VMware网络与安全解决方案(PPT 37张)
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NSX Mgmt NSX Edge
计算
虚拟基础架构 NSX基础架构
逻辑网络
13
VMware NSX逻辑交换机
Logical Switch 1
Logical Switch 2
Logical Switch 3
VMware NSX
挑战
• • • • 应用/租户之间的分段 虚拟机的移动性需要大二层网络 大的二层物理网络扩展导致生成树问题 硬件内存 (MAC, FIB)表限制 • • • •
单点配置 REST API和用户界面 高可用
NSX 管理器 管理 面板 NSX 控制器
• • •
控制 面板
运行态
• • •
将虚拟网络与物理网络解耦 独立于数据路径 高可用
NSX Edge • • • 数据 面板 NSX vSwitch • •
高可用虚拟机 服务于南北向流量的数据面板 路由和高级服务
VDS/OVS
逻辑负载均衡 – 利用软件实现的应用负 载均衡
逻辑VPN – 通过软件实现站点到站点以 及远程访问VPN服务 NSX API – 可与任何云管理平台相集成 的RESTful API 合作伙伴生态系统
任何网络硬件
8
VMware NSX组件
消费者
CMP
• •
自服务门户 vCAC, vCD, Openstack, Cloudstack, 自定义门户
挑战
• 物理基础架构的扩展性存在挑战—— 路由扩展性 • 虚拟机的移动性存在挑战 • 多租户路由的复杂度 • 流量的发夹问题
收益
• • • • • 在虚拟化层实现分布式路由 动态的,基于API的配置 完整功能——OSPF, BGP, IS-IS 基于租户的逻辑路由器 可与物理交换机协同
可扩展的路由 –简化多租户
VMware网络与安全解决方案
1
议程
2
议程
3
客户需要…….
资源池
灵活的 IPAM
零信任安全 微分段
弹性计算分区
自服务及扩展性
扩展到公有云
4
需要做出什么样的改变……
运营模式
从硬件解耦
网络的创建、删除、增长和削 减对应用程序透明
可编程,可监视
良好扩展性
?
我们能够像管理VM一样管理网络吗?
5
VMware NSX简介
20
服务部署挑战——物理服务设备
Web Web
App
App
DB
DB
App
Web
DB Web
App DB
21
服务部署挑战——虚拟服务设备
Web Web
App
App
DB
DB
App
Web
DB Web
App DB
22
NSX平台构成示例
外部 网络
NSX平台
边界服务
(HA, FW, NAT, VPN, LB Services)
物理网络
19
VMware NSX负载均衡
租户A
租户B
VM1 VM2
L3
VM3
VM1 VM2
L2
L2
L2
挑战
• 应用的移动性 • 多租户 • 配置复杂度——手工部署模型
收益
• 按需的负载均衡服务 • 满足应用需要的简单部署模式——单 臂或联机 • Layer 7, SSL, …
负载均衡 –基于租户的应用可用性模型
1
为三层应用提供基本的 网络连接服务 配置简单 全部通过软件实现 无需改变物理网络配置
VXLAN
Distributed Firewall Logical Router
智能网络边界 线速性能
虚拟化层扩展模块
9
议程
10
利用VMware NSX部署网络虚拟化
1
利用现存的 网络基础架构
任意网络厂商 任意网络拓扑
IP包转发网络
计算
11
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
防火墙管理
用于SDDC的NSX防火墙
CMP
API
VMware NSX
挑战
• • • • • 集中式防火墙模型 静态配置 基于IP地址的规则 每设备40 Gbps 对封装的流量缺少可见性
收益
• • • • • 分布在虚拟化层 动态,基于API的配置 使用VM名字和基于标识的规则 线速,每主机15+ Gbps 对封装的流量完全可见
收益
跨数据中心扩展多租户 在3层基础架构上实现2层网络 基于VXLAN, STT, GRE等实现Overlay 可跨越多个物理主机和网络交换机的逻辑交换 服务
逻辑交换 –将网络的扩展性提高1000倍
14
