IBM Cloud Docs
VMware vSphere Aperçu du NSX

VMware vSphere Aperçu du NSX

VMware NSX® est une plateforme logicielle de virtualisation de mise en réseau et de sécurité qui fournit le modèle opérationnel d'une machine virtuelle pour le réseau. Les réseaux virtuels reproduisent le modèle de réseau Couche2 - Couche7 du logiciel, permettant de créer des topologies de réseau multiniveau complexes et mises à disposition par programme en quelques secondes, sans devoir utiliser des réseaux privés IBM Cloud supplémentaires. NSX fournit également un nouveau modèle de sécurité des réseaux. Des profils de sécurité sont distribués vers des ports virtuels qui les appliquent et bougent avec les machines virtuelles.

NSX prend en charge le VMware stratégie de centre de données définie par logiciel. En étendant les capacités de virtualisation d'abstraction, de mise en pool et d'automatisation à l'ensemble des ressources et services du centre de données, l'architecture du centre de données défini par logiciel simplifie et accélère la mise à disposition et la gestion des calculs, du stockage et de la mise en réseau des ressources via l'automatisation déclenchée par politique. En virtualisant le réseau, NSX propose un nouveau modèle opérationnel de mise en réseau qui brise les barrières physiques actuelles du réseau. Le nouveau modèle permet VMware et IBM Cloud pour obtenir une meilleure vitesse et une meilleure agilité à des coûts réduits.

NSX inclut une bibliothèque de services réseau logiques - commutateurs logiques, routeurs logiques, pare-feux logiques, équilibreurs de charge logiques, réseau privé virtuel logique et sécurité distribuée. Vous pouvez créer des combinaisons personnalisées de ces services sur des réseaux virtuels basés logiciel isolés qui prennent en charge les applications existantes sans modification, ou bien distribuer des exigences spécifiques pour de nouvelles charges de travail applicatives. Les réseaux virtuels sont mis à disposition et gérés à l'aide d'un programme, indépendamment des constructions réseau IBM Cloud. Ce découplage du matériel permet une vitesse, une agilité et une efficacité opérationnelle qui peuvent transformer les opérations du centre de données. Les avantages de NSX incluent les fonctions suivantes :

  • Automatisation du centre de données
  • Services réseau en libre-service
  • Déploiement d'application rapide avec mise à disposition automatisée du réseau et des services
  • Isolement des environnements de développement, test et production sur la même infrastructure bare metal
  • Clouds à service partagé de compte unique

Vous pouvez configurer NSX via le vSphere Client Web, une interface de ligne de commande (CLI) et une API REST. Services du réseau principal fournis par NSX :

Commutateurs logiques

Un déploiement en cloud ou un centre de données virtuel peut comporter diverses applications sur plusieurs locataires. Ces applications et locataires nécessitent d'être isolés les uns des autres pour des raisons de sécurité, d'isolement des incidents, ainsi que pour éviter le chevauchement des problèmes d'adressage d'IP. Le commutateur logique NSX crée des domaines ou segments de diffusion (VXLAN vWires) auxquels une application ou une machine virtuelle locataire peut être logiquement connectée. Cette fonctionnalité offre flexibilité et rapidité de déploiement tout en fournissant toutes les caractéristiques des domaines de diffusion (VLAN) d'un réseau physique sans l'extension physique de la Couche 2. Les commutateurs logiques permettent de mettre à disposition des milliers de réseaux locataires sur un seul réseau privé IBM Cloud (VLAN). Un commutateur logique est réparti et peut s'étendre arbitrairement à de grands clusters de calcul, même sur les pods d'un même centre de données. Cette distribution permet la mobilité des machines virtuelles au sein du centre de données sans les limitations des limites physiques de la couche 2 (VLAN) entre les pods.

Routeurs logiques

Le routage dynamique fournit les informations de réacheminement nécessaires entre les domaines de diffusion de Couche 2 (VXLAN, vWires, Commutateurs logiques). Ce routage diminue les domaines de diffusion de Couche 2 et améliore l'efficacité et la mise à l'échelle du réseau. NSX étend cette intelligence là où les charges de travail sont destinées à fournir des fonctions de routage est-ouest. Cette extension offre une communication machine virtuelle à machine virtuelle plus directe sans le besoin, gourmand en temps et en argent, de devoir étendre des tronçons. NSX fournit également une connectivité Nord-Sud entrante et sortante des centres de données IBM Cloud, permettant ainsi aux locataires d'accéder efficacement aux réseaux publics.

