VMWare NSX网络及安全虚拟化解决方案

14
NSX网络及安全虚拟化平台主要功能
15
VMware NSX网络与安全虚拟化平台
软件 硬件
二层交换
三层路由
防火墙
负载均衡
基于NSX的网络与安全虚拟化
像管理VM一样 管理网络与安全
NSX是VMware SDDC(软件定义的数据中心)的重要组成部分
终端用户计算
传统应用
应用
新式云应用
私有云
混合云
公有云
redundancy ▪ fast convergence ▪ Multi-Chassis LACP, L2MP ▪ QoS, Security，subscription
ratio…
难以保证网络配置的一致性！
7
三、安全域的边界防护难以运维
Internet
在数据中心内部 很少或没有
东西向安全控制
Internet
1. 网络割裂 导致资源池利用率及灵活性降低 2. 网络架构复杂，割接工作量大 3. 安全域的边界防护难以运维 4. 已有业务变更响应缓慢，容易导致误操作 5. 对新业务部署上线支持缓慢 6. 核心链路和节点带宽被大量发夹流量消耗 7. 难以实现网络及安全的L2-L7层自动化
CONFIDENTIAL
安全控制不足
基于IP的安全策略 难以运维
CONFIDENTIAL
8
四、已有业务变更响应缓慢，容易导致误操作
• 业务开发人员: 我已经调整好一套两层的Web应用系统，要尽快上线 • 网络管理员: 我应该如何调整配置网络拓扑?NAT策略？ • 安全管理员：我应该如何调整防火墙安全策略？负载分担策略？
Internet Web App
L3 L2
East/West
11
North/South
六、核心链路和节点带宽被大量发夹流量消耗
70%
L3 L2
East/West
12
七、难以实现网络及安全的L2-L7层自动化
虚拟数据中心
• 管理平面分散 • 大部分没有开放API接口 • 难以实现端到端的网络自动化
计算虚拟抽象层
物理基础架构
企业建立云计算数据中心该如何应对以上挑战？
物理网络
目前网络与安全架构向云计算转型时遇到的挑战
成本
- 桌面防病毒 - 数据丢失保护, 白名单
Users
挑战
配置太复杂, 烟囱式扩展, 大量人工操作, 集中式处理带来性能瓶颈, 网络资源限制!
效率
后台服务
Sites
Horizon VDI DMZ
- DMZ 防火墙, NAT, DDI
- Site and user VPNs - 负载均衡器, WAF - 专有硬件
Web
vSphere
- VLANs, ACLs, 防火墙, IDS/IPS, 监控 - 服务器防病毒, 虚拟机安全 - 网络设备及架构需全部升级来适应虚拟化环境: FabricPath/TRILL,
and VM-tracing etc. 需要新的成百上千万的投资! - AAA、应用、数据保护、合规
一、网络割裂 导致资源池利用率及灵活性降低
VMware NSX：网络及安全虚拟化解决方案
1
主题内容
1 网络及安全为什么要虚拟化？ 2 NSX网络及安全虚拟化平台主要功能 3 NSX网络及安全虚拟化方案典型应用场景
MOBILE
DATA CENTER
CLOUD
2
网络及安全为什么要虚拟化？
3
网络成为通往云计算之路的壁垒
单个人工节点管理
烟囱式扩展方式
▪ 物理网卡功能分区 ▪ Aggregate multiple pNics
▪ 监控与排障 ▪ NetFlow – Understand traffic ▪ Port Mirroring – Troubleshooting
▪ 物理网络设计 ▪ 802.1Q, STP, Ethernet Channel ▪ Blade I/O Module Design ▪ VLAN load balancing, L3 GW
网络-NSX
基础架构虚拟化
存储-VSAN
可延展性
计算硬件
网络硬件
存储硬件 IT物理基础架构
NSX网络与安全虚拟化总体架构
支撑任意的应用 (无需修改)
虚拟网络 云管理平台（vRealize Suite,OpenStack,Cloudstack）
vCloud Automation Center
IaVaSMware NSX 网Pa络aS 虚拟化平台 DaaS
网络状态难以统一监控
虚拟网络与物理网络协调困难
VLANs 不可扩展
缺少自动化程序化控制
不宜满足多种业务的SLAs
网络分割限制资源池化与共享
功能被硬件捆绑
限制了虚机迁移范围
有限的多租户支持
L3-L7 集中式转发性能瓶颈 租户自己无法控制地址管理
工作负载不能灵活部署、均衡资源
虚拟机网络计费
人工操作拖延迁移与灾备恢复时间
vCenter
Operations Mgmt
逻辑防火墙 vCloud Dire逻cto辑r 交/ C换on网ne络ctor
逻辑负载均衡 Application
逻辑VPN
6
二、网络架构复杂，维护工作量大
集群1
集群N
ESXi
vSphere Distributed Switch
ESXi
PG VLAN Uplink Teaming
ESXi
ESXi
接入层 汇聚层
▪ 定义DV Port Groups ▪ Defined based on traffic type ▪ Teaming – Resiliency, Capacity ▪ VLAN – Traffic Isolation ▪ NIOC Shares – B/W mgmt ▪ End-End QoS - 802.1p
1 7
2
3
4
5
8
9
6
9
五、对新业务部署上线支持缓慢
Web
Web
Corpnet/Internet
App
App
DB
DB
Compute Network
DC Serwenku.baidu.comices
• 服务部署缓慢 • 可扩展性受限 • 移动性受限 • 依赖于硬件 • 运维管理复杂
10
North/South
虚拟化和云计算环境，使得数据中心的业务流量模型发生改变
软件定义的数据中心
云计算管理平台—vRealize Suite 7
云计算自动化 (vRealize Automation)
云计算业务 (vRealize Business
for Cloud)
云计算运营管理 (vRealize Operations 和 vRealize Log Insight)
计算-vSphere