VMware vSphere NSX-Übersicht
VMware NSX® ist eine Software-Netzwerk- und Sicherheitsvirtualisierungsplattform, die das Betriebsmodell einer virtuellen Maschine für das Netzwerk bereitstellt. Virtuelle Netze reproduzieren das Netzmodell für Ebene 2 bis Ebene 7 in Softwareform und ermöglichen die programmgestützte Erstellung und Bereitstellung komplexer mehrschichtiger Netztopologien innerhalb von Sekunden ohne zusätzliche private IBM Cloud-Netze. NSX stellt darüber hinaus ein neues Modell für die Netzsicherheit bereit. Sicherheitsprofile werden auf virtuelle Ports verteilt sowie von virtuellen Ports durchgesetzt und zusammen mit virtuellen Maschinen verschoben.
NSX unterstützt die VMware Softwaredefinierte Rechenzentrumsstrategie. Durch die Erweiterung der Virtualisierungsfunktionen für Abstraktion, Zusammenlegung und Automatisierung über alle Rechenzentrumsressourcen und -services hinweg vereinfacht und beschleunigt die SDDC-Architektur die Bereitstellung und Verwaltung von Computing-, Speicher- und Netzbetriebsressourcen mithilfe der richtlinienbasierten Automatisierung. Durch die Virtualisierung des Netzwerks bietet NSX ein neues Betriebsmodell für die Vernetzung, das die aktuellen physischen Netzwerkbarrieren durchbricht. Das neue Modell ermöglicht VMware Und IBM Cloud um eine bessere Geschwindigkeit und Agilität bei geringeren Kosten zu erreichen.
NSX enthält eine Sammlung logischer Networking Services (logische Switches, logische Router, logische Firewalls, logische Lastausgleichsfunktionen und Sicherheit für verteilte Umgebungen). Sie können angepasste Kombinationen dieser Services in isolierten, softwarebasierten virtuellen Netzen erstellen, die bestehende Anwendungen ohne Änderungen unterstützen oder spezielle Anforderungen für neue Anwendungsworkloads bereitstellen. Virtuelle Netze werden programmgesteuert bereitgestellt und unabhängig von IBM Cloud-Networking-Konstrukten verwaltet. Diese Entkopplung von der Hardware sorgt für Agilität, Geschwindigkeit und Wirtschaftlichkeit, die den Betrieb von Rechenzentren revolutionieren kann. Zu den Vorzügen von NSX gehören die folgenden Features:
- Automatisierung von Rechenzentren
- Self-Service-Networking-Services
- Schnelle Anwendungsbereitstellung mit automatisierter Netz- und Servicebereitstellung
- Isolierung von Entwicklungs-, Test- und Produktionsumgebungen in der Bare-Metal-Infrastruktur
- Multi-Tenant-Clouds, die einem einzigen Konto zugeordnet sind
Sie können NSX über das vSphere Webclient, eine Befehlszeilenschnittstelle (CLI) und REST-API. NSX zeichnet sich im Wesentlichen durch die folgenden Netzservices aus:
Logische Switches
Eine Cloudbereitstellung oder ein virtuelles Rechenzentrum kann eine Vielzahl von Anwendungen für mehrere Tenants umfassen. Diese Anwendungen und Tenants müssen mit Blick auf die Sicherheit, Fehlereingrenzung und zur Vermeidung von Problemen bei der IP-Adressierung voneinander isoliert werden. Logische Switches in NSX erzeugen logische Broadcast-Domänen oder -Segmente (VXLAN vWires), an die Anwendungen oder virtuelle Tenant-Maschinen logisch angebunden werden können. Dies ermöglicht Flexibilität und Geschwindigkeit bei der Bereitstellung. Dabei bleiben die Merkmale der Broadcast-Domänen eines physischen Netzes erhalten (VLANs) ohne die Probleme durch physische Ausuferung (Sprawl) in Ebene 2. Logische Switches bieten die Möglichkeit, tausende von Tenantnetzen in einem einzigen privaten IBM Cloud-Netz (VLAN) bereitzustellen. Ein logischer Switch ist eine verteilte Komponente und kann beliebig große Computing-Cluster bis hin zu Pods im selben Rechenzentrum umfassen. Diese Verteilung ermöglicht die Mobilität virtueller Maschinen innerhalb des Rechenzentrums ohne die Einschränkungen der physischen Layer-2-Grenzen (VLAN) zwischen Pods.
Logische Router
Dynamisches Routing sorgt für die erforderliche Weiterleitung von Informationen zwischen Broadcast-Domänen der Ebene 2 (VXLAN, vWires, logische Switches). Dieses Routing reduziert Broadcast-Domänen der Ebene 2, erhöht die Netzeffizienz und erleichtert die Skalierung. NSX erweitert diese Intelligenz dort, wo die Arbeitslasten zur Bereitstellung von Ost-West-Routingfunktionen dienen. Dadurch wird eine direktere Kommunikation zwischen VMs ohne kosten- oder zeitintensive erweiterte Hops unterstützt. Darüber hinaus bietet NSX vertikale Konnektivität für ankommende und abgehende Daten in IBM Cloud-Rechenzentren. Dies ermöglicht Tenants sicheren und effizienten Zugriff auf öffentliche Netze.
