NSX网络安全解决方案
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NSX网络安全解决方案
为什么需 议程
要网络虚 拟化
VMware
NSX 功能介绍
NSX
部署与管 理
NSX 运维
NSX
合作伙伴 生态系统 总结
为什么需 议程
要网络虚 拟化
VMware
NSX功能 介绍
VMware
NSX部署 与管理
NSX 运维
NSX合作
伙伴生态 系统 总结
网络虚拟化已成趋势
60
Ports in Millions
77%的VMware客户计划采用 网络虚拟化技术
4
客户需要…….
资源池
灵活的 IPAM
零信任安全 微分段
弹性计算分区
自服务及扩展性
扩展到公有云
5
虚拟化——动态多变
园区核心网
VM – VM流量必须流经物理网络 防火墙 –“拥塞点” 扩展性问题 基于IP地址的访问规则 复杂的防火墙规则表
6
需要做出什么样的改变……
控制器集群
Northbound REST API
数据流
控制流
13
为什么需 议程
要网络虚 拟化
VMware
NSX功能 介绍
VMware
NSX部署 与管理
NSX 运维
NSX合作
伙伴生态 系统 总结
利用VMware NSX部署网络虚拟化
1
利用现存的 网络基础架构
任意网络厂商 任意网络拓扑
IP包转发网络
VM
VM
Corpnet
ESX HV IP A
IP 传输网络
IP C
10.36.x.x
现存的 数据中心 网络
VM
VM
IP B KVM HV
虚拟网络
VM1 VM2
Tier 2
Corpnet 10.36.x.x
1
1
2
2
VM1 VM2
Tier 1 Network
192.168.100.0/24
NSX
云管理 平台
8
VMware网络虚拟化的目标
二层交换
三层路由
防火墙
负载均衡
基于NSX的网络虚拟化
软件 硬件
和VM一样管理 网络和安全
9
为什么需 议程
要网络虚 拟化
VMware
NSX功能 介绍
VMware
NSX部署 与管理
NSX 运维
NSX合作
伙伴生态 系统 总结
VMware NSX – 集成的网络与安全功能
23
基于身份的访问控制
张三
IP: 192.168.10.75
活动目录
规则表
源 Engineering 目的 Ent-Sharepoint 服务 http 动作 Permit, Log
日志
用户 Eric Frost AD组 Engineering 应用名字 SPDesigner.exe 来源VM名字 Eric-Win7 目标VM名字 Ent-Sharepoint 源IP 192.168.10.75 目的IP 192.168.10.78
线速双向
内核集成
25,000 CPS 250万会话
任意物理 与虚拟节点
15G bps 100K CPS 1M并发 FW, LB, VPN
分布式 交换机
分布式 分布式 路由器 虚拟网络 防火墙
边界 服务
VMware NSX 软件 (网络虚拟化)
软件 硬件
vSphere KVM Xen Server Hyper-V
VM3
VM1 VM2
L2
L2
L2
挑战
• 应用的移动性 • 多租户 • 配置复杂度——手工部署模型
收益
• 按需的负载均衡服务 • 满足应用需要的简单部署模式——单 臂或联机 • Layer 7, SSL, …
负载均衡 –基于租户的应用可用性模型
28
服务部署挑战——物理服务设备
Web Web
App
App
DB
DB
பைடு நூலகம்App
Web
DB Web
App DB
29
服务部署挑战——虚拟服务设备
Web Web
App
App
DB
DB
App
Web
DB Web
App DB
30
NSX平台构成示例
外部 网络 NSX平台
边界服务
(HA, FW, NAT, VPN, LB Services)
1
为三层应用提供基本的 网络连接服务 简化的部署与管理 全部通过软件实现 无需改变物理网络配置
Editable Text Here
Client01 Websv-02a
Client02
Websv-01a
Appsv-01a
Db-sv01a
Appsv-02a
Web服务逻辑 交换机 Vxlan-5002
App服务逻辑 交换机 Vxlan-5003
DB服务逻辑交 换机Vxlan5001
Db-sv02a
收益
• • • • • 分布在虚拟化层 动态,基于API的配置 使用VM名字和基于标识的规则 线速,每主机15+ Gbps 对封装的流量完全可见
性能与扩展性 ——1,000+主机 30Tbps防火墙
22
三层应用的部署方式
客户端逻辑交换机 Vxlan-5000
外部网络
单个逻辑交换机 Vxlan-5004
