VMware NSX ist eine virtuelle Netzwerk- und Sicherheitssoftware-Produktfamilie, die aus dem geistigen Eigentum von VMwares vCloud Networking and Security (vCNS) und der Network Virtualization Platform (NVP) von Nicira entstanden ist.
NSX Software-defined Networking (SDN) ist Teil des Software-defined Data Center (SDDC)-Konzepts von VMware, das Cloud Computing auf der Grundlage von VMware-Virtualisierungstechnologien bietet. Das erklärte Ziel von VMware mit NSX ist die Bereitstellung virtueller Netzwerkumgebungen ohne Befehlszeilenschnittstelle (CLI) oder andere direkte Eingriffe des Administrators. Die Netzwerkvirtualisierung abstrahiert die Netzwerkoperationen von der zugrunde liegenden Hardware auf eine verteilte Virtualisierungsschicht, ähnlich wie die Servervirtualisierung für die Rechenleistung und die Betriebssysteme (OS). VMware vCNS virtualisiert die Schichten 4-7 (L4-L7) des Netzwerks. NVP von Nicira virtualisiert die Netzwerkstruktur, Layer 2 (L2) und Layer 3 (L3).
NSX stellt logische Firewalls, Switches, Router, Ports und andere Netzwerkelemente zur Verfügung, um virtuelle Netzwerke zwischen herstellerunabhängigen Hypervisoren, Cloud-Management-Systemen und zugehöriger Netzwerkhardware zu ermöglichen. Es unterstützt auch externe Netzwerk- und Sicherheits-Ökosystemdienste.
Wichtige Funktionen von NSX
- Switching: Logische NSX-Switches verwenden eindeutige Virtual Extensible LAN (VXLAN)-Netzwerkkennungen, um eine logische Overlay-Erweiterung für das L2-Netzwerk zu erstellen, mit dem Anwendungen und virtuelle Maschinen (VMs) logisch verkabelt werden können. Diese logischen Broadcast-Domänen ermöglichen eine größere Flexibilität und eine schnellere Bereitstellung und bieten gleichzeitig die Eigenschaften eines virtuellen LAN (VLAN) ohne das Risiko der Ausbreitung.
- Routing: NSX führt Routing sowohl mit logischen verteilten Routern durch, die Routen zwischen virtuellen Netzwerken im Hypervisor-Kernel erstellen, als auch mit physischen Routern für Scale-Out-Routing mit aktiv-aktivem Failover.
- Verteiltes Firewalling: Die verteilte NSX-Firewall ist eine in den Hypervisor-Kernel eingebettete Firewall, die sich über den ESXi-Host ausbreitet. Ein Netzwerkadministrator kann benutzerdefinierte Firewall-Richtlinien erstellen, die auf der Ebene der virtuellen Netzwerkkarte (vNIC) durchgesetzt werden, um Stateful-Firewall-Services für VMs zu erzwingen und die Sichtbarkeit und Kontrolle für virtualisierte Netzwerke und Workloads zu erhöhen.
- Lastausgleich: NSX bietet einen L4-L7 Load Balancer, der den Netzwerkverkehr abfängt, übersetzt und manipuliert, um die Verfügbarkeit und Skalierbarkeit von Unternehmensanwendungen zu verbessern. Der NSX Load Balancer unterstützt Secure Sockets Layer (SSL) Offload für Pass-Through und Server Health Checks. Der L4-Load Balancer bietet einen paketbasierten Lastausgleich, der das Paket nach der Bearbeitung an einen bestimmten Server sendet; der L7-Load Balancer bietet einen sockelbasierten Lastausgleich, der Client- und Server-Verbindungen für eine einzige Anfrage herstellt.
- Virtuelles privates Netzwerk (VPN): NSX umfasst Site-to-Site- und Remote-Access-VPN-Funktionen sowie unverwaltetes VPN für Cloud-Gateway-Dienste.
- NSX Edge-Gateway: Das NSX Edge-Gateway ist eine VM, die sich wie eine Appliance verhält, um L3-Routing, Firewalling, Site-to-Site Virtual Private Networking, Load Balancing und mehr durchzuführen. Diese Funktion bietet auch Unterstützung für VXLAN-zu-VLAN-Bridging für eine nahtlose Verbindung zu physischen Workloads.