Logische Firewall
Die logische Firewall stellt Sicherheitsmechanismen für dynamische virtuelle Rechenzentren bereit. Die DFW-Komponente logischer NSX-Firewalls ermöglicht es den Benutzern, virtuelle Rechenzentrumseinheiten (virtuelle Server), vCenter-Objekte (Rechenzentren und Hosts) und herkömmliche Netzattribute wie IP-Adressen und VLANs zu segmentieren. Die Komponente für Edge-Firewalls erleichtert das Einrichten zentraler Elemente der Perimetersicherheit, z. B. das Erstellen von auf IP/VLAN-Konstrukten basierenden DMZs (Demilitarized Zones), die Isolierung zwischen Tenants in virtuellen Multi-Tenant-Rechenzentren, Netzadressumsetzung (Network Address Translation, NAT), VPNs und an Benutzern ausgerichtete SSL-VPNs. Edge Firewalls können in Kombination mit oder anstelle von Vyatta & Fortinet-Services von IBM Cloud zum Perimeterschutz verwendet werden. Die Funktion für Firewall-Datenflussüberwachung macht die Netzaktivität zwischen virtuellen Maschinen auf Anwendungsprotokollebene sichtbar. Mithilfe dieser Informationen können Sie den Datenaustausch im Netz prüfen, Firewallrichtlinien definieren bzw. optimieren und Sicherheitsrisiken für Ihr Netz aufdecken.
Logische virtuelle private Netze (Virtual Private Networks, VPNs)
SSL VPN Plus ermöglicht fernen Benutzern den Zugriff auf private Unternehmensanwendungen. IPSec VPN bietet Site-zu-Site-Konnektivität zwischen einer NSX Edge-Instanz und fernen Sites (VMware wird unter IBM Cloud ausgeführt). Durch VPNs der Ebene 2 können Benutzer ihr Rechenzentrum erweitern, indem sie virtuellen Maschinen ermöglichen, die Netzkonnektivität über geografische Grenzen hinweg und zwischen IBM Cloud-Rechenzentren und der lokalen VMware-Umgebung beizubehalten.
Logische Lastausgleichsfunktion
Die Lastausgleichsfunktion NSX Edge ermöglicht den Datenaustausch im Netz mit einer bestimmten Zieladresse über mehrere Pfade. Diese Funktion verteilt ankommende Serviceanforderungen gleichmäßig auf mehrere Server, sodass die Lastverteilung für Benutzer transparent ist. Dadurch unterstützt der Lastausgleich die optimale Ressourcenauslastung, die Maximierung des Durchsatzes, die Minimierung der Antwortzeiten und die Vermeidung von Überbelastung. NSX Edge stellt Lastausgleich bis zur Ebene 7 bereit.
Service Composer
Service Composer unterstützt das Bereitstellen und Zuordnen von Netz- und Sicherheitsservices für Anwendungen in einer virtuellen Infrastruktur. Diese Services können auf virtuelle Maschinen in den Sicherheitsgruppen angewendet und diesen Maschinen zugeordnet werden. Data Security erlaubt Einblicke in sensible Daten, die in virtualisierten Umgebungen und Cloudumgebungen in Ihrer Organisation gespeichert sind, einschließlich IBM Cloud. Anhand der von NSX Data Security gemeldeten Verstöße können Sie sicherstellen, dass sensible Daten angemessen geschützt werden, und die Einhaltung von Vorschriften weltweit bewerten.
Erweiterbarkeit von NSX
VMware-Partner können ihre Netzservicelösungen in die NSX-Plattform integrieren und damit den Kunden eine einheitliche Benutzererfahrung für verschiedene VMware-Produkte bieten. Rechenzentrumsbetreiber können komplexe, mehrschichtige virtuelle Netzwerke in Sekundenschnelle bereitstellen, unabhängig von der zugrunde liegenden Netzwerktopologie oder den Komponenten von IBM Cloud.
NSX-Kernkomponenten
Diese Komponenten können Sie mit vSphere Web Client, über eine Befehlszeilenschnittstelle (Command Line Interface, CLI) und über eine REST-API konfiguriert und verwaltet werden. VMware NSX erfordert eine funktionale IBM Cloud-Umgebung mit mindestens vSphere und vCenter Version 6. Die Komponenten werden als VMware Appliance-VMs bereitgestellt, die auf IBM Cloud ausgeführt werden. NSX-Komponenten werden nicht als virtuelle Serverinstanzen unterstützt. Es empfiehlt sich, die Anweisungen zum Erstellen eines dedizierten ESX-Management-Clusters zu befolgen. Darüber hinaus ist möglicherweise auch ein Edge-Services-Cluster erforderlich.
