VMware NSX je rodina virtuálních síťových a bezpečnostních softwarových produktů vytvořená na základě duševního vlastnictví VMware vCloud Networking and Security (vCNS) a Network Virtualization Platform (NVP) společnosti Nicira.
Softwarově definovaná síť (SDN) NSX je součástí konceptu softwarově definovaného datového centra (SDDC) společnosti VMware, které nabízí cloud computing na virtualizačních technologiích VMware. Deklarovaným cílem společnosti VMware v případě NSX je poskytovat virtuální síťová prostředí bez rozhraní příkazového řádku (CLI) nebo jiného přímého zásahu správce. Síťová virtualizace abstrahuje síťové operace od základního hardwaru na distribuovanou virtualizační vrstvu, podobně jako to dělá virtualizace serverů v případě výpočetního výkonu a operačních systémů (OS). VMware vCNS virtualizuje 4.-7. vrstvu (L4-L7) sítě. NVP společnosti Nicira virtualizuje síťovou strukturu, vrstvu 2 (L2) a vrstvu 3 (L3).
NSX vystavuje logické firewally, přepínače, směrovače, porty a další síťové prvky, aby umožnil virtuální síťování mezi hypervizory, systémy pro správu cloudu a souvisejícím síťovým hardwarem, které jsou nezávislé na dodavateli. Podporuje také externí síťové a bezpečnostní ekosystémové služby.
Důležité funkce NSX
- Přepínání: Logické přepínače NSX používají jedinečné síťové identifikátory VXLAN (Virtual Extensible LAN) k vytvoření logického překryvného rozšíření sítě L2, ke kterému pak lze logicky připojit aplikace a virtuální počítače nájemců. Tyto logické vysílací domény umožňují větší flexibilitu a rychlejší nasazení a zároveň poskytují vlastnosti virtuální sítě LAN (VLAN) bez rizika rozrůstání.
- Směrování:
- Distribuovaný firewalling: NSX provádí směrování jak pomocí logických distribuovaných směrovačů, které vytvářejí trasy mezi virtuálními sítěmi v jádře hypervizoru, tak pomocí fyzických směrovačů pro škálovatelné směrování s aktivním převzetím služeb při selhání: Distribuovaný firewall NSX je firewall zabudovaný v jádře hypervizoru, který se rozprostírá po hostiteli ESXi. Správce sítě může vytvářet vlastní zásady brány firewall, které jsou vynucovány na úrovni virtuální karty síťového rozhraní (vNIC), a vynucovat tak stavové služby brány firewall pro virtuální počítače a zvyšovat viditelnost a kontrolu virtualizovaných sítí a pracovních úloh.
- Vyrovnávání zátěže: NSX nabízí vyvažovač zátěže L4-L7, který zachycuje, překládá a manipuluje se síťovým provozem s cílem zlepšit dostupnost a škálovatelnost podnikových aplikací. Vyrovnávač zátěže NSX zahrnuje podporu přetížení SSL (Secure Sockets Layer) pro průchodnost a kontrolu stavu serverů. Vyvažovač zátěže L4 nabízí vyvažování zátěže založené na paketech, které po manipulaci s paketem odešle paket na konkrétní server; vyvažovač zátěže L7 nabízí vyvažování zátěže založené na zásuvkách, které pro jeden požadavek vytvoří spojení směrem ke klientovi a serveru.
- Virtuální privátní síť (VPN):
- Brána NSX Edge: Brána NSX Edge zahrnuje funkce VPN pro přístup z místa na místo a vzdálený přístup a neřízené VPN pro služby cloudové brány: Brána NSX Edge je virtuální počítač, který se chová jako zařízení a provádí směrování L3, bránu firewall, virtuální privátní síť site-to-site, vyrovnávání zátěže a další funkce. Tato funkce také nabízí podporu přemostění VXLAN na VLAN pro bezproblémové připojení k fyzickým pracovním úlohám.
- Rozhraní pro programování aplikací (API): NSX používá rozhraní API založené na přenosu reprezentativního stavu (REST) pro zjednodušení integrace produktů a služeb třetích stran a pro integraci NSX se správou cloudu pro další možnosti automatizace.
- Provoz:
- Dynamická bezpečnostní politika: Nativní provozní funkce zahrnují centrální CLI, Switch Port Analyzer (SPAN), IP Flow Information Export (IPFIX), Application Rule Manager (ARM), Endpoint Monitoring a integraci s VMware vRealize Suite pro proaktivní monitorování, analýzu a řešení problémů: NSX Service Composer umožňuje správci sítě poskytovat a přiřazovat síťové a bezpečnostní služby aplikacím. Správce může také pomocí nástroje Service Composer vytvářet dynamické skupiny zabezpečení s vlastními filtry, jako jsou objekty a značky VMware vCenter, typ operačního systému a role Active Directory (AD).
- Správa cloudu:
- Cross-vCenter Networking and Security (Cross-VC NSX): NSX se nativně integruje s vRealize Automation a OpenStack pro správu cloudu: Tato schopnost škáluje NSX vSphere přes hranice vCenter a datových center. To umožňuje správci sítě řešit sdílení kapacity napříč vCentry, zjednodušit migraci datových center, provádět vMotions na velké vzdálenosti a provádět zotavení po havárii (DR).