网络虚拟化networkvirtualizationsdnl2l3virtualnetworksl2sdn的属性与特点服务多样可扩展虚拟化带来的好处业务部署独立于硬件distributedforwardingmanualconfiguration网络虚拟化融合了虚拟化与sdn的技术适应网络架构扁平化多路径的设计vmware网络虚拟化的目标基于nsx的网络虚拟化二层交换三层路由防火墙负载均衡和vm一样管理网络和安全硬件软件议程为什么需要网络虚vmwarensx功能介绍vmwarensx部署与管理nsxnsx合作伙伴生态系统总结11vmwarensx集成的网络与安全功能任何应用程序无需修改虚拟网络vmwarensx网络虚拟化平台任何网络硬件任何云管理平台任何虚拟化层逻辑交换运行于三层网络之上的二层网络与物理网络解耦逻辑路由在虚拟网络之间以及虚拟网络和物理网络之间路由逻辑防火墙分布式防火墙内核集成高性能逻辑负载均衡利用软件实现的应用负载均衡逻辑vpn通过软件实现站点到站点以及远程访问vpn服务nsxapi可与任何云管理平台相集成的restfulapi合作伙伴生态系统12vmwarensx组件控制面板nsx控制器运行态高可用数据面板nsxedgevdsovs虚拟化层扩展模块firewalldistributedlogicalroutervxlannsxvswitch线速性能管理面板nsx管理器restapi和用户界面高可用cmp消费者vcacvcdopenstackcloudstack自定义门户13ip传输网络nsx控制器集群northboundrestapi虚拟网络nsx体系架构ip数据流控制流vm云管理平台esxhvipcorpnet1036xxvmipnsxedgegwcorpnet1036xx现存的数据中心网络kvmhvvm1vm2vm1vm2tiernetwork192168100024tiervmvm议程为什么需要网络虚vmwarensx功能介绍vmwarensx部署与管理nsxnsx合作伙伴生态系统总结15利用vmwarensx部署网络虚拟化计算利用现存的网络基础架构任意网络厂商任意网络拓扑ip包转发网络16利用vmwarensx部署网络虚拟化续计算利用现存的网络基础架构部署vmwarensxnsx管理与边界服务nsxedgensxmgmt虚拟基础架构nsx基础架构17利用vmwarensx部署网络虚拟化续
Tenant A Tenant B
L2 L2 L2 L2 L2 L2 L2 L2
CMP
Tenant C
控制器集群
VM to VM Routed Traffic Flow
挑战
• 物理基础架构的扩展性存在挑战—— 路由扩展性 • 虚拟机的移动性存在挑战 • 多租户路由的复杂度 • 流量的发夹问题
收益
• • • • • 在虚拟化层实现分布式路由 动态的,基于API的配置 完整功能——OSPF, BGP, IS-IS 基于租户的逻辑路由器 可与物理交换机协同
40
Virtual Server Access Ports 32% CAGR
20
Physical Server Access Ports 15 % CAGR
0 2010
2011
2012
2013
2014
2015
Source: Crehan Research Inc.
40%的虚拟化管理员也负责 虚拟交换机的管理
L2 Virtual Networks L3
L2
SDN的属性与特点 • 控制层面与转发层面分离 • 软件创新 • 加快业务上市时间 • 服务多样可扩展
虚拟化带来的好处 • 灵活、效率、可移动 • 不中断部署 • 软硬件分离 • 业务部署独立于硬件
网络虚拟化融合了虚拟化与SDN的技术,适应网络架构扁平化、多路径的设计
ToR
Rack 1
Rack 2
Rack N
Infrastructure Racks
Edge Racks
32
为什么需 议程
要网络虚 拟化
VMware
NSX功能 介绍
VMware
NSX部署 与管理
NSX 运维
NSX合作
伙伴生态 系统 总结
NSX高可用机制
WAN Internet
NSX组件的高可用
• NSX控制器: 集群,主机级高可用, 数据面板分离。
Compute Mgmt and Control Edge Rack
最佳实践 • 将管理组件,控制组件和Edge虚拟 设备部署于集群之中。
NSX完全可以应用于生产网络
34
网络虚拟化平台的监控-vCOps集成
35
为什么需 议程
要网络虚 拟化
VMware
NSX功能 介绍
VMware
NSX部署 与管理
• NSX管理器: 存储高可用和配置备 份,不保存运行态数据。 • NSX Edge: 成对虚拟机,活动状态 同步,主机级别高可用。 • NSX vSwitch: 分布式架构,影响范 围只限于故障主机。 • 主机失败: 虚拟机会被迁移到其它 主机,NSX组件继续提供服务
