VMware NSX to rodzina produktów oprogramowania wirtualnej sieci i bezpieczeństwa stworzona na podstawie własności intelektualnej VMware’s vCloud Networking and Security (vCNS) i Nicira’s Network Virtualization Platform (NVP).
Sieć definiowana programowo (SDN) NSX jest częścią koncepcji VMware’s software-defined data center (SDDC), która oferuje cloud computing na technologiach wirtualizacji VMware. Zadeklarowanym przez VMware celem NSX jest dostarczanie wirtualnych środowisk sieciowych bez interfejsu wiersza poleceń (CLI) lub innej bezpośredniej interwencji administratora. Wirtualizacja sieci abstrahuje operacje sieciowe od podstawowego sprzętu na rzecz rozproszonej warstwy wirtualizacji, podobnie jak wirtualizacja serwerów w przypadku mocy obliczeniowej i systemów operacyjnych (OS). VMware vCNS wirtualizuje warstwy 4-7 (L4-L7) sieci. NVP firmy Nicira wirtualizuje strukturę sieciową, warstwę 2 (L2) i warstwę 3 (L3).
NSX eksponuje logiczne zapory, przełączniki, routery, porty i inne elementy sieciowe, aby umożliwić wirtualną sieć między hiperwizorami niezależnymi od producenta, systemami zarządzania chmurą i powiązanym sprzętem sieciowym. Obsługuje również zewnętrzne usługi sieciowe i usługi ekosystemu bezpieczeństwa.
Ważne cechy NSX
- Przełączanie: Przełączniki logiczne NSX wykorzystują unikalne identyfikatory sieciowe Virtual Extensible LAN (VXLAN), aby stworzyć logiczne rozszerzenie nakładki dla sieci L2, do której można następnie logicznie podłączyć aplikacje i dzierżawione maszyny wirtualne (VM). Te logiczne domeny rozgłoszeniowe umożliwiają większą elastyczność i szybsze wdrażanie, a jednocześnie zapewniają cechy wirtualnej sieci LAN (VLAN) bez ryzyka rozrostu.
- Routing: NSX realizuje routing zarówno za pomocą logicznych routerów rozproszonych, które tworzą trasy między sieciami wirtualnymi w jądrze hypervisora, jak i fizycznych routerów do routingu scale-out z przełączaniem awaryjnym active-active.
- Rozproszona zapora ogniowa: NSX distributed firewall jest firewallem osadzonym w jądrze hypervisora, który rozciąga się na hosta ESXi. Administrator sieci może tworzyć niestandardowe polityki zapory, które są egzekwowane na poziomie wirtualnej karty interfejsu sieciowego (vNIC), aby wymusić usługi stateful firewall dla maszyn wirtualnych oraz zwiększyć widoczność i kontrolę dla zwirtualizowanych sieci i obciążeń roboczych.
- Równoważenie obciążenia: NSX oferuje load balancer L4-L7, który przechwytuje, tłumaczy i manipuluje ruchem sieciowym w celu poprawy dostępności i skalowalności aplikacji korporacyjnych. NSX load balancer zawiera wsparcie dla Secure Sockets Layer (SSL) offload dla pass-through i kontroli stanu serwera. Load balancer L4 oferuje load balancing oparty na pakietach, który wysyła pakiet do określonego serwera po jego zmanipulowaniu; load balancer L7 oferuje load balancing oparty na gniazdach, który ustanawia połączenia klient-serwer dla pojedynczego żądania.
- Wirtualna sieć prywatna (VPN): NSX zawiera funkcje VPN typu site-to-site i zdalnego dostępu oraz niezarządzane VPN dla usług bramy w chmurze.
- Brama NSX Edge: NSX Edge gateway to maszyna wirtualna, która zachowuje się jak urządzenie, aby wykonywać routing L3, firewalling, wirtualną sieć prywatną site-to-site, równoważenie obciążenia i inne. Funkcja ta oferuje również wsparcie dla mostkowania VXLAN to VLAN dla bezproblemowego połączenia z fizycznymi obciążeniami roboczymi.
