当前位置:文档之家 › NSX网络与安全解决方案简介

NSX网络与安全解决方案简介

  • 格式:pdf
  • 大小:4.36 MB
  • 文档页数:44

下载文档原格式

  / 44

合集下载

NSX软件定义的网络与安全解决方案

NSX软件定义的网络与安全解决方案

私有云和混合云管理-vRealize Suite/vCloud Suite
一朵云
混合云
私有
可管理
公有
您的数据中心
计算虚拟化-vSphere/vSOM
自主构建
网络与安全虚拟化-NSX
软件定义的数据中心
融合架构
存储虚拟化-VSAN
超融合架构
双活数据中心/ 容灾/运维 可扩展性
9
客户数据中心的变革:对网络管理和安全意味着什么?
的服务采用云架构。包括 公有云、私有云或混合云 架构。
4
什么是软件定义的数据中心 (SDDC)?
软件 硬件
数据中心虚拟化层
计智算能、在网软硬络件和存储资源池化,独立于厂商, 最数专佳据用性中芯价心片比虚、架机品构的牌,操 绑配作定置模的和式架管:构理自简动单配置和管理 手工配置和管理
构建软件定义的数据中心
• 每分钟新出现
236 •
个新的威胁
(接近每秒钟4个)
• 对新业务部署上线支持缓慢 • 核心链路和节点带宽被大量发夹流量
消耗 • 难以实现网络及安全的L2-L7层自动

数据丢失的平均每分钟的成本 : $7900 — 比2010年上升了41% 5
10
网络已经成为通往云计算之路的壁垒
虚拟化挑战传统网络设计和运行
管理
监控
自动化
软件定义网络 虚拟化主机与存储
基础架构云
应用服务云
VMware 为客户打造面向未来的软件定义的数据中心和新型IT体系架构
任意设备 任何应用
终端用户计算和企业移动化管理-Horizon 7,Airwatch,WorkSpace ONE
传统应用
业务移动性: 应用 | 设备 | 内容

VMware NSX网络虚拟化 - 解决方案-微分段无比强大且易于添加的七个原因_Intel

VMware NSX网络虚拟化 - 解决方案-微分段无比强大且易于添加的七个原因_Intel

普遍性、精确度和动态安全必须融入数据中心的 DNA 中VMware NSX® 网络虚拟化平台可提供诸多突破性益处,微分段便是其中之一。

NSX 可创建一个独立于底层 IP 网络硬件的虚拟网络。

管理员能够以编程方式对复杂网络执行创建、调配、拍摄快照、删除和还原操作,而且这一切都能以软件方式实现。

VMware 将微分段描述为一种“将安全机制植入网络的 DNA 中”的能力。

就好比在分子或细胞级别对植物进行工程设计,使之有能力抵御病虫害。

因为 hypervisor 已在数据中心内广泛分布,所以您可以通过 VMware NSX 在任意位置创建策略来保护任意数据,让安全真正无所不在。

从某种意义上说,物理安全就像戴上手套来防范细菌。

这是外在的、有限的保护措施(如果有人对着您的脸打喷嚏,您可能还是会感冒或染上流感)。

微分段就像是强化数据中心的免疫系统:让“细菌”(即恶意软件)对它无能为力。

或者,如果有漏网之鱼,该系统会在该恶意软件开始扩散之前就将其关闭。

策略绑定到虚拟机,执行效力可向下延伸至虚拟网卡 (NIC),这种精确度是传统的硬件设备无法比拟的。

您也可以使用灵活的参数来定义安全策略,例如虚拟机名称、工作负载类型和客户操作系统类型。

微分段无比强大且易于添加的七个原因1. 无需更换您目前拥有的设施,亦不会对其造成不利影响VMware NSX 可在任意网络硬件上运行,因此您无需购买或更换任何设备。

