VMware vSphere Descripción general de NSX
VMware NSX® es una plataforma de virtualización de seguridad y redes de software que ofrece el modelo operativo de una máquina virtual para la red. Las redes virtuales reproducen el modelo de red de Capa 2 - Capa 7 en software, y permiten crear y suministrar mediante programación topologías complejas de red de varias capas en cuestión de segundos, sin necesidad de redes privadas adicionales de IBM Cloud. NSX también proporciona un nuevo modelo de seguridad de red. Los perfiles de seguridad se distribuyen y se aplican en puertos virtuales, y se desplazan con las máquinas virtuales.
NSX admite la VMware estrategia de centro de datos definida por software. Al ampliar las capacidades de virtualización de abstracción, agrupación y automatización a todos los recursos y servicios de centro de datos, la arquitectura del centro de datos definido por software simplifica y agiliza el suministro y la gestión de los recursos de cálculo, almacenamiento y redes mediante la automatización basada en políticas. Al virtualizar la red, NSX ofrece un nuevo modelo operativo para redes que rompe las barreras actuales de la red física. El nuevo modelo permite VMware y IBM Cloud para lograr mayor velocidad y agilidad con costos reducidos.
NSX incluye una biblioteca de servicios de redes lógicos: conmutadores lógicos, direccionadores lógicos, cortafuegos lógicos, equilibradores de carga lógicos, VPN lógica y seguridad distribuida. Puede crear combinaciones personalizadas de estos servicios en redes virtuales aisladas basadas en software que admiten aplicaciones existentes sin modificación, o producir requisitos exclusivos para cargas de trabajo de aplicaciones nuevas. Las redes virtuales se suministran mediante programación y se gestionan de forma independiente a las construcciones de redes de IBM Cloud. Este desacoplamiento del hardware introduce una agilidad, velocidad y eficiencia operativa que pueden transformar las operaciones del centro de datos. Entre las ventajas de NSX, se incluyen las siguientes características:
- Automatización del centro de datos
- Servicios de redes de autoservicio
- Rápido despliegue de aplicaciones con suministro automatizado de servicio y red
- Aislamiento de entornos de desarrollo, prueba y producción en la misma infraestructura nativa
- Nubes de multiarrendatario de cuenta única
Puede configurar NSX a través del vSphere Cliente web, una interfaz de línea de comandos (CLI) y API REST. Los servicios básicos de red que ofrece NSX son:
Conmutadores lógicos
Un despliegue en la nube o un centro de datos virtual puede tener diversas aplicaciones en varios arrendatarios. Estas aplicaciones y arrendatarios tiene que estar aislados entre ellos por seguridad, para aislar los errores y evitar problemas de superposición de direcciones IP. El conmutador lógico de NSX crea dominios o segmentos lógicos de difusión (VXLAN vWires) a los que se pueden conectar de forma lógica una aplicación o una máquina virtual de arrendatario. Esta característica permite un despliegue flexible y rápido y, al mismo tiempo, proporciona todas las características de los dominios de difusión de una red física (VLAN) sin expansión de Capa 2 física. Los conmutadores lógicos permiten que se puedan suministrar miles de redes de arrendatario en una única red privada (VLAN) de IBM Cloud. Un conmutador lógico se distribuye y puede abarcar clústeres de cálculo arbitrariamente grandes, incluso pods del mismo centro de datos. Esta distribución permite la movilidad de las máquinas virtuales dentro del centro de datos sin las limitaciones de los límites físicos de la Capa 2 (VLAN) entre los pods.
Direccionadores lógicos
El direccionamiento dinámico proporciona la información necesaria de reenvío entre dominios de difusión de capa 2 (VXLAN, vWires, conmutadores lógicos). Este direccionamiento disminuye los dominios de difusión de capa 2 y mejora la escala y la eficiencia de la red. NSX amplía esta inteligencia donde las cargas de trabajo son para proporcionar funciones de enrutamiento Este-Oeste. Esta extensión permite una comunicación más directa entre máquinas virtuales sin la necesidad de invertir tiempo y dinero en ampliar saltos. NSX también proporciona entrada y salida de conectividad norte-sur de centros de datos de IBM Cloud, permitiendo a los arrendatarios acceder a redes públicas de forma segura y eficiente.
