vmware NSX介绍

内容摘要简介 (3)文档的目标读者和目的 (3)解决方案概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 VMware NSX 网络虚拟化平台概述 (3)Palo Alto Networks 新一代防火墙概述 (5)NSX 体系结构组件 (6)VMware NSX 体系结构 (6)数据平面 (6)控制平面 (6)管理平面 (6)使用平台 (6)NSX for vSphere 的功能性服务 (6)NSX 分布式防火墙保护 (7)网络隔离 (7)网络分段 (7)Palo Alto Networks 解决方案组件 (8)VMware NSX 与 Palo Alto Networks 如何集成 (9)高级安全服务注入、串联和引导 (9)Panorama 服务注册和 VM 系列部署 (9)Service Composer/安全组和动态地址组 (10)流量引导. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 VMware NSX 和 Palo Alto Networks 使用情形 (13)使用情形 1：具有跨层高级保护功能的 VXLAN 分段 (13)使用情形 2：具有防恶意软件保护功能的多层应用的微分段 (16)使用情形 3：企业多区域安全性（PCI、生产和开发区域） (18)使用情形 4：弹性应用的缩减/扩展 (19)流量可见性和运维效率 (21)解决方案优势. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23结束语 (24)参考案例 (24)简介本文档面向有意基于采用 Palo Alto Networks® 新一代防火墙和服务的 VMware® 网络虚拟化解决方案来部署云计算和软件定义的数据中心 (SDDC) 体系结构的虚拟化、安全性和网络架构师。

NSX断路器1. 简介NSX断路器是一种虚拟化网络技术，由VMware公司开发。

它提供了一个分布式的、基于软件的网络虚拟化平台，可以将网络和安全服务与基础设施解耦，并提供一整套的网络安全策略。

NSX断路器的设计理念是将网络规则管理从物理网络中解耦，通过将网络功能转移到软件定义网络（SDN）中实现网络虚拟化。

通过将网络功能抽象为软件，NSX断路器可以提供更高的灵活性和可伸缩性，并提供更好的网络安全性。

2. 功能特性2.1 虚拟网络划分NSX断路器允许将物理网络划分为多个虚拟网络，每个虚拟网络都可以有自己的路由和安全策略。

这种虚拟网络划分的方式可以有效地将不同的用户、不同的应用或不同的业务隔离开来，提供更好的网络性能和安全性。

2.2 分布式逻辑防火墙NSX断路器内置了分布式逻辑防火墙，可以通过规则和策略来保护虚拟网络中的应用和数据。

这使得网络安全管理更加灵活，可以根据应用的特点制定相应的安全策略，而不是依赖于物理设备的限制。

2.3 负载均衡NSX断路器还提供了负载均衡功能，可以将传入的请求分发到后端的多个服务器上，实现负载均衡和高可用性。

这种负载均衡的方式可以提高应用的性能和可靠性，同时也减轻了服务器的负载压力。

2.4 VPN连接NSX断路器支持虚拟私有网络（VPN）连接，可以通过建立安全的隧道连接来连接不同的虚拟网络，或连接虚拟网络与物理网络。

这种VPN连接的方式可以实现跨网络的通信，并提供了更高的网络安全性。

3. 部署和配置NSX断路器的部署和配置相对简单。

首先需要安装和配置NSX断路器的控制节点，然后配置物理网络和虚拟网络的连接，并设置相应的网络规则和安全策略。

3.1 安装控制节点安装控制节点是部署NSX断路器的第一步。

控制节点负责管理整个NSX断路器的功能，并提供网络和安全服务的管理接口。

安装控制节点需要根据VMware的官方文档进行相应的配置和操作。

3.2 配置网络连接配置物理网络和虚拟网络的连接是部署NSX断路器的关键步骤。

产品介绍/1VMware NSX™ 是提供虚拟机网络操作模式的领先网络虚拟化平台。

与虚拟机的计算模式相似，虚拟网络以编程方式进行调配和管理，与底层硬件无关。

NSX 可以在软件中重现整个网络模型，使任何网络拓扑（从简单的网络到复杂的多层网络），都可以在数秒钟内创建和调配。

它支持一系列逻辑网络元素和服务，例如逻辑交换机、路由器、防火墙、负载平衡器、VPN 和工作负载安全性。

用户可以通过这些功能的自定义组合来创建隔离的虚拟网络。

• 网络调配时间从数天缩减至数秒• 通过自动化功能提高运营效率• 可独立于物理拓扑分配和移动工作负载• 可以部署在任何虚拟化管理程序上并通过任何云计算管理平台使用• 可通过标准 API 实现与第三方网络和安全解决方案的集成• 通过现有的物理网络或下一代拓扑实现无中断部署数据中心网络连接难题当前网络和安全解决方案极不灵活并且十分复杂，通常是由某个特定供应商提供。

