VMware NSX es una familia de productos de software de seguridad y redes virtuales creada a partir de la propiedad intelectual de vCloud Networking and Security (vCNS) de VMware y Network Virtualization Platform (NVP) de Nicira.
La red definida por software (SDN) de NSX forma parte del concepto de centro de datos definido por software (SDDC) de VMware, que ofrece computación en la nube sobre tecnologías de virtualización de VMware. El objetivo declarado de VMware con NSX es aprovisionar entornos de red virtuales sin una interfaz de línea de comandos (CLI) u otra intervención directa del administrador. La virtualización de redes abstrae las operaciones de red del hardware subyacente en una capa de virtualización distribuida, de forma muy parecida a lo que la virtualización de servidores hace con la potencia de procesamiento y los sistemas operativos (SO). VMware vCNS virtualiza la capa 4-7 (L4-L7) de la red. NVP de Nicira virtualiza el tejido de la red, la capa 2 (L2) y la capa 3 (L3).
NSX expone cortafuegos lógicos, conmutadores, enrutadores, puertos y otros elementos de red para permitir la creación de redes virtuales entre hipervisores agnósticos del proveedor, sistemas de gestión de la nube y hardware de red asociado. También admite servicios de ecosistema de seguridad y redes externas.
Características importantes de NSX
- Conmutación: los conmutadores lógicos de NSX utilizan identificadores de red Virtual Extensible LAN (VXLAN) únicos para crear una extensión de superposición lógica para la red L2, a la que las aplicaciones y las máquinas virtuales (VM) del inquilino pueden conectarse lógicamente. Estos dominios lógicos de difusión permiten una mayor flexibilidad y un despliegue más rápido, a la vez que proporcionan las características de una LAN virtual (VLAN) sin el riesgo de expansión.
- Enrutamiento: NSX realiza el enrutamiento tanto con enrutadores lógicos distribuidos, que crean rutas entre redes virtuales en el núcleo del hipervisor, como con enrutadores físicos para el enrutamiento a escala con conmutación por error activa-activa.
- Cortafuegos distribuido: El cortafuegos distribuido de NSX es un cortafuegos integrado en el núcleo del hipervisor que se extiende por el host ESXi. Un administrador de red puede crear políticas de firewall personalizadas, que se aplican en el nivel de la tarjeta de interfaz de red virtual (vNIC), para aplicar servicios de firewall con estado para las máquinas virtuales y aumentar la visibilidad y el control de las redes y cargas de trabajo virtualizadas.
- Equilibrio de carga: NSX ofrece un equilibrador de carga L4-L7 que intercepta, traduce y manipula el tráfico de red para mejorar la disponibilidad y la escalabilidad de las aplicaciones empresariales. El equilibrador de carga de NSX incluye soporte para la descarga de Secure Sockets Layer (SSL) para el traspaso y las comprobaciones de estado del servidor. El equilibrador de carga L4 ofrece un equilibrio de carga basado en paquetes, que envía el paquete a un servidor específico después de manipularlo; el equilibrador de carga L7 ofrece un equilibrio de carga basado en sockets, que establece conexiones orientadas al cliente y al servidor para una única solicitud.
- Red privada virtual (VPN): NSX incluye capacidades de VPN de sitio a sitio y de acceso remoto, así como VPN no gestionada para servicios de puerta de enlace en la nube.
- Puerta de enlace NSX Edge: La puerta de enlace NSX Edge es una VM que se comporta como un dispositivo para realizar enrutamiento L3, cortafuegos, redes privadas virtuales de sitio a sitio, equilibrio de carga y más. Esta función también ofrece soporte para el puente de VXLAN a VLAN para una conexión perfecta con las cargas de trabajo físicas.
- Interfaz de programación de aplicaciones (API): NSX utiliza una API basada en la transferencia de estado representativo (REST) para simplificar la integración de productos y servicios de terceros e integrar NSX con la gestión de la nube para obtener capacidades de automatización adicionales.
- Operaciones: Las capacidades de operaciones nativas incluyen la CLI central, el analizador de puertos de conmutación (SPAN), la exportación de información de flujo IP (IPFIX), el gestor de reglas de aplicación (ARM), la supervisión de puntos finales y la integración con VMware vRealize Suite para la supervisión proactiva, el análisis y la resolución de problemas.
- Política de seguridad dinámica: NSX Service Composer permite al administrador de la red aprovisionar y asignar servicios de red y seguridad a las aplicaciones. El administrador también puede utilizar Service Composer para crear grupos de seguridad dinámicos con filtros personalizados, como objetos y etiquetas de VMware vCenter, tipo de SO y roles de Active Directory (AD).
- Gestión de la nube: NSX se integra de forma nativa con vRealize Automation y OpenStack para la gestión de la nube.
- Redes y seguridad entre vCenter (Cross-VC NSX): Esta capacidad escala NSX vSphere a través de los límites del vCenter y del centro de datos. Esto permite al administrador de la red abordar la agrupación de la capacidad a través de los vCenters, simplificar la migración del centro de datos, realizar vMotions de larga distancia y llevar a cabo la recuperación de desastres (DR).
