VMware NSX er en virtuel netværks- og sikkerhedssoftwareproduktfamilie, der er skabt ud fra VMwares vCloud Networking and Security (vCNS) og Niciras Network Virtualization Platform (NVP) intellektuelle ejendom.
NSX softwaredefinerede netværk (SDN) er en del af VMwares softwaredefinerede datacenterkoncept (SDDC), som tilbyder cloud computing på VMware-virtualiseringsteknologier. VMwares erklærede mål med NSX er at tilvejebringe virtuelle netværksmiljøer uden en kommandolinjeinterface (CLI) eller anden direkte administratorindgriben. Netværksvirtualisering abstraherer netværksoperationer fra den underliggende hardware til et distribueret virtualiseringslag, på samme måde som servervirtualisering gør for processorkraft og operativsystemer (OS). VMware vCNS virtualiserer lag 4-7 (L4-L7) af netværket. Niciras NVP virtualiserer netværksstrukturen, lag 2 (L2) og lag 3 (L3).
NSX eksponerer logiske firewalls, switche, routere, porte og andre netværkselementer for at muliggøre virtuelt netværk mellem leverandør-agnostiske hypervisorer, cloud management-systemer og tilhørende netværkshardware. Den understøtter også eksterne netværks- og sikkerhedsøkosystemtjenester.
Vigtige funktioner i NSX
- Switching: Logiske NSX-switche bruger unikke VXLAN-netværksidentifikatorer (Virtual Extensible LAN) til at skabe en logisk overlay-udvidelse for L2-netværket, som programmer og virtuelle maskiner (VM’er) fra lejeren derefter kan kobles logisk til. Disse logiske broadcast-domæner giver større fleksibilitet og hurtigere implementering, samtidig med at de giver de samme egenskaber som et virtuelt LAN (VLAN) uden risiko for spredning.
- Routing: NSX udfører routing med både logiske distribuerede routere, som opretter ruter mellem virtuelle netværk i hypervisor-kernen, og fysiske routere til scale-out-routing med aktiv-aktiv failover.
- Distribueret firewalling: NSX distribueret firewall er en hypervisorkernel-embedded firewall, der spredes ud over ESXi-værten. En netværksadministrator kan oprette brugerdefinerede firewallpolitikker, som håndhæves på vNIC-niveau (virtual network interface card), for at håndhæve stateful firewalltjenester for VM’er og øge synligheden og kontrollen for virtualiserede netværk og arbejdsbelastninger.
- Belastningsudligning: NSX tilbyder en L4-L7 load balancer, der opfanger, oversætter og manipulerer netværkstrafikken for at forbedre tilgængeligheden og skalerbarheden af virksomhedsapplikationer. NSX load balancer omfatter understøttelse af SSL-offload (Secure Sockets Layer) til pass-through og servertilstandskontrol. L4 load balancer tilbyder pakkebaseret load balancing, som sender pakken til en bestemt server, efter at den er blevet manipuleret; L7 load balancer tilbyder socket-baseret load balancing, som etablerer klient- og servervendte forbindelser for en enkelt anmodning.
- Virtuelt privat netværk (VPN): NSX omfatter VPN-funktioner til sted-til-sted- og fjernadgang samt uadministreret VPN til cloud gateway-tjenester.
- NSX Edge-gateway: NSX Edge-gatewayen er en VM, der opfører sig som et apparat til at udføre L3-routing, firewalling, virtuelt privat netværk fra sted til sted, belastningsudligning m.m. Denne funktion tilbyder også understøttelse af VXLAN til VLAN bridging for problemfri forbindelse til fysiske arbejdsbelastninger.
- API (Application programming interface): NSX bruger en REST-baseret API (Representational State Transfer) for at forenkle integrationen af tredjepartsprodukter og -tjenester og for at integrere NSX med cloud management med henblik på yderligere automatiseringsfunktioner.
- Drift: Native driftsfunktioner omfatter central CLI, Switch Port Analyzer (SPAN), IP Flow Information Export (IPFIX), Application Rule Manager (ARM), Endpoint Monitoring og integration med VMware vRealize Suite til proaktiv overvågning, analyse og fejlfinding.
- Dynamisk sikkerhedspolitik: NSX Service Composer giver netværksadministratoren mulighed for at stille netværks- og sikkerhedstjenester til rådighed og tildele dem til applikationer. Administratoren kan også bruge Service Composer til at oprette dynamiske sikkerhedsgrupper med brugerdefinerede filtre, f.eks. VMware vCenter-objekter og -tags, OS-type og Active Directory (AD)-roller.
- Cloud management: NSX integrerer nativt med vRealize Automation og OpenStack til cloud-administration.
- Cross-vCenter Networking and Security (Cross-VC NSX): NSX kan integreres med vRealize Automation og OpenStack til cloud-administration: Denne funktion skalerer NSX vSphere på tværs af vCenter- og datacentergrænser. Dette gør det muligt for netværksadministratoren at håndtere kapacitetspooling på tværs af vCenters, forenkle migrering af datacentre, udføre vMotions over store afstande og udføre katastrofe-genoprettelse (DR).
- Logstyring: NSX integreres med vRealize Log Insight, som modtager logposter fra ESXi-værter, bruger indholdspakker til at behandle de oplysninger, som hver logpost indeholder, og identificerer problemer i NSX-implementeringen.