- Interfejs programowania aplikacji (API): NSX wykorzystuje interfejs API oparty na REST (Representational State Transfer), aby uprościć integrację produktów i usług innych firm oraz zintegrować NSX z zarządzaniem chmurą w celu uzyskania dodatkowych możliwości automatyzacji.
- Operacje: Natywne możliwości operacyjne obejmują centralny CLI, Switch Port Analyzer (SPAN), IP Flow Information Export (IPFIX), Application Rule Manager (ARM), Endpoint Monitoring oraz integrację z VMware vRealize Suite dla proaktywnego monitorowania, analityki i rozwiązywania problemów.
- Dynamiczna polityka bezpieczeństwa: NSX Service Composer umożliwia administratorowi sieci dostarczanie i przypisywanie usług sieciowych i bezpieczeństwa do aplikacji. Administrator może również wykorzystać Service Composer do tworzenia dynamicznych grup zabezpieczeń z niestandardowymi filtrami, takimi jak obiekty i znaczniki VMware vCenter, typ systemu operacyjnego oraz role Active Directory (AD).
- Zarządzanie chmurą: NSX natywnie integruje się z vRealize Automation i OpenStack w celu zarządzania chmurą.
- Cross-vCenter Networking and Security (Cross-VC NSX): Ta możliwość skaluje NSX vSphere ponad granicami vCenter i centrów danych. Dzięki temu administrator sieci może zająć się łączeniem pojemności między centrami danych, uprościć migrację do centrów danych, wykonywać ruchy vMotions na duże odległości i odzyskiwanie po awarii (DR).
- Zarządzanie dziennikami: NSX integruje się z vRealize Log Insight, który odbiera wpisy dziennika z hostów ESXi, wykorzystuje pakiety treści do przetwarzania informacji zawartych w każdym wpisie dziennika i identyfikuje problemy we wdrożeniu NSX.
Przypadki użycia NSX
Według VMware, trzy najważniejsze przypadki użycia napędzające adopcję NSX to mikrosegmentacja, automatyzacja IT i DR. Te przypadki użycia mają na celu rozwiązanie problemów powszechnie związanych z wirtualizacją sieci, takich jak słaba wydajność ruchu i niewystarczające bezpieczeństwo.
Pierwszy z tych przypadków użycia, mikrosegmentacja, dotyczy bezpieczeństwa sieci. Mikrosegmentacja wykorzystuje powszechną praktykę segmentacji sieci i stosuje ją na poziomie granularnym. Umożliwia to administratorowi sieci ustanowienie granicy bezpieczeństwa typu „zero zaufania” wokół określonego zestawu zasobów – zazwyczaj obciążeń lub segmentów sieci – oraz dodanie funkcji zapory ogniowej wschód-zachód do centrum danych. NSX umożliwia również administratorowi tworzenie dodatkowych polityk bezpieczeństwa dla określonych obciążeń, niezależnie od ich umiejscowienia w topologii sieci.
NSX wykorzystuje automatyzację centrum danych do szybkiego i elastycznego udostępniania sieci. Administrator sieci może szybko utworzyć nową sieć lub segment sieci z obciążeniami, zasobami i politykami bezpieczeństwa już do nich dołączonymi. Eliminuje to wąskie gardła i czyni NSX idealnym do testowania aplikacji i pracy z nieregularnymi obciążeniami, które NSX może logicznie odizolować w tej samej sieci fizycznej.
Automatyzacja jest również niezbędna do DR. NSX integruje się z narzędziami orkiestracji, takimi jak vSphere Site Recovery Manager (SRM), który automatyzuje przełączanie awaryjne i DR. W połączeniu z NSX, SRM może być używany do replikacji pamięci masowej oraz do zarządzania i testowania planów odzyskiwania. SRM integruje się również z Cross-VC NSX. Wprowadzony w NSX 6.2, Cross-VC NSX umożliwia logiczne połączenie sieciowe i bezpieczeństwo w wielu vCentrach, co ułatwia egzekwowanie spójnych polityk bezpieczeństwa bez konieczności ręcznej interwencji. W połączeniu z Cross-VC NSX, SRM automatycznie mapuje uniwersalne sieci w obrębie chronionych i odzyskiwanych lokalizacji.
