VMware超融合与深信服超融合对比分析
做为一个二十年 IT 售前工程师,深知这个职位的不易。因为我们不但要会做解决方案PPT,还要会做网络方案、
集成方案、实施方案等等。有时候,被公司的销售所逼,不得不做一些产品的对比方案,对于一些新人小白来讲,
亦是极度痛苦的一件事。因为对比方案,不同于其它方案。不仅要对每一个产品深入了解,而且还要学会重点突出
自己公司的产品。所以,也不得不昧着liang心啊。
为了发扬互联网精神,我把曾经做过的一些对比方案案例,给各位新人小白分享一下。
VMware超融合与深信服超融合对比分析
思路介绍
一、架构对比:均为超融合架构,超融合=计算+存储+网络+安全(VMware仅虚拟机微隔离,即分布式防火墙)
aSV=vSphere aSAN =vSAN aNET=NSX,Sangfor HCI= vSphere+vSAN+NSX
vSphere=VMware ESXi(虚拟化平台,类似Hypervisor)和 VMware vCenter Server(管理平台)
三、差异优势:
\1. 市场成绩:虚拟化和超融合均入围Gartner魔力象限,2018年IDC中国超融合软件市场份额,深信服第2(17.4%),VMware第3(16.3%)。
\2. 客户定位:深信服针对国人使用习惯打造更加简单直观易用的超融合产品,而VMware的产品主要是面向外国人进行设计,不符合国人操作习惯。
\3. 产品层面:
3.1 国产化:中兴、华为事件、实体清单、AK目录,国产化软件对国家信息安全至关重要,公司业务系统的底层承载平台如果选择VMware这样的国外品牌,存在风险。
3.2 业务承载:深信服提供比vSAN更高性能的aSAN(分层、条带化和本地化);深信服提供更可靠的平台和方案,分布式架构比vCenter的集中式部署更可靠,并提供一体化同品牌的备份容灾方案;深信服支持一体机交付,为用户提供更好地业务服务,VMware仅支持交付软件与兼容性列表的服务器。
3.3 安全等保:深信服超融合可交付闭环的安全能力,以及勒索病毒和等保2.0方案;VMware收购NSX的完善部分网络安全功能,成本高,管理复杂。
3.4 服务能力:深信服拥有强大技术服务团队,从代理商到一线、再到总部专家以及后端研发的全面服务;而VMware售后投入少,服务有限;服务效率低,需要客户具备一定技术运维能力,并且服务费贵;VMware国内研发团队不是全球核心,无法做适合本地化的定制服务。
3.5 高性价比:VMware各组件分开部署操作复杂,收费组件多且贵,售后服务费也十分贵。
竞争分析
国产化
软件国产化趋势明显,从过去的日立、思科、F5等事件,到现在的中兴、华为事件,以及美国出口管制实体清单,都在提醒着中国企业不要依赖于国外产品;以及美国国家安全局和联邦调查局的“棱镜门”监控计划 ,直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报;因此国产化软件对国家信息安全至关重要,公司业务系统的底层承载平台如果选择VMware这样的国外品牌,存在风险。目前政府行业基本都切换为国产平台,其他行业客户也已经意识到这个问题,比如上海的某证券公司,原VMware平台进行扩容,因中美贸易战,客户决定先从开发测试进行国产化尝试,慢慢用国产化产品替代原有VMware平台,将Nutanix和VMware踢出局。
服务
深信服还有强大的技术服务团队,200坐席CTI,56个城市驻点,6000+名认证工程师,50+专为处理客户问题的总部技术专家,以及数十名研发专家支持,提供从代理商 - 一线 - 总部专家 - 后端研发的全面服务,为用户提供优质原厂售后服务;并且可通过产品定制灵活满足客户的个性化需求。
而VMware的服务:
1)投入少,服务有限:国内售后人员少,一线和二线人员为外包,能力有限,VM国内研发团队不是全球核心,无法做适合本地化的定制服务;
2)服务效率低,客户需具有一定技术运维能力:客户所购买的GSS 800服务,需要客户自主导出故障日志,并上传给800,然后等待分析,如果问题复杂需要经历1、2、3级的逐级升级分析,耗时耗力,而且最后的故障恢复需要客户自主进行,一个故障的修复与汇报总结需要客户运维人员掌握一定水平的技术能力;
