VMware NSX on virtuaaliverkko- ja tietoturvaohjelmistotuoteperhe, joka on luotu VMwaren vCloud Networking and Security (vCNS) ja Niciran Network Virtualization Platform (NVP) -älyllisestä omaisuudesta.
NSX-ohjelmistokohtainen verkkoyhteys (Software-defined Networking, SDN) on osa VMwaren ohjelmistokohtaista datakeskuskonseptia (Software-defined Data Center, SDDC), joka tarjoaa pilvihyötylaskentajärjestelmää VMwaren virtualisointiteknologioilla. VMwaren ilmoittama tavoite NSX:n kanssa on tarjota virtuaalisia verkkoympäristöjä ilman komentorivikäyttöliittymää (CLI) tai muuta suoraa ylläpitäjän väliintuloa. Verkkovirtualisointi abstrahoi verkkotoiminnot taustalla olevasta laitteistosta hajautetulle virtualisointikerrokselle samaan tapaan kuin palvelinvirtualisointi tekee prosessoritehon ja käyttöjärjestelmien osalta. VMware vCNS virtualisoi verkon kerrokset 4-7 (L4-L7). Niciran NVP virtualisoi verkkokankaan, kerroksen 2 (L2) ja kerroksen 3 (L3).
NSX paljastaa loogiset palomuurit, kytkimet, reitittimet, portit ja muut verkkoelementit mahdollistaakseen virtuaalisen verkkoyhteyden valmistajariippumattomien hypervisorien, pilvihallintajärjestelmien ja niihin liittyvän verkkolaitteiston välillä. Se tukee myös ulkoisia verkko- ja tietoturvaekosysteemipalveluja.
NSX:n tärkeitä ominaisuuksia
- Kytkentä: NSX:n loogiset kytkimet käyttävät yksilöllisiä Virtual Extensible LAN (VXLAN) -verkkotunnuksia luodakseen loogisen päällekkäislaajennuksen L2-verkkoon, johon sovellukset ja vuokralaisen virtuaalikoneet (VM:t) voidaan tämän jälkeen kytkeä loogisesti. Nämä loogiset lähetysalueet mahdollistavat suuremman joustavuuden ja nopeamman käyttöönoton ja tarjoavat samalla virtuaalisen lähiverkon (VLAN) ominaisuudet ilman leviämisriskiä.
- Reititys: NSX suorittaa reitityksen sekä loogisilla hajautetuilla reitittimillä, jotka luovat reittejä virtuaaliverkkojen välille hypervisorin ytimessä, että fyysisillä reitittimillä skaalautuvaa reititystä varten, jossa on aktiivinen-aktiivinen vikasietoisuus.
- Hajautettu palomuuri: NSX:n hajautettu palomuuri on hypervisorin ytimeen integroitu palomuuri, joka leviää ESXi-isännän yli. Verkonvalvoja voi luoda mukautettuja palomuurikäytäntöjä, jotka pannaan täytäntöön virtuaalisen verkkokortin (vNIC) tasolla, pakottaakseen VM:t tilatietoisiin palomuuripalveluihin ja lisätäkseen virtualisoitujen verkkojen ja työkuormien näkyvyyttä ja valvontaa.
- Kuormituksen tasaus: NSX tarjoaa L4-L7-kuormantasaajan, joka sieppaa, kääntää ja muokkaa verkkoliikennettä parantaakseen yrityssovellusten saatavuutta ja skaalautuvuutta. NSX-kuormantasaajassa on tuki Secure Sockets Layer (SSL) -offloadille läpivientiä ja palvelinten terveystarkastuksia varten. L4-kuormantasaaja tarjoaa pakettipohjaista kuormantasausta, joka lähettää paketin tietylle palvelimelle sen jälkeen, kun sitä on muokattu; L7-kuormantasaaja tarjoaa socket-pohjaista kuormantasausta, joka luo asiakas- ja palvelinkohtaiset yhteydet yhdelle pyynnölle.
- Virtuaalinen yksityisverkko (VPN): NSX sisältää site-to-site- ja etäkäyttö-VPN-ominaisuudet sekä hallitsemattoman VPN:n pilvipalvelun yhdyskäytäviä varten.