- Application Programming Interface (API): NSX verwendet eine REST-basierte API (Representational State Transfer), um die Integration von Produkten und Diensten von Drittanbietern zu vereinfachen und NSX für zusätzliche Automatisierungsfunktionen in das Cloud-Management zu integrieren.
- Operations: Zu den nativen Betriebsfunktionen gehören eine zentrale CLI, Switch Port Analyzer (SPAN), IP Flow Information Export (IPFIX), Application Rule Manager (ARM), Endpoint Monitoring und die Integration mit VMware vRealize Suite für proaktive Überwachung, Analyse und Fehlerbehebung.
- Dynamische Sicherheitsrichtlinien: Mit NSX Service Composer kann der Netzwerkadministrator Netzwerk- und Sicherheitsdienste für Anwendungen bereitstellen und zuweisen. Der Administrator kann mit Service Composer auch dynamische Sicherheitsgruppen mit benutzerdefinierten Filtern wie VMware vCenter-Objekte und -Tags, Betriebssystemtyp und Active Directory (AD)-Rollen erstellen.
- Cloud-Management: NSX lässt sich nativ mit vRealize Automation und OpenStack für das Cloud-Management integrieren.
- Cross-vCenter Networking and Security (Cross-VC NSX): Diese Funktion skaliert NSX vSphere über vCenter- und Rechenzentrumsgrenzen hinweg. Dies ermöglicht dem Netzwerkadministrator, Kapazitätspooling über vCenter hinweg anzugehen, die Migration von Rechenzentren zu vereinfachen, vMotions über große Entfernungen hinweg durchzuführen und Disaster Recovery (DR) durchzuführen.
- Log Management: NSX ist mit vRealize Log Insight integriert, das Protokolleinträge von ESXi-Hosts empfängt, Content Packs verwendet, um die Informationen zu verarbeiten, die jeder Protokolleintrag enthält, und Probleme innerhalb der NSX-Bereitstellung identifiziert.
NSX-Anwendungsfälle
Nach Angaben von VMware sind die drei wichtigsten Anwendungsfälle, die die Einführung von NSX vorantreiben, Mikrosegmentierung, IT-Automatisierung und DR. Diese Anwendungsfälle zielen darauf ab, Probleme zu lösen, die häufig mit der Netzwerkvirtualisierung in Verbindung gebracht werden, wie z.B. schlechte Datenverkehrsleistung und unzureichende Sicherheit.
Der erste dieser Anwendungsfälle, die Mikrosegmentierung, befasst sich mit der Netzwerksicherheit. Die Mikrosegmentierung greift die gängige Netzwerkpraxis der Segmentierung auf und wendet sie auf einer granularen Ebene an. Dadurch kann der Netzwerkadministrator einen vertrauensfreien Sicherheitsbereich um eine bestimmte Gruppe von Ressourcen – in der Regel Workloads oder Netzwerksegmente – einrichten und dem Rechenzentrum eine Ost-West-Firewall-Funktionalität hinzufügen. NSX ermöglicht es dem Administrator außerdem, zusätzliche Sicherheitsrichtlinien für bestimmte Workloads zu erstellen, unabhängig davon, wo sie sich in der Netzwerktopologie befinden.
NSX nutzt die Automatisierung des Rechenzentrums für eine schnelle und flexible Netzwerkbereitstellung. Der Netzwerkadministrator kann schnell ein neues Netzwerk oder Netzwerksegment mit bereits zugeordneten Workloads, Ressourcen und Sicherheitsrichtlinien bereitstellen. Dies verhindert Engpässe und macht NSX ideal für Anwendungstests und die Arbeit mit unregelmäßigen Workloads, die NSX logisch isoliert im selben physischen Netzwerk halten kann.
