VMware NSX

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 18:24, 16 июня 2018.
VMware NSX
VMware NSX.png
Esxi vib vm actions.png
Скриншот VMware NSX
Разработчики: VMware, Inc.
Постоянный выпуск: 6.2.2 / May 20, 2016 (2016-05-20)
Платформа: IA-32, x86-64
Microsoft Windows, Mac OS 8
Тип ПО: Гипервизор
Лицензия: Проприетарная
Веб-сайт Official website

VMware NSX — это платформа виртуализации сети и обеспечения безопасности для программного ЦОД, делающая возможным создание и параллельное выполнение целых сетей на имеющемся сетевом оборудовании.

Описание

В основе решения NSX лежит тот же принцип, что и в виртуализации серверов: у пользователя появляется возможность работать с физической сетью как с пулом логических ресурсов, которые могут использоваться и перераспределяться по требованию. Решение NSX воспроизводит программным способом всю сеть, включая сетевые службы уровней 2, 3 и 4–7 в каждой виртуальной сети. NSX предлагает распределенную логическую архитектуру для служб уровней 2–7. Службы инициализируются программным образом при развертывании виртуальных машин и перемещаются вместе с ними. NSX сегодня применяется в микросегментации, при которой используется компонент Distributed Firewall.[Источник 1]

Платформу NSX можно развертывать в существующей физической инфраструктуре, не прерывая работу. Как и в случае с виртуализацией серверов, платформа виртуализации NSX дает возможность рассматривать физическую сеть как пул сетевых ресурсов, в котором сетевые службы и службы безопасности назначаются рабочим нагрузкам на основе политик.

VMware NSX - это решение полученное на основе двух продуктов: купленного Nicira NVP и собственного VMware vCloud Networking and Security (vCNS). Последний предназначен для комплексной защиты виртуального датацентра и построен на базе семейства продуктов VMware vShield. Решение VMware NSX предназначено для крупных компаний, которые планируют повысить степень гибкости сетевой среды датацентра, который связан с другими ЦОД компании, и где требуется переносить виртуальные машины между ними или поддерживать распределенную архитектуру кластеров.

Аналогия с VMware vSphere

VMware vSphere vs VMware NSX

Решение NSX использует API-интерфейсы на базе REST, благодаря которым платформы управления облаком могут автоматизировать процесс предоставления сетевых служб.

Платформа VMware NSX включает в себя следующие компоненты:

  • Controller Cluster - система, состоящая из виртуальных машин, предназначенная для развертывания виртуальных сетей во всем датацентре. Эти машины работают в кластере высокой доступности и готовы принимать управляющие команды от различных средств через API, например, VMware vCloud или OpenStack. Кластер осуществляет управление объектами vSwitches и Gateways, которые реализуют функции виртуальных сетей. Он определяет топологию сети, анализирует поток трафика и принимает решения о конфигурации сетевых компонентов.
  • Hypervisor vSwitches - это виртуальные коммутаторы уровня ядра ESXi с программируемым стеком L2-L4 и конфигурационной базой. Они отвечают за работу с трафиком виртуальных машин, обеспечение туннелей VXLAN и получают команды от Controller Cluster.
  • Gateways - это компоненты, предназначенные для сопряжения виртуальных и физических сетей. Они предоставляют сервисы IP routing, MPLS, NAT, Firewall, VPN, Load Balancing и многое другое.
  • Ecosystem partners - партнеры могут интегрировать собственные виртуальные модули (Virtual Appliances) в инфраструктуру NSX на уровнях L4-L7. Подробнее об этом написано здесь.
  • NSX Manager - это централизованное средство управления виртуальными сетями датацентра (с веб-консолью), которое взаимодействует с Controller Cluster.