这使实现软件定义数据中心的完全敏捷性成本极为昂贵。

在当前运营模型中，网络调配很慢，并且工作负载分配和移动受物理拓扑和手动调配的限制。

物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上，人为地阻碍了网络体系结构和容量利用率的优化。

手动调配和杂乱无章的管理界面降低了效率，限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。

VMware NSXVMware NSX 通过提供全新的网络运营模型，解决了这些数据中心难题。

该模型突破了当前物理网络障碍并且允许数据中心操作员将敏捷性和经济性提高若干数量级。

VMware NSX 提供了一整套简化的逻辑网络连接元素和服务，包括逻辑交换机、路由器、防火墙、负载平衡器、VPN 、服务质量、监控和安全保护。

这些服务可以在虚拟网络中通过基于 NSX API 的任何云计算管理平台进行调配，并且可以安排在任何隔离和多租户拓扑中。

虚拟网络可以通过任何现有的网络进行无中断部署，并且可以部署在任何虚拟化管理程序上。

VMware NSX网络虚拟化概览目录序言 (2)1. VMware NSX网络虚拟化解决方案简介 (2)1.1 VMware服务器虚拟化的前世今生 (2)1.2 服务器虚拟化的优势移植到了网络虚拟化 (8)1.3 NSX解决方案概览 (10)1.4 NSX网络虚拟化应用场景 (14)2．当前主流的Overlay隧道技术 (16)2.1 VXLAN技术 (16)2.2 NVGRE技术 (18)2.3 STT技术 (18)2.4 三种Overlay技术的对比和应用场景 (19)2.5 下一代Overlay技术——Geneve (20)3．各厂商的网络虚拟化解决方案 (22)3.1 Cisco ACI解决方案 (22)3.2 在MicrosoftHyper-V中实现网络虚拟化 (24)3.3 JuniperContrail解决方案 (25)3.4 各厂商网络虚拟化解决方案的比较 (26)4．与VMwareNSX相关的认证 (28)4.1 VMware认证体系简介 (28)4.2 与NSX相关的VMware认证与考试 (30)总结 (31)序言网络虚拟化技术诞生后，有不少厂商都推出了所谓的网络虚拟化解决方案。

这些厂商实现“网络虚拟化”的方式各异，有些是自己研发的项目，有些是通过收购，有些是利用开源项目进行再开发。

而VMware NSX网络虚拟化平台的基本架构到底是怎样的，它与别的厂家有哪些不同？这些问题会在本章进行探讨。

1. VMware NSX网络虚拟化解决方案简介尽管VMware NSX网络虚拟化平台是通过收购Nicira而获得的，但是在收购一年多时间之后，NSX才正式发布。

在这一年多时间里，VMware的研发人员与前Nicira的极客们一起通力合作，将VMware服务器虚拟化平台与Nicira网络虚拟化平台进行了融合，我们现在会发现NSX架构和技术细节（尤其是用于vSphere平台的NSX-V），其实与早期的Nicira NVP平台还是有很大区别，它增加了很多VMware的基因在里面。

5.1 NSX逻辑路由详解105●基于三层QoS选择流量的优先级；●将本地消息发送至传输层。

这些功能本应都由路由器来提供，而现在我们有了NSX平台，NSX的逻辑路由功能取代了物理路由器，将处于不同逻辑二层子网中的终端连接起来。

负责逻辑路由功能的NSX 组件称为NSX逻辑路由器，它分为分布式逻辑路由器和Edge路由器。

本节将对NSX逻辑路由器功能进行详细阐述，读者也可以与之前章节讲解的NSX分布式逻辑交换机进行对比，看看它们在处理流量转发的过程中，有什么区别。

5.1.1 NSX逻辑路由概览NSX逻辑路由器可以很容易将本该属于不同独立网络中的设备、终端连接起来，而通过将越来越多的独立网络连接到一起，网络规模将变得更大（参考运营商网络）。

由于NSX 网络虚拟化平台可以在这种超大规模的网络上实现一套独立的逻辑网络，因此NSX平台非常适合应用在超大规模数据中心或运营商网络中。

在NSX Manager中可以使用简化的UI来配置逻辑路由器，这非常便于配置和维护，在这里可以使用动态路由协议对NSX逻辑路由进行发现和宣告的操作，当然也可以使用静态路由。

