造（真要改造，那么之前的硬件投資會完全浪費），只能用于數(shù)據(jù)中心新建NSX解決方案無關(guān)底層物理硬件架構(gòu)，可以實現(xiàn)用戶現(xiàn)有數(shù)據(jù)中心向SDN和網(wǎng)絡(luò)虛擬化環(huán)境進行無縫遷移· ACI表示自己是以應(yīng)用為中心的解決方案，其實可能是偷換了一個概念，真正的含義是以應(yīng)用的QoS為中心，而這樣的QoS在NSX環(huán)境中也能實現(xiàn)真正的以應(yīng)用為中心，實現(xiàn)軟件定義應(yīng)用，ACI和NSX兩個解決方案都需要結(jié)合F5的Big-IP/Big-IQ設(shè)備來實現(xiàn)。

· ACI目前實現(xiàn)物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)的統(tǒng)一管理和控制，而NSX目前實現(xiàn)的是虛擬網(wǎng)絡(luò)、計算資源、存儲資源（VSAN環(huán)境下）的統(tǒng)一管理和控制，兩者各有千秋· ACI和NSX都具備極強的可編程能力，在API的調(diào)度功能上平起平坐· 在新建數(shù)據(jù)中心的情況下，ACI節(jié)省了NSX License的費用，但NSX節(jié)省了vSphere License的費用具體誰更省錢，需要看NSX底層物理平臺選哪家廠商的什么級別的設(shè)備，畢竟ACI沒的選· ACI認為NSX Edge帶來更多成本，但NSX 6.2版本之后，這個問題已經(jīng)完全被解決對于Cisco寫手的文章中沒有提及的NSX的各種高級功能，我在這里也列舉一下：· 提供了一套不關(guān)心底層架構(gòu)的邏輯網(wǎng)絡(luò)，只要底層網(wǎng)絡(luò)互通，IT管理人員就可以針對不同應(yīng)用便捷地創(chuàng)建和刪除邏輯網(wǎng)絡(luò)，使得IT底層架構(gòu)更加靈活——ACI雖然實現(xiàn)了類似的功能，但底層架構(gòu)必須是Nexus 9000系列交換機，這意味著ACI必須關(guān)心底層物理架構(gòu)· NSX網(wǎng) 絡(luò)虛擬化平臺可以跨越不同數(shù)據(jù)中心實現(xiàn)一套單一的邏輯網(wǎng)絡(luò)，無需關(guān)心底層網(wǎng)絡(luò)架構(gòu)——ACI需要借助Nexus 7000交換機或ASR 1000系列路由器，利用其OTV和LISP功能來實現(xiàn)（否則就算使用VXLAN打通不同數(shù)據(jù)中心，出局流量也無法實現(xiàn)本地化），增加硬件購置成本，且無 法交給APIC控制器統(tǒng)一管理。

· NSX的分布式路由器網(wǎng)關(guān)通過NSX Controller，統(tǒng)一下發(fā)到所有Hypervisor之上，對于虛擬機來說，實現(xiàn)了“在本地找到網(wǎng)關(guān)”的效果，三層流量可以大幅進行優(yōu)化，無需繞行到物理核心交換機設(shè)備——這個功能業(yè)內(nèi)只有NSX能夠做到· NSX的基于微分段的分布式防火墻可以幫助于安全有著更高要求的用戶實現(xiàn)數(shù)據(jù)中心內(nèi)部精細化的防火墻服務(wù)NSX的分布式防火墻基于虛擬化Hypervisor的內(nèi)核，高達20G的吞吐，其安全策略可以隨虛擬機遷移而遷移——這個功能業(yè)內(nèi)只有NSX能夠做到· 對于數(shù)據(jù)中心應(yīng)用遷移，NSX可以在新舊系統(tǒng)打通統(tǒng)一的邏輯網(wǎng)絡(luò)，并進行應(yīng)用的遷移，達到完全的業(yè)務(wù)連續(xù)性——對于重建數(shù)據(jù)中心（取代原有數(shù)據(jù)中心），ACI解決方案會導(dǎo)致應(yīng)用在遷移時中斷很長時間當(dāng)然，Cisco ACI也有其優(yōu)勢，尤其是在完全的數(shù)據(jù)中心新建項目中，能給用戶帶來非常高的體驗。