vSphere Clusters
可扩展的路由 –简化多租户
20
虚拟网络:通过软件定义的完整网络服务
21
VMware NSX防火墙:高性能,可扩展
物理安全模型
防火墙管理
用于SDDC的NSX防火墙
CMP
API
VMware NSX
挑战
• • • • • 集中式防火墙模型 静态配置 基于IP地址的规则 每设备40 Gbps 对封装的流量缺少可见性
X86主机
软件 硬件
现存的网络基础架构
41
NSX: 更好的安全性
访问控制
安全扩展
灵活性
嵌入虚拟化层 基于虚拟机实现控制 可识别用户身份 以虚拟设备方式部署
基于主机的安全性
(防病毒,防泄密,脆弱性管理)
REST API
网络安全性
(入侵防护,下一代防火墙)
自动化
在线迁移
42
NSX: 更好的性能与扩展性
24
动态安全组与防火墙规则
防火墙规则表
25
多租户环境下的NSX防火墙
外部网络
路由, VPN, NAT
VM
租户1的 逻辑交换机 租户2的 逻辑交换机
VM
VM VM
VM
VM
租户指定的微分段
26
虚拟网络:通过软件定义的完整网络与安全服务
27
VMware NSX负载均衡
租户A
租户B
VM1 VM2
L3
VM
二层桥接
Bridged VLAN
逻辑路由器,防火墙
逻辑交换机
2
在虚拟化层和网络边界 提供多种网络与安全服务 分布式交换路由与安全 防火墙、VPN与负载均衡 桥接服务
Web层 逻辑交换机
应用层 逻辑交换机
数据库层 逻辑交换机
31
采用NV技术的数据中心网络架构
广域网 互联网
ToR
ToR
ToR
ToR
收益
跨数据中心扩展多租户 在3层基础架构上实现2层网络 基于VXLAN, STT, GRE等实现Overlay 可跨越多个物理主机和网络交换机的逻辑交换 服务
逻辑交换 –将网络的扩展性提高1000倍
18
VMware NSX
逻辑交换服务
19
VMware NSX三层路由: 分布式、功能全面
NSX管理器
性能
扩展性
整合比
每台主机可以达到
15+ Gbps 每秒200K连接 微秒级延时
与主机同步扩展 不需要扩容升级
虚拟机 运营模式
数据中心网络
从硬件解耦 逻辑网络与物理网络的运维工作(创建、 删除、增长和削减)相互独立 可编程,可监视 良好扩展性
我们能够像管理VM一样管理网络与安全吗?
7
网络虚拟化Network Virtualization = SDN+
Manual Configuration
Distributed Forwarding
3
应用程序 消费网络资源
CMP门户/自服务
+
可编程的 虚拟网络部署
NSX Mgmt NSX Edge
计算
虚拟基础架构 NSX基础架构
逻辑网络
17
VMware NSX逻辑交换机
Logical Switch 1
Logical Switch 2
Logical Switch 3
挑战
• • • • 应用/租户之间的分段 虚拟机的移动性需要大二层网络 大的二层物理网络扩展导致生成树问题 硬件内存 (MAC, FIB)表限制 • • • •
NSX 运维
NSX合作
伙伴生态 系统 总结
NSX服务编排器
37
将策略应用到负载
什么是你需要保护的?
如何保护你的资产?
安全组
成员 (虚拟机,虚拟网卡) 和相 关对象 (用户标识,安全状态等)
应用
服务 (防火墙、防病毒等) 和配置文 件 (代表特定策略的标签)
38
NSX扩展性:合作伙伴集成
+
Cloud Mgmt Platforms
任何网络硬件
11
VMware NSX组件
消费者
CMP
• •
自服务门户 vCAC, vCD, Openstack, Cloudstack, 自定义门户 单点配置 REST API和用户界面 高可用
NSX 管理器 管理 面板 NSX 控制器
• • •
控制 面板
运行态
• • •
将虚拟网络与物理网络解耦 独立于数据路径 高可用
计算
15
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
2
部署VMware NSX NSX管理与边界服务
NSX Mgmt
NSX Edge
计算
虚拟基础架构 NSX基础架构
16
利用VMware NSX部署网络虚拟化(续)
为什么需 议程
要网络虚 拟化
VMware
NSX 功能介绍
NSX
部署与管 理
NSX 运维
NSX
合作伙伴 生态系统 总结
为什么需 议程
要网络虚 拟化
VMware
NSX功能 介绍
VMware
NSX部署 与管理
NSX 运维
NSX合作
伙伴生态 系统 总结
网络虚拟化已成趋势
60
Ports in Millions
77%的VMware客户计划采用 网络虚拟化技术
4
客户需要…….