控制平面仍然运行在NSX Controller集群中，而数据平面交给ESXi主机的Hypervisor来处理。

换言之，在虚拟化平台内部就可以进行各种路由操作，包括路由算法、邻居发现、路径选择、收敛等，而无需离开虚拟化环境，在物理网络平台中进行处理。

有了NSX逻辑路由功能，就可以方便地在逻辑的三层网络中，为路由选择最佳路径。

此外，NSX逻辑路由还能更好地实现多租户环境，比如在虚拟网络中，不同的VNI中就算有相同的IP地址，也可以部署两个不同的分布式路由器实例，一个连接租户A，一个连接租户B，保证网络不会发生任何冲突。

NSX Manager首先配置了一个路由服务。

在配置过程中，NSX Manager部署了一个控制逻辑路由的虚拟机（DLR Control VM）。

它是NSX Controller的一个组件，支持OSPF与BGP协议，负责NSX-V控制平面中的路由工作，专门用来处理分布式路由。

NSX網路虛擬化技術黃國帆在Software Defined Anything的時代，虛擬化技術的主戰場不再只限於伺服器，已經是逐步擴及到儲存、網路、資安等整個IT系統；虛擬化降低了實體架構的複雜性，提高了運營效率，並且能夠動態地重新調整底層資源的用途，以便以最佳的方式快速滿足日益動態化的業務需求，本文將探討VMware的虛擬網路平台，能夠為企業帶來什麼革命性的幫助。

一、VMware NSX是什麼？1. 何謂網路虛擬化在探討VMware NSX前，我們要先了解何謂網路虛擬化(Network Virtualization)？大家可以想像我們將資料中心裡的Switch、Router、Firewall和Load Balancer等設備相關的網路功能，將它們實作在hypervisor裡，透過軟體的方式提供，因為不再需要專屬的硬體，因此意味著擺脫了硬體的限制，不必再為了需要某個網路功能，而同時必需進行硬體設備的採購與更換。

如圖一所示，拿伺服器虛擬化與網路虛擬化做類比，前者提供x86 Environment，能創建多個Virtual Machine並有效的運作，而網路虛擬化提供L2-L7的Networks Service，透過Virtual Network的建立，建立整個網路的邏輯架構，提供VM間網路的存取與安全。

圖一伺服器與網路虛擬化比較2. Software Defined Network (SDN)的實現──VMware NSX一種普遍被認同的SDN定義，就是將網路的Data Plane與Control Plane做分離，讓網路架構能夠不受專屬硬體的限制，而能夠具備彈性。

VMwareNSX 透過網路虛擬化的技術來實現SDN 的架構，它能在既有的實體環境（底層），打造出一個全新的邏輯網路（虛擬層）（圖二），而底層與虛擬層的網路架構可以完全不同，因為它不限制底層的硬體（如Server、Switch）是哪個廠牌、型號或需要支援特殊的網路功能，只需要底層網路提供一個穩定且高速的環境。

现代应用交付的需求与管理挑战应用部署模式及应用形态的演进Analytics生产就绪容器应用的实验室到生产差距为什么LB / Ingress 会阻碍生产就绪的 k8s 部署？测试环境不同的工具：生产集群多云部署简化运维应用安全可观测性CONSOLIDATED SERVICES:GapDNS/ IPAMWAFGSLBIngressLB•企业级•云原生•融合的当前状态期望状态按需弹性应用可达许多解决方案意味着缺乏可见性和管理复杂性Kubernetes 的不同负载均衡和入口多种离散解决方案不同的LB 、Ingress 、GSLB 、DNS 、IPAM 和 WAF 产品复杂的操作难以管理和排除独立组件的故障缺乏可观察性将多个产品拼接在一起，几乎没有分析，也没有端到端的可见性部分自动化在功能和云原生自动化/规模之间进行折衷Ingress ControllerIngress ControllerCluster 1:L4 LB L4 LB WAFDNSIPAMActive StandbyGSLBNode 1Node N PodPodPodPodPodPod开源产品（NGINX 、HAPROXY 、Contour 、Envoy ）现代应用交付的需求与管理挑战传统应用交付100%0%应用复杂程度, 高投资回报应用架构云原生程度应用•在应用之前提供一个高性能、高可靠、安全的入向、出向层•优化应用或 API 南北向流量转发•可提供的能力包括 L4/L7 负载均衡, SSL 卸载, WAF, DDoS 防护, DNS/DNS 安全云原生应用交付•为单体或微服务应用提供一个敏捷、高效、简单的应用平台•优化应用或 API 东西向流量转发及应用服务•可提供能力包括 web 服务器, 应用服务器, KIC 及服务网格通常是共享服务，更大规模、更复杂的功能需求，虚拟化、RBAC 、证书传统应用交付通常是专有服务，较小的规模、较简单的功能需求。