此外,NSX 不会给您的计算机和网络基础架构或应用造成中断。

2. 降低不断攀升的硬件成本为处理数据中心内日益增多的工作负载量而部署更多物理设备的成本过于高昂。

仅从资金开销的角度衡量,VMware NSX 可以让企业组织的实际开销节省 68%1。

这一节省比例基于以下估算,即 IT 管理员要实现接近微分段的控制力需要多大的物理防火墙开销。

3. 遏制防火墙规则剧增状况数量激增的防火墙规则是安全管理领域里的一个大问题。

年复一年,管理员积攒了不少不必要的和多余的规则,而且无法使用简单的方法来找出哪些规则是不再需要的。

VMware_网络虚拟化平台NSX及其实现

VMware_网络虚拟化平台NSX及其实现

好处
• • • • • 在Hypervisor层实现分布式路由 动态的, 基于API的配置 动态路由– OSPF, BGP, IS-IS Logical Router 支持多租户 支持与物理路由器之间跑动态路由
分布式路由– 灵活实现多租户网络
15
分布式逻辑路由网络
Overview
VM
VM
• 虚拟网络之间实现三层路由互联
Physical or Virtual
逻辑交换网络 分布式交换
优化东西向流量
逻辑路由器
集成于kernal 25,000 CPS 2.5 million Sessions
FW, LB, VPN
分布式防火墙 分布式路由 虚拟网络
Edge Services
VMware NSX Software
软件 硬件
Hypervisor
运维模式
独立于硬件
Create, Delete, Grow, Shrink
应用透明 可编程监控 可扩展
向操作虚机一样管理网络…
6
介绍VMware NSX
L2 Switch
L3 Router
Firewall
Load Balancer
借助NSX实现网络虚拟化
像管理虚机一样管 理网络
软件 硬件
7
网络虚拟化 需求
任意网络硬件
自动化及运营管理
• • • •
本节偏重逻辑交换及路由功能 合作厂商可 扩展性 简单介绍4-7层服 务

NetX(VMware Network Extensibility Program )高级集成
32
NSX vSphere优化版组件
使用
CMP

VMware NSX网络虚拟化平台

VMware NSX网络虚拟化平台

产品介绍/1VMware NSX™ 是提供虚拟机网络操作模式的领先网络虚拟化平台。

与虚拟机的计算模式相似,虚拟网络以编程方式进行调配和管理,与底层硬件无关。

NSX 可以在软件中重现整个网络模型,使任何网络拓扑(从简单的网络到复杂的多层网络),都可以在数秒钟内创建和调配。

它支持一系列逻辑网络元素和服务,例如逻辑交换机、路由器、防火墙、负载平衡器、VPN 和工作负载安全性。

用户可以通过这些功能的自定义组合来创建隔离的虚拟网络。

• 网络调配时间从数天缩减至数秒• 通过自动化功能提高运营效率• 可独立于物理拓扑分配和移动工作负载• 可以部署在任何虚拟化管理程序上并通过任何云计算管理平台使用• 可通过标准 API 实现与第三方网络和安全解决方案的集成• 通过现有的物理网络或下一代拓扑实现无中断部署数据中心网络连接难题当前网络和安全解决方案极不灵活并且十分复杂,通常是由某个特定供应商提供。

