VMware-NSX与Cisco-ACI真实客观对比

VMware NSX与Cisco ACI真实客观对比大 家好，我叫范恂毅由于喜欢三国的周瑜，因此自称“范大都督”因此，如果听到有人喊“都督”，那就是在喊我啦我主要负责数据中心售前工作，会涉及网络 （包括Underlay和Overlay）、服务器虚拟化、存储、安全、应用交付等毕竟经验尚浅，在大神们面前，难免有班门弄斧之嫌，有任何不对的地 方，欢迎大家指正最 近，Cisco公司的好几个微信公众号，都在转载一篇文章——《省钱，还是高效？Cisco ACI与VMware NSX对比》由于本人第一份工作就是Cisco金牌代理商，之后又考了安全、语音和数据中心3个方向的CCIE，因此朋友圈子里有很多Cisco代理商 和原厂的朋友，加上之后研究服务器虚拟化、SDN、网络虚拟化、存储和应用交付认识的一些朋友，我看到了这篇文章在思科圈内甚至IT圈内疯狂转载这 篇文章，明显是Cisco公司内部工程师和市场部的员工写的软文，我全文都读了，感觉有失公允，我有点看不下去了……我需要公证客观地做一些评析在这 里，请读者不要怀疑我的判断能力和立场首先，我既非Cisco公司亦非VMware公司的员工，是以旁观者的身份和身份看这个问题，还是比较公正和客观 的。

其次，我对第一代基于OpenFolw的SDN、下一代增加了网络虚拟化功能的SDN都有深入研究，对于Cisco ACI与VMware NSX的解决方案的理解还是非常深入的，并不是像一个IT行业记者或是只对Cisco、VMware的主要业务（网络、服务器虚拟化）有了解的一个工程师 的视角看这个问题那么，我们进入正题吧^_^这篇文章，上来就做了一个概述，用三段话给读者注入一个强烈的impression，让所有不知内情的读者产生Cisco ACI是业内最好的下一代SDN和网络虚拟化解决方案的印象原文如下所述，笔者没有对里面的文字做出任何修改：思科ACI是一个集成的重叠网络模型，它在一个以应用为中心、由策略驱动的一致框架中，将物理网络和虚拟网络融合为一个网络VMware NSX是一种基于重叠网络的虚拟机监控程序模式，以VMware为中心，要求网络网关与裸机应用及其他网络端点进行通信思 科ACI提供单一管理平台，用于管理所有应用组件，包括物理网络和虚拟网络、第4层至第7层 (L4-7) 服务，在未来还会包括计算和存储ACI 将网络与应用的运行状况相关联，且具有深度可视性和故障排除功能NSX引入的单纯是重叠网络，不具备对底层物理网络的直接可视性，需通过其他工具实现重 叠网络与底层网络之间的关联。

NSX 仅为虚拟网络提供自动化，目前尚不提供任何对底层物理设备的管理思 科ACI提供开放式接口和应用编程接口 (API)，支持多虚拟机监控程序环境借助应用策略基础架构控制器（APIC-即ACI控制器的开放式北向和南向API），能够实现与现有管理、协调、 第 4-7层服务以及物理和虚拟设备的无缝集成客户因此能够将现有的IT系统集成到ACI架构中，从而实现全面的投资保护NSX 仅针对基于vSphere和基于Linux的虚拟机监控程序提供不同的产品和功能，并且不支持 Microsoft Hyper-V，因此会限制客户的选择除 此之外，NSX 要求参与重叠网络的每台主机都具有许可证NSX 架构需要更强的计算能力才能在确保高级别可用性的情况下实施网关功能和运行管理组件思科的集成重叠网络方法则可以实现架构精简，需要的组件更少，并为多 种类型的工作负载提供自动化和可视性优势这意味着，与 NSX 相比，ACI 的购置成本会显著降低首 先，对于第一段，Cisco认为，自己的ACI解决方案是以应用为中心的，而VMware NSX解决方案是以VMware为中心的以应用为中心，确实是一个可以夺人眼球的观点，然而，这种以应用为中心，却不是真正实现数据中心中自动化部署应 用和运维的手段。