您想了解（但还没问）的“微分段”相关内容VMware NSX® 所实现的微分段，让“零信任”模式成为现实确保新式数据中心的安全需要微分段Gartner 和 Forrester 等分析机构对此看法一致，数据中心安全要求已变得愈发复杂，远非边界（物理）防火墙所能满足。

以下是其中几个原因：• 边界防火墙的任务是守住大门，而入侵防御和反病毒机制旨在保护从客户端到服务器（由北向南）而非服务器到服务器（由东向西）的数据传输• 为保护具有精细策略和集中访问控制的成百上千的工作负载而在数据中心装满物理防火墙（或带虚拟防火墙的物理防火墙）是不切实际的做法• 物理防火墙需要耗费过高的管理开销才能快速适应几乎时刻在变的动态工作负载；此外，它们也没有能适应环境的、精细化或自动化功能，无法“随着”工作负载迁移随着数据中心继续加大计算、网络连接和存储资源的虚拟化程度，基于边界的传统安全措施变得更加低效。

数据中心安全性的新模式将是：a) 基于软件，b) 运用微分段原则，以及 c) 支持零信任1 (ZT) 模式。

直到现在，数据中心都在“信任区”基础上搭建，信任区中所有相似计算系统上的流量会被认为可信任。

但是在信任区中，恶意软件可毫无阻碍地在服务器间移动。

ZT 模式主张，在虚拟化程度更高的环境中，在受信任和不受信任的网络或分段之间应无明显差异 - 保护必须无所不在、精细入微。

为构建 ZT 模式，您需要具有能够提供微分段的虚拟化网络。

• 基于软件• 采用微分段的原则• 采用零信任 (ZT) 模式1. “Leverage Micro-Segmentation to Build a Zero Trust Network”，Forrester Research，2015 年技术简介/1“物理网络分段和微分段之间有何区别？”数据中心的物理网络安全性是基于设置安全分段、创建子网和虚拟 LAN 以及围绕这些要素创建策略来构建的。

大体来说，该模式需要将策略锁定至工作负载所处的物理位置。

vmware nsx实施方案VMware NSX 实施方案VMware NSX 是一款用于软件定义数据中心和网络虚拟化的解决方案，它可以帮助企业实现网络和安全的自动化，提高 IT 灵活性和敏捷性，降低成本，同时增强安全性。

在实施 VMware NSX 时，需要考虑一些关键因素和步骤，以确保顺利完成部署并实现预期的效果。

首先，进行网络基础设施的评估。

在实施 VMware NSX 之前，需要对现有的网络基础设施进行全面的评估，包括网络拓扑、硬件设备、网络流量、安全策略等方面。

这将有助于确定是否需要进行网络重构以支持 NSX 的部署，并为后续的规划和设计工作提供重要参考。

其次，制定详细的实施计划。

在评估基础设施的基础上，制定详细的实施计划至关重要。

实施计划应当包括部署时间表、资源分配、风险评估、测试计划等内容，以确保实施过程有条不紊地进行，并最大程度地减少潜在的风险。

接下来，进行网络虚拟化的设计和部署。

在实施 VMware NSX 时，需要根据实际业务需求和网络环境特点进行网络虚拟化的设计和部署。

这包括逻辑网络的划分、网络隔离策略、安全组规则的定义等工作。

在设计和部署过程中，需要充分考虑网络性能、可靠性和安全性等方面的要求。

然后，进行安全策略的配置和管理。

VMware NSX 提供了丰富的安全功能，包括防火墙、安全组、安全策略等，可以帮助企业加强对网络流量的监控和管理。

在实施过程中，需要根据实际安全需求，配置和管理相应的安全策略，以保护企业网络免受各种安全威胁的侵害。

最后，进行性能优化和监控。

在实施 VMware NSX 后，需要进行性能优化和监控工作，以确保网络虚拟化的稳定性和高效性。

这包括对网络流量、带宽利用率、延迟等性能指标进行监控和分析，及时发现和解决潜在的性能问题，提高网络的整体运行效率。

综上所述，实施 VMware NSX 是一项复杂的工程，需要全面的规划和准备工作。

通过对网络基础设施的评估、制定详细的实施计划、进行网络虚拟化的设计和部署、配置和管理安全策略，以及进行性能优化和监控，可以帮助企业顺利实施 VMware NSX，并最大程度地发挥其在软件定义数据中心和网络虚拟化方面的优势。