VMware-NSX网络与安全解决方案简介

VMware网络与安全解决方案JasonchenVMWARE售前技术顾问议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结虚拟服务器网络端口年增长率32%物理服务器网络端口年增长率15%时机已成熟Source:CrehanResearchInc.40%的虚拟化管理员已经管理虚拟网络77%的Vmware用户准备部署网络虚拟化客户需要…….资源池灵活的

IPAM零信任安全微分段自服务及扩展性弹性计算分区扩展到公有云虚拟化——动态多变园区核心网VM–VM流量必须流经物理网络基于IP地址的访问规则扩展性问题复杂的防火墙规则表防火墙–“拥塞点”需要做出什么样的改变……虚拟机数据中心网络运营模式从硬件解耦网络的创建、删除、增长和削减对应用程序透明可编程，可监视良好扩展性?我们能够像管理VM一样管理网络吗？网络虚拟化NetworkVirtualization=SDN+L2L3VirtualNetworksL2SDN的属性与特点控制层面与转发层面分离软件创新加快业务上市时间服务多样可扩展虚拟化带来的好处灵活、效率、可移动不中断部署软硬件分离业务部署独立于硬件DistributedForwardingManualConfiguration网络虚拟化融合了虚拟化和SDN的技术，适应网络架构扁平化设计需求VMwareNSX简介基于NSX的网络虚拟化二层交换三层路由防火墙负载均衡和VM一样

管理网络硬件软件议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结VMwareNSX–集成的网络与安全功能任何应用程序(无需修改)虚拟网络VMwareNSX

网络虚拟化平台任何网络硬件任何云管理平台任何虚拟化层逻辑交换–运行于三层网络之上的二层网络，与物理网络解耦逻辑路由–在虚拟网络之间以及虚拟网络和物理网络之间路由逻辑防火墙

–分布式防火墙，内核集成，高性能逻辑负载均衡

–利用软件实现的应用负载均衡逻辑VPN–通过软件实现站点到站点以及远程访问VPN服务NSXAPI–可与任何云管理平台相集成的RESTfulAPI合作伙伴生态系统VMwareNSX组件控制

面板NSX控制器运行态将虚拟网络与物理网络解耦独立于数据路径高可用数据

面板NSXEdgeVDS/OVS虚拟化层扩展模块FirewallDistributedLogicalRouterVXLANNSXvSwitch高可用虚拟机服务于南北向流量的数据面板路由和高级服务智能网络边界线速性能管理

面板NSX管理器单点配置RESTAPI和用户界面高可用CMP消费者自服务门户vCAC,vCD,Openstack,Cloudstack,自定义门户CONFIDENTIAL13议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结利用VMwareNSX部署网络虚拟化计算1利用现存的

网络基础架构任意网络厂商任意网络拓扑IP包转发网络利用VMwareNSX部署网络虚拟化(续)计算12利用现存的

网络基础架构部署VMwareNSXNSX管理与边界服务NSXEdgeNSXMgmt虚拟基础架构

NSX基础架构利用VMwareNSX部署网络虚拟化(续)计算12利用现存的

网络基础架构部署VMwareNSXNSX管理与边界服务NSXEdgeNSXMgmt虚拟基础架构

NSX基础架构3应用程序

消费网络资源CMP门户/自服务可编程的

虚拟网络部署逻辑网络+VMwareNSX逻辑交换机应用/租户之间的分段虚拟机的移动性需要大二层网络大的二层物理网络扩展导致生成树问题硬件内存(MAC,FIB)表限制跨数据中心扩展多租户在3层基础架构上实现2层网络基于VXLAN,STT,GRE等实现Overlay

可跨越多个物理主机和网络交换机的逻辑交换服务挑战收益逻辑交换

–将网络的扩展性提高1000倍AnimatedSlideVMwareNSXLogicalSwitch1LogicalSwitch2LogicalSwitch3Egress逻辑交换服务逻辑交换(L2)L2逻辑交换(L2)LoadBalancerIDS软件定义的

虚拟网络Ingress/24/24网络虚拟化物理网络通用IP硬件VMtoVMRoutedTrafficFlowVMwareNSX三层路由:分布式、功能全面物理基础架构的扩展性存在挑战——路由扩展性虚拟机的移动性存在挑战多租户路由的复杂度流量的发夹问题在虚拟化层实现分布式路由动态的，基于API的配置完整功能——OSPF,BGP,IS-IS基于租户的逻辑路由器可与物理交换机协同挑战收益可扩展的路由