这使实现软件定义数据中心的完全敏捷性成本极为昂贵。

在当前运营模型中,网络调配很慢,并且工作负载分配和移动受物理拓扑和手动调配的限制。

物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上,人为地阻碍了网络体系结构和容量利用率的优化。

手动调配和杂乱无章的管理界面降低了效率,限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。

VMware NSXVMware NSX 通过提供全新的网络运营模型,解决了这些数据中心难题。

该模型突破了当前物理网络障碍并且允许数据中心操作员将敏捷性和经济性提高若干数量级。

VMware NSX 提供了一整套简化的逻辑网络连接元素和服务,包括逻辑交换机、路由器、防火墙、负载平衡器、VPN 、服务质量、监控和安全保护。

这些服务可以在虚拟网络中通过基于 NSX API 的任何云计算管理平台进行调配,并且可以安排在任何隔离和多租户拓扑中。

虚拟网络可以通过任何现有的网络进行无中断部署,并且可以部署在任何虚拟化管理程序上。

VMWare NSX 软件定义网络解决方案介绍

VMWare NSX 软件定义网络解决方案介绍
在没有使用网络虚拟化前,资源池整体利用率只有 60%
在使用网络虚拟化后,资源池利用率大大提升到 90%
9
2、传统数据中心的网络安全挑战
单纯的边界安全防护不足够,但是“微分段”在传统架构下很难实现
Internet Internet
边界内部无任何东西向 安全防护措施
昂贵&低效
不可运维
10
透过NSX Micro-Segmentaion分布式防火墙,管理者可以非常容易地做 到同网段安全防护,避免黑客的跳板攻击
是软件定义数据中心的核心 Non-Disrupting Deployment
虚拟数据中心 “Network hypervisor” 虚拟化层 网络, 存储, 计算
全分布式网络服务至Hypervisor Kernel
Routing Load Balancing
Switching
Firewalling/ACLs
通用X86服务器资源
– –
通用网络硬件


可移动性
虚拟网络为软件容器, 像虚拟机一样支持 snapshot, 备份与恢 复
SDN到网络虚拟化Network Virtualization
Manual Configuration
Distributed Forwarding
L2
Virtual Networks
Firewalling/ACLs
Native platform capability
虚拟化环境下传统的2层交换实现
传统三层路由的实现?
A Virtual Network?
A Virtual Network?
Network and security services now distributed in the hypervisor

NSX逻辑路由概览_新一代SDN——VMware NSX 网络原理与实践_[共2页]

NSX逻辑路由概览_新一代SDN——VMware NSX 网络原理与实践_[共2页]

5.1 NSX逻辑路由详解105●基于三层QoS选择流量的优先级;●将本地消息发送至传输层。

这些功能本应都由路由器来提供,而现在我们有了NSX平台,NSX的逻辑路由功能取代了物理路由器,将处于不同逻辑二层子网中的终端连接起来。

负责逻辑路由功能的NSX 组件称为NSX逻辑路由器,它分为分布式逻辑路由器和Edge路由器。

本节将对NSX逻辑路由器功能进行详细阐述,读者也可以与之前章节讲解的NSX分布式逻辑交换机进行对比,看看它们在处理流量转发的过程中,有什么区别。

5.1.1 NSX逻辑路由概览NSX逻辑路由器可以很容易将本该属于不同独立网络中的设备、终端连接起来,而通过将越来越多的独立网络连接到一起,网络规模将变得更大(参考运营商网络)。

由于NSX 网络虚拟化平台可以在这种超大规模的网络上实现一套独立的逻辑网络,因此NSX平台非常适合应用在超大规模数据中心或运营商网络中。

在NSX Manager中可以使用简化的UI来配置逻辑路由器,这非常便于配置和维护,在这里可以使用动态路由协议对NSX逻辑路由进行发现和宣告的操作,当然也可以使用静态路由。

控制平面仍然运行在NSX Controller集群中,而数据平面交给ESXi主机的Hypervisor来处理。

换言之,在虚拟化平台内部就可以进行各种路由操作,包括路由算法、邻居发现、路径选择、收敛等,而无需离开虚拟化环境,在物理网络平台中进行处理。

有了NSX逻辑路由功能,就可以方便地在逻辑的三层网络中,为路由选择最佳路径。

此外,NSX逻辑路由还能更好地实现多租户环境,比如在虚拟网络中,不同的VNI中就算有相同的IP地址,也可以部署两个不同的分布式路由器实例,一个连接租户A,一个连接租户B,保证网络不会发生任何冲突。