资源池
灵活的 IPAM
零信任安全 微分段
弹性计算分区
自服务及扩展性
扩展到公有云
5
虚拟化——动态多变
园区核心网
VM – VM流量必须流经物理网络 防火墙 –“拥塞点” 扩展性问题 基于IP地址的访问规则 复杂的防火墙规则表
6
需要做出什么样的改变……
控制器集群
Northbound REST API
数据流
控制流
13
为什么需 议程
要网络虚 拟化
VMware
NSX功能 介绍
VMware
NSX部署 与管理
NSX 运维
NSX合作
伙伴生态 系统 总结
利用VMware NSX部署网络虚拟化
1
利用现存的 网络基础架构
任意网络厂商 任意网络拓扑
IP包转发网络
VM
VM
Corpnet
ESX HV IP A
IP 传输网络
IP C
10.36.x.x
现存的 数据中心 网络
VM
VM
IP B KVM HV
虚拟网络
VM1 VM2
Tier 2
Corpnet 10.36.x.x
1
1
2
2
VM1 VM2
Tier 1 Network
192.168.100.0/24
NSX
云管理 平台
8
VMware网络虚拟化的目标
二层交换
三层路由
防火墙
负载均衡
基于NSX的网络虚拟化
软件 硬件
和VM一样管理 网络和安全
9
为什么需 议程
要网络虚 拟化
VMware
NSX功能 介绍
VMware
NSX部署 与管理
NSX 运维
NSX合作
伙伴生态 系统 总结
VMware NSX – 集成的网络与安全功能
23
基于身份的访问控制
张三
IP: 192.168.10.75
活动目录
规则表
源 Engineering 目的 Ent-Sharepoint 服务 http 动作 Permit, Log
日志
用户 Eric Frost AD组 Engineering 应用名字 SPDesigner.exe 来源VM名字 Eric-Win7 目标VM名字 Ent-Sharepoint 源IP 192.168.10.75 目的IP 192.168.10.78
线速双向
内核集成
25,000 CPS 250万会话
任意物理 与虚拟节点
15G bps 100K CPS 1M并发 FW, LB, VPN
分布式 交换机
分布式 分布式 路由器 虚拟网络 防火墙
边界 服务
VMware NSX 软件 (网络虚拟化)
软件 硬件
vSphere KVM Xen Server Hyper-V
VM3
VM1 VM2
L2
L2
L2
挑战
• 应用的移动性 • 多租户 • 配置复杂度——手工部署模型
收益
• 按需的负载均衡服务 • 满足应用需要的简单部署模式——单 臂或联机 • Layer 7, SSL, …
负载均衡 –基于租户的应用可用性模型
28
服务部署挑战——物理服务设备
Web Web
App
App
DB
DB
பைடு நூலகம்App
Web
DB Web
App DB
29
服务部署挑战——虚拟服务设备
Web Web
App
App
DB
DB
App
Web
DB Web
App DB
30
NSX平台构成示例
外部 网络 NSX平台
边界服务
(HA, FW, NAT, VPN, LB Services)
1
为三层应用提供基本的 网络连接服务 简化的部署与管理 全部通过软件实现 无需改变物理网络配置
Editable Text Here
Client01 Websv-02a
Client02
Websv-01a
Appsv-01a
Db-sv01a
Appsv-02a
Web服务逻辑 交换机 Vxlan-5002
App服务逻辑 交换机 Vxlan-5003
DB服务逻辑交 换机Vxlan5001
Db-sv02a
收益
• • • • • 分布在虚拟化层 动态,基于API的配置 使用VM名字和基于标识的规则 线速,每主机15+ Gbps 对封装的流量完全可见
性能与扩展性 ——1,000+主机 30Tbps防火墙
22
三层应用的部署方式
客户端逻辑交换机 Vxlan-5000
外部网络
单个逻辑交换机 Vxlan-5004
