A VMware NSX a VMware vCloud Networking and Security (vCNS) és a Nicira Network Virtualization Platform (NVP) szellemi tulajdonából létrehozott virtuális hálózati és biztonsági szoftver termékcsalád.
A szoftveresen definiált hálózatépítés (SDN) a VMware szoftveresen definiált adatközpont (SDDC) koncepciójának része, amely a VMware virtualizációs technológiákon alapuló felhőalapú számítást kínál. A VMware deklarált célja az NSX-szel az, hogy a virtuális hálózati környezeteket parancssori interfész (CLI) vagy más közvetlen rendszergazdai beavatkozás nélkül biztosítsa. A hálózati virtualizáció a hálózati műveleteket a mögöttes hardvertől egy elosztott virtualizációs rétegre absztrahálja, hasonlóan a szervervirtualizációhoz a feldolgozási teljesítmény és az operációs rendszerek (OS) esetében. A VMware vCNS a hálózat 4-7. rétegét (L4-L7) virtualizálja. A Nicira NVP virtualizálja a hálózati szövetet, a 2. (L2) és a 3. (L3) réteget.
Az NVP logikai tűzfalakat, kapcsolókat, útválasztókat, portokat és egyéb hálózati elemeket tesz közzé, hogy lehetővé tegye a virtuális hálózatépítést a gyártó-agnosztikus hipervizorok, felhőkezelő rendszerek és a kapcsolódó hálózati hardverek között. Támogatja a külső hálózati és biztonsági ökoszisztéma szolgáltatásait is.
Az NSX fontos jellemzői
- Kapcsolás: Az NSX logikai kapcsolók egyedi Virtual Extensible LAN (VXLAN) hálózati azonosítókat használnak az L2 hálózat logikai overlay kiterjesztésének létrehozásához, amelyre az alkalmazások és a bérlő virtuális gépek (VM-ek) logikailag ráköthetők. Ezek a logikai átviteli tartományok nagyobb rugalmasságot és gyorsabb telepítést tesznek lehetővé, miközben biztosítják a virtuális LAN (VLAN) jellemzőit a szétterjedés kockázata nélkül.
- Útválasztás: Az NSX az útválasztást mind logikai elosztott útválasztókkal végzi, amelyek útvonalakat hoznak létre a virtuális hálózatok között a hypervisor kernelben, mind fizikai útválasztókkal a skálázható útválasztáshoz aktív-aktív hibaelhárítással.
- Elosztott tűzfal: Az NSX elosztott tűzfal egy hipervizor kernelbe ágyazott tűzfal, amely szétterül az ESXi állomáson. A hálózati rendszergazda egyéni tűzfal-házirendeket hozhat létre, amelyek a virtuális hálózati csatolókártya (vNIC) szintjén érvényesülnek, hogy a VM-ek számára állapotfüggő tűzfalszolgáltatásokat kényszerítsen ki, és növelje a virtualizált hálózatok és munkaterhelések átláthatóságát és ellenőrzését.
- Terheléselosztás: Az NSX L4-L7 terheléselosztót kínál, amely a vállalati alkalmazások rendelkezésre állásának és skálázhatóságának javítása érdekében elfogja, lefordítja és manipulálja a hálózati forgalmat. Az NSX terheléselosztó támogatja a Secure Sockets Layer (SSL) áthaladáshoz és a szerverállapot-ellenőrzéshez szükséges SSL (Secure Sockets Layer) terheléselosztást. Az L4 terheléselosztó csomagalapú terheléselosztást kínál, amely a csomagot a manipuláció után egy adott kiszolgálóhoz küldi; az L7 terheléselosztó socketalapú terheléselosztást kínál, amely egyetlen kéréshez ügyfél- és kiszolgálóoldali kapcsolatokat hoz létre.
- Virtuális magánhálózat (VPN): Az NSX tartalmaz helyközi és távoli hozzáférésű VPN-képességeket, valamint nem felügyelt VPN-t a felhőátjáró-szolgáltatásokhoz.