Pare-feu logique

Le pare-feu logique fournit des mécanismes de sécurité pour les centres de données virtuels dynamiques. Le composant Distributed Firewall d'un pare-feu logique NSX permet aux utilisateurs de segmenter des entités de centre de données virtuel (serveurs virtuels), des objets vCenter (centres de données et hôtes) et des attributs de réseau traditionnels comme les adresses IP et les réseaux locaux virtuels. Le composant Edge Firewall vous aide à répondre aux besoins de sécurité de périmètre clé, comme la construction de zones démilitarisées en fonction de constructions IP/VLAN, l'isolement locataire à locataire dans des centres de données virtuels à service partagé, NAT, les VPN ainsi que les VPN SSL basés sur les utilisateurs. Les pare-feu Edge peuvent être utilisés en combinaison avec ou à la place des services Vyatta & Fortinet à partir de IBM Cloud pour la protection périmétrique. La fonction Firewall Flow Monitoring affiche l'activité réseau entre des machines virtuelles au niveau du protocole d'application. Vous pouvez utiliser ces informations pour effectuer l'audit du trafic réseau, définir et affiner les règles d'administration de pare-feu et identifier les menaces pour votre réseau.

Réseaux privés virtuels logiques (VPN)

SSL VPN-Plus permet aux utilisateurs distants d'accéder aux applications d'entreprise privées. IPSec VPN offre une connectivité site à site entre une instance NSX Edge et des sites distants (VMware s'exécutant sur IBM Cloud). Les VPN de Couche 2 (L2) permettent aux utilisateurs d'étendre leur centre de données en autorisant les machines virtuelles à conserver la connectivité du réseau au-delà des frontières géographiques et sur les centres de données IBM Cloud et votre environnement VMware local.

Equilibreur de charge logique

L'équilibreur de charge NSX Edge permet au trafic réseau de suivre plusieurs chemins pour accéder à une destination spécifique. Il répartie les demandes de service entrantes de façon uniforme entre plusieurs serveurs de sorte que la distribution de charge soit transparente pour les utilisateurs. L'équilibrage de charge permet alors d'atteindre une utilisation optimale des ressources en maximisant le débit, en minimisant les temps de réponse et en évitant la surcharge. NSX Edge fournit un équilibrage allant jusqu'à la Couche 7.

Composeur de services

Le composeur de service vous aide à mettre à disposition et affecter des services réseau et de sécurité à des applications d'une infrastructure virtuelle. Ces services peuvent être mappés et appliqués à des machines virtuelles de groupes de sécurité. La sécurité des données (Data security) fournit la visibilité sur les données sensibles stockées dans les environnements cloud et virtualisés de votre organisation, notamment IBM Cloud. En fonction des violations signalées par Data Security, vous pouvez garantir que les données sensibles sont protégées de manière adéquate et évaluer la conformité aux réglementations internationales.

Extensibilité de NSX

Les partenaires VMware peuvent intégrer leurs solutions de services réseau à la plateforme NSX, ce qui permet aux clients de connaître une expérience intégrée sur les produits VMware. Les opérateurs de centres de données peuvent fournir des réseaux virtuels multiniveaux complexes en quelques secondes, indépendamment de la topologie du réseau sous-jacent ou des composants de IBM Cloud.

Composant NSX de base

Vous pouvez configurer et gérer ces composants via le client Web vSphere, une interface de ligne de commande et l'API REST. VMware NSX requiert un environnement IBM Cloud fonctionnel avec au moins vSphere et vCenter version 6. Les composants sont déployés en tant que machines virtuelles VMware Appliance qui s'exécutent sous IBM Cloud. Les composants NSX ne sont pas pris en charge en tant qu'instances de serveur virtuel. Il est recommandé de suivre les instructions de création d'un cluster de gestion ESX dédié. De plus, un cluster de services Edge peut également être requis.