3)服务费贵:一线和二线只能处理一些简单的问题,如需2线以上的支持级别,需额外购买昂贵的BCS或MCS服务,一般都是每年每客户至少50w起的额外服务费,但也只能提供远程支持的方式,一般不会直接操作客户业务,依然需要客户侧有专业的运维人员配合,或更加昂贵的PSO TAM现场顾问服务。
国内90%的客户使用盗版VMware或者正版盗版混用,未购买或未完全购买VMware的原厂服务,但享受售后服务,而19年开始VMware也开始进行盗版整顿,未有授权不提供售后服务。
业务承载
VMware的vSAN表现一般,与深信服aSAN相比,性能较差。主要的不足之处在于:vSAN的性能表现不好,往往需要复杂的调优才能保障,究其原因主要是几个方面:
【性能分析】
| 深信服 | VMware | |
|---|---|---|
| 数据写 | 独家分层专利&条带化技术: 1.数据一次写入,开销更小(分层) 虚拟机的写操作可以直接地、快速地写入到分层中,立即向上层返回写入成功,显著地减少写I/O延迟和提升写入速度。 2.本地聚合副本,数据写带宽小 另外一个副本散列分布在集群中其他主机,写1G数据的网络带宽就是写到其他主机的1G。 3.数据写入采用智能条带化技术 1)数据切块并行写入多块HDD,多并发IO 2)根据主机磁盘数智能选择条带数,条带同一磁盘组内跨磁盘分布,发挥最优HDD并发能力 3)条带数据跨磁盘组分布,更多SSD缓存能力 | 传统缓存机制和传统条带化技术: 1.两次写入,数据写入的开销大 当数据在写入到写缓存区时,还需要同时写入一份到读缓存区中,才能保证下次读取该数据时能够从SSD中读取,对SSD的寿命损耗也快 2.数据写入均匀分布到各个主机,写带宽大 比如写1G数据,双副本即总共写入2G数据,以4主机为例,每主机写入0.5G数据,并需要经过交换机,写时需要30.52=3G网络带宽。 3.条带化机制差,无法发挥多块HDD的并发能力 vSAN默认的条带数为1,官方不建议用户调整,并且vSAN 默认组件大小上限为255G,即数据块未达到单个组件 255G 的限制将不做切分,当数据条带大小为4k时,64k的数据会被分成16个条带,而在vsan中不做切分仅1个条带。因此意味着vSAN一般是没有条带化读写的。 |
| 数据读 | 1)本地聚合副本读,突破网络带宽的瓶颈 虚拟机会优先运行在集群中聚合副本所在的主机上,数据从本地主机读取,可以避免跨存储网络对数据进行读取,使得单虚拟机的性能能够突破网络带宽的瓶颈,同时减少对集群存储网络的带宽压力;(读只用到本地的缓存盘能力,本地配置更多缓存盘可以避免这个问题) 2)智能热数据分层机制,可以抵抗扫描读 由于aSAN的缓存系统是根据数据被访问的次数以及最近被访问的时间来区分数据热冷,从而定义数据在分层中被淘汰的优先级。 | 1)无本地聚合副本,网络存在性能瓶颈 无本地聚合副本,每一次进行数据读取时,都会有传输网络的参与,网络存在性能瓶颈 (读时并发用到多主机的缓存能力) 2)LRU算法,不可抵抗扫描读 传统的缓存淘汰算法采用的是LRU算法,即最久未被访问的数据被淘汰的机制。如果遇到扫描性读操作时,将导致缓存区内有价值的数据被仅有一次读取的数据挤占掉。如业务正在进行杀毒或者文件共享读取或者备份,这些数据都会进入读缓存区,并淘汰走原本在SSD读缓存区的数据 |
| SSD效能 | 1. 自动调整读写缓存空间,SSD效能高(分层) 整个分层空间都是可以用于读缓冲的,尽可能地直接从分层中读取到所需访问的数据(即缓存命中),无需从容量层的HDD中读取,从而显著地减少读I/O的延迟。并且当数据写入量较大时,整个分层都可以申请空间用于写缓冲,可以更好地满足业务读写的弹性需求。 2. 支持全闪存模式 全闪配置下,所有SSD均可以参与读写。 | 1. 读写缓存空间固定,SSD的效能低下 由于读缓存仅能用于读,写缓存仅能用于写,假设当前的业务数据写入的速度大于写缓存回写至容量层的速度,而由于写缓存区的空间是固定的,因此导致写缓存区很会就被占满(击穿),此时,数据的写入的速度就下降为写缓存回写至容量层的速度了。 2. vSAN全闪存时无法发挥全部SSD性能 即使全闪存,vSAN仍需要区分缓存盘和数据盘,不能让所有SSD都参与并发读写。 |
| 存储分卷 | 支持存储分卷,实现业务对容量与性能的均衡 支持以主机/磁盘为单位分卷(磁盘分卷2020年6月底支持),可以更好的支持混合业务场景,实现集群内不同业务对容量和性能诉求的均衡。 | vSAN不支持存储多卷 |