NSX Manager
NSX Manager ist die zentrale Netzmanagementkomponente von NSX und wird als virtuelle Appliance auf einem ESX-Host in Ihrer vCenter-Serverumgebung installiert. Die IBM Cloud-Architektur empfiehlt die Implementierung dieser VM in einem dedizierten Management-ESX-Cluster. Ein NSX Manager wird einer einzigen vCenter Server-Umgebung zugeordnet und mehreren NSX Edge-, vShield Endpoint- und NSX Data Security-Instanzen.
NSX vSwitch
NSX vSwitch ist die auf IBM Cloud-ESX-Hosts ausgeführte Software, die eine Softwareabstraktionsebene zwischen Servern und dem physischen Netz bildet. Ebenso wie die Anforderungen an Rechenzentren nehmen auch die Anforderungen an die Verarbeitungs- und Zugriffsgeschwindigkeit für die darin enthaltenen Daten ständig und immer rasanter zu. In den meisten Infrastrukturen sind Zugänglichkeit und Mobilität virtueller Maschinen in der Regel von der physischen Netzinfrastruktur abhängig und von den physischen Netzumgebungen, in denen sie sich befinden. Diese Abhängigkeit kann dazu führen, dass virtuelle Workloads aufgrund der Begrenzungen von Ebene 2 oder Ebene 3 in nicht optimalen Umgebungen verarbeitet werden müssen (z. B. durch die Festlegung auf bestimmte private IBM Cloud-Netze (VLANs) in bestimmten Pods). Mit NSX vSwitch werden diese virtuellen Workloads auf der jeweils geeigneten verfügbaren Infrastruktur innerhalb des Rechenzentrums platziert, unabhängig von der zugrunde liegenden physischen Netzinfrastruktur. Dies ermöglicht nicht nur größere Flexibilität und Mobilität, sondern auch eine höhere Verfügbarkeit und Ausfallsicherheit.
NSX-Controller
NSX Controller ist ein intelligentes verteiltes Statusmanagementsystem zur Steuerung virtueller Netze und des VXLAN-Overlay-Transports im Tunnelungsverfahren. Der NSX-Controller ist der zentrale Kontrollpunkt für alle logischen Switches innerhalb eines Netzwerks und verwaltet Informationen zu allen virtuellen Maschinen, Hosts, logischen Switches und VXLANs. Dieser Controller unterstützt drei Steuerungsmodi für logische Switches: Multicast, Unicast und Hybrid. Diese Modi entkoppeln NSX vom physischen Netzwerk. IBM Cloud erfordert den Unicastmodus, da IBM Cloud Private Networks (VLANs) keine IGMP-Services für den Multicast- oder Hybridmodus bieten. NSX Controller verwendet den Modus 'Unicast' mit virtuellen Tunnelendpunkten (VTEPS), um MAC-Learning und andere Funktionen bereitzustellen, die VXLAN-Broadcast-, unbekannten Unicast- und Multicast-Datenverkehr (BUM) in einem logischen Switch ermöglichen. Der Modus 'Unicast' repliziert den gesamten BUM-Datenverkehr lokal auf dem Host und erfordert keine physische Netzkonfiguration außerhalb der Konnektivität der Ebene 3 zwischen VTEPS. NSX Controller werden durch NSX Manager als Gruppe mit mindestens drei Controllerknoten sowie mit verschiedenen anderen Knoten bereitgestellt, um (verteilte) Routing-Services der Ebene 3 zu unterstützen. Alle Knoten werden als virtuelle Maschinen bereitgestellt und von NSX Manager in einem ESX-Management-Cluster in IBM Cloud verwaltet.
NSX Edge
NSX Edge stellt zur Isolierung eines virtualisierten Netzes Netzperipherieschutz und Gateway-Services bereit. Sie können NSX Edge entweder als logischen (verteilten) Router installieren oder als Service-Gateway. Der logische (verteilte) NSX Edge-Router stellt horizontales verteiltes Routing mit Tenant-IP-Adressbereich und Datenpfadisolierung bereit. Virtuelle Maschinen oder Workloads auf demselben Host in verschiedenen Teilnetzen können miteinander kommunizieren, ohne eine konventionelle Routing-Schnittstelle zu traversieren. Das NSX Edge-Gateway verbindet isolierte Stub-Netze zu gemeinsamen Netzen (Uplink) durch die Bereitstellung einheitlicher Gateway-Services wie DHCP, VPN, NAT, dynamisches Routing und Lastausgleich. Häufig genutzte Bereitstellungen von NSX Edge in der DMZ sind beispielsweise Extranet-VPNs und Multi-Tenant-Cloudumgebungen, in denen NSX Edge virtuelle Begrenzungen für jeden Tenant erstellt.