NSX Manager首先配置了一个路由服务。

在配置过程中,NSX Manager部署了一个控制逻辑路由的虚拟机(DLR Control VM)。

它是NSX Controller的一个组件,支持OSPF与BGP协议,负责NSX-V控制平面中的路由工作,专门用来处理分布式路由。

NSX网络虚拟化简介


V M w are 软件定义数据中心架构:把系统所需求的功能与硬设备脱钩, 在软件内建立并执行
件 软 定义数据中心
业务系统
虚拟机
虚及拟网络 安全
数据中心虚拟化
虚拟储存
运算容量
网络容量
件 不限定采用硬 与布署位置
储存容量
V M w are N SX 将数据中心所需求的网络与安全功能直接于vSp h ere K ern el内提供
功可

于vSp h ere直接提供安全 能, 针对至 一虚拟机,提供完整的防火墙、网络与系
统防护
随需建立的网络服务虚拟机 (D C N FV )


依据业 需求,无额外成本地建立网及络服 虚拟机,提务 供路由器、防火墙、负载平
衡器、 V PN 等网络服
藉由V M w are N SX ,我们能够协助您的数据中心达成
定与扩充
In frastru ctu re 的自动化建立
负载平衡设备 的采购与设定
网络设备采购及 与组态设定
调整
安全设备的采 购与安全政策
设定
及 手动进行信息系统内网络 安全部署,延迟上线时间


自 :部署业 虚拟机
动变
各务
手 更:产出 业 机器
放置的网段 动变
手 更:路由设定、负载

及企
平衡 能、以 与 业环境
件 软
件 硬
功 网络与安全 能于vSp h ere
H yp erviso r内运作
Load Balancing
L3 Routing
L2 Switching
Firewalling
台 停留在实体网络与安全设定的硬件架构,已无法满足虚拟化与云平 内 的业务需求

