nsx网络和安全解决方案简介

1、VMware网络与安全处理方案第1页议程第2页议程第3页客户需要.资源池灵活 IPAM零信任安全微分段自服务及扩展性弹性计算分区扩展到公有云第4页需要做出什么样改变运行模式从硬件解耦网络创建、删除、增加和削减对应用程序透明可编程，可监视良好扩展性?我们能够像管理VM一样管理网络吗？第5页VMware NSX介绍基于NSX网络虚拟化二层交换三层路由防火墙负载均衡和VM一样管理网络硬件软件第6页议程第7页VMware NSX 网络与安全功效任何应用程序(无需修改)虚拟网络VMware NSX 网络虚拟化平台任何网络硬件任何云管理平台任何虚拟化层逻辑交换 运行于三层网络之上二层网络，与物理网络解耦逻

2、辑路由 在虚拟网络之间以及虚拟网络和物理网络之间路由逻辑防火墙 分布式防火墙，内核集成，高性能逻辑负载均衡 利用软件实现应用负载均衡逻辑VPN 经过软件实现站点到站点以及远程访问VPN服务NSX API 可与任何云管理平台相集成RESTful API合作搭档生态系统第8页VMware NSX组件控制面板NSX 控制器运行态将虚拟网络与物理网络解耦独立于数据路径高可用数据 面板NSX EdgeVDS/OVS虚拟化层扩展模块FirewallDistributed Logical RouterVXLANNSX vSwitch高可用虚拟机服务于南北向流量数据面板路由和高级服务智能网络边界线速性能管理面

3、板NSX 管理器单点配置REST API和用户界面高可用CMP消费者自服务门户vCAC, vCD, Openstack, Cloudstack, 自定义门户第9页议程第10页利用VMware NSX布署网络虚拟化计算1利用现存网络基础架构任意网络厂商任意网络拓扑IP包转发网络第11页利用VMware NSX布署网络虚拟化(续)计算12利用现存网络基础架构布署VMware NSXNSX管理与边界服务NSXEdgeNSXMgmt虚拟基础架构NSX基础架构第12页利用VMware NSX布署网络虚拟化(续)计算12利用现存网络基础架构布署VMware NSXNSX管理与边界服务NSXEdgeNSXM

4、gmt虚拟基础架构NSX基础架构3应用程序消费网络资源CMP门户/自服务可编程虚拟网络布署逻辑网络+第13页VMware NSX逻辑交换机应用/租户之间分段虚拟机移动性需要大二层网络大二层物理网络扩展造成生成树问题硬件内存 (MAC, FIB)表限制跨数据中心扩展多租户在3层基础架构上实现2层网络基于VXLAN, STT, GRE等实现Overlay 可跨越多个物理主机和网络交换机逻辑交换服务挑战收益逻辑交换 将网络扩展性提升1000倍Animated SlideVMware NSXLogical Switch 1Logical Switch 2Logical Switch 3第14页Egre

5、ss逻辑交换服务逻辑交换(L2)L2逻辑交换(L2)Load BalancerIDS软件定义虚拟网络Ingress/24/24网络虚拟化物理网络通用IP硬件第15页VM to VM Routed Traffic FlowVMware NSX三层路由: 分布式、功效全方面物理基础架构扩展性存在挑战路由扩展性虚拟机移动性存在挑战多租户路由复杂度流量发夹问题在虚拟化层实现分布式路由动态，基于API配置完整功效OSPF, BGP, IS-IS基于租户逻辑路由器可与物理交换机协同挑战收益可扩展路由 简化多租户 控制器集群NSX管理器L2 L2Tenant ATenant BL2 L2 L2Tenant

6、CL2 L2 L2Animated SlideCMP第16页虚拟网络：一个经过软件定义完整网络逻辑交换(L2)L3L2Egress逻辑交换(L2)L2L3Load BalancerIDS软件定义虚拟网络Ingress/24/24网络虚拟化物理网络通用IP硬件第17页VMware NSX防火墙：高性能，可扩展集中式防火墙模型静态配置基于IP地址规则每设备40 Gbps对封装流量缺乏可见性分布在虚拟化层动态，基于API配置使用VM名字和基于标识规则线速，每主机15+ Gbps对封装流量完全可见挑战收益性能与扩展性 1,000+主机 30Tbps防火墙物理安全模型用于SDDCNSX防火墙防火墙管理A

7、nimated SlideVMware NSXAPICMP第18页虚拟网络：一个经过软件定义完整网络逻辑交换(L2)L3L2FWEgress逻辑交换(L2)L2L3Load BalancerIDS软件定义虚拟网络Ingress/24/24网络虚拟化层物理网络通用IP硬件FW第19页VMware NSX负载均衡应用移动性多租户配置复杂度手工布署模型按需负载均衡服务满足应用需要简单布署模式单臂或联机Layer 7, SSL, 挑战收益负载均衡 基于租户应用可用性模型Animated SlideL2租户AVM1VM2VM1VM3VM2L2L2L3租户B第20页服务布署挑战物理服务设备Animated