Cisco的所谓“以应用为中心”，无非是将应用所在的虚拟机看成一个EP（End Point），一些类似的EP，可以打包成一个组，叫做EPG（End Point Group），Cisco针对这些EP或者EPG，使用策略驱动模型，实现了一个更好的，无关虚拟机IP地址和端口的QoS功能，Cisco认为这就是以 应用为中心毕竟之前，QoS策略在网络层面之上需要进行全局配置，并应用到端口或VLAN IP地址之上，在虚拟化环境中，由于虚拟机经常会进行迁移，这样的QoS配置很难满足用户需求，Cisco的策略驱动模型已经做的够好了，但是NSX环境 中也能做到无关虚拟机IP地址和端口的QoS和安全策略，并且我认为，只实现了应用的QoS不是真正的以应用为中心真正的以应用为中心的解决方案，必须 结合F5BIG-IP/BIG-IQ平 台（或类似专注应用交付解决方案的公司的产品），实现软件定义应用服务（Software-DefiedApplication Services，SDAS），即应用的自动化部署和运维在这一点上，ACI和NSX都需要与F5这样的厂商合作如果没有F5这样的合作厂商，ACI 环境中除了实现了更好的QoS外，没有对应用交付提出更好的优化功能，而NSX中却可以自己实现分布式或集中式的负载均衡，做到简单的应用交付。

此外，文 中Cisco指责NSX解决方案是“以VMware为中心”的NSX网络虚拟化平台，支持运行在所有的物理网络设备和所有的虚拟化平台（除了 Hyper-V）之上——如果允许在KVM或Xen平台之上，连vSphere和vCenter都不需要购买，何来以VMware为中心一说？ 但是ACI呢？底层物理网络必须是Nexus 9000设备，这难道不是以Nexus 9000为中心吗？其 次，对于第二段，Cisco认为，自己的ACI解决方案，实现了物理网络和虚拟网络的统一管理，而NSX无法实现对底层物理网络的管理首先，Cisco 实现底层物理网络管理的方法是ACI解决方案必须使用Nexus 9000系列设备，一旦使用其他厂商的物理交换机设备，甚至Cisco其他系列的交换机（如Nexus 7000、Nexus 5000、Catalyst 6500系列），都无法实现ACI解决方案，更别说物理网络和虚拟网络的统一管理了此外，数据中心中在基础架构层面，最重要的三个平台，必然是网络平台 （包括物理网络和虚拟网络）、计算平台（换句话说就是x86服务器虚拟化）、存储平台ACI实现了物理网络和虚拟网络的统一管理，但是并无法管理和调度 计算资源和存储资源。

而NSX在管理层面上，完全成为了vCenter的一个插件，实现了虚拟网络和服务器虚拟化的统一管理和调度，这么比较的话，ACI 和NSX完全打了个平手——各能管理和调度两块平台如果数据中心内用户使用了VMware VSAN的解决方案，VMware甚至连存储资源也做到了统一管理和调度Cisco这篇文章的作者很聪明，写了一句“在未来还会包括计算和存储”，给用 户画了个饼那么，NSX未来其实也可以深度集成物理硬件的，NSX解决方案的前身Nicira公司正是SDN概念的提出者和Openflow、Open vSwitch的开发者，这意味着只要物理硬件支持Openflow和OVSDB协议，就都可以将自己交给NSX Controller进行管理，只是现在多数物理硬件厂商没有与VMware进行联合开发而已Arista和Brocade公司已经实现了将自己的物理 网络硬件产品以服务的形式交给NSX Controller管理，相信之后这串名单会越来越上，这其实也算“NSX在未来能实现所有物理网络硬件设备的统一管理”如果Cisco喜欢谈未来 Roadmap，那么为什么别人不能谈呢？况且NSX与Arista、Brocade公司的合作已经成型，不是单纯的Roadmap了。