Cortafuegos lógicos
El cortafuegos lógico proporciona mecanismos de seguridad para centros de datos virtuales dinámicos. El componente de cortafuegos distribuido de un cortafuegos lógico de NSX permite a los usuarios segmentar entidades de centro de datos virtual (servidores virtuales), objetos de vCenter (centros de datos y hosts) y atributos tradicionales de red, como direcciones IP y VLAN. El componente de cortafuegos de Edge permite cubrir las necesidades clave de seguridad del perímetro, como la creación de DMZ basadas en construcciones IP/VLAN, el aislamiento entre arrendatarios en centros de datos virtuales multiarrendatario, la conversión de direcciones de red (NAT), las VPN y las VPN SSL basadas en el usuario. Edge Firewalls se puede utilizar en combinación con o en lugar de los servicios de Vyatta y Fortinet de IBM Cloud para protección perimetral. La función de supervisión de flujo de cortafuegos muestra actividad de red entre máquinas virtuales en el nivel de protocolo de aplicación. Puede utilizar esta información para auditar el tráfico de red, definir y refinar las políticas de cortafuegos e identificar las amenazas a la red.
Redes privadas virtuales (VPN) lógicas
SSL VPN-Plus permite a los usuarios remotos acceder a aplicaciones empresariales privadas. VPN IPSec ofrece conectividad de sitio a sitio entre una instancia de NSX Edge y sitios remotos (VMware que se ejecuta en IBM Cloud). Las VPN de L2 permiten a los usuarios ampliar su centro de datos permitiendo a las máquinas virtuales mantener la conectividad de red a través de las fronteras geográficas, los centros de datos de IBM Cloud y el entorno local de VMware.
Equilibrador lógico de carga
El equilibrador de carga de NSX Edge permite que el tráfico de red siga varias vías de acceso a un destino específico. Distribuye las solicitudes de servicio entrantes equitativamente entre varios servidores de manera que la distribución de carga es transparente para los usuarios. Así, el equilibrio de carga ayuda a lograr la utilización óptima de los recursos, maximizar el rendimiento, minimizar el tiempo de respuesta y evitar la sobrecarga. NSX Edge proporciona equilibrio de carga hasta Capa 7.
Compositor de servicios
El compositor de servicios le ayuda a suministrar y asignar servicios de red y seguridad a las aplicaciones de una infraestructura virtual. Estos servicios se pueden correlacionar y aplicar en máquinas virtuales en los grupos de seguridad. Data security proporciona visibilidad de datos confidenciales almacenados en los entornos virtualizados y de nube de su organización, incluido IBM Cloud. Basándose en las violaciones notificadas por NSX Data Security, puede garantizar que los datos confidenciales están protegidos adecuadamente y evaluar la conformidad con la normativa en todo el mundo.
Extensibilidad de NSX
Los partners de VMware pueden integrar sus soluciones de servicio de red con la plataforma NSX, que permite a los clientes tener una experiencia integrada en los productos de VMware. Los operadores de centros de datos pueden aprovisionar redes virtuales complejas de varios niveles en segundos, independientemente de la topología de la red subyacente o de los componentes de IBM Cloud.
Componentes principales de NSX
Puede configurar y gestionar estos componentes a través de vSphere Web Client, de una interfaz de línea de mandatos (CLI) y de la API REST. VMware NSX requiere un entorno IBM Cloud funcional con al menos vSphere y vCenter versión 6. Los componentes se despliegan como máquinas virtuales VMware Appliance que se ejecutan en IBM Cloud. Los componentes de NSX no están soportados como instancias de servidor virtual. Se recomienda que se sigan las instrucciones para crear un clúster de gestión de ESX dedicado. Además, es posible que también sea necesario un clúster de servicios de extremo.