- NSX Edge -yhdyskäytävä: NSX Edge -yhdyskäytävä on VM, joka käyttäytyy kuin laite, joka suorittaa L3-reitityksen, palomuurin, site-to-site-virtuaalisen yksityisverkon, kuorman tasauksen ja paljon muuta. Tämä ominaisuus tarjoaa myös tuen VXLAN to VLAN siltaukselle saumattoman yhteyden muodostamiseksi fyysisiin työtehtäviin.
- Sovellusohjelmointirajapinta (API): NSX käyttää REST (Representational State Transfer) -pohjaista API:ta, joka yksinkertaistaa kolmannen osapuolen tuotteiden ja palveluiden integrointia ja integroi NSX:n pilvihallintaan lisäautomaatio-ominaisuuksia varten.
- Toiminnot: Natiivit käyttöominaisuudet sisältävät keskitetyn CLI:n, Switch Port Analyzerin (SPAN), IP Flow Information Exportin (IPFIX), Application Rule Managerin (ARM), Endpoint Monitoringin ja integraation VMware vRealize Suiten kanssa ennakoivaan valvontaan, analytiikkaan ja vianmääritykseen.
- Dynaamiset turvallisuuskäytännöt: NSX Service Composerin avulla verkonvalvoja voi tarjota ja määrittää sovelluksille verkko- ja tietoturvapalveluja. Järjestelmänvalvoja voi myös luoda Service Composerin avulla dynaamisia suojausryhmiä mukautetuilla suodattimilla, kuten VMware vCenter -objekteilla ja -tunnisteilla, käyttöjärjestelmän tyypillä ja Active Directory (AD) -rooleilla.
- Pilvipalvelun hallinta: NSX integroituu natiivisti vRealize Automationin ja OpenStackin kanssa pilvihallintaa varten.
- Cross-vCenter Networking and Security (Cross-vC NSX): Tämä ominaisuus skaalaa NSX vSphereä yli vCenter- ja datakeskusrajojen. Näin verkonvalvoja voi käsitellä kapasiteetin yhdistämistä vCentereiden yli, yksinkertaistaa datakeskusten migraatiota, suorittaa pitkän matkan vMotioita ja suorittaa katastrofista palautumista (DR).
- Lokien hallinta: NSX integroituu vRealize Log Insightiin, joka vastaanottaa lokimerkintöjä ESXi-isännistä, käsittelee sisältöpakettien avulla kunkin lokimerkinnän sisältämät tiedot ja tunnistaa NSX-käyttöönoton ongelmat.
NSX:n käyttötapaukset
Vmwaren mukaan NSX:n käyttöönottoa ajavat kolme tärkeintä käyttötapausta ovat mikrosegmentointi, IT-automaatio ja DR. Näillä käyttötapauksilla pyritään ratkaisemaan verkkovirtualisointiin yleisesti liittyviä ongelmia, kuten huono liikenteen suorituskyky ja riittämätön tietoturva.
Ensimmäinen näistä käyttötapauksista, mikrosegmentointi, kohdistuu verkon tietoturvaan. Mikrosegmentoinnissa otetaan käyttöön yleinen verkkojen segmentointikäytäntö ja sovelletaan sitä rakeisella tasolla. Näin verkonvalvoja voi luoda nollaluottamus-turvapiirin tietyn resurssijoukon ympärille – tyypillisesti työkuormien tai verkkosegmenttien – ja lisätä itä-länsisuuntaisen palomuuritoiminnon datakeskukseen. NSX:n avulla järjestelmänvalvoja voi myös luoda lisäturvakäytäntöjä tietyille työkuormille riippumatta siitä, missä ne sijaitsevat verkkotopologiassa.
NSX käyttää datakeskusautomaatiota nopeaan ja joustavaan verkon käyttöönottoon. Verkonvalvoja voi nopeasti ottaa käyttöön uuden verkon tai verkkosegmentin, johon on jo liitetty työkuormia, resursseja ja tietoturvakäytäntöjä. Tämä poistaa pullonkaulat ja tekee NSX:stä ihanteellisen sovellusten testaamiseen ja työskentelyyn epäsäännöllisillä työkuormilla, jotka NSX voi pitää loogisesti eristettyinä samassa fyysisessä verkossa.