NSX-anvendelsestilfælde
I henhold til VMware er de tre vigtigste anvendelsestilfælde, der driver NSX-anvendelse, mikrosegmentering, it-automatisering og DR. Disse use cases har til formål at løse problemer, der almindeligvis er forbundet med netværksvirtualisering, f.eks. dårlig trafikydelse og utilstrækkelig sikkerhed.
Den første af disse use cases, mikrosegmentering, omhandler netværkssikkerhed. Mikrosegmentering tager udgangspunkt i den almindelige netværkspraksis med segmentering og anvender den på et granulært niveau. Dette gør det muligt for netværksadministratoren at etablere en nul-troværdig sikkerhedsperimeter omkring et bestemt sæt ressourcer – typisk arbejdsbelastninger eller netværkssegmenter – og tilføje øst-vest-firewallfunktionalitet til datacentret. NSX giver også administratoren mulighed for at oprette yderligere sikkerhedspolitikker for specifikke arbejdsbelastninger, uanset hvor de befinder sig i netværkstopologien.
NSX anvender automatisering af datacenteret til hurtig og fleksibel netværkstilførsel. Netværksadministratoren kan hurtigt tilvejebringe et nyt netværk eller netværkssegment med arbejdsbelastninger, ressourcer og sikkerhedspolitikker, der allerede er knyttet til det. Dette eliminerer flaskehalse og gør NSX ideel til test af applikationer og arbejde med uregelmæssige arbejdsbelastninger, som NSX kan holde logisk isoleret på det samme fysiske netværk.
Automatisering er også afgørende for DR. NSX integreres med orkestreringsværktøjer som f.eks. vSphere Site Recovery Manager (SRM), som automatiserer failover og DR. Når SRM er parret med NSX, kan SRM bruges til lagerreplikation og til at administrere og teste genoprettelsesplaner. SRM kan også integreres med Cross-VC NSX. Cross-VC NSX, der blev introduceret i NSX 6.2, muliggør logisk netværk og sikkerhed på tværs af flere vCenters, hvilket gør det lettere at håndhæve konsistente sikkerhedspolitikker uden behov for manuel indgriben. Når SRM bruges sammen med Cross-VC NSX, kortlægger SRM automatisk universelle netværk på tværs af beskyttede og genoprettelsessteder.
NSX-licensering og versioner
I maj 2016 opdaterede VMware sin NSX-licensordning og indførte to nye licenser – Standard og Advanced – som supplement til den fulde Enterprise-produktlicens.
I henhold til VMware er NSX Standard-licensen beregnet til organisationer, der har brug for fleksibilitet og automatisering af netværket, og den omfatter funktioner som distribueret switching, distribueret routing og integration med vRealize Suite og OpenStack. Mid-range-licensen, NSX Advanced, tilbyder de samme funktioner som Standard-licensen samt mikrosegmentering til et mere sikkert datacenter og funktioner som NSX Edge load balancing og distribueret firewalling. Den højeste licens, NSX Enterprise, omfatter de samme funktioner som Advanced-licensen samt netværk og sikkerhed på tværs af flere domæner via funktioner som Cross-VC NSX.
VMware opdaterede NSX-licensordningen endnu en gang i maj 2017 – denne gang med introduktion af en udgave af NSX for Remote and Branch Offices (ROBO).
Ud over disse NSX-licenser har VMwares kunder mulighed for at købe NSX-T og NSX Cloud. NSX-T, der blev lanceret i februar 2017, tilbyder netværks- og sikkerhedsstyring til ikke-vSphere-applikationsrammer, flere KVM-distributioner (Kernel-based Virtual Machine) og OpenStack-miljøer. NSX-T understøtter også Photon Platform, VMwares cloud-native infrastruktursoftware til containere. NSX Cloud tager NSX-T-komponenterne og integrerer dem med den offentlige sky. NSX Cloud-kunder har adgang til et dashboard med flere lejemål, som er integreret med VMware Cloud Services, og kan udvikle og teste applikationer med de samme netværks- og sikkerhedsprofiler, som anvendes i produktionsmiljøet.
Certificering og uddannelse
VMware tilbyder fem certificeringer for NSX på forskellige niveauer. VMwares NSX-certificering på begynderniveau, VMware Certified Professional 6 – Network Virtualization (VCP6-NV), demonstrerer kandidatens evne til at installere, konfigurere og administrere virtuelle NSX-netværksimplementeringer.
VMwares NSX-certificering på mellemniveau, VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV), demonstrerer kandidatens evne til at implementere en NSX-baseret datacenternetværksinfrastruktur.
På nuværende tidspunkt er der kun én mulighed for VCAP6-NV-certificering – VCAP6-NV Deploy – men VMware har planer om også at tilføje et designspor. Enhver kandidat, der opnår VCAP6-NV Design-certificering, er berettiget til VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV) certificering. Når VMware frigiver VCAP6-NV Design-certificeringen, vil kandidater, der opnår både VCAP6-NV Deploy- og Design-certificeringerne, automatisk opnå VCIX6-NV-status.
Det højeste niveau af NSX-certificeringen, VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV), demonstrerer kandidatens kendskab til vSphere og NSX og evnen til at designe en NSX-baseret netværksinfrastruktur i datacentret.