逻辑交换服务
1.1.2.0/24
逻辑交换(L2)
软件定义的 虚拟网络
1.1.1.0/24 Ingress
Egress
L2 逻辑交换(L2)
网络虚拟化
IDS Load Balancer 通用IP硬件
物理网络
15
VMware NSX三层路由: 分布式、功能全面
NSX管理器
Tenant A Tenant B
L2 L2 L2 L2 L2 L2 L2
CMP
Tenant C
控制器集群
L2
VM to VM Routed Traffic Flow
性能与扩展性 ——1,000+主机 30Tbps防火墙
18
虚拟网络:一个通过软件定义的完整网络
Egress 1.1.2.0/24
FW L2 L3 逻辑交换(L2)
软件定义的 虚拟网络
L3
1.1.1.0/24
L2
FW
Ingress 网络虚拟化层
逻辑交换(L2)
IDS Load Balancer 通用IP硬件
16
虚拟网络:一个通过软件定义的完整网络
Egress 1.1.2.0/24
L2 L3 逻辑交换(L2)
软件定义的 虚拟网络
L3
1.1.1.0/24
L2
Ingress 网络虚拟化
逻辑交换(L2)
பைடு நூலகம்
IDS Load Balancer 通用IP硬件
物理网络
17
VMware NSX防火墙:高性能,可扩展
物理安全模型
2
部署VMware NSX NSX管理与边界服务
NSX Mgmt
NSX Edge
计算
虚拟基础架构 NSX基础架构
12
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
2
部署VMware NSX NSX管理与边界服务
3
应用程序 消费网络资源
CMP门户/自服务
+
可编程的 虚拟网络部署
二层交换
三层路由
防火墙
负载均衡
基于NSX的网络虚拟化 软件 硬件
和VM一样 管理网络
6
议程
7
VMware NSX – 网络与安全功能
逻辑交换– 运行于三层网络之上的二层网 络,与物理网络解耦
任何应用程序
(无需修改)
虚拟网络
任何云管理平台 VMware NSX 网络虚拟化平台 任何虚拟化层
逻辑路由– 在虚拟网络之间以及虚拟网络 和物理网络之间路由 逻辑防火墙 – 分布式防火墙,内核集成, 高性能
计算
虚拟基础架构 NSX基础架构
逻辑网络
13
VMware NSX逻辑交换机
Logical Switch 1
Logical Switch 2
Logical Switch 3
VMware NSX
挑战
• • • • 应用/租户之间的分段 虚拟机的移动性需要大二层网络 大的二层物理网络扩展导致生成树问题 硬件内存 (MAC, FIB)表限制 • • • •
单点配置 REST API和用户界面 高可用
NSX 管理器 管理 面板 NSX 控制器
• • •
控制 面板
运行态
• • •
将虚拟网络与物理网络解耦 独立于数据路径 高可用
NSX Edge • • • 数据 面板 NSX vSwitch • •
高可用虚拟机 服务于南北向流量的数据面板 路由和高级服务
VDS/OVS
逻辑负载均衡 – 利用软件实现的应用负 载均衡
逻辑VPN – 通过软件实现站点到站点以 及远程访问VPN服务 NSX API – 可与任何云管理平台相集成 的RESTful API 合作伙伴生态系统
任何网络硬件
8
VMware NSX组件
消费者
CMP
• •
自服务门户 vCAC, vCD, Openstack, Cloudstack, 自定义门户
挑战
• 物理基础架构的扩展性存在挑战—— 路由扩展性 • 虚拟机的移动性存在挑战 • 多租户路由的复杂度 • 流量的发夹问题
收益
• • • • • 在虚拟化层实现分布式路由 动态的,基于API的配置 完整功能——OSPF, BGP, IS-IS 基于租户的逻辑路由器 可与物理交换机协同
可扩展的路由 –简化多租户
VMware网络与安全解决方案
1
议程
2
议程
3
客户需要…….
资源池
灵活的 IPAM
零信任安全 微分段
弹性计算分区
自服务及扩展性
扩展到公有云
4
需要做出什么样的改变……
运营模式
从硬件解耦
网络的创建、删除、增长和削 减对应用程序透明
可编程,可监视
良好扩展性
?
我们能够像管理VM一样管理网络吗?