Automaatio on tärkeää myös DR:n kannalta. NSX integroituu orkestrointityökaluihin, kuten vSphere Site Recovery Manageriin (SRM), joka automatisoi viansiirron ja DR:n. NSX:n kanssa yhdistettynä SRM:ää voidaan käyttää tallennuksen replikointiin sekä palautussuunnitelmien hallintaan ja testaamiseen. SRM integroituu myös Cross-VC NSX:ään. NSX 6.2:ssa käyttöön otettu Cross-VC NSX mahdollistaa loogisen verkko- ja tietoturvan useissa vCentereissä, mikä helpottaa yhdenmukaisten tietoturvakäytäntöjen noudattamista ilman manuaalisia toimenpiteitä. Kun SRM:ää käytetään yhdessä Cross-VC NSX:n kanssa, se kartoittaa automaattisesti universaalit verkot suojattujen ja toipumispaikkojen välillä.
NSX-lisensointi ja versiot
Toukokuussa 2016 VMware päivitti NSX-lisensointijärjestelmäänsä ottamalla käyttöön kaksi uutta lisenssiä – Standard ja Advanced – täydentämään täydellistä Enterprise-tuotteen lisenssiä.
Vmwaren mukaan NSX Standard -lisenssi on tarkoitettu organisaatioille, jotka vaativat verkon ketteryyttä ja automaatiota, ja se sisältää ominaisuuksia, kuten hajautetun kytkennän, hajautetun reitityksen ja integraation vRealize Suiten ja OpenStackin kanssa. Keskitason lisenssi, NSX Advanced, tarjoaa samat ominaisuudet kuin Standard-lisenssi sekä mikrosegmentoinnin turvallisempaan datakeskukseen ja ominaisuuksia, kuten NSX Edge -kuormantasauksen ja hajautetun palomuurin. Korkeimman tason lisenssi, NSX Enterprise, sisältää samat ominaisuudet kuin Advanced-lisenssi sekä verkko- ja tietoturvaominaisuuksia useiden toimialueiden yli esimerkiksi Cross-VC NSX:n kaltaisten ominaisuuksien avulla.
VMware päivitti NSX-lisensointijärjestelmän jälleen kerran toukokuussa 2017 – tällä kertaa ottamalla käyttöön NSX for Remote and Branch Offices (ROBO) -version.
Näiden NSX-lisenssien lisäksi VMware-asiakkaat voivat hankkia NSX-T:n ja NSX Cloudin. Helmikuussa 2017 julkaistu NSX-T tarjoaa verkko- ja tietoturvanhallintaa muille kuin vSphere-sovelluskehyksille, useille Kernel-pohjaisille virtuaalikonejakeluille (KVM) ja OpenStack-ympäristöille. NSX-T tukee myös Photon Platformia, VMwaren pilvinatiivista infrastruktuuri-ohjelmistoa kontteja varten. NSX Cloud ottaa NSX-T:n komponentit ja integroi ne julkiseen pilveen. NSX Cloud -asiakkailla on käytössään VMware Cloud Services -palveluihin integroitu monitilaaja-kojelauta, ja he voivat kehittää ja testata sovelluksia samoilla verkko- ja tietoturvaprofiileilla, joita käytetään tuotantoympäristössä.
Sertifioinnit ja koulutus
VMware tarjoaa NSX:lle viisi eritasoista sertifiointia. VMwaren perustason NSX-sertifiointi, VMware Certified Professional 6 – Network Virtualization (VCP6-NV), osoittaa kokelaan kyvyn asentaa, konfiguroida ja hallinnoida NSX-virtuaaliverkkototeutuksia.
VMwaren keskitason NSX-sertifiointi, VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV), osoittaa kokelaan kyvyn ottaa käyttöön NSX-pohjainen konesaliverkkoinfrastruktuuri.
Tällä hetkellä VCAP6-NV-sertifioinnissa on vain yksi vaihtoehto – VCAP6-NV Deploy – mutta VMware suunnittelee lisäävänsä siihen myös suunnitteluradan. VCAP6-NV Design -sertifioinnin suorittanut hakija on oikeutettu VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV) -sertifiointiin. Kun VMware julkaisee VCAP6-NV Design -sertifikaatin, ehdokkaat, jotka saavuttavat sekä VCAP6-NV Deploy- että Design-sertifioinnit, saavat automaattisesti VCIX6-NV-statuksen.
Korkein NSX-sertifiointitaso, VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV), osoittaa ehdokkaan perehtyneisyyden vSphereen ja NSX:ään sekä kyvyn suunnitella NSX-pohjaisen konesaliverkkoinfrastruktuurin.