Czym jest VMware NSX ?
VMware NSX to jeden z głównych komponentów rozwiązania Centrum Przetwarzania Danych Definiowanego Programowo – VMware Software-Defined Data Center (SDDC). VMware NSX jest zaliczane do kategorii rozwiązania Sieci Definiowanej Programowo (Software-Defined Networking- SDN) oraz Wirtualizacja Funkcji Sieciowych (Network Function Virtualization- NFV).
Ściśle rzecz ujmując to platforma oddzielająca oraz przenosząca funkcje sieciowe realizowane przez fizyczne dedykowane urządzenia (routery, switch’e, firewall’e, Load Balancery) do dedykowanej dystrybucyjnej warstwy wirtualizacji. Inaczej rzecz ujmując jest to uruchomienie usług realizowanych w warstwach 2-7 przez wymienione urządzenia w oprogramowaniu. Wykonuje to w sposób analogiczny jak dzieje się to w przypadku wirtualizacji serwerów w przypadku maszyn wirtualnych oraz fizycznych serwerów – na 1 serwerze fizycznym może być uruchomionych więcej niż 1 maszyna wirtualna. Jest to swoiste usunięcie permanentnego powiązania między usługą, a dedykowanym sprzętem, na którym ów serwis może działać.
VMware NSX realizuje ową separację poprzez utworzenie nowej, niezależnej od architektury sieci fizycznej sieć wirtualną. Skład architektury sieci wirtualnej (sieci nakładkowej – overlay) zawiera te same elementy jak w sieci fizycznej (podkładkowej- underlay): przełączniki, zapory ogniowe, routery, LB, koncentratory VPN, porty itd.
Niezależna od fizycznej infrastruktury architektura sieci wirtualnej oraz usługi sieciowe
Sieci wirtualne mogą być programowo (w sposób zautomatyzowany) tworzone, wdrażane oraz zarządzane w sposób zupełnie niezależny od infrastruktury sieci fizycznej. Konfiguracja tych sieci: adresacja, protokoły routingu, polityki bezpieczeństwa może być całkowicie inna od dotychczasowo działającej w sieci fizycznej. Sieć fizyczna jest wykorzystywana przez sieć wirtualną wyłącznie do transportu pakietów IP (na przykład między poszczególnymi serwerami). Usługi sieciowe są dynamicznie dostarczane, indywidualnie dla każdej maszyny wirtualnej niezależnie od topologii sieci fizycznej, sprzętu, czy też jej konfiguracji. Maszyny wirtualne mogą być dynamicznie dodawane lub przenoszone między serwerami (na przykład hostami ESXI) wraz z przypisaną do nich konfiguracją sieciową, a także politykami bezpieczeństwa (reguły firewall, ochrona przez oprogramowanie firm trzecich) w ramach całego Data Center.
Potrzeba wdrożenia rozwiązania VMware NSX:
Mikrosegmentacja
Mikrosegmentacja adresuje problem bezpieczeństwa sieciowego. Wykorzystuje ona powszechnie znaną koncepcję segmentacji, natomiast aplikuje ją na bardziej elastycznym poziomie granularnym. Realizowane jest ona przez:
- Implementację modelu bezpieczeństwa Zero Trust – administrator może zbudować warstwę zabezpieczającą zasoby środowiska wirtualnego takie jak maszyny wirtualne, poszczególne segmenty sieci (VXLAN, VLAN), kontrolować ruch wschód-zachód (east-west; ruch między maszynami wirtualnymi) do właśnie wirtualnego Data Center. Dzięki temu możliwe jest ustalanie polityk bezpieczeństwa nie tylko w oparciu o adresy IP, MAC, numery portów i typ komunikacji, ale także dla poszczególnych maszyn wirtualnych w oparciu o ich typ (OS), nazwę, przynależność do domeny, segmentu sieci itd.
- Izolacja sieci nakładkowej (overlay) od sieci podkładkowej (underlay) – odseparowanie reguł ruchu sieciowego (routing, switching, polityki bezpieczeństwa) od tych istniejących w sieci transportowej (podkładkowej) w ramach całego Data Center, bądź wielu takich ośrodków.
Rozwiązanie problemów rozciągania warstwy drugiej oraz małej ilości sieci logicznych
Do tej pory, aby maszyny na hoście (serwerze fizycznym) A oraz na hoście B znajdującymi się w osobnych lokalizacjach mogły znajdować się w tej samej sieci musiały należeć do tego samego VLAN-u. Implikowało to konieczność rozciągnięcia tego VLAN-u pomiędzy dwie lokalizacje, w których znajdują się wspomniane hosty. Wspomniane rozciągnięcie warstwy drugiej musiało nastąpić w sieci fizycznej. Powoduje to konieczność używania protokołu STP w sieci fizycznej, a także ogranicza ilość możliwych do utworzenia segmentów sieci do 4095.
VXLAN – rozwiązuje wspomniane problemy. VXLAN-y rozciągają warstwę drugą pomiędzy hostami wykorzystując do tego istniejącą sieć fizyczną działającą w warstwie 3. Czyli implementacja VXLAN-ów odbywa się w software, zaś sieć fizyczna jest wykorzystywana jedynie do prostego transferu ramek. VXLAN umożliwia zaadresowanie aż 16 777 215 segmentów sieci !
Automatyzacja
Błyskawiczne i automatyczne przygotowanie nowej sieci, bądź nowego segmentu sieci wraz z maszynami wirtualnymi oraz dedykowanymi dla nich politykami bezpieczeństwa. Umożliwia to szybkie testowe nowych aplikacji oraz ułatwia pracę z dynamicznie zmieniającymi się zasobami wirtualnymi, które NSX może izolować logicznie od siebie pomimo rezydowania w tej samej sieci fizycznej.
W kolejnej części artykułu dowiecie się znacznie więcej o potężnym atucie rozwiązania VMware NSX- MIKROSEGMENTACJI.
Bądźcie czujni !