VMware NSX is een virtuele netwerk- en beveiligingssoftwarefamilie die is ontstaan uit het intellectuele eigendom van VMware’s vCloud Networking and Security (vCNS) en Nicira’s Network Virtualization Platform (NVP).
NSX software-defined networking (SDN) is onderdeel van VMware’s software-defined datacenter (SDDC)-concept, dat cloud computing op VMware-virtualisatietechnologieën biedt. Het doel van VMware met NSX is om virtuele netwerkomgevingen aan te bieden zonder een command-line interface (CLI) of andere directe tussenkomst van een beheerder. Netwerkvirtualisatie abstraheert netwerkoperaties van de onderliggende hardware naar een gedistribueerde virtualisatielaag, net zoals servervirtualisatie dat doet voor rekenkracht en besturingssystemen (OS’en). VMware vCNS virtualiseert Layer 4-7 (L4-L7) van het netwerk. Nicira’s NVP virtualiseert de netwerkstructuur, Layer 2 (L2) en Layer 3 (L3).
NSX stelt logische firewalls, switches, routers, poorten en andere netwerkelementen bloot om virtuele netwerken mogelijk te maken tussen vendor-agnostische hypervisors, cloudbeheersystemen en bijbehorende netwerkhardware. Het ondersteunt ook externe netwerk- en beveiligingsecosysteemdiensten.
Belangrijke kenmerken van NSX
- Switching: NSX logische switches maken gebruik van unieke Virtual Extensible LAN (VXLAN) netwerkidentifiers om een logische overlay-uitbreiding voor het L2-netwerk te creëren, waar applicaties en tenant virtuele machines (VM’s) vervolgens logisch op kunnen worden aangesloten. Deze logische broadcastdomeinen zorgen voor meer flexibiliteit en snellere implementatie, terwijl ze de kenmerken van een virtueel LAN (VLAN) bieden zonder het risico van wildgroei.
- Routing: NSX voert routing uit met zowel logische gedistribueerde routers, die routes creëren tussen virtuele netwerken in de hypervisor kernel, als fysieke routers voor scale-out routing met active-active failover.
- Gedistribueerde firewalling: De NSX gedistribueerde firewall is een hypervisor kernel-embedded firewall die zich verspreidt over de ESXi host. Een netwerkbeheerder kan aangepaste firewallbeleidsregels maken, die worden afgedwongen op het niveau van de virtuele netwerkinterfacekaart (vNIC), om stateful firewalldiensten voor VM’s af te dwingen en de zichtbaarheid en controle voor gevirtualiseerde netwerken en workloads te vergroten.
- Load balancing: NSX biedt een L4-L7 load balancer die netwerkverkeer onderschept, vertaalt en manipuleert om de beschikbaarheid en schaalbaarheid van bedrijfsapplicaties te verbeteren. De NSX load balancer bevat ondersteuning voor Secure Sockets Layer (SSL) offload voor pass-through en server health checks. De L4 load balancer biedt pakketgebaseerde load balancing, die het pakket naar een specifieke server stuurt nadat het is gemanipuleerd; de L7 load balancer biedt socketgebaseerde load balancing, die client- en server-gerichte verbindingen tot stand brengt voor een enkel verzoek.
- Virtueel privénetwerk (VPN): NSX omvat site-to-site en remote access VPN-mogelijkheden en unmanaged VPN voor cloud gateway-services.
- NSX Edge-gateway: De NSX Edge gateway is een VM die zich gedraagt als een appliance om L3-routing, firewalling, site-to-site virtual private networking, load balancing en meer uit te voeren. Deze functie biedt ook ondersteuning voor VXLAN-naar-VLAN-bridging voor naadloze verbinding met fysieke workloads.
- Application programming interface (API): NSX maakt gebruik van een representational state transfer (REST)-gebaseerde API om de integratie van producten en diensten van derden te vereenvoudigen en om NSX te integreren met cloudbeheer voor extra automatiseringsmogelijkheden.
- Operations: Native operations-mogelijkheden omvatten centrale CLI, Switch Port Analyzer (SPAN), IP Flow Information Export (IPFIX), Application Rule Manager (ARM), Endpoint Monitoring en integratie met VMware vRealize Suite voor proactieve monitoring, analytics en troubleshooting.
- Dynamisch beveiligingsbeleid: NSX Service Composer stelt de netwerkbeheerder in staat om netwerk- en beveiligingsservices te provisionen en toe te wijzen aan applicaties. De beheerder kan Service Composer ook gebruiken om dynamische beveiligingsgroepen te maken met aangepaste filters, zoals VMware vCenter-objecten en -tags, OS-type en Active Directory (AD)-rollen.
- Cloudbeheer: NSX integreert van nature met vRealize Automation en OpenStack voor cloudbeheer.
- Cross-vCenter Networking and Security (Cross-VC NSX): Deze mogelijkheid schaalt NSX vSphere over vCenter- en datacenter-grenzen heen. Dit stelt de netwerkbeheerder in staat om capacity pooling over vCenters aan te pakken, datacentermigraties te vereenvoudigen, vMoties over lange afstanden uit te voeren en disaster recovery (DR) uit te voeren.
- Log management: NSX integreert met vRealize Log Insight, dat logboekvermeldingen van ESXi-hosts ontvangt, content packs gebruikt om de informatie die elke logboekvermelding bevat te verwerken en problemen binnen de NSX-implementatie identificeert.