NSX Manager
NSX Manager es el componente de gestión de red centralizado de NSX y se instala como un dispositivo virtual en un host ESX en el entorno de vCenter Server. IBM Cloud Architecture recomienda que esta VM se despliegue en un clúster ESX de gestión dedicado. Un NSX Manager se correlaciona con un solo entorno de vCenter Server y varias instancias de NSX Edge, vShield Endpoint y NSX Data Security.
NSX vSwitch
NSX vSwitch es el software que se utiliza en los hosts de ESX de IBM Cloud para formar una capa de abstracción entre los servidores y la red física. Puesto que sigue creciendo la demanda en los centros de datos, los requisitos relacionados con la velocidad y el acceso a los datos siguen creciendo también. En la mayoría de las infraestructuras, el acceso y la movilidad de las máquinas virtuales normalmente dependen de la infraestructura de red física y de los entornos de red física en los que residen. Esta dependencia puede forzar a las cargas de trabajo virtuales a entornos mucho menos que ideales debido a los límites potenciales de capa 2 o capa 3, como estar vinculado con redes privadas (VLAN) de IBM Cloud específicas en pods específicos. NSX vSwitch coloca estas cargas de trabajo virtuales en cualquier infraestructura disponible en el centro de datos, independientemente de la infraestructura de red física subyacente. Esta capacidad no sólo permite una mayor flexibilidad y movilidad, sino que también aumenta la disponibilidad y la resiliencia.
Controlador de NSX
NSX Controller es un sistema avanzado de gestión de estado distribuida que controla los túneles de transporte de superposición de VXLAN y las redes virtuales. El controlador NSX es el punto de control central para todos los conmutadores lógicos dentro de una red y mantiene información de todas las máquinas virtuales, hosts, conmutadores lógicos y VXLAN. El controlador admite tres modalidades de plano de control de conmutador lógico: multidifusión, difusión única e híbrida. Estos modos desacoplan NSX de la red física. IBM Cloud requiere la modalidad de Unicast ya que IBM Cloud Private Networks (VLAN) no ofrece servicios de IGMP para la modalidad Multicast o Hybrid. Los NSX Controllers utilizan la modalidad de difusión única con los puntos finales de túnel virtual (VTEPS) para facilitar el aprendizaje MAC y otras funciones para permitir la difusión de VXLAN, la difusión única desconocida y el tráfico de multidifusión (BUM) dentro de un conmutador lógico. La modalidad de difusión única replica todo el tráfico BUM localmente en el host y no requiere ninguna configuración de red física fuera de la conectividad de Capa 3 entre VTEPS. Los NSX Controllers los despliega NSX Manager como un conjunto mínimo de tres nodos de controlador y varios otros nodos para dar soporte (distribuido) a los servicios de direccionamiento de Capa 3. Todos los nodos se despliegan como máquinas virtuales y están gestionados por NSX Manager en un clúster de gestión de ESX en IBM Cloud.
NSX Edge
NSX Edge ofrece seguridad de extremo a extremo de la red y servicios de pasarela para aislar una red virtualizada. Puede instalar un NSX Edge como un direccionador lógico (distribuido) o como una pasarela de servicios. El direccionador lógico (distribuido) de NSX Edge proporciona direccionamiento distribuido Este-Oeste con aislamiento vía de acceso a datos y espacio de dirección IP de arrendatario. Las máquinas virtuales o las cargas de trabajo que residen en el mismo host en subredes diferentes pueden comunicarse entre sí sin tener que atravesar una interfaz de direccionamiento tradicional. La pasarela de NSX Edge conecta redes aisladas auxiliares con redes (de enlace ascendente) compartidas mediante la prestación de servicios de pasarela comunes, como DHCP, VPN, NAT, direccionamiento dinámico y equilibrio de carga. Los despliegues comunes de NSX Edge incluyen los realizados en DMZ, extranets VPN y entornos de nube multiarrendatario donde NSX Edge crea límites virtuales para cada arrendatario.