5
VMware NSX简介
20
服务部署挑战——物理服务设备
Web Web
App
App
DB
DB
App
Web
DB Web
App DB
21
服务部署挑战——虚拟服务设备
Web Web
App
App
DB
DB
App
Web
DB Web
App DB
22
NSX平台构成示例
外部 网络
NSX平台
边界服务
(HA, FW, NAT, VPN, LB Services)
物理网络
19
VMware NSX负载均衡
租户A
租户B
VM1 VM2
L3
VM3
VM1 VM2
L2
L2
L2
挑战
• 应用的移动性 • 多租户 • 配置复杂度——手工部署模型
收益
• 按需的负载均衡服务 • 满足应用需要的简单部署模式——单 臂或联机 • Layer 7, SSL, …
负载均衡 –基于租户的应用可用性模型
1
为三层应用提供基本的 网络连接服务 配置简单 全部通过软件实现 无需改变物理网络配置
VXLAN
Distributed Firewall Logical Router
智能网络边界 线速性能
虚拟化层扩展模块
9
议程
10
利用VMware NSX部署网络虚拟化
1
利用现存的 网络基础架构
任意网络厂商 任意网络拓扑
IP包转发网络
计算
11
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
防火墙管理
用于SDDC的NSX防火墙
CMP
API
VMware NSX
挑战
• • • • • 集中式防火墙模型 静态配置 基于IP地址的规则 每设备40 Gbps 对封装的流量缺少可见性
收益
• • • • • 分布在虚拟化层 动态,基于API的配置 使用VM名字和基于标识的规则 线速,每主机15+ Gbps 对封装的流量完全可见
收益
跨数据中心扩展多租户 在3层基础架构上实现2层网络 基于VXLAN, STT, GRE等实现Overlay 可跨越多个物理主机和网络交换机的逻辑交换 服务
逻辑交换 –将网络的扩展性提高1000倍
14
逻辑交换服务
1.1.2.0/24
逻辑交换(L2)
软件定义的 虚拟网络
1.1.1.0/24 Ingress
Egress
L2 逻辑交换(L2)
网络虚拟化
IDS Load Balancer 通用IP硬件
物理网络
15
VMware NSX三层路由: 分布式、功能全面
NSX管理器
Tenant A Tenant B
L2 L2 L2 L2 L2 L2 L2
CMP
Tenant C
控制器集群
L2
VM to VM Routed Traffic Flow
性能与扩展性 ——1,000+主机 30Tbps防火墙
18
虚拟网络:一个通过软件定义的完整网络
Egress 1.1.2.0/24
FW L2 L3 逻辑交换(L2)
软件定义的 虚拟网络
L3
1.1.1.0/24
L2
FW
Ingress 网络虚拟化层
逻辑交换(L2)
IDS Load Balancer 通用IP硬件
16
虚拟网络:一个通过软件定义的完整网络
Egress 1.1.2.0/24
L2 L3 逻辑交换(L2)
软件定义的 虚拟网络
L3
1.1.1.0/24
L2
Ingress 网络虚拟化
逻辑交换(L2)
பைடு நூலகம்
IDS Load Balancer 通用IP硬件
物理网络
17
VMware NSX防火墙:高性能,可扩展
物理安全模型
2
部署VMware NSX NSX管理与边界服务
NSX Mgmt
NSX Edge
计算
虚拟基础架构 NSX基础架构
12
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
2
部署VMware NSX NSX管理与边界服务
3
应用程序 消费网络资源
CMP门户/自服务
+
可编程的 虚拟网络部署
二层交换
三层路由
防火墙
负载均衡
基于NSX的网络虚拟化 软件 硬件
和VM一样 管理网络
6
议程
7
VMware NSX – 网络与安全功能
逻辑交换– 运行于三层网络之上的二层网 络,与物理网络解耦
任何应用程序
(无需修改)
虚拟网络
任何云管理平台 VMware NSX 网络虚拟化平台 任何虚拟化层
逻辑路由– 在虚拟网络之间以及虚拟网络 和物理网络之间路由 逻辑防火墙 – 分布式防火墙,内核集成, 高性能