VMware NSX est une famille de produits logiciels de sécurité et de réseau virtuel créée à partir de la propriété intellectuelle de vCloud Networking and Security (vCNS) de VMware et de Network Virtualization Platform (NVP) de Nicira.
Le réseau défini par logiciel (SDN) NSX fait partie du concept de centre de données défini par logiciel (SDDC) de VMware, qui offre une informatique en nuage sur les technologies de virtualisation VMware. L’objectif déclaré de VMware avec NSX est de provisionner des environnements réseau virtuels sans interface de ligne de commande (CLI) ou autre intervention directe de l’administrateur. La virtualisation des réseaux permet d’abstraire les opérations réseau du matériel sous-jacent et de les placer sur une couche de virtualisation distribuée, tout comme la virtualisation des serveurs le fait pour la puissance de traitement et les systèmes d’exploitation (OS). VMware vCNS virtualise les couches 4 à 7 (L4-L7) du réseau. NVP de Nicira virtualise la structure du réseau, la couche 2 (L2) et la couche 3 (L3).
NSX expose des pare-feu, des commutateurs, des routeurs, des ports et d’autres éléments de réseau logiques pour permettre la mise en réseau virtuelle entre les hyperviseurs agnostiques des fournisseurs, les systèmes de gestion du cloud et le matériel réseau associé. Il prend également en charge les services externes de l’écosystème de mise en réseau et de sécurité.
Caractéristiques importantes de NSX
- Commutation : les commutateurs logiques NSX utilisent des identifiants de réseau LAN extensible virtuel (VXLAN) uniques pour créer une extension de superposition logique pour le réseau L2, à laquelle les applications et les machines virtuelles (VM) des locataires peuvent ensuite être câblées logiquement. Ces domaines de diffusion logiques permettent une plus grande flexibilité et un déploiement plus rapide, tout en offrant les caractéristiques d’un réseau local virtuel (VLAN) sans le risque d’étalement.
- Routage : NSX effectue le routage à la fois avec des routeurs distribués logiques, qui créent des routes entre les réseaux virtuels au niveau du noyau de l’hyperviseur, et des routeurs physiques pour le routage scale-out avec un basculement actif-actif.
- Pare-feu distribué : Le pare-feu distribué NSX est un pare-feu intégré au noyau de l’hyperviseur qui s’étend sur l’hôte ESXi. Un administrateur réseau peut créer des politiques de pare-feu personnalisées, qui sont appliquées au niveau de la carte d’interface réseau virtuelle (vNIC), afin d’appliquer des services de pare-feu à état pour les VM et d’accroître la visibilité et le contrôle des réseaux et des charges de travail virtualisés.
- Équilibrage de charge : NSX offre un équilibreur de charge L4-L7 qui intercepte, traduit et manipule le trafic réseau pour améliorer la disponibilité et l’évolutivité des applications d’entreprise. L’équilibreur de charge NSX inclut la prise en charge du délestage SSL (Secure Sockets Layer) pour le pass-through et les contrôles de santé des serveurs. L’équilibreur de charge L4 offre un équilibrage de charge basé sur les paquets, qui envoie le paquet à un serveur spécifique après qu’il a été manipulé ; l’équilibreur de charge L7 offre un équilibrage de charge basé sur les sockets, qui établit des connexions orientées client et serveur pour une seule requête.
- Réseau privé virtuel (VPN) : NSX inclut des fonctionnalités de VPN site à site et d’accès à distance, ainsi qu’un VPN non géré pour les services de passerelle cloud.
- Passerelle NSX Edge : La passerelle NSX Edge est une VM qui se comporte comme une appliance pour effectuer le routage L3, le pare-feu, le réseau privé virtuel site à site, l’équilibrage de charge et plus encore. Cette fonctionnalité offre également une prise en charge du pontage VXLAN vers VLAN pour une connexion transparente aux charges de travail physiques.
- Interface de programmation d’applications (API) : NSX utilise une API basée sur le transfert d’état représentationnel (REST) pour simplifier l’intégration de produits et de services tiers et pour intégrer NSX à la gestion du cloud pour des capacités d’automatisation supplémentaires.
- Opérations : Les capacités d’opérations natives comprennent une CLI centrale, un analyseur de port de commutation (SPAN), l’exportation d’informations sur les flux IP (IPFIX), un gestionnaire de règles d’application (ARM), la surveillance des points d’extrémité et l’intégration avec VMware vRealize Suite pour une surveillance, une analyse et un dépannage proactifs.
- Politique de sécurité dynamique : NSX Service Composer permet à l’administrateur réseau de provisionner et d’affecter des services réseau et de sécurité aux applications. L’administrateur peut également utiliser Service Composer pour créer des groupes de sécurité dynamiques avec des filtres personnalisés, tels que les objets et les balises VMware vCenter, le type d’OS et les rôles Active Directory (AD).
- Gestion du cloud : NSX s’intègre nativement à vRealize Automation et OpenStack pour la gestion du cloud.
- Mise en réseau et sécurité cross-vCenter (Cross-VC NSX) : Cette capacité met à l’échelle NSX vSphere au-delà des frontières des vCenter et des centres de données. Cela permet à l’administrateur réseau d’aborder la mise en commun de la capacité entre les vCenters, de simplifier la migration des centres de données, d’effectuer des vMotions à longue distance et d’effectuer une reprise après sinistre (DR).