8、 SlideWebWebDBDBAppAppWebWebAppAppDBDB第21页服务布署挑战虚拟服务设备Animated SlideWebWebDBDBAppAppWebWebAppAppDBDB第22页NSX平台组成示例数据库层逻辑交换机Web层逻辑交换机应用层逻辑交换机外部网络为三层应用提供基本网络连接服务1配置简单全部经过软件实现无需改变物理网络配置边界服务(HA, FW, NAT, VPN, LB Services)NSX平台自动创建和连接网络与服务2快速可重复布署包含网络与安全服务REST API逻辑交换机二层桥接Bridged VLAN VM逻辑路由器第23页采取NV技术数据中

9、心网络架构广域网互联网Rack 1Infrastructure RacksEdge RacksToRRack 2Rack NToRToRToRToR第24页议程第25页WANInternetComputeMgmt and ControlEdge RackNSX高可用机制Animated SlideNSX完全能够应用于生产网络vSphere Clusters NSX组件高可用NSX控制器： 集群，主机级高可用，数据面板分离。NSX管理器： 存放高可用和配置备份，不保留运行态数据。NSX Edge: 成对虚拟机，活动状态同时，主机级别高可用。NSX vSwitch: 分布式架构，影响范围只限于故障

10、主机。主机失败： 虚拟机会被迁移到其它主机，NSX组件继续提供服务最正确实践将管理组件，控制组件和Edge虚拟设备布署于集群之中。第26页网络虚拟化平台运行亮点总体逻辑网络健康/状态VM到VM连通性基于VM数据流可见性流量分析数据包捕捉传输隧道健康清单和容错管理多级日志、事件跟踪和审计物理网络排故和可见性升级管理聚合运维视图统计信息搜集告警和健康监视网络性能与资源利用全基础架构管理与监视(vCenter Operations Manager)第27页议程第28页NSX扩展性：合作搭档集成NSX控制器NSX API合作搭档扩展网络安全平台网关服务应用交付服务安全服务+Cloud MgmtPlat

11、forms第29页NSX基于策略管理框架能够在软件定义数据中心里更有效率地使用网络和安全服务应用 在一个位置上应用安全策略到工作负载，并随时保持可见性自动化不需要开发即可在不一样服务之间实现自动化工作流。置备使用一个方法置备服务和监视服务可用性第30页议程第31页VMware NSX 应用场景自服务ITDev XDev ATest XAcquisition A开发云新员工报道管理应用特定网络灵活IP地址管理简化使用主要功效示例数据中心自动化应用微分段简化计算分区DMZ布署可编程消费完整功效集可见性与运维主要功效示例公有云XaaS云垂直云多租户布署二三层可编程安全性重合IP地址任意虚拟化层、任意

12、CMP主要功效示例第32页vSphereX86主机KVMXen ServerHyper-V线速双向任意物理与虚拟节点硬件软件硬件软件任意云管理平台线速双向无需绕路线速双向内核集成25,000 CPS250万会话15G bps100K CPS1M并发FW, LB, VPN软件定义网络新角色分布式交换机分布式路由器分布式防火墙边界服务VMware NSX 软件 (网络虚拟化)虚拟网络现存网络基础架构第33页谢谢！tzang第34页Seeing Broad Adoption第35页Physical View Of NSX Component DeploymentCompute ClustersMan

13、agement ClusterEdge Cluster NSX Manager NSX Edge NSX ControllerData Center IP networkManagement network(vMotion & storage)vCenterServerPhysicalAppliancesExternal networksWAN/ Internet Compute RacksInfra RacksEdge RacksController SoftwareVirtual network orchestratorMassive scaleHypervisor Service Mod

14、ulesDistributed network services (Switching, Routing)Load Balancer, Switch, Firewall, Router/VPNGateway SoftwareIntegration with existing physical infra.V to V / V to P L2L3第36页Priv UserNetwork Activity MonitoringSolution CategoriesCMPvCD, vCAC, etc.NSXService ComposerAutomationvCO, Scripts, etc.APIREST, Java, .NETNW IsoVXLAN, NATFirewallTCP, IdentityVPNIPsec, SSLDLPAt Rest, WirePriv UserAAA, Session RecordingAVMalware, Whitelist FIMConfig Files,RegistryIPS/IDSMonitor, Prevent, ReportVulnerabilityPenetration TestingNext Gen FWApp Aware, Fine GrainedApp Layer IPSEncryptionVMFS, VMDK,