而对于ACI，管 控其他厂商网络硬件甚至自己厂商的非Nexus 9000设备的硬件设备，在Roadmap上吗？再 者，对于第三段，Cisco的写手又抓住了很多读者对API不熟悉的现状，大书特书开放式接口和应用编程接口 (API)不是Cisco一家独有的，几乎所有物理硬件和虚拟化软件厂商，都能提供这样的接口，ACI和NSX都可以针对这些接口进行再编程、再开发，并 控制其设备和运行的应用这里Cisco写手又抓住了NSX目前不支持Hyper-V环境进行攻击Cisco喜欢说“未来支持”，那么我想说的 是，NSX对Hyper-V的支持，很快也会发布了……就算不支持，其实也无伤大雅，因为微软也有自己的网络虚拟化平台HNV（Hyper-V Network Virtualization），部署了Hyper-V的用户，不大会再使用ACI或NSX解决方案的，且这个市场很小——Hyper-V大量使用在微软 自己的Azure云中，在企业中很少使用，因为Hyper-V基于Windows Server，而Windows Server最大的问题是需要经常停机进行补丁和升级，这令很多企业用户敬而远之因此，ACI现今和NSX未来对Hyper-V的支持，都只是锦上添 花，没必要拿出来进行特别的对比。

最 后，对于第四段，Cisco的写手又说了，NSX需要每台主机都购买License，且对于一些网关设备，需要另外购买主机，这样会增加成本没 错，NSX解决方案确实需要NSX License，这个问题我们需要分两种情况进行讨论第一种情况，毕竟vSphere是最主流、功能最为强大的商业虚拟化解决方案，在全球 hypervisor的市场份额远超半成，因此NSX和ACI解决方案，都很有可能使用vSphere作为底层虚拟化平台，但需要读者了解的是，无论 NSX还是ACI，实现虚拟网络都需要vSphere支持分布式交换机（VDS），而vSphere Enterprise Plus版本才支持VDS，但是NSX license自动携带了VDS功能，这就意味着我们在Standard版本的vSphere环境中也可以部署NSX解决方案，但ACI就惨了，需要购买 昂贵的vSphere Enterprise Plus版本来支持第二种情况，是ACI和NSX都支持开源的虚拟化平台KVM和Xen，那么在KVM和Xen的环境下，ACI就真的省钱了吗？ACI 只能使用Nexus9000设备作为底层物理平台，限制了其的使用——只有新建数据中心时用户才会考虑ACI，如果是改造，哪个用户会将所有的物理网络设 备全换掉呢？换掉这些物理硬件的费用，成本远远超过了NSX License吧，就算是新建数据中心，购买Nexus 9000的成本也是存在的，而NSX可以在廉价甚至白牌交换机的平台之上实现SDN和网络虚拟化，这样算起来，两者成本其实半斤八两。

对于Cisco写手 提到的NSX网关设备需要增加计算机资源的问题，在NSX 6.2版本之上已经得到解决——基于VXLAN的NSX分布式路由器可以直接作为外部物理设备的VLAN的网关，因此我们无需特别配置Edge设备作为与 外界通讯（包括二层和三层通讯）的桥梁，Edge设备仅会作为实现高级功能（类似NFV的那些功能）的形式出现，这些功能包括负载均衡、NAT、VPN 等，而ACI解决方案中的Nexus 9000系列交换机则都不能实现，除非再引入Cisco的路由器或防火墙，才能实现NAT和VPN（负载均衡则完全不能实现），但流量需要绕过这些路由器 或防火墙进行处理，并不是优化的之后的内容，Cisco写手一直抓住NSX目前对物理网络设备的管控能力较差进行大书特书，却选择性的忽略ACI平台无法支持虚拟化中计算资源的管理和调度能力限于篇幅，我们就不一一列举并评论了，相信读者看了前4段分析，脑海中应该有一些概念浮现最 后，Cisco写手设计了一个场景，证明自己的解决方案是省钱的，却选择性忽略了这种解决方案只适用于数据中心新建，而不是改造——ACI解决方案只能使 用Nexus 9000系列交换机，且还需要支持ACI的板卡。

