VMware vSphere NSX 概览
VMwareNSX®是一个软件联网和安全虚拟化平台,可为网络提供虚拟机的运行模式。 虚拟网络在软件中再现了 Layer2- Layer7 网络模型,可在数秒内以编程方式创建和配置复杂的多层网络拓扑结构,而无需额外的 IBM Cloud 专用网络。 NSX 还提供了一个新模型用于实现网络安全性。 安全概要文件由虚拟端口分发并强制执行,并随虚拟机一起移动。
NSX 支持 VMware 软件定义的数据中心战略。 通过在所有数据中心资源和服务中扩展抽象、池化和自动化的虚拟化功能,软件定义的数据中心架构通过策略驱动的自动化,简化并加快了计算、存储和网络资源的调配和管理。 通过虚拟化网络,NSX 提供了一种全新的网络运营模式,突破了当前的物理网络障碍。 新模式使VMware和IBM Cloud能够以更低的成本实现更高的速度和灵活性。
NSX 包括一个逻辑联网服务库 - 逻辑交换机、逻辑路由器、逻辑防火墙、逻辑负载均衡器、逻辑 VPN 和分布式安全性。 您可以在隔离的基于软件的虚拟网络中创建这些服务的定制组合,以支持现有应用程序而无需进行修改,或者为新的应用程序工作负载交付独特的需求。 虚拟网络通过编程方式进行供应和管理,而与 IBM Cloud 联网构造无关。 这种与硬件的脱钩带来了灵活性、速度和运行效率,可以改变数据中心的运营。 NSX 的优点包括以下功能:
- 数据中心自动化
- 自助服务联网服务
- 利用自动化网络和服务供应,快速部署应用程序
- 在同一裸机基础架构上隔离开发、测试和生产环境
- 单个帐户多租户云
您可以通过 vSphere Web Client、命令行界面 (CLI) 和 REST API 配置 NSX。 NSX 提供的核心网络服务包括
逻辑交换机
云计算部署或虚拟数据中心可能会有跨越多个租户的各种应用程序。 这些应用程序和租户需要相互隔离,以实现安全性、故障隔离并避免重叠 IP 寻址问题。 NSX 逻辑交换机创建应用程序或租户虚拟机可以通过逻辑方式连接到的逻辑广播域或分段 (VXLAN vWire)。 该功能可实现灵活、快速的部署,同时还能提供物理网络广播域(VLAN)的所有特性,而无需物理第 2 层扩展。 逻辑交换机支持将数千个租户网络供应到单个 IBM Cloud 专用网络 (VLAN) 上。 逻辑交换机是分布式的,并且范围可跨任意大的计算集群,甚至可以跨同一个数据中心内的多个 Pod。 这种分布允许虚拟机在数据中心内移动,而不会受到跨 pod 的物理第 2 层(VLAN)边界的限制。
逻辑路由器
动态路由在第 2 层广播域(VXLAN、vWires,逻辑交换机)之间提供必要的转发信息。 这种路由可减少第 2 层广播域,提高网络效率和规模。 NSX 将这种智能扩展到工作负载所在的位置,以提供东西向路由功能。 这种扩展可以实现虚拟机与虚拟机之间更直接的通信,而无需昂贵或及时地扩展跳数。 NSX 还可提供IBM Cloud数据中心内外的南北连接,从而使租户能够安全高效地访问公共网络。
逻辑防火墙
逻辑防火墙为动态虚拟数据中心提供了安全机制。 NSX 逻辑防火墙的分布式防火墙组件允许用户分割虚拟数据中心实体(虚拟服务器)、vCenter 对象(数据中心和主机)以及 IP 地址和 VLAN 等传统网络属性。 边缘防火墙组件可帮助您实现关键的边界安全需求,如构建基于 IP/VLAN 结构的 DMZ、多租户虚拟数据中心中的租户间隔离、网络地址转换 (NAT)、VPN 和基于用户的 SSL VPN。 边缘防火墙可与IBM Cloud中的 Vyatta & Fortinet 服务结合使用,也可代替 Vyatta & Fortinet 服务用于外围保护。 “防火墙流监视”功能显示虚拟机之间应用程序协议级别的网络活动。 您可以使用这些信息来审计网络流量,定义和优化防火墙策略,以及识别对网络的威胁。
逻辑虚拟专用网 (VPN)
SSL VPN-Plus 支持远程用户访问专用企业应用程序。 IPSec VPN 提供 NSX Edge 实例与远程站点(在 IBM Cloud 上运行的 VMware)之间的站点间连接。 L2 VPN 允许虚拟机保留跨地理边界和跨 IBM Cloud 数据中心和本地 VMware 环境的网络连接,从而使用户能够扩展数据中心。
逻辑负载均衡器
NSX Edge 负载均衡器支持网络流量通过多条路径流至特定目标。 负载均衡器通过在多个服务器之间均匀分发入局服务请求,并且使负载分发对用户透明。 因此,负载均衡有助于实现最佳的资源利用率,最大限度地提高吞吐量和缩短响应时间,避免发生超负荷。 NSX Edge 提供最高第 7 层负载均衡。
服务组合器
服务组合器可帮助您为虚拟基础架构中的应用程序供应和分配网络与安全服务。 这些服务可以映射并应用于安全组中的虚拟机。 数据安全性可为存储在企业虚拟化和云环境中的敏感数据提供可见性,这些环境包括 IBM Cloud. 根据 NSX Data Security 报告的违规行为,您可以确保敏感数据得到充分保护,并评估全球法规的合规性。
NSX 可扩展性
VMware合作伙伴可将其网络服务解决方案与 NSX 平台集成,从而使客户能够获得跨 VMware产品的集成体验。 数据中心运营商可以在数秒内配置复杂的多层虚拟网络,而无需考虑底层网络拓扑或IBM Cloud的组件。
NSX 核心组件
您可以通过 vSphere Web Client、命令行界面 (CLI) 和 REST API 配置和管理这些组件。 VMware NSX 需要至少具有 IBM Cloud 版本 6 的功能 vSphere 和 vCenter 环境。 这些组件以 VMware Appliance 虚拟机的形式部署,在 IBM Cloud 上运行。 不支持将 NSX 组件作为虚拟服务器实例。 建议按照说明创建专用的 ESX 管理群集。 此外,可能还需要一个边缘服务集群。
NSX Manager
NSX 管理器是 NSX 的集中式网络管理组件,作为虚拟设备安装在 vCenter 服务器环境中的 ESX 主机上。IBM Cloud 架构建议将此虚拟机部署在专用的管理 ESX 群集上。 一个 NSX Manager 可映射到单个 vCenter Server 环境以及多个 NSX Edge、vShield Endpoint 和 NSX Data Security 实例。
NSX vSwitch
NSX vSwitch 是在 IBM Cloud ESX 主机上运行的软件,用于在服务器与物理网络之间形成软件抽象层。 随着对数据中心需求的不断增长和加速,与数据本身的速度和访问相关的要求也在不断提高。 在大多数基础架构中,虚拟机访问和移动性通常取决于物理联网基础架构及其所在的物理联网环境。 由于潜在的第 2 层或第 3 层边界,这种依赖性可能会迫使虚拟工作负载进入不理想的环境,例如与特定 pod 中的特定 IBM Cloud 专用网络 (VLAN) 绑定。 NSX vSwitch将这些虚拟工作负载放置在数