VMware NSX è una famiglia di prodotti software per la sicurezza e il networking virtuale creata dalla proprietà intellettuale di VMware vCloud Networking and Security (vCNS) e Network Virtualization Platform (NVP) di Nicira.
NSX software-defined networking (SDN) fa parte del concetto di software-defined data center (SDDC) di VMware, che offre cloud computing su tecnologie di virtualizzazione VMware. L’obiettivo dichiarato di VMware con NSX è quello di fornire ambienti di rete virtuali senza un’interfaccia a riga di comando (CLI) o altri interventi diretti dell’amministratore. La virtualizzazione della rete astrae le operazioni di rete dall’hardware sottostante su un livello di virtualizzazione distribuito, proprio come la virtualizzazione del server fa per la potenza di elaborazione e i sistemi operativi (OS). VMware vCNS virtualizza il livello 4-7 (L4-L7) della rete. NVP di Nicira virtualizza il tessuto di rete, Layer 2 (L2) e Layer 3 (L3).
NSX espone firewall logici, interruttori, router, porte e altri elementi di rete per abilitare il networking virtuale tra hypervisor vendor-agnostic, sistemi di gestione del cloud e hardware di rete associati. Supporta anche servizi esterni di rete e dell’ecosistema di sicurezza.
Caratteristiche importanti di NSX
- Switching: gli switch logici di NSX utilizzano identificatori di rete unici Virtual Extensible LAN (VXLAN) per creare un’estensione logica di overlay per la rete L2, a cui le applicazioni e le macchine virtuali tenant (VM) possono poi essere cablate logicamente. Questi domini logici di trasmissione consentono una maggiore flessibilità e una distribuzione più veloce, il tutto fornendo le caratteristiche di una LAN virtuale (VLAN) senza il rischio di sprawl.
- Routing: NSX esegue il routing con entrambi i router logici distribuiti, che creano percorsi tra le reti virtuali al kernel dell’hypervisor e i router fisici per il routing scale-out con failover attivo-attivo.
- Firewalling distribuito: Il firewall distribuito di NSX è un firewall incorporato nel kernel dell’ipervisore che si estende sull’host ESXi. Un amministratore di rete può creare politiche di firewall personalizzate, che vengono applicate a livello di scheda di interfaccia di rete virtuale (vNIC), per applicare servizi di firewall statici per le VM e aumentare la visibilità e il controllo delle reti e dei carichi di lavoro virtualizzati.
- Bilanciamento del carico: NSX offre un bilanciatore di carico L4-L7 che intercetta, traduce e manipola il traffico di rete per migliorare la disponibilità e la scalabilità delle applicazioni aziendali. Il bilanciatore di carico NSX include il supporto per il Secure Sockets Layer (SSL) offload per il pass-through e i controlli di salute del server. Il bilanciatore di carico L4 offre un bilanciamento del carico basato sui pacchetti, che invia il pacchetto a un server specifico dopo averlo manipolato; il bilanciatore di carico L7 offre un bilanciamento del carico basato sui socket, che stabilisce connessioni client e server per una singola richiesta.
- Rete privata virtuale (VPN): NSX include funzionalità VPN site-to-site e di accesso remoto e VPN non gestita per i servizi di gateway cloud.
- NSX Edge gateway: Il gateway NSX Edge è una VM che si comporta come un’appliance per eseguire routing L3, firewalling, rete privata virtuale site-to-site, bilanciamento del carico e altro. Questa funzione offre anche il supporto per il bridging da VXLAN a VLAN per una connessione perfetta ai carichi di lavoro fisici.
- Interfaccia di programmazione dell’applicazione (API): NSX utilizza un’API basata sul Representational State Transfer (REST) per semplificare l’integrazione di prodotti e servizi di terze parti e per integrare NSX con la gestione del cloud per ulteriori funzionalità di automazione.
- Operazioni: Le funzionalità operative native includono CLI centrale, Switch Port Analyzer (SPAN), IP Flow Information Export (IPFIX), Application Rule Manager (ARM), Endpoint Monitoring e integrazione con VMware vRealize Suite per il monitoraggio proattivo, l’analisi e la risoluzione dei problemi.
- Politica di sicurezza dinamica: NSX Service Composer consente all’amministratore di rete di fornire e assegnare servizi di rete e di sicurezza alle applicazioni. L’amministratore può anche utilizzare Service Composer per creare gruppi di sicurezza dinamici con filtri personalizzati, come oggetti e tag VMware vCenter, tipo di sistema operativo e ruoli Active Directory (AD).
- Gestione del cloud: NSX si integra nativamente con vRealize Automation e OpenStack per la gestione del cloud.
- Cross-vCenter Networking and Security (Cross-VC NSX): Questa capacità consente di scalare NSX vSphere attraverso vCenter e i confini del data center. Ciò consente all’amministratore di rete di affrontare il pooling di capacità tra i vCenter, semplificare la migrazione dei data center, eseguire vMotion a lunga distanza ed eseguire il disaster recovery (DR).
- Gestione dei log: NSX si integra con vRealize Log Insight, che riceve le voci di registro dagli host ESXi, utilizza i content pack per elaborare le informazioni contenute in ogni voce di registro e identifica i problemi all’interno dell’implementazione NSX.