- NSX Edge gateway: Az NSX Edge gateway egy VM, amely készülékként viselkedik, és L3 útválasztást, tűzfalazást, site-to-site virtuális magánhálózatot, terheléselosztást és egyebeket végez. Ez a funkció támogatja a VXLAN-VLAN áthidalást is a fizikai munkaterhelésekhez való zökkenőmentes kapcsolódás érdekében.
- Alkalmazásprogramozási interfész (API): Az NSX egy REST (Representational State Transfer) alapú API-t használ a harmadik féltől származó termékek és szolgáltatások integrációjának egyszerűsítésére, valamint az NSX integrálására a felhőkezeléssel a további automatizálási lehetőségek érdekében.
- Üzemeltetés: A natív üzemeltetési képességek közé tartozik a központi CLI, a Switch Port Analyzer (SPAN), az IP Flow Information Export (IPFIX), az Application Rule Manager (ARM), a Endpoint Monitoring és a VMware vRealize Suite integrációja a proaktív felügyelethez, elemzéshez és hibaelhárításhoz.
- Dinamikus biztonsági házirend: Az NSX Service Composer lehetővé teszi a hálózati rendszergazdának, hogy hálózati és biztonsági szolgáltatásokat biztosítson és rendeljen az alkalmazásokhoz. A rendszergazda a Service Composer segítségével dinamikus biztonsági csoportokat is létrehozhat egyéni szűrőkkel, például VMware vCenter objektumok és címkék, operációs rendszer típusa és Active Directory (AD) szerepek alapján.
- Felhőkezelés: Az NSX natívan integrálódik a vRealize Automation és az OpenStack rendszerekkel a felhőkezeléshez.
- Cross-vCenter Networking and Security (Cross-vC NSX): Ez a képesség az NSX vSphere vCenter- és adatközpont-határokon átívelő skálázása. Ez lehetővé teszi a hálózati rendszergazdák számára a vCenterek közötti kapacitásgyűjtés kezelését, az adatközpontok migrációjának egyszerűsítését, a nagy távolságra történő vMozgások végrehajtását és a katasztrófa-helyreállítást (DR).
- Naplókezelés: Az NSX integrálódik a vRealize Log Insight rendszerrel, amely fogadja a naplóbejegyzéseket az ESXi hosztoktól, tartalomcsomagok segítségével feldolgozza az egyes naplóbejegyzésekben szereplő információkat, és azonosítja az NSX telepítésen belüli problémákat.
NSX felhasználási esetek
A VMware szerint az NSX bevezetését ösztönző három legfontosabb felhasználási eset a mikroszegmentálás, az IT-automatizálás és a DR. Ezek a felhasználási esetek a hálózati virtualizációval általában összefüggő problémák megoldását célozzák, mint például a gyenge forgalmi teljesítmény és az elégtelen biztonság.
A felhasználási esetek közül az első, a mikroszegmentáció a hálózati biztonsággal foglalkozik. A mikroszegmentálás a szegmentálás általános hálózati gyakorlatát veszi alapul, és azt granuláris szinten alkalmazza. Ez lehetővé teszi a hálózati rendszergazdának, hogy az erőforrások egy meghatározott csoportja – jellemzően munkaterhelések vagy hálózati szegmensek – körül zéró bizalmi biztonsági határt hozzon létre, és kelet-nyugati tűzfalfunkciókkal egészítse ki az adatközpontot. Az NSX azt is lehetővé teszi, hogy a rendszergazda további biztonsági házirendeket hozzon létre az egyes munkaterhelésekhez, függetlenül attól, hogy azok hol helyezkednek el a hálózati topológiában.
Az NSX az adatközpont automatizálását használja a gyors és rugalmas hálózati rendelkezésre bocsátáshoz. A hálózati rendszergazda gyorsan biztosíthat új hálózatot vagy hálózati szegmenst a már hozzácsatolt munkaterhekkel, erőforrásokkal és biztonsági házirendekkel. Ez kiküszöböli a szűk keresztmetszeteket, és az NSX ideális az alkalmazások teszteléséhez és az ingadozó munkaterhekkel való munkához, amelyeket az NSX képes logikailag elszigetelve tartani ugyanazon a fizikai hálózaton.