NSX распространяет концепцию программного ЦОД на сетевую безопасность. Возможности виртуализации сети реализуют три важнейших аспекта микросегментации: изоляцию (отсутствие взаимодействия между несвязанными сетями), сегментацию (управляемое взаимодействие внутри сети) и безопасность с расширенными службами (тесная интеграция с ведущими сторонними решениями по обеспечению безопасности). [Источник 2]

Возможности

высокоуровневая архитектура

NSX оперирует собственными виртуальными сетями, которые инкапсулируют в себе физические сети средствами протоколов STT, VXLAN и GRE (как это делается мы уже писали вот тут). А компонент NSX Gateway выполняет функции моста для коммутации на уровне L2 и маршрутизации на уровне L3.

В качестве серверных гипервизоров в инфраструктуре NSX могут быть использованы решения VMware vSphere, KVM или Xen.

Есть два варианта развертывания решения:

Окружение, состоящее только из хостов vSphere: в этом случае NSX опирается на инфраструктуру vSphere Distributed Switch (VDS) при взаимодействии с компонентами решения. А компонент NSX Gateway опирается на решение NSX Edge, которое было выделено из подпродукта vCNS Edge (бывший vShield Edge). Гибридное окружение с несколькими гипервизорами: тут NSX уже использует Open vSwitch для KVM и Xen, а также собственный виртуальный коммутатор NSX vSwitch, работающий на уровне ядра ESXi. С точки зрения шлюза тут уже NSX может использовать различные физические модули. Вот так выглядит детальная архитектура решения VMware NSX с учетом развертывания в среде только с VMware vSphere (обратите внимание, что NSX может работать только с одним сервером vCenter - это ограничение архитектуры): Основные возможности NSX:

Vmware-nsx-final-3.png

На уровне гипервизора работают 4 компонента, так или иначе используемых NSX:

Security - средства безопасности уровня ядра. Виртуальные сети VXLAN. Distributed Router (DR) - распределенный маршрутизатор. Distributed Firewall - распределенный сетевой экран

  • Логические коммутаторы: все возможности коммутации на уровнях 2 и 3 в виртуальной среде, отделенные от базового оборудования.
  • Шлюз NSX: шлюз уровня 2, предназначенный для оптимального подключения к физическим рабочим нагрузкам и существующим виртуальным локальным сетям.
  • Логическое средство балансировки нагрузки: все возможности балансировки нагрузки устройств, работающих по протоколу SSL.
  • Логические маршрутизаторы: расположены между логическими коммутаторами, обеспечивают динамическую маршрутизацию в различных виртуальных сетях.
  • Логический брандмауэр: распределенный брандмауэр с линейной производительностью ядра, учетом идентификационных данных и виртуализации, а также возможностями мониторинга процессов.
  • Логическая сеть VPN: подключение различных сред друг к другу и удаленный доступ через программную сеть VPN.
  • API-интерфейс NSX на базе REST: интеграция с любой платформой управления облаком.

NSX — это платформа, допускающая использование служб сторонних поставщиков. В нее могут быть интегрированы программные и аппаратные продукты партнеров VMware — от служб шлюза и приложений до систем и служб сетевой безопасности.

Vmware-nsx-final-2.png

Достоинства

Основные преимущества VMware NSX:

  • обеспечивает автоматизацию сетей для SDDC;
  • воспроизводит сетевое обслуживание на L2/L3-уровнях, работу L4-L7-сервисов;
  • не требуется вносить какие-либо изменения в приложения;
  • обеспечивается масштабируемая и распределенная маршрутизация с разделением сетевых ресурсов;
  • позволяет безболезненно встроить обеспечение сетевой безопасности приложений.[Источник 3]

Примеры использования NSX

По словам VMware, три лучших примера использования NSX - это микросегментация, автоматизация ИТ и DR. Эти варианты использования направлены на решение проблем, обычно связанных с сетевой виртуализацией, таких как низкая производительность трафика и недостаточная безопасность.

Первый из этих случаев использования, микросегментация, защищает сетевую безопасность. Микросегментация принимает общую сетевую практику сегментации и применяет ее на гранулированном уровне. Это позволяет сетевому администратору устанавливать периметр безопасности нулевого доверия вокруг определенного набора ресурсов - обычно рабочих нагрузок или сегментов сети - и добавлять функциональность брандмауэра восток-запад в центр обработки данных. NSX также позволяет администратору создавать дополнительные политики безопасности для определенных рабочих нагрузок, независимо от того, где они находятся в топологии сети.