Automatisierung ist auch für DR unerlässlich. NSX lässt sich mit Orchestrierungs-Tools wie vSphere Site Recovery Manager (SRM) integrieren, das Failover und DR automatisiert. In Verbindung mit NSX kann SRM für die Speicherreplikation und zum Verwalten und Testen von Wiederherstellungsplänen verwendet werden. SRM lässt sich auch in Cross-VC NSX integrieren. Das in NSX 6.2 eingeführte Cross-VC NSX ermöglicht logische Netzwerke und Sicherheit über mehrere vCenters hinweg, was die Durchsetzung konsistenter Sicherheitsrichtlinien erleichtert, ohne dass manuelle Eingriffe erforderlich sind. In Verbindung mit Cross-VC NSX bildet SRM automatisch universelle Netzwerke über geschützte und Wiederherstellungsstandorte hinweg ab.
NSX-Lizenzierung und -Versionen
Im Mai 2016 aktualisierte VMware sein NSX-Lizenzierungsschema und führte zwei neue Lizenzen – Standard und Advanced – ein, die die vollständige Enterprise-Produktlizenz ergänzen.
Die NSX-Standard-Lizenz ist laut VMware für Unternehmen gedacht, die Netzwerkagilität und -automatisierung benötigen und umfasst Funktionen wie verteiltes Switching, verteiltes Routing und die Integration mit der vRealize Suite und OpenStack. Die Mid-Range-Lizenz, NSX Advanced, bietet dieselben Funktionen wie die Standard-Lizenz sowie Mikrosegmentierung für ein sichereres Rechenzentrum und Funktionen wie NSX Edge Load Balancing und Distributed Firewalling. Die höchste Lizenzstufe, NSX Enterprise, umfasst dieselben Funktionen wie die Advanced-Lizenz sowie Netzwerk- und Sicherheitsfunktionen über mehrere Domänen hinweg durch Funktionen wie Cross-VC NSX.
VMware hat das NSX-Lizenzierungsschema im Mai 2017 erneut aktualisiert – dieses Mal mit der Einführung einer Edition von NSX für Remote- und Zweigstellen (ROBO).
Zusätzlich zu diesen NSX-Lizenzen haben VMware-Kunden die Möglichkeit, NSX-T und NSX Cloud zu erwerben. NSX-T wurde im Februar 2017 veröffentlicht und bietet Netzwerk- und Sicherheitsmanagement für Nicht-VSphere-Anwendungsframeworks, mehrere KVM-Distributionen (Kernel-based Virtual Machine) und OpenStack-Umgebungen. NSX-T unterstützt auch Photon Platform, VMwares Cloud-native Infrastruktur-Software für Container. NSX Cloud nutzt die NSX-T-Komponenten und integriert sie in die öffentliche Cloud. NSX-Cloud-Kunden haben Zugriff auf ein mandantenfähiges Dashboard, das in VMware Cloud Services integriert ist, und können Anwendungen mit denselben Netzwerk- und Sicherheitsprofilen entwickeln und testen, die auch in der Produktionsumgebung verwendet werden.
Zertifizierung und Schulung
VMware bietet fünf Zertifizierungen für NSX auf unterschiedlichen Ebenen an. Die NSX-Einstiegszertifizierung von VMware, VMware Certified Professional 6 – Network Virtualization (VCP6-NV), weist die Fähigkeit des Kandidaten nach, virtuelle NSX-Netzwerkimplementierungen zu installieren, zu konfigurieren und zu verwalten.
VMwares NSX-Zertifizierung auf mittlerer Ebene, VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV), weist die Fähigkeit des Kandidaten nach, eine NSX-basierte Netzwerkinfrastruktur im Rechenzentrum zu implementieren.
Zurzeit gibt es nur eine Option für die VCAP6-NV-Zertifizierung – VCAP6-NV Deploy -, aber VMware plant, auch einen Design-Track hinzuzufügen. Jeder Kandidat, der die VCAP6-NV Design-Zertifizierung erlangt, ist zur VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV) Zertifizierung berechtigt. Sobald VMware die VCAP6-NV Design-Zertifizierung herausgibt, erhalten Kandidaten, die sowohl die VCAP6-NV Deploy- als auch die Design-Zertifizierung erlangen, automatisch den VCIX6-NV-Status.
Die höchste Stufe der NSX-Zertifizierung, VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV), belegt die Vertrautheit des Kandidaten mit vSphere und NSX sowie die Fähigkeit, eine NSX-basierte Netzwerkinfrastruktur für Rechenzentren zu entwerfen.