网络虚拟化networkvirtualizationsdnl2l3virtualnetworksl2sdn的属性与特点服务多样可扩展虚拟化带来的好处业务部署独立于硬件distributedforwardingmanualconfiguration网络虚拟化融合了虚拟化与sdn的技术适应网络架构扁平化多路径的设计vmware网络虚拟化的目标基于nsx的网络虚拟化二层交换三层路由防火墙负载均衡和vm一样管理网络和安全硬件软件议程为什么需要网络虚vmwarensx功能介绍vmwarensx部署与管理nsxnsx合作伙伴生态系统总结11vmwarensx集成的网络与安全功能任何应用程序无需修改虚拟网络vmwarensx网络虚拟化平台任何网络硬件任何云管理平台任何虚拟化层逻辑交换运行于三层网络之上的二层网络与物理网络解耦逻辑路由在虚拟网络之间以及虚拟网络和物理网络之间路由逻辑防火墙分布式防火墙内核集成高性能逻辑负载均衡利用软件实现的应用负载均衡逻辑vpn通过软件实现站点到站点以及远程访问vpn服务nsxapi可与任何云管理平台相集成的restfulapi合作伙伴生态系统12vmwarensx组件控制面板nsx控制器运行态高可用数据面板nsxedgevdsovs虚拟化层扩展模块firewalldistributedlogicalroutervxlannsxvswitch线速性能管理面板nsx管理器restapi和用户界面高可用cmp消费者vcacvcdopenstackcloudstack自定义门户13ip传输网络nsx控制器集群northboundrestapi虚拟网络nsx体系架构ip数据流控制流vm云管理平台esxhvipcorpnet1036xxvmipnsxedgegwcorpnet1036xx现存的数据中心网络kvmhvvm1vm2vm1vm2tiernetwork192168100024tiervmvm议程为什么需要网络虚vmwarensx功能介绍vmwarensx部署与管理nsxnsx合作伙伴生态系统总结15利用vmwarensx部署网络虚拟化计算利用现存的网络基础架构任意网络厂商任意网络拓扑ip包转发网络16利用vmwarensx部署网络虚拟化续计算利用现存的网络基础架构部署vmwarensxnsx管理与边界服务nsxedgensxmgmt虚拟基础架构nsx基础架构17利用vmwarensx部署网络虚拟化续
Tenant A Tenant B
L2 L2 L2 L2 L2 L2 L2 L2
CMP
Tenant C
控制器集群
VM to VM Routed Traffic Flow
挑战
• 物理基础架构的扩展性存在挑战—— 路由扩展性 • 虚拟机的移动性存在挑战 • 多租户路由的复杂度 • 流量的发夹问题
收益
• • • • • 在虚拟化层实现分布式路由 动态的,基于API的配置 完整功能——OSPF, BGP, IS-IS 基于租户的逻辑路由器 可与物理交换机协同
40
Virtual Server Access Ports 32% CAGR
20
Physical Server Access Ports 15 % CAGR
0 2010
2011
2012
2013
2014
2015
Source: Crehan Research Inc.
40%的虚拟化管理员也负责 虚拟交换机的管理
L2 Virtual Networks L3
L2
SDN的属性与特点 • 控制层面与转发层面分离 • 软件创新 • 加快业务上市时间 • 服务多样可扩展
虚拟化带来的好处 • 灵活、效率、可移动 • 不中断部署 • 软硬件分离 • 业务部署独立于硬件
网络虚拟化融合了虚拟化与SDN的技术,适应网络架构扁平化、多路径的设计
ToR
Rack 1
Rack 2
Rack N
Infrastructure Racks
Edge Racks
32
为什么需 议程
要网络虚 拟化
VMware
NSX功能 介绍
VMware
NSX部署 与管理
NSX 运维
NSX合作
伙伴生态 系统 总结
NSX高可用机制
WAN Internet
NSX组件的高可用
• NSX控制器: 集群,主机级高可用, 数据面板分离。
Compute Mgmt and Control Edge Rack
最佳实践 • 将管理组件,控制组件和Edge虚拟 设备部署于集群之中。
NSX完全可以应用于生产网络
34
网络虚拟化平台的监控-vCOps集成
35
为什么需 议程
要网络虚 拟化
VMware
NSX功能 介绍
VMware
NSX部署 与管理