NSX использует автоматизацию центра обработки данных для быстрого и гибкого сетевого обеспечения. Сетевой администратор может быстро обеспечить новый сегмент сети или сети рабочими нагрузками, ресурсами и политиками безопасности, уже прикрепленными к нему. Это устраняет узкие места и делает NSX идеальным для тестирования приложений и работы с неустойчивыми рабочими нагрузками, которые NSX могут логически изолировать в одной физической сети.

Автоматизация также важна для DR. NSX интегрируется с инструментами оркестровки, такими как vSphere Site Recovery Manager (SRM), который автоматизирует переход на другой ресурс и DR. В сочетании с NSX SRM может использоваться для репликации хранилища, а также для управления и тестирования планов восстановления. SRM также интегрируется с Cross-VC NSX. Cross-VC NSX, представленный в NSX 6.2, обеспечивает логическую сеть и безопасность для нескольких vCenters, что упрощает обеспечение последовательных политик безопасности без необходимости ручного вмешательства. При использовании в сочетании с Cross-VC NSX SRM автоматически отображает универсальные сети через защищенные и восстановительные сайты.

Лицензирование и версии NSX

В мае 2016 года VMware обновила свою лицензионную схему NSX, представив две новые лицензии - Standard и Advanced - в дополнение к полной лицензии на продукт Enterprise.

Согласно VMware, лицензия NSX Standard предназначена для организаций, требующих сетевой гибкости и автоматизации, и включает такие функции, как распределенная коммутация, распределенная маршрутизация и интеграция с vRealize Suite и OpenStack. Лицензия на среднюю лицензию NSX Advanced предлагает те же возможности как стандартная лицензия, а также микросегментация для более безопасного центра обработки данных и таких функций, как балансировка нагрузки NSX Edge и распределенная брандмауэр. Наивысшая лицензия NSX Enterprise включает те же возможности, что и расширенная лицензия, а также сетевые и безопасность через несколько доменов с помощью таких функций, как Cross-VC NSX.

VMware обновила схему лицензирования NSX еще раз в мае 2017 года - на этот раз, представив выпуск NSX для филиалов

Vmware-nsx editions.png

В дополнение к этим лицензиям NSX клиенты VMware могут приобретать NSX-T и NSX Cloud. Выпущенный в феврале 2017 года, NSX-T предлагает управление сетью и безопасностью для фреймворков приложений, отличных от vSphere, нескольких распределений виртуальной машины на основе ядра (KVM) и сред OpenStack. NSX-T также поддерживает платформу Photon, программное обеспечение виртуальной инфраструктуры VMware для контейнеров. NSX Cloud принимает компоненты NSX-T и объединяет их с общедоступным облаком. Клиенты NSX Cloud имеют доступ к панели с несколькими арендаторами, которая интегрирована с VMware Cloud Services и может разрабатывать и тестировать приложения с теми же профилями сети и безопасности, которые используются в производственной среде.[Источник 4]

Источники

  1. Виртуальные сети: VXLAN и VMware NSX // Хабрахабр. [2006—2018]. Дата обновления: 20.10.2014. URL: https://habrahabr.ru/company/etegro/blog/240913/ (дата обращения: 23.03.2018)
  2. VMware NSX - комплексное средство для виртуализации сетей // VMGU. [2003—2018]. Дата обновления: 08.09.2013. URL: http://www.vmgu.ru/news/vmware-nsx-vsphere-final (дата обращения: 23.03.2018)
  3. VMware NSX: Game Changer for Data Center Networks // Network Computing. [2007—2018]. Дата обновления: 26.08.2013. URL: https://www.networkcomputing.com/cloud-infrastructure/vmware-nsx-game-changer-data-center-networks/494672511 (дата обращения: 23.03.2018)
  4. VMware NSX // Searchvmware Techtarget. [2007—2018]. Дата обновления: 18.01.2018. URL: http://searchvmware.techtarget.com/definition/VMware-NSX (дата обращения: 23.03.2018)