NSX Manager

NSX Manager est le composant de gestion de réseau centralisé de NSX et est installé en tant que dispositif virtuel sur un hôte ESX dans votre environnement vCenter Server. IBM Cloud Architecture recommande que cette machine virtuelle soit déployée sur un cluster ESX de gestion dédié. Un gestionnaire NSX Manager est mappé à un environnement vCenter Server unique, ainsi qu'à plusieurs instances NSX Edge, vShield Endpoint et NSX Data Security.

NSX vSwitch

NSX vSwitch est le logiciel qui fonctionne sur les hôtes IBM Cloud ESX pour former une couche d'abstraction logicielle entre les serveurs et le réseau physique. Lorsque les demandes au niveau des centres de données continuent de croître et de s'accélérer, les exigences liées à la vitesse et à l'accès aux données-mêmes continuent également à augmenter. Dans la plupart des infrastructures, l'accès aux machines virtuelles et la mobilité dépendant généralement de l'infrastructure réseau physique et des environnements réseau physiques sur lesquels elles résident. Cette dépendance peut entraîner l'application de charges de travail virtuelles à des environnements moins idéaux en raison de limites potentielles de couche 2 ou 3, comme par exemple la liaison à des réseaux privés IBM Cloud (VLAN) spécifiques sur des pods spécifiques. NSX vSwitch place ces charges de travail virtuelles sur toute infrastructure disponible du centre de données, quelle que soit l'infrastructure réseau physique sous-jacente. Cela permet non seulement d'accroître la flexibilité et la mobilité, mais également la disponibilité et la résilience.

NSX Controller

Le contrôleur NSX est un système de gestion avancé des états distribués qui contrôle les réseaux virtuels et les tunnels de transport de surcouche VXLAN. Le contrôleur NSX est le point de contrôle central de tous les commutateurs logiques au sein d'un réseau et conserve les informations de toutes les machines virtuelles, hôtes, commutateurs logiques et VXLAN. Le contrôleur prend en charge trois modes de plan de contrôle de commutateur logique, Multicast, Unicast et Hybrid. Ces modes découplont NSX du réseau physique. IBM Cloud requiert le mode Unicast, car IBM Cloud Private Networks (VLAN) n'offre pas de services IGMP pour le mode multidiffusion ou hybride. Le contrôleur NSX utilise le mode Unicast avec les points d'extrémité de tunnel virtuels (VTEPS) pour fournir l'apprentissage MAC et d'autres fonctions pour autoriser le trafic VXLAN Broadcast, Unknown unicast et Multicast (BUM) au sein d'un commutateur logique. Le mode unicast réplique tout le trafic BUM en local sur l'hôte et ne requiert aucune configuration du réseau physique en dehors de la connectivité de Couche 3 entre VTEPS. Les contrôleurs NSX sont déployés par le gestionnaire NSX Manager en tant qu'ensemble minimum de trois noeuds de contrôleur, ainsi que différents autres noeuds pour prendre en charge les services de routage de Couche 3 (distribués). Tous les noeuds sont déployés en tant que machines virtuelles et sont gérés par le gestionnaire NSX Manager sur un cluster de gestion ESX sur IBM Cloud.

NSX Edge

NSX Edge offre des services de passerelle et de sécurité périphériques permettant d'isoler un réseau virtuel. Vous pouvez installer un serveur de périphérie NSX Edge en tant que routeur logique (distribué) ou en tant que passerelle de service. Le routeur logique (distribué) NSX Edge fournit un routage distribué Est-Ouest avec isolement des chemins de données et des espaces d'adresse IP. Les charges de travail ou les machines virtuelles qui résident sur le même hôte sur des sous-réseaux différents peuvent communiquer les unes avec les autres sans devoir passer par un interface de routage classique. La passerelle NSX Edge Gateway connecte des réseaux de modules de remplacement isolés à des réseaux partagés (liaison montantes) en fournissant des services passerelle communs tels que DHCP, VPN, NAT, le routage dynamique et l'équilibrage de charge. Les déploiements communs de NSX Edge incluent la zone démilitarisée, les extranets VPN et les environnements cloud à service partagé où NSX Edge crée des limites virtuelles pour chaque locataire.