• NSX管理器: 存储高可用和配置备 份,不保存运行态数据。 • NSX Edge: 成对虚拟机,活动状态 同步,主机级别高可用。 • NSX vSwitch: 分布式架构,影响范 围只限于故障主机。 • 主机失败: 虚拟机会被迁移到其它 主机,NSX组件继续提供服务
vSphere Clusters
可扩展的路由 –简化多租户
20
虚拟网络:通过软件定义的完整网络服务
21
VMware NSX防火墙:高性能,可扩展
物理安全模型
防火墙管理
用于SDDC的NSX防火墙
CMP
API
VMware NSX
挑战
• • • • • 集中式防火墙模型 静态配置 基于IP地址的规则 每设备40 Gbps 对封装的流量缺少可见性
X86主机
软件 硬件
现存的网络基础架构
41
NSX: 更好的安全性
访问控制
安全扩展
灵活性
嵌入虚拟化层 基于虚拟机实现控制 可识别用户身份 以虚拟设备方式部署
基于主机的安全性
(防病毒,防泄密,脆弱性管理)
REST API
网络安全性
(入侵防护,下一代防火墙)
自动化
在线迁移
42
NSX: 更好的性能与扩展性
24
动态安全组与防火墙规则
防火墙规则表
25
多租户环境下的NSX防火墙
外部网络
路由, VPN, NAT
VM
租户1的 逻辑交换机 租户2的 逻辑交换机
VM
VM VM
VM
VM
租户指定的微分段
26
虚拟网络:通过软件定义的完整网络与安全服务
27
VMware NSX负载均衡
租户A
租户B
VM1 VM2
L3
VM
二层桥接
Bridged VLAN
逻辑路由器,防火墙
逻辑交换机
2
在虚拟化层和网络边界 提供多种网络与安全服务 分布式交换路由与安全 防火墙、VPN与负载均衡 桥接服务
Web层 逻辑交换机
应用层 逻辑交换机
数据库层 逻辑交换机
31
采用NV技术的数据中心网络架构
广域网 互联网
ToR
ToR
ToR
ToR
收益
跨数据中心扩展多租户 在3层基础架构上实现2层网络 基于VXLAN, STT, GRE等实现Overlay 可跨越多个物理主机和网络交换机的逻辑交换 服务
逻辑交换 –将网络的扩展性提高1000倍
18
VMware NSX
逻辑交换服务
19
VMware NSX三层路由: 分布式、功能全面
NSX管理器
性能
扩展性
整合比
每台主机可以达到
15+ Gbps 每秒200K连接 微秒级延时
与主机同步扩展 不需要扩容升级
虚拟机 运营模式
数据中心网络
从硬件解耦 逻辑网络与物理网络的运维工作(创建、 删除、增长和削减)相互独立 可编程,可监视 良好扩展性
我们能够像管理VM一样管理网络与安全吗?
7
网络虚拟化Network Virtualization = SDN+
Manual Configuration
Distributed Forwarding
3
应用程序 消费网络资源
CMP门户/自服务
+
可编程的 虚拟网络部署
NSX Mgmt NSX Edge
计算
虚拟基础架构 NSX基础架构
逻辑网络
17
VMware NSX逻辑交换机
Logical Switch 1
Logical Switch 2
Logical Switch 3
挑战
• • • • 应用/租户之间的分段 虚拟机的移动性需要大二层网络 大的二层物理网络扩展导致生成树问题 硬件内存 (MAC, FIB)表限制 • • • •
NSX 运维
NSX合作
伙伴生态 系统 总结
NSX服务编排器
37
将策略应用到负载
什么是你需要保护的?
如何保护你的资产?
安全组
成员 (虚拟机,虚拟网卡) 和相 关对象 (用户标识,安全状态等)
应用
服务 (防火墙、防病毒等) 和配置文 件 (代表特定策略的标签)
38
NSX扩展性:合作伙伴集成
+
Cloud Mgmt Platforms
任何网络硬件
11
VMware NSX组件
消费者
CMP
• •
自服务门户 vCAC, vCD, Openstack, Cloudstack, 自定义门户 单点配置 REST API和用户界面 高可用
NSX 管理器 管理 面板 NSX 控制器
• • •
控制 面板
运行态
• • •
将虚拟网络与物理网络解耦 独立于数据路径 高可用
计算
15
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
2
部署VMware NSX NSX管理与边界服务
NSX Mgmt
NSX Edge
计算
虚拟基础架构 NSX基础架构
16
利用VMware NSX部署网络虚拟化(续)