部署NSX网络和安全

部署NSX网络和安全1.网络规划:首先需要对网络进行规划,确定需要部署NSX的区域和规模。

在规划过程中需要考虑网络的拓扑结构、IP地址分配方案、路由策略等。

此外,还需要评估当前的网络设备和组件是否支持NSX的部署。

2.部署NSX Manager:NSX Manager是NSX的核心组件,负责管理和配置NSX网络和安全功能。

在部署NSX Manager之前,需要确保已满足其硬件和软件要求。

部署NSX Manager可以通过虚拟机在vSphere环境中进行,也可以使用物理硬件进行部署。

3.部署NSX Controller:NSX Controller是NSX的另一个核心组件,负责提供控制平面功能。

在部署NSX Controller之前,需要确定所需的控制器数量,通常建议至少部署三个控制器以提供冗余和高可用性。

部署NSX Controller可以通过虚拟机进行,也可以使用物理硬件进行部署。

4.部署NSX Edge:NSX Edge是NSX的边缘路由器,提供网络边缘的路由和安全功能。

在部署NSX Edge之前,需要规划和设计边缘路由器的功能和配置,包括外部网络连接、NAT配置、VPN配置等。

部署NSX Edge可以通过虚拟机进行,也可以使用物理硬件进行部署。

5.创建逻辑交换机和端口组:逻辑交换机是NSX中的虚拟交换机,用于连接虚拟机和其他网络设备。

在部署NSX之前,需要创建逻辑交换机,并将物理网络中的端口组与逻辑交换机关联起来,以实现虚拟机和物理网络之间的通信。

6.配置网络和安全策略:一旦部署了NSX网络和安全组件,就可以开始配置网络和安全策略。

这包括配置防火墙规则、负载均衡、虚拟私有网络、IP地址分配和路由等。

配置过程还可以使用NSX提供的网络和安全服务,如分布式防火墙、虚拟隧道等。

7.测试和验证:在部署NSX网络和安全之后,需要进行测试和验证,确保网络和安全功能正常运行。

测试可以包括网络连通性测试、防火墙策略测试、负载均衡测试等。

VMware NSX网络虚拟化 - 业务白皮书-通过VMware NSX实现网络虚拟化和安全性

通过 VMware NSX实现网络虚拟化和安全性改变传统网络连接的现状,并释放软件定义的数据中心的全部价值。

业务案例白皮书目录内容提要 (4)软件定义的数据中心的高价值 IT 成效 (4)现状概述 (4)关键趋势:IT 越来越像云服务提供商 (4)软件定义的数据中心 (SDDC) (5)混合云计算 (5)网络虚拟化 (6)开放网络连接 (6)IT 面临的挑战:用更少的资源获得更高的速度、敏捷性和安全性 (6)高级持续性威胁 (6)硬件局限性和束缚 (7)容易出错的手动配置 (7)VMware 解决方案 (8)NSX:SDDC 的网络虚拟化与安全性 (8)开创性使用情形 (8)微分段 . (8)灾难恢复 (9)自助研发云计算 (9)云应用移动性和数据中心迁移 (9)IT 自动化和编排 (10)基础架构优化和更新 (10)业务价值 (11)功能性优势:速度、敏捷性、安全性和可靠性 (11)最大限度降低数据泄漏的风险和影响 (11)加快 IT 服务交付和上市速度 (11)简化网络流量 (11)提高服务可用性 (11)提高协商和购买能力 (11)更高效地使用网络工程师 (12)经济优势:节省大量 CAPEX 和 OPEX . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 高效微分段带来 CAPEX 节省 (12)IT 自动化降低了 OPEX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 高效利用服务器资产节省 CAPEX (14)高性价比带来 CAPEX 节省 (15)硬件生命周期延长节省 CAPEX (16)总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 变革性优势和无中断部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 开始体验 (17)参考资源 (17)内容提要软件定义的数据中心的高价值 IT 成效此 VMware 业务案例面向业务和 IT 高管、IT 运维、IT 基础架构和 IT 安全专家。

NSX网络与安全解决方案简介


动态安全
NSX解决方案采用了动态安全策略, 可以根据业务需求和安全风险,自动 调整安全策略,提高了安全管理的灵 活性和响应速度。
微分段
NSX解决方案支持微分段技术,可以 将虚拟化环境中的不同业务进行隔离, 提高了安全性。
高效性能
高效性能
NSX解决方案采用了高效的性能优化技术,可以大幅提高网络和安全设备的性能,减少了网络延迟和拥堵。
环境准备
配置物理和虚拟化环境,包括计算资 源、存储和网络设备,确保满足NSX 运行要求。
01
03
软件安装
安装VMware NSX软件,包括控制组 件、分布式组件和服务组件。
部署微分段
根据业务需求,部署虚拟化网络和安 全微分段,实现租户隔离和安全防护。
05
04
配置管理
配置NSX控制器和管理服务器,设置 网络和安全参数,定义租户网络和安 全策略。
提高了安全性。
快速创新
03
NSX允许用户快速部署新的网络和安全服务,加快了业务创新。
产品的发展历程
早期阶段
NSX的前身是VMware的vCloud Networking and Security(vCN)项目。
发布与推广
VMware于2013年正式发布了NSX,并逐步将其推 广到全球市场。
演进与扩展
分布式防火墙
01
分布式防火墙是NSX安全解决方案的重要组成部分,它为虚拟 机提供了安全防护。
02
分布式防火墙部署在每个虚拟机上,实现了对虚拟机网络流量
的安全检查和控制。
分布式防火墙支持多种安全策略和规则,可以根据实际需求进
03
行定制和配置。
微分段
微分段是一种网络安全技术,通过对虚拟机进行细粒度的隔离和访问控制, 提高了网络安全性和可靠性。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