| 同等架构下的性能测试数据,大多数场景下,深信服均高于VMware。 |
比如某国家三甲医院客户的测试报告数据:Iometer测试出来的结果vsan速度平均读写低于aCloud测试速度近一倍;HDtune测出来的结果vsan吞吐读性能低于aCloud吞吐读性能,Vsan吞吐写性能低于aCloud吞吐写性能近5倍,vsan iops写性能低于aCloud iops写性能。
【可靠性分析】
一、VMware需单独部署管理组件,并且vCenter是集中式的(从6.7之后,vCenter只支持虚机方式部署),尽管vCenter采用主备部署,也存在多点故障风险,vCenter故障后平台管理服务中断,无法访问。而深信服管理平台为分布式设计,架构更先进,可靠性更高;
二、深信服超融合集成了定时备份和实时备份功能(CDP),用户可以更高性价比地实现业务保护和极速恢复,而VMware在最新版本里据说已经把原生备份功能(VDP)砍掉了,推荐用户使用生态厂商的备份产品实现,虽然功能更强大,但是用户需要付出的成本也更高了。
三、VMware存在一个兼容性问题,vSAN运行于vSphere的内核,当vSAN出现问题时将影响vSphere的运行,导致一些不可预知的问题出现。在VMware内部,vSphere和vSAN属于2个不同的产品,各自有硬件兼容性列表,RAID卡厂家只有OS的兼容列表,不针对分布式存储提供兼容列表,vSAN最大的风险是自己开发驱动兼容各种类型raid卡,基本上每一款raid卡都需要单独做兼容性适配工作,由于投入的精力是有限的,因此vSAN的硬件兼容性相对较差,并且会有滞后性,导致容易出现问题。而深信服的分布式存储是用户态的,不需要自己开发raid卡驱动不会存在这个问题;
比如北京某集团,VMware提供vsphere+vsan的传统方案,最终深信服以双集群互备,外置存储备份和文件备份的整套高可靠方案赢得客户部长的认可。以及某企业客户跑PLM系统,客户关注稳定性和性能,深信服超融合集成CDP和备份功能,VMware需要用veam软件来做,深信服的平台的稳定性更好,采用分布式架构,vcenter管理节点存在单点故障风险,故障后整个平台将无法访问。
安全(客户具有安全需求时,比如勒索病毒、等保驱动)
深信服以平台集成组件的方式融合了我司的安全能力,一套超融合平台可提供丰富的安全能力,满足用户4-7层安全防护,可以有效应对勒索病毒攻击:通过vAF实现病毒攻击前的网络边界防护,通过超融合平台内置的分布式防火墙实现病毒攻破后各个业务虚拟机之间的隔离防护,并通过主机杀毒软件EDR和态势感知SIP进行病毒查杀,在病毒查杀之后提供秒级备份CDP实现业务快速恢复数据零丢失;并提供云平台安全等保方案,助力客户云平台过等保;
VMware 网络虚拟化主要依靠NSX,NSX 核心是提供了一整套简化的逻辑网络连接元素和服务,包括逻辑交换机、路由器、防火墙、负载平衡器、VPN、服务质量、监控和安全保护。优势在于,趋向于是一个SDN的架构级方案,比较适合中大规模的数据中心内部和数据中心与数据中心之间部署。但也存在不足:1)网络部署和管理相对繁琐:在实现虚拟机的网络拓扑定义方面,我们提供了“所画即所得”的可视化编排能力,而VMware主要是通过配置向导,定义连接关系,配置繁琐;2)无法满足丰富的整体交付4-7层网络功能需求:NSX的Edge提供的网络功能主要是基于TCP/UDP的4层网络功能服务,功能弱,如果需要更丰富的功能,需要借助第三方供应商比如F5、Palo Alto;3)高额的NSX成本。
比如北京某集团客户原有架构是VMware,客户认为通过vpn访问OA很麻烦,需要做互联网OA,此时就需要给外网OA与内网之间做dmz隔离区域以保证数据中心安全,如果使用原有的VMware架构,需要购买防火墙之类的,客户机房也小,最终深信服超融合以3台规模的方式,集成虚拟防火墙一体化的方式赢得客户的认可,并购买力3年安全服务。
高性价比
【运维管理】