- Správa protokolů:
Případy použití NSX
Podle společnosti VMware jsou tři hlavní případy použití, které vedou k přijetí NSX, mikrosegmentace, automatizace IT a DR. Cílem těchto případů užití je vyřešit problémy běžně spojené s virtualizací sítě, jako je nízký výkon provozu a nedostatečné zabezpečení.
První z těchto případů užití, mikrosegmentace, řeší zabezpečení sítě. Mikrosegmentace přebírá běžnou síťovou praxi segmentace a aplikuje ji na granulární úrovni. To umožňuje správci sítě vytvořit bezpečnostní perimetr s nulovou důvěrou kolem určité sady prostředků – typicky pracovních zátěží nebo síťových segmentů – a přidat do datového centra funkce brány firewall východ-západ. NSX také umožňuje správci vytvářet další zásady zabezpečení pro konkrétní pracovní zátěže bez ohledu na to, kde se v topologii sítě nacházejí.
NSX využívá automatizaci datového centra pro rychlé a flexibilní zajištění sítě. Správce sítě může rychle zajistit novou síť nebo segment sítě s již připojenými pracovními úlohami, prostředky a zásadami zabezpečení. Tím se eliminují úzká místa a NSX je ideální pro testování aplikací a práci s nestálými pracovními zátěžemi, které NSX dokáže udržet logicky izolované ve stejné fyzické síti.
Automatizace je také nezbytná pro DR. NSX se integruje s orchestračními nástroji, jako je například vSphere Site Recovery Manager (SRM), který automatizuje převzetí služeb při selhání a DR. Ve spojení s NSX lze SRM použít k replikaci úložiště a ke správě a testování plánů obnovy. SRM se také integruje s Cross-VC NSX. Funkce Cross-VC NSX, představená ve verzi NSX 6.2, umožňuje logické propojení a zabezpečení napříč více vCentry, což usnadňuje prosazování konzistentních zásad zabezpečení bez nutnosti manuálních zásahů. Při použití ve spojení s Cross-VC NSX SRM automaticky mapuje univerzální sítě napříč chráněnými lokalitami a lokalitami obnovy.
Licencování a verze NSX
V květnu 2016 společnost VMware aktualizovala své licenční schéma NSX a zavedla dvě nové licence – Standard a Advanced – které doplňují plnou licenci produktu Enterprise.
Podle společnosti VMware je licence NSX Standard určena pro organizace, které vyžadují agilitu a automatizaci sítě, a zahrnuje funkce, jako je distribuované přepínání, distribuované směrování a integrace se sadou vRealize Suite a OpenStack. Licence střední třídy, NSX Advanced, nabízí stejné možnosti jako licence Standard, ale také mikrosegmentaci pro bezpečnější datové centrum a funkce, jako je vyrovnávání zátěže NSX Edge a distribuovaný firewall. Licence nejvyšší úrovně, NSX Enterprise, zahrnuje stejné možnosti jako licence Advanced a také síťové funkce a zabezpečení napříč více doménami prostřednictvím funkcí, jako je Cross-VC NSX.
V květnu 2017 společnost VMware opět aktualizovala licenční schéma NSX – tentokrát představila edici NSX pro vzdálené a pobočkové kanceláře (ROBO).
Kromě těchto licencí NSX mají zákazníci VMware možnost zakoupit NSX-T a NSX Cloud. Řešení NSX-T, které bylo vydáno v únoru 2017, nabízí správu sítí a zabezpečení pro aplikační rámce jiné než VMware, více distribucí virtuálních strojů založených na jádře (KVM) a prostředí OpenStack. NSX-T také podporuje platformu Photon, cloudově nativní infrastrukturní software VMware pro kontejnery. NSX Cloud přebírá komponenty NSX-T a integruje je s veřejným cloudem. Zákazníci služby NSX Cloud mají přístup k panelu pro více nájemců, který je integrován se službami VMware Cloud Services, a mohou vyvíjet a testovat aplikace se stejnými síťovými a bezpečnostními profily, jaké se používají v produkčním prostředí.
Certifikace a školení
VMware nabízí pět certifikací pro NSX na různých úrovních. Základní certifikace VMware NSX, VMware Certified Professional 6 – Network Virtualization (VCP6-NV), prokazuje schopnost kandidáta instalovat, konfigurovat a spravovat implementace virtuálních sítí NSX.
Certifikace VMware NSX střední úrovně, VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV), prokazuje schopnost kandidáta nasadit síťovou infrastrukturu datového centra založenou na NSX.
V současné době existuje pouze jedna možnost certifikace VCAP6-NV – VCAP6-NV Deploy – ale společnost VMware plánuje přidat také cestu Design. Každý kandidát, který získá certifikaci VCAP6-NV Design, může získat certifikaci VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV). Jakmile společnost VMware vydá certifikaci VCAP6-NV Design, kandidáti, kteří získají certifikaci VCAP6-NV Deploy i Design, automaticky získají status VCIX6-NV.
Nejvyšší úroveň certifikace NSX, VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV), prokazuje znalost prostředí vSphere a NSX a schopnost navrhnout síťovou infrastrukturu datového centra založenou na NSX.