15
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
2
部署VMware NSX NSX管理与边界服务
NSX Mgmt
NSX Edge
计算
虚拟基础架构 NSX基础架构
16
利用VMware NSX部署网络虚拟化(续)
1
利用现存的 网络基础架构
2
部署VMware NSX NSX管理与边界服务
+
Cloud Mgmt Platforms
NSX API NSX控制器 合作 伙伴 扩展
网关服务
网络安全平台
安全服务
应用交付服务
39
为什么需 议程 要网络虚 拟化
VMware NSX功能 介绍
VMware NSX部署 与管理 NSX运营
NSX合作 伙伴生态 系统 总结
软件定义网络的新角色
任意云管理平台
逻辑路由– 在虚拟网络之间以及虚拟网络 和物理网络之间路由 逻辑防火墙 – 分布式防火墙,内核集 成,高性能 逻辑负载均衡 – 利用软件实现的应用负 载均衡 逻辑VPN – 通过软件实现站点到站点以 及远程访问VPN服务 NSX API – 可与任何云管理平台相集成 的RESTful API 合作伙伴生态系统
WAN Internet
NSX组件的高可用
• NSX控制器: 集群,主机级高可用, 数据面板分离。 • NSX管理器: 存储高可用和配置备 份,不保存运行态数据。 • NSX Edge: 成对虚拟机,活动状态 同步,主机级别高可用。 • NSX vSwitch: 分布式架构,影响范 围只限于故障主机。 • 主机失败: 虚拟机会被迁移到其它 主机,NSX组件继续提供服务
广域网 互联网
ToR
ToR
ToR
ToR
ToR
Rack 1
Rack 2
Rack N
Infrastructure Racks
Edge Racks
32
为什么需 议程 要网络虚 拟化
VMware NSX功能 介绍
VMware NSX部署 与管理 NSX运营
NSX合作 伙伴生态 系统 总结
NSX高可用机制
L3
VM3
VM1 VM2
L2
L2
L2
挑战
• 应用的移动性 • 多租户 • 配置复杂度——手工部署模型
收益
• 按需的负载均衡服务 • 满足应用需要的简单部署模式——单 臂或联机 • Layer 7, SSL, …
负载均衡 –基于租户的应用可用性模型
28
服务部署挑战——物理服务设备
Web Web
App
VMware NSX API
线速双向 任意物理 与虚拟节点
线速双向 无需绕路
线速双向 内核集成
25,000 CPS 250万会话
15G bps 100K CPS 1M并发
FW, LB, VPN
分布式 交换机
分布式 分布式 路由器 虚拟网络 防火墙
边界 服务
VMware NSX 软件 (网络虚拟化)
软件 硬件
Tenant A Tenant B
L2 L2 L2 L2 L2 L2 L2 L2
CMP
Tenant C
控制器集群
VM to VM Routed Traffic Flow
挑战
• 物理基础架构的扩展性存在挑战—— 路由扩展性 • 虚拟机的移动性存在挑战 • 多租户路由的复杂度 • 流量的发夹问题
收益
• • • • • 在虚拟化层实现分布式路由 动态的,基于API的配置 完整功能——OSPF, BGP, IS-IS 基于租户的逻辑路由器 可与物理交换机协同
NSX Edge GW
Corpnet
IP 传输网络
IP C
10.36.x.x
现存的 数据中心 网络
VM VM
IP B KVM HV
虚拟网络
VM1 VM2
Tier 2
Corpnet 10.36.x.x
1
1
2
2
VM1 VM2
Tier 1 Network
192.168.100.0/24
NSX
云管理 平台
控制器集群
Northbound REST API
数据流
控制流
13
为什么需 议程 要网络虚 拟化
VMware NSX功能 介绍
VMware NSX部署 与管理 NSX运营
NSX合作 伙伴生态 系统 总结
利用VMware NSX部署网络虚拟化
1
利用现存的 网络基础架构
任意网络厂商 任意网络拓扑
IP包转发网络
计算
7
网络虚拟化Network Virtualization = SDN+