深信服超融合平台各组件集成,通过开通序列号的方式即可实现一键开启各组件模块,管理平台也集成于超融合平台中,无需额外安装部署,并且采用分布式架构,具有高可靠性;安装部署操作十分简单,在服务器安装超融合系统即可,通过软件界面操作组建集群、创建存储卷,通过所画即所得的拓扑图实现网络部署。从安装到业务基础架构资源可视化的拓扑部署、以及集中的资源管理,深信服提供全中文化的操作,并融入了大量增强管理体验的UI设计、各类可视化大屏,简化用户的运维操作;
VMware各个组件安装割裂,部署过程比较繁杂,相应的对于运维能力大大提高,而且各组件部署往往需要单独的虚拟机(比如vCenter)或者设备,需要单独部署管理中心组件,而vCenter不是分布式,只能通过主备部署,可靠性存在一定风险。部署过程:主机安装ESXi —》主机安装windows系统—》主机安装vCenter —》在vCenter中操作复杂地安装vSAN—》在vCenter中操作复杂地安装NSX—》部署NSX控制器虚拟机。
总结:VMware功能模块拆分较细,对于发烧级运维管理比较灵活,且能管理到教细粒度,专业性很强;但缺乏可视化的网络拓扑管理界面,且对硬件没有一键健康监测工具,整体对平台的运维技术要求较高,很多配置操作较为复杂,需要上官网查找文档进行配置,对运维人员技术要求很高;深信服的界面操作十分简单,这也是不少从VMware切换过来的客户都很认可的。
其他对比信息
| 深信服 | VMware | |
|---|---|---|
| 品牌实力 | 国内超融合HCI软件市场占有率第二 入围2019 Gartner超融合魔力象限 X86服务器虚拟化入围Gartner魔力象限 国内知名安全与云计算公司 | 国内超融合HCI软件市场占有率第三 入围2019 Gartner超融合魔力象限 X86服务器虚拟化入围Gartner魔力象限 国外虚拟化市场领导者;2008年进入中国市场,以vSphere虚拟化为核心产品,近年通过自研与收购逐步开始进入超融合等市场,被DELL收购,但单独运作 |
| 产品投入 | 私有云与超融合为公司战略产品 | 重点在虚拟化市场,主攻金融、电信、能源等头部客户,近年主攻NSX虚拟网络、vSAN超融合市场 |
| 700+本地研发人员投入,年增长率达35% | 核心研发团队均在海外,国内小部分人员负责部分模块开发和debug、GSS支持 | |
| 从品牌实力看,我们与VM还有一定差距,但随着国产化大趋势,VM类外企受到ZF等去IOE的影响较严重;从产品定位与投入看,我们的产品与VM的核心客户不存在交集,VM头部客户服务好评高,但价格昂贵,大众(腰部)客户服务质量参差不齐,取决于代理商服务水平;VM国内研发团队不是全球核心,无法做适合本地化的定制服务。 | ||
| 架构 | 基于KVM架构 | VMware架构 |
| 1)稳定与兼容:现在linux已经占据了世界上大部分服务器市场,KVM作为标准linux一个核心模块,可以基于内核进行不断优化,同时,得到国内外大部分云厂商青眯,稳定性和可靠性能够有保障。VMware的产品基本上都是非开源产品,并且大部分都是收费产品。技术架构和很多协议都是私有的,需要其他厂商来对他进行兼容和适配。所以新产品推出需要更长的过渡期。 2)性能:KVM直接集成在linux内核,以进程复用宿主服务器的性能,VMware通过划分空间,整体上性能相比KVM要更优。 3)市场选择:目前虚拟化为两大阵营,一个是KVM虚拟化,一个是VMware虚拟化,其他的xen、hyper-v都已经淹没在历史中。而同时KVM作为开源被大量科技厂商青眯冰采用,华为16年全面转向KVM虚拟化。所以拥抱开放也是一大趋势,避免被厂商绑定。 | ||
| 方案组成 | 同一界面,不同模块: 硬件要求:支持纯软部署,也提供一体机方案 服务器虚拟化:aSV 存储虚拟化:aSAN 网络虚拟化:aNET 安全资源:aSEC 报价方式:按CPU收费软件授权 | 虚拟化、超融合使用统一Vcenter管理节点,虚拟网络、云管使用单独管理界面; 硬件要求:纯软部署,不提供一体机,但会与EMC、DELL提供Ready Node标准化部署硬件节点; 服务器虚拟化:vSphere(ESXi+Vcenter) 存储虚拟化:VSAN 网络和安全虚拟化:NSX 报价方式:软件授权按物理CPU收费,部分运维按虚机数收费 |
| 计算虚拟化 | 支持HA、DRX、DRS、vMotion等高阶功能、支持CDP数据持续保护;不支持DPM、FT 支持纳管VMware vSphere 5.0以上版本 | 支持HA、DRS、vMotion、DPM、FT等高阶功能,VDP备份基本弃用(需要采购第三方备份软件) |