Casi d’uso NSX
Secondo VMware, i tre principali casi d’uso che guidano l’adozione di NSX sono la microsegmentazione, l’automazione IT e il DR. Questi casi d’uso mirano a risolvere i problemi comunemente associati alla virtualizzazione della rete, come le scarse prestazioni del traffico e la sicurezza insufficiente.
Il primo di questi casi d’uso, la microsegmentazione, riguarda la sicurezza della rete. La microsegmentazione prende la comune pratica di rete della segmentazione e la applica ad un livello granulare. Questo permette all’amministratore di rete di stabilire un perimetro di sicurezza a fiducia zero intorno a un insieme specifico di risorse – tipicamente carichi di lavoro o segmenti di rete – e aggiungere funzionalità di firewall est-ovest al data center. NSX consente inoltre all’amministratore di creare ulteriori politiche di sicurezza per carichi di lavoro specifici, indipendentemente dalla loro posizione nella topologia di rete.
NSX utilizza l’automazione del data center per un provisioning di rete veloce e flessibile. L’amministratore di rete può fornire rapidamente una nuova rete o un segmento di rete con carichi di lavoro, risorse e criteri di sicurezza già collegati. Questo elimina i colli di bottiglia e rende NSX ideale per i test delle applicazioni e per lavorare con carichi di lavoro irregolari, che NSX può mantenere logicamente isolati sulla stessa rete fisica.
L’automazione è anche essenziale per il DR. NSX si integra con strumenti di orchestrazione, come vSphere Site Recovery Manager (SRM), che automatizza il failover e il DR. Quando è abbinato a NSX, SRM può essere utilizzato per la replica dello storage e per gestire e testare i piani di ripristino. SRM si integra anche con Cross-VC NSX. Introdotto in NSX 6.2, Cross-VC NSX permette il networking logico e la sicurezza tra più vCenter, il che rende più facile applicare politiche di sicurezza coerenti senza la necessità di un intervento manuale. Quando viene utilizzato insieme a Cross-VC NSX, SRM mappa automaticamente le reti universali attraverso i siti protetti e di ripristino.
Licenze e versioni di NSX
Nel maggio 2016, VMware ha aggiornato lo schema di licenze di NSX, introducendo due nuove licenze — Standard e Advanced — per integrare la licenza completa del prodotto Enterprise.
Secondo VMware, la licenza NSX Standard è destinata alle organizzazioni che richiedono agilità e automazione della rete e include caratteristiche come lo switching distribuito, il routing distribuito e l’integrazione con la vRealize Suite e OpenStack. La licenza mid-range, NSX Advanced, offre le stesse capacità della licenza Standard, così come la microsegmentazione per un data center più sicuro e caratteristiche come il bilanciamento del carico NSX Edge e il firewalling distribuito. La licenza di livello più alto, NSX Enterprise, include le stesse capacità della licenza Advanced, così come il networking e la sicurezza attraverso più domini attraverso caratteristiche come Cross-VC NSX.
VMware ha aggiornato lo schema di licenze NSX ancora una volta nel maggio 2017 — questa volta, introducendo un’edizione di NSX per Remote and Branch Offices (ROBO).
In aggiunta a queste licenze NSX, i clienti VMware hanno la possibilità di acquistare NSX-T e NSX Cloud. Rilasciato nel febbraio 2017, NSX-T offre la gestione della rete e della sicurezza per framework applicativi non vSphere, più distribuzioni Kernel-based Virtual Machine (KVM) e ambienti OpenStack. NSX-T supporta anche Photon Platform, il software di infrastruttura cloud-native di VMware per i container. NSX Cloud prende i componenti di NSX-T e li integra con il cloud pubblico. I clienti di NSX Cloud hanno accesso a una dashboard multi-tenant, integrata con VMware Cloud Services, e possono sviluppare e testare le applicazioni con gli stessi profili di rete e sicurezza utilizzati nell’ambiente di produzione.
Certificazione e formazione
VMware offre cinque certificazioni per NSX a vari livelli. La certificazione NSX entry-level di VMware, VMware Certified Professional 6 – Network Virtualization (VCP6-NV), dimostra la capacità del candidato di installare, configurare e amministrare le implementazioni di rete virtuale NSX.
La certificazione NSX di medio livello di VMware, VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV), dimostra la capacità del candidato di implementare un’infrastruttura di rete per data center basata su NSX.
Al momento, esiste solo un’opzione per la certificazione VCAP6-NV – VCAP6-NV Deploy – ma VMware ha in programma di aggiungere anche una traccia Design. Ogni candidato che ottiene la certificazione VCAP6-NV Design è idoneo alla certificazione VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV). Quando VMware rilascerà la certificazione VCAP6-NV Design, i candidati che otterranno entrambe le certificazioni VCAP6-NV Deploy e Design otterranno automaticamente lo status VCIX6-NV.
Il livello più alto della certificazione NSX, VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV), dimostra la familiarità del candidato con vSphere e NSX e la capacità di progettare un’infrastruttura di rete per data center basata su NSX.