Manual Configuration
Distributed Forwarding
L2
Virtual Networks
L3
L2
SDN的属性与特点 • 控制层面与转发层面分离 • 软件创新 • 加快业务上市时间 • 服务多样可扩展
Editable Text Here
Client01 Websv-02a
Client02
Websv-01a
Appsv-01a
Db-sv01a
Appsv-02a
Web服务逻辑 交换机 Vxlan-5002
App服务逻辑 交换机 Vxlan-5003
DB服务逻辑交 换机Vxlan5001
Db-sv02a
vSphere KVM Xen Server Hyper-V
X86主机
软件 硬件
现存的网络基础架构
41
NSX: 更好的安全性
访问控制
安全扩展
灵活性
嵌入虚拟化层 基于虚拟机实现控制
基于主机的安全性
(防病毒,防泄密,脆弱性管理)
REST API 自动化 在线迁移
App
DB
DB
App
Web
DB Web
App DB
29
服务部署挑战——虚拟服务设备
Web Web
App
App
DB
DB
App
Web
DB Web
App DB
30
NSX平台构成示例
外部 网络 NSX平台
边界服务
(HA, FW, NAT, VPN, LB Services)
1
为三层应用提供基本的 网络连接服务
收益
• • • • • 分布在虚拟化层 动态,基于API的配置 使用VM名字和基于标识的规则 线速,每主机15+ Gbps 对封装的流量完全可见
性能与扩展性 ——1,000+主机 30Tbps防火墙
22
三层应用的部署方式
客户端逻辑交换机 Vxlan-5000
外部网络
单个逻辑交换机 Vxlan-5004
可扩展的路由 –简化多租户
20
虚拟网络:通过软件定义的完整网络服务
21
VMware NSX防火墙:高性能,可扩展
物理安全模型
防火墙管理
用于SDDC的NSX防火墙
CMP
API
VMware NSX
挑战
• • • • • 集中式防火墙模型 静态配置 基于IP地址的规则 每设备40 Gbps 对封装的流量缺少可见性
虚拟化带来的好处 • 灵活、效率、可移动 • 不中断部署 • 软硬件分离 • 业务部署独立于硬件
网络虚拟化融合了虚拟化与SDN的技术,适应网络架构扁平化、多路径的设计
8
VMware NSX简介
二层交换
三层路由
防火墙
负载均衡
基于NSX的网络虚拟化 软件
和VM一样管理 网络和安全
硬件
9
为什么需 议程 要网络虚 拟化
简化的部署与管理 全部通过软件实现 无需改变物理网络配置
VM
二层桥接
Bridged VLAN
逻辑路由器,防火墙
逻辑交换机
2
在虚拟化层和网络边界 提供多种网络与安全服务 分布式交换路由与安全 防火墙、VPN与负载均衡 桥接服务
Web层 逻辑交换机
应用层 逻辑交换机
数据库层 逻辑交换机
31
采用NV技术的数据中心网络架构
园区核心网
VM – VM流量必须流经物理网络 防火墙 –“拥塞点” 扩展性问题
基于IP地址的访问规则 复杂的防火墙规则表
6
ቤተ መጻሕፍቲ ባይዱ
需要做出什么样的改变……
虚拟机 运营模式
数据中心网络
从硬件解耦
逻辑网络与物理网络的运维工作(创建、 删除、增长和削减)相互独立
可编程,可监视
良好扩展性
我们能够像管理VM一样管理网络与安全吗?
3
应用程序 消费网络资源
CMP门户/自服务
+
可编程的 虚拟网络部署
NSX Mgmt NSX Edge
计算
虚拟基础架构 NSX基础架构
逻辑网络
17
VMware NSX逻辑交换机
Logical Switch 1
Logical Switch 2
Logical Switch 3
挑战
• • • • 应用/租户之间的分段 虚拟机的移动性需要大二层网络 大的二层物理网络扩展导致生成树问题 硬件内存 (MAC, FIB)表限制 • • • •
23
基于身份的访问控制
张三
IP: 192.168.10.75
活动目录
规则表
源 Engineering 目的 Ent-Sharepoint 服务 http 动作 Permit, Log