- Gestión de registros: NSX se integra con vRealize Log Insight, que recibe las entradas de registro de los hosts ESXi, utiliza paquetes de contenido para procesar la información que contiene cada entrada de registro e identifica los problemas dentro de la implementación de NSX.
Casos de uso de NSX
Según VMware, los tres principales casos de uso que impulsan la adopción de NSX son la microsegmentación, la automatización de TI y la DR. Estos casos de uso tienen como objetivo resolver los problemas comúnmente asociados con la virtualización de la red, como el bajo rendimiento del tráfico y la seguridad insuficiente.
El primero de estos casos de uso, la microsegmentación, aborda la seguridad de la red. La microsegmentación toma la práctica común de las redes de segmentación y la aplica a un nivel granular. Esto permite al administrador de la red establecer un perímetro de seguridad de confianza cero en torno a un conjunto específico de recursos -normalmente cargas de trabajo o segmentos de red- y añadir la funcionalidad de firewall este-oeste al centro de datos. NSX también permite al administrador crear políticas de seguridad adicionales para cargas de trabajo específicas, independientemente de su ubicación en la topología de la red.
NSX utiliza la automatización del centro de datos para un aprovisionamiento de red rápido y flexible. El administrador de la red puede aprovisionar rápidamente una nueva red o segmento de red con cargas de trabajo, recursos y políticas de seguridad ya adjuntas. Esto elimina los cuellos de botella y hace que NSX sea ideal para probar aplicaciones y trabajar con cargas de trabajo erráticas, que NSX puede mantener lógicamente aisladas en la misma red física.
La automatización también es esencial para la DR. NSX se integra con herramientas de orquestación, como vSphere Site Recovery Manager (SRM), que automatiza la conmutación por error y la DR. Cuando se combina con NSX, SRM puede utilizarse para la replicación del almacenamiento y para gestionar y probar los planes de recuperación. SRM también se integra con Cross-VC NSX. Introducido en NSX 6.2, Cross-VC NSX permite la creación de redes lógicas y la seguridad en varios vCenters, lo que facilita la aplicación de políticas de seguridad coherentes sin necesidad de intervención manual. Cuando se utiliza junto con Cross-VC NSX, SRM mapea automáticamente las redes universales a través de los sitios protegidos y de recuperación.
Licencias y versiones de NSX
En mayo de 2016, VMware actualizó su esquema de licencias de NSX, introduciendo dos nuevas licencias -estándar y avanzada- para complementar la licencia completa del producto Enterprise.
Según VMware, la licencia NSX Standard está destinada a organizaciones que requieren agilidad y automatización de la red e incluye funciones como la conmutación distribuida, el enrutamiento distribuido y la integración con vRealize Suite y OpenStack. La licencia de rango medio, NSX Advanced, ofrece las mismas capacidades que la licencia Standard, así como microsegmentación para un centro de datos más seguro y funciones como el equilibrio de carga NSX Edge y el firewalling distribuido. La licencia de más alto nivel, NSX Enterprise, incluye las mismas capacidades que la licencia Advanced, así como la creación de redes y la seguridad en varios dominios a través de funciones como Cross-VC NSX.
VMware actualizó el esquema de licencias de NSX una vez más en mayo de 2017 — esta vez, introduciendo una edición de NSX para oficinas remotas y sucursales (ROBO).
Además de estas licencias de NSX, los clientes de VMware tienen la opción de adquirir NSX-T y NSX Cloud. Lanzado en febrero de 2017, NSX-T ofrece gestión de redes y seguridad para marcos de aplicaciones que no son de VSphere, múltiples distribuciones de máquinas virtuales basadas en Kernel (KVM) y entornos OpenStack. NSX-T también es compatible con Photon Platform, el software de infraestructura nativa de la nube de VMware para contenedores. NSX Cloud toma los componentes de NSX-T y los integra con la nube pública. Los clientes de NSX Cloud tienen acceso a un cuadro de mandos multiinquilino, que se integra con VMware Cloud Services, y pueden desarrollar y probar aplicaciones con los mismos perfiles de red y seguridad utilizados en el entorno de producción.
Certificación y formación
VMware ofrece cinco certificaciones para NSX de distintos niveles. La certificación NSX de nivel básico de VMware, VMware Certified Professional 6 – Network Virtualization (VCP6-NV), demuestra la capacidad del candidato para instalar, configurar y administrar implementaciones de redes virtuales NSX.
La certificación NSX de nivel medio de VMware, VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV), demuestra la capacidad del candidato para desplegar una infraestructura de red de centro de datos basada en NSX.
Actualmente, sólo hay una opción para la certificación VCAP6-NV – VCAP6-NV Deploy – pero VMware tiene planes para añadir también una pista de diseño. Cualquier candidato que obtenga la certificación VCAP6-NV Design podrá optar a la certificación VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV). Una vez que VMware lance la certificación VCAP6-NV Design, los candidatos que obtengan las certificaciones VCAP6-NV Deploy y Design obtendrán automáticamente el estatus VCIX6-NV.
El nivel más alto de la certificación NSX, VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV), demuestra la familiaridad del candidato con vSphere y NSX y la capacidad de diseñar una infraestructura de red de centro de datos basada en NSX.