Licencjonowanie i wersje NSX
W maju 2016 r. firma VMware zaktualizowała schemat licencjonowania NSX, wprowadzając dwie nowe licencje — Standard i Advanced — jako uzupełnienie pełnej licencji produktu Enterprise.
Jak podaje VMware, licencja NSX Standard jest przeznaczona dla organizacji wymagających zwinności i automatyzacji sieci i zawiera takie funkcje jak rozproszone przełączanie, rozproszony routing oraz integrację z vRealize Suite i OpenStack. Licencja klasy średniej, NSX Advanced, oferuje te same możliwości co licencja Standard, a także mikrosegmentację dla bardziej bezpiecznego centrum danych oraz funkcje takie jak równoważenie obciążenia NSX Edge i rozproszona zapora ogniowa. Licencja najwyższego poziomu, NSX Enterprise, obejmuje te same możliwości, co licencja Advanced, a także sieciowanie i bezpieczeństwo w wielu domenach dzięki funkcjom takim jak Cross-VC NSX.
VMware zaktualizowało schemat licencjonowania NSX po raz kolejny w maju 2017 — tym razem wprowadzając edycję NSX for Remote and Branch Offices (ROBO).
Oprócz tych licencji NSX, klienci VMware mają możliwość zakupu NSX-T i NSX Cloud. Wydany w lutym 2017 r., NSX-T oferuje zarządzanie siecią i bezpieczeństwem dla frameworków aplikacji innych niż VSphere, wielu dystrybucji Kernel-based Virtual Machine (KVM) i środowisk OpenStack. NSX-T obsługuje również Photon Platform, oprogramowanie VMware do tworzenia infrastruktury chmurowej dla kontenerów. NSX Cloud wykorzystuje komponenty NSX-T i integruje je z chmurą publiczną. Klienci NSX Cloud mają dostęp do pulpitu nawigacyjnego typu multi-tenant, który jest zintegrowany z usługami VMware Cloud Services, i mogą tworzyć i testować aplikacje z tymi samymi profilami sieci i zabezpieczeń, które są używane w środowisku produkcyjnym.
Certyfikacja i szkolenia
VMware oferuje pięć certyfikatów dla NSX na różnych poziomach. Podstawowy certyfikat VMware dla NSX, VMware Certified Professional 6 – Network Virtualization (VCP6-NV), demonstruje zdolność kandydata do instalowania, konfigurowania i administrowania wdrożeniami wirtualnych sieci NSX.
Certyfikat VMware’s mid-level NSX, VMware Certified Advanced Professional 6 – Network Virtualization (VCAP6-NV), demonstruje zdolność kandydata do wdrażania infrastruktury sieciowej centrum danych opartej na NSX.
W chwili obecnej istnieje tylko jedna opcja certyfikacji VCAP6-NV — VCAP6-NV Deploy — ale VMware planuje dodać również ścieżkę Design. Każdy kandydat, który uzyska certyfikat VCAP6-NV Design, kwalifikuje się do uzyskania certyfikatu VMware Certified Implementation Expert 6 – Network Virtualization (VCIX6-NV). Gdy VMware wyda certyfikat VCAP6-NV Design, kandydaci, którzy uzyskają zarówno certyfikat VCAP6-NV Deploy, jak i Design, automatycznie uzyskają status VCIX6-NV.
Najwyższy poziom certyfikacji NSX, VMware Certified Design Expert 6 – Network Virtualization (VCDX6-NV), demonstruje znajomość vSphere i NSX oraz zdolność kandydata do zaprojektowania infrastruktury sieciowej centrum danych opartej na NSX.