此外，Cisco认为，NSXEdge会导致计算机数量的增加，却不提自己需要至少三台APIC控制器的 成本——APIC控制器集群，是至少三台超高性能的Cisco UCS服务器加上ACI相关软件的成本再者，Cisco设计的场景中，NSX的底层平台使用的是Arista高端系列交换机，却忽略了NSX网络虚拟化 平台可以运行在廉价甚至白牌交换机的平台之上还有，在license的计算上，Cisco写手让ACI和NSX解决方案都使用vSphere Enterprise Plus的license，也许他自己都不知道NSX license中自带VDS功能吧～因此，我在这里做一个小小的总结：· ACI解决方案绑架了Nexus 9000物理网络设备硬件，无法进行数据中心改造（真要改造，那么之前的硬件投资会完全浪费），只能用于数据中心新建NSX解决方案无关底层物理硬件架构，可以实现用户现有数据中心向SDN和网络虚拟化环境进行无缝迁移· ACI表示自己是以应用为中心的解决方案，其实可能是偷换了一个概念，真正的含义是以应用的QoS为中心，而这样的QoS在NSX环境中也能实现真正的以应用为中心，实现软件定义应用，ACI和NSX两个解决方案都需要结合F5的Big-IP/Big-IQ设备来实现。

· ACI目前实现物理网络和虚拟网络的统一管理和控制，而NSX目前实现的是虚拟网络、计算资源、存储资源（VSAN环境下）的统一管理和控制，两者各有千秋· ACI和NSX都具备极强的可编程能力，在API的调度功能上平起平坐· 在新建数据中心的情况下，ACI节省了NSX License的费用，但NSX节省了vSphere License的费用具体谁更省钱，需要看NSX底层物理平台选哪家厂商的什么级别的设备，毕竟ACI没的选· ACI认为NSX Edge带来更多成本，但NSX 6.2版本之后，这个问题已经完全被解决对于Cisco写手的文章中没有提及的NSX的各种高级功能，我在这里也列举一下：· 提供了一套不关心底层架构的逻辑网络，只要底层网络互通，IT管理人员就可以针对不同应用便捷地创建和删除逻辑网络，使得IT底层架构更加灵活——ACI虽然实现了类似的功能，但底层架构必须是Nexus 9000系列交换机，这意味着ACI必须关心底层物理架构· NSX网 络虚拟化平台可以跨越不同数据中心实现一套单一的逻辑网络，无需关心底层网络架构——ACI需要借助Nexus 7000交换机或ASR 1000系列路由器，利用其OTV和LISP功能来实现（否则就算使用VXLAN打通不同数据中心，出局流量也无法实现本地化），增加硬件购置成本，且无 法交给APIC控制器统一管理。

· NSX的分布式路由器网关通过NSX Controller，统一下发到所有Hypervisor之上，对于虚拟机来说，实现了“在本地找到网关”的效果，三层流量可以大幅进行优化，无需绕行到物理核心交换机设备——这个功能业内只有NSX能够做到· NSX的基于微分段的分布式防火墙可以帮助于安全有着更高要求的用户实现数据中心内部精细化的防火墙服务NSX的分布式防火墙基于虚拟化Hypervisor的内核，高达20G的吞吐，其安全策略可以随虚拟机迁移而迁移——这个功能业内只有NSX能够做到· 对于数据中心应用迁移，NSX可以在新旧系统打通统一的逻辑网络，并进行应用的迁移，达到完全的业务连续性——对于重建数据中心（取代原有数据中心），ACI解决方案会导致应用在迁移时中断很长时间当然，Cisco ACI也有其优势，尤其是在完全的数据中心新建项目中，能给用户带来非常高的体验。