Az automatizálás a DR szempontjából is elengedhetetlen. Az NSX integrálódik az orchestrációs eszközökkel, például a vSphere Site Recovery Managerrel (SRM), amely automatizálja a feladatátvételt és a DR-t. Az NSX-szel párosítva az SRM használható a tárolók replikációjára, valamint a helyreállítási tervek kezelésére és tesztelésére. Az SRM a Cross-VC NSX-szel is integrálható. Az NSX 6.2-ben bevezetett Cross-VC NSX lehetővé teszi a logikai hálózatépítést és biztonságot több vCenteren keresztül, ami megkönnyíti a konzisztens biztonsági irányelvek kézi beavatkozás nélküli érvényesítését. A Cross-VC NSX-szel együtt használva az SRM automatikusan leképezi az univerzális hálózatokat a védett és helyreállítási helyszíneken.
NSX licencelés és verziók
2016 májusában a VMware frissítette az NSX licencrendszerét, és két új licencet – Standard és Advanced – vezetett be a teljes Enterprise terméklicenc kiegészítéseként.
A VMware szerint az NSX Standard licenc a hálózati agilitást és automatizálást igénylő szervezetek számára készült, és olyan funkciókat tartalmaz, mint az elosztott kapcsolás, az elosztott útválasztás, valamint a vRealize Suite és az OpenStack integrációja. A középkategóriás NSX Advanced licenc a Standard licenccel megegyező képességeket kínál, valamint mikroszegmentálást a biztonságosabb adatközponthoz, és olyan funkciókat, mint az NSX Edge terheléselosztás és az elosztott tűzfal. A legmagasabb szintű licenc, az NSX Enterprise ugyanazokat a képességeket tartalmazza, mint az Advanced licenc, valamint több tartományon átívelő hálózatépítést és biztonságot olyan funkciók révén, mint a Cross-VC NSX.
A VMware 2017 májusában ismét frissítette az NSX licencrendszerét — ezúttal bevezette az NSX for Remote and Branch Offices (ROBO) kiadását.
A VMware ügyfelei ezen NSX licencek mellett az NSX-T és az NSX Cloud megvásárlására is lehetőségük van. A 2017 februárjában megjelent NSX-T hálózati és biztonsági menedzsmentet kínál a nem-vSphere alkalmazási keretrendszerekhez, több Kernel-alapú virtuális gép (KVM) disztribúcióhoz és OpenStack környezetekhez. Az NSX-T támogatja a Photon Platformot is, a VMware felhő-natív infrastruktúra-szoftverét a konténerekhez. Az NSX Cloud az NSX-T komponenseket veszi át és integrálja a nyilvános felhőbe. Az NSX Cloud ügyfelei hozzáférnek a VMware Cloud Services-szel integrált többmandátumos műszerfalhoz, és ugyanazokkal a hálózati és biztonsági profilokkal fejleszthetnek és tesztelhetnek alkalmazásokat, amelyeket a termelési környezetben is használnak.
Tanúsítás és képzés
A VMware öt különböző szintű tanúsítványt kínál az NSX-hez. A VMware belépőszintű NSX-tanúsítványa, a VMware Certified Professional 6 – Network Virtualization (VCP6-NV) bizonyítja, hogy a jelölt képes az NSX virtuális hálózati implementációk telepítésére, konfigurálására és adminisztrálására.
A VMware középszintű NSX-tanúsítványa, a VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV) azt mutatja, hogy a jelölt képes NSX-alapú adatközponti hálózati infrastruktúra telepítésére.
A VCAP6-NV-tanúsítványnak jelenleg csak egy lehetősége van – VCAP6-NV Deploy -, de a VMware tervei között szerepel egy tervezési sáv hozzáadása is. A VCAP6-NV Design tanúsítványt megszerző jelölt jogosult a VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV) tanúsítvány megszerzésére. Amint a VMware kiadja a VCAP6-NV Design minősítést, a VCAP6-NV Deploy és Design minősítést egyaránt megszerző jelöltek automatikusan elnyerik a VCIX6-NV státuszt.
A legmagasabb szintű NSX minősítés, a VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV) bizonyítja, hogy a jelölt ismeri a vSphere és az NSX rendszert, és képes NSX-alapú adatközpont hálózati infrastruktúrát tervezni.