- Gestion des journaux : NSX s’intègre à vRealize Log Insight, qui reçoit les entrées de journal des hôtes ESXi, utilise des packs de contenu pour traiter les informations que chaque entrée de journal contient et identifie les problèmes au sein du déploiement NSX.
Cas d’utilisation de NSX
Selon VMware, les trois principaux cas d’utilisation favorisant l’adoption de NSX sont la microsegmentation, l’automatisation informatique et la DR. Ces cas d’utilisation visent à résoudre les problèmes généralement associés à la virtualisation du réseau, tels que les mauvaises performances du trafic et une sécurité insuffisante.
Le premier de ces cas d’utilisation, la microsegmentation, concerne la sécurité du réseau. La microsegmentation reprend la pratique courante de mise en réseau qu’est la segmentation et l’applique à un niveau granulaire. Cela permet à l’administrateur réseau d’établir un périmètre de sécurité à confiance zéro autour d’un ensemble spécifique de ressources — généralement des charges de travail ou des segments de réseau — et d’ajouter une fonctionnalité de pare-feu est-ouest au centre de données. NSX permet également à l’administrateur de créer des politiques de sécurité supplémentaires pour des charges de travail spécifiques, quel que soit leur emplacement dans la topologie du réseau.
NSX utilise l’automatisation du centre de données pour un provisionnement rapide et flexible du réseau. L’administrateur réseau peut rapidement provisionner un nouveau réseau ou segment de réseau avec des charges de travail, des ressources et des politiques de sécurité déjà attachées. Cela élimine les goulots d’étranglement et rend NSX idéal pour les tests d’applications et le travail avec des charges de travail erratiques, que NSX peut garder logiquement isolées sur le même réseau physique.
L’automatisation est également essentielle à la DR. NSX s’intègre aux outils d’orchestration, tels que vSphere Site Recovery Manager (SRM), qui automatise le basculement et la DR. Associé à NSX, SRM peut être utilisé pour la réplication du stockage et pour gérer et tester les plans de reprise. SRM s’intègre également à Cross-VC NSX. Introduit dans NSX 6.2, Cross-VC NSX permet la mise en réseau et la sécurité logiques de plusieurs vCenters, ce qui facilite l’application de politiques de sécurité cohérentes sans nécessiter d’intervention manuelle. Lorsqu’il est utilisé conjointement avec Cross-VC NSX, SRM mappe automatiquement les réseaux universels sur les sites protégés et de récupération.
Licences et versions de NSX
En mai 2016, VMware a mis à jour son schéma de licence NSX, en introduisant deux nouvelles licences — Standard et Advanced — pour compléter la licence complète du produit Enterprise.
Selon VMware, la licence NSX Standard est destinée aux organisations qui ont besoin d’agilité et d’automatisation du réseau et comprend des fonctionnalités telles que la commutation distribuée, le routage distribué et l’intégration avec la suite vRealize et OpenStack. La licence de milieu de gamme, NSX Advanced, offre les mêmes capacités que la licence Standard, ainsi que la microsegmentation pour un centre de données plus sécurisé et des fonctionnalités telles que l’équilibrage de charge NSX Edge et le pare-feu distribué. La licence de niveau supérieur, NSX Enterprise, offre les mêmes capacités que la licence Advanced, ainsi que la mise en réseau et la sécurité sur plusieurs domaines grâce à des fonctionnalités telles que Cross-VC NSX.
VMware a mis à jour le schéma de licence NSX une fois de plus en mai 2017 — cette fois, en introduisant une édition de NSX pour les bureaux distants et succursales (ROBO).
En plus de ces licences NSX, les clients de VMware ont la possibilité d’acheter NSX-T et NSX Cloud. Sorti en février 2017, NSX-T offre une gestion de la mise en réseau et de la sécurité pour les cadres applicatifs non vSphere, plusieurs distributions de machines virtuelles à base de noyau (KVM) et les environnements OpenStack. NSX-T prend également en charge Photon Platform, le logiciel d’infrastructure cloud-native de VMware pour les conteneurs. NSX Cloud reprend les composants de NSX-T et les intègre au cloud public. Les clients de NSX Cloud ont accès à un tableau de bord multi-tenant, intégré aux services Cloud de VMware, et peuvent développer et tester des applications avec les mêmes profils de réseau et de sécurité que ceux utilisés dans l’environnement de production.
Certification et formation
VMware propose cinq certifications pour NSX à des niveaux différents. La certification NSX d’entrée de gamme de VMware, VMware Certified Professional 6 – Network Virtualization (VCP6-NV), démontre la capacité du candidat à installer, configurer et administrer les implémentations de réseaux virtuels NSX.
La certification NSX de niveau intermédiaire de VMware, VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV), démontre la capacité du candidat à déployer une infrastructure de mise en réseau de centre de données basée sur NSX.
À l’heure actuelle, il n’existe qu’une seule option pour la certification VCAP6-NV — VCAP6-NV Deploy — mais VMware a prévu d’ajouter également une piste Design. Tout candidat qui obtient la certification VCAP6-NV Design est admissible à la certification VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV). Une fois que VMware aura publié la certification VCAP6-NV Design, les candidats qui obtiendront à la fois les certifications VCAP6-NV Deploy et Design obtiendront automatiquement le statut VCIX6-NV.
Le plus haut niveau de certification NSX, VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV), démontre la familiarité du candidat avec vSphere et NSX et sa capacité à concevoir une infrastructure réseau de centre de données basée sur NSX.