NSX use cases
Volgens VMware zijn de top drie use cases die NSX-adoptie stimuleren microsegmentatie, IT-automatisering en DR. Deze use cases zijn gericht op het oplossen van problemen die vaak geassocieerd worden met netwerkvirtualisatie, zoals slechte verkeersprestaties en onvoldoende beveiliging.
De eerste van deze use cases, microsegmentatie, richt zich op netwerkbeveiliging. Microsegmentatie neemt de gebruikelijke netwerkpraktijk van segmentatie en past deze toe op een granulair niveau. Dit stelt de netwerkbeheerder in staat om een zero-trust security perimeter op te zetten rond een specifieke set van middelen – meestal workloads of netwerksegmenten – en oost-west firewall functionaliteit toe te voegen aan het datacenter. NSX stelt de beheerder ook in staat om aanvullend beveiligingsbeleid te maken voor specifieke workloads, ongeacht waar ze zich in de netwerktopologie bevinden.
NSX maakt gebruik van datacenterautomatisering voor snelle en flexibele netwerkprovisioning. De netwerkbeheerder kan snel een nieuw netwerk of netwerksegment voorzien van workloads, resources en beveiligingsbeleid dat er al aan gekoppeld is. Dit elimineert knelpunten en maakt NSX ideaal voor het testen van applicaties en het werken met grillige workloads, die NSX logisch geïsoleerd kan houden op hetzelfde fysieke netwerk.
Automatisering is ook essentieel voor DR. NSX integreert met orkestratietools, zoals vSphere Site Recovery Manager (SRM), waarmee failover en DR worden geautomatiseerd. In combinatie met NSX kan SRM worden gebruikt voor storagereplicatie en voor het beheren en testen van herstelplannen. SRM integreert ook met Cross-VC NSX. Cross-VC NSX, geïntroduceerd in NSX 6.2, maakt logische netwerken en beveiliging over meerdere vCenters mogelijk, waardoor het eenvoudiger wordt om consistent beveiligingsbeleid af te dwingen zonder dat handmatige tussenkomst nodig is. Bij gebruik in combinatie met Cross-VC NSX brengt SRM automatisch universele netwerken over beschermde en recovery-locaties in kaart.
NSX-licenties en versies
In mei 2016 heeft VMware zijn NSX-licentieschema bijgewerkt en twee nieuwe licenties geïntroduceerd — Standard en Advanced — als aanvulling op de volledige Enterprise-productlicentie.
Volgens VMware is de NSX Standard-licentie bedoeld voor organisaties die behoefte hebben aan netwerkagility en -automatisering en bevat deze functies zoals distributed switching, distributed routing en integratie met de vRealize Suite en OpenStack. De mid-range licentie, NSX Advanced, biedt dezelfde mogelijkheden als de Standard-licentie, maar ook microsegmentatie voor een veiliger datacenter en functies als NSX Edge load balancing en distributed firewalling. De hoogste licentie, NSX Enterprise, bevat dezelfde mogelijkheden als de Advanced-licentie, maar ook netwerken en beveiliging over meerdere domeinen via functies als Cross-VC NSX.
VMware heeft het NSX-licentieschema in mei 2017 opnieuw bijgewerkt — dit keer met de introductie van een editie van NSX voor Remote and Branch Offices (ROBO).
Naast deze NSX-licenties hebben VMware-klanten de mogelijkheid om NSX-T en NSX Cloud aan te schaffen. NSX-T, dat in februari 2017 is uitgebracht, biedt netwerk- en beveiligingsbeheer voor non-vSphere-applicatieraamwerken, meerdere Kernel-based Virtual Machine (KVM)-distributies en OpenStack-omgevingen. NSX-T ondersteunt ook Photon Platform, VMware’s cloud-native infrastructuursoftware voor containers. NSX Cloud neemt NSX-T-componenten en integreert deze met de publieke cloud. NSX Cloud-klanten hebben toegang tot een multi-tenant dashboard, dat is geïntegreerd met VMware Cloud Services, en kunnen applicaties ontwikkelen en testen met dezelfde netwerk- en beveiligingsprofielen die in de productieomgeving worden gebruikt.
Certificering en training
VMware biedt vijf certificeringen voor NSX op verschillende niveaus. VMware’s entry-level NSX-certificering, VMware Certified Professional 6 – Network Virtualization (VCP6-NV), toont aan dat de kandidaat in staat is NSX virtuele netwerkimplementaties te installeren, te configureren en te beheren.
VMware’s mid-level NSX-certificering, VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV), toont het vermogen van de kandidaat aan om een op NSX gebaseerde datacenternetwerkinfrastructuur te implementeren.
Op dit moment is er slechts één optie voor VCAP6-NV-certificering — VCAP6-NV Deploy — maar VMware heeft plannen om ook een Design-track toe te voegen. Elke kandidaat die de VCAP6-NV Design certificering behaalt, komt in aanmerking voor de VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV) certificering. Zodra VMware de VCAP6-NV Design-certificering uitbrengt, zullen kandidaten die zowel VCAP6-NV Deploy- als Design-certificeringen behalen, automatisch de VCIX6-NV-status verdienen.
Het hoogste niveau van NSX-certificering, VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV), toont aan dat de kandidaat bekend is met vSphere en NSX en in staat is een op NSX gebaseerde datacenternetwerkinfrastructuur te ontwerpen.