–简化多租户

控制器集群NSX管理器L2L2TenantATenantBL2L2L2TenantCL2L2L2AnimatedSlideCMP虚拟网络：一个通过软件定义的完整网络逻辑交换(L2)L3L2Egress逻辑交换(L2)L2L3LoadBalancerIDS软件定义的

虚拟网络Ingress/24/24网络虚拟化物理网络通用IP硬件VMwareNSX防火墙：高性能，可扩展集中式防火墙模型静态配置基于IP地址的规则每设备40Gbps对封装的流量缺少可见性分布在虚拟化层动态，基于API的配置使用VM名字和基于标识的规则线速，每主机15+Gbps对封装的流量完全可见挑战收益性能与扩展性

——1,000+主机

30Tbps防火墙物理安全模型用于SDDC的NSX防火墙防火墙管理AnimatedSlideVMwareNSXAPICMPEditableTextHere外部网络单个逻辑交换机

Vxlan-5004Web-sv-02aApp-sv-02aDb-sv-02a客户端逻辑交换机

Vxlan-5000Client-01Client-02Web服务逻辑交换机

Vxlan-5002App服务逻辑交换机Vxlan-5003DB服务逻辑交换机Vxlan-5001Web-sv-01aApp-sv-01aDb-sv-01a三层应用的部署方式基于身份的访问控制活动目录张三用户AD组应用名字来源VM名字目标VM名字源IP目的IPEricFrostEngineeringSPDesigner.exeEric-Win7Ent-Sharepoint58ESXiSharepointIP:5源目的服务动作EngineeringEnt-SharepointhttpPermit,Log规则表日志动态安全组成员关系防火墙规则表多租户环境下的NSX防火墙外部网络Tenant2LogicalSwitch租户1的

逻辑交换机VMVMVMVMVMVM路由,VPN,NAT租户指定的微分段租户2的

逻辑交换机虚拟网络：一个通过软件定义的完整网络逻辑交换(L2)L3L2FWEgress逻辑交换(L2)L2L3LoadBalancerIDS软件定义的

虚拟网络Ingress/24/24网络虚拟化层物理网络通用IP硬件FWVMwareNSX负载均衡应用的移动性多租户配置复杂度——手工部署模型按需的负载均衡服务满足应用需要的简单部署模式——单臂或联机Layer7,SSL,…挑战收益负载均衡

–基于租户的应用可用性模型AnimatedSlideL2租户AVM1VM2VM1VM3VM2L2L2L3租户B服务部署挑战——物理服务设备AnimatedSlideWebWebDBDBAppAppWebWebAppAppDBDB服务部署挑战——虚拟服务设备AnimatedSlideWebWebDBDBAppAppWebWebAppAppDBDBNSX平台构成示例数据库层

逻辑交换机Web层

逻辑交换机应用层

逻辑交换机外部

网络为三层应用提供基本的网络连接服务1配置简单全部通过软件实现无需改变物理网络配置边界服务(HA,FW,NAT,VPN,LBServices)NSX平台自动创建和连接

网络与服务2快速可重复的部署包括网络与安全服务RESTAPI逻辑交换机二层桥接BridgedVLANVM逻辑路由器采用NV技术的数据中心网络架构广域网

互联网Rack1InfrastructureRacksEdgeRacksToRRack2RackNToRToRToRToR议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结WAN

InternetComputeMgmtandControlEdgeRackNSX高可用机制AnimatedSlideNSX完全可以应用于生产网络vSphereClustersNSX组件的高可用NSX控制器：集群，主机级高可用，数据面板分离。NSX管理器：存储高可用和配置备份，不保存运行态数据。NSXEdge:成对虚拟机，活动状态同步，主机级别高可用。NSXvSwitch:分布式架构，影响范围只限于故障主机。主机失败：

虚拟机会被迁移到其它主机，NSX组件继续提供服务最佳实践将管理组件，控制组件和Edge虚拟设备部署于集群之中。网络虚拟化平台运营亮点总体逻辑网络健康/状态VM到VM的连通性基于VM的数据流可见性流量分析——数据包捕获传输隧道健康清单和容错管理多级日志、事件跟踪和审计物理网络排故和可见性升级管理聚合运维视图统计信息收集告警和健康监视网络性能与资源利用全基础架构管理与监视(vCenterOperationsManager)议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营