| 存储虚拟化 | 14年推出,通过架构重构,aSAN性能很好,可以承载Oracle RAC数据库,并针对性对稳定性、使用体验和运维监控等深入优化。 | 13年推出VSAN,只能运行在vSphere ESXi虚拟化层之上,支持全闪存、EC纠删码、延展集群等特性,支持承载Oracle RAC数据库 |
| 网络虚拟化 | 自研,完整成熟的方案: 支持虚拟交换机、虚拟路由器、四层防火墙、四层负载均衡、虚拟机微隔离,带业务编排 | 收购第三方产品: 14年开始发布,NSX产品通过12年收购Nicira,只能运行在ESXi系统 |
| 虚拟化安全 | 自研,成熟的等保方案 需要使用开通相应的序列号,全面闭环安全能力,4-7层防护,勒索病毒和等保方案 | 收购第三方产品,不完善的安全方案: NSX原生Edge功能有限,仅有防火墙等基础组件,安全需要集成第三方 |
| 方案对比 | 成本:单价低 方案优势:成本较低+安全 方案不足: 目前主攻128台物理服务器以下的中型项目场景,针对大型政务云或超大集群的承载能力不足 | 成本:单价高,以虚拟化单CPU为例,至少是aSV的5 倍以上 方案不足: 1、国产化、去IOE大背景影响 2、产品设计不符合国情,不支持二次开发 3、无一体化交付,后期运维易扯皮 4、原厂服务费昂贵 |
| 性能 | 数据双副本、三副本、多卷,本地存在一个完整副本,通过热力图不固定读写cache的分层、数据本地快速读取,智能优化算法等特性实现深信服aSAN的高性能 | 固定3/7读写cache设计,对大数据访问风暴等事件存在cache命中率低等问题,开通EC纠删码增加CPU负担,延展集群对存储网络增大开销;通过二层存储链路小矩阵(增大MTU巨帧,降低延时)、LAG网卡多活绑定(链路聚合,我们也支持,协议少点)等提升性能,对运维能力与硬件兼容有要求。 |
| 可靠性 | 分布式架构,可靠性高 | VSAN采用分布式架构,最佳实践最低4节点。 |
| 兼容性 | 广泛适配市面上主流的存储/服务器 | 有专属兼容清单 https://www.VMware.com/resources/compatibility/search.php |
| 运维 | 统一管理平台,支持版本在线热升级 | vSphere、云管、运维使用多套管理界面 |
| 利用超融合平台的安全、省时省力、高性价比等综合优势进行PK |
总结
1)VMware盗版
国内90%的客户使用VMware盗版或者正盗版混用;
使用VMware盗版,将不会享受售后服务,如果出了问题,原厂不会支持的,没有人帮他兜底。
VMware正版盗版混用,未购买或未完全购买VMware的原厂服务,之前可以享受售后服务,现在打击盗版行为严抓,只提供购买服务部分的售后;
VMware是在去年19年开始也开始进行盗版整顿,他们有专门的合作事务所,委托给普华永道打盗版。
结合上述的产品技术分析里的内容,可以看出我司的超融合架构相比VMware具备的优势,体现如下:
1.可以满足一定程度,对国产信息安全可控的需求
3.硬件选择的范围更广,支持利旧场景(VMware支持的品牌服务器有限)
能通过利旧资源实现整个架构的构建,我们支持利旧的服务器选择范围比VMware的超融合方案更广
4.更加完整的方案交付(一个厂商交付超融合架构、包含丰富的网络7层的功能的全虚拟化交付)
VMware的NSX网络虚拟化方案中,自身提供的Edge方案能够交付7层的网络功能非常弱,一般需要和第三方厂商合作,比如防火墙和Palo Alto合作,负载均衡和F5合作。
5.原厂全程以及快速的售后服务响应
目前VMware的大部分中小型客户的售后服务都是由渠道交付,存在复杂的问题处理时间较长的问题,影响客户的服务体验。
6.超融合的管理运维体验好(部署简单、操作方便、无需掌握复杂技术)
从安装,到业务基础架构资源可视化的拓扑部署,以及集中的资源管理,不仅提供全中文化的操作,而且超融合的管理融入了大量增强管理体验的UI设计,操作变的更加简单。
7.更低的TCO
从超融合的组件配置方案,我们可以让客户在相同的预算购置情况下,获取更多的超融合特性。同时也减少了一些组件额外的采购,比如多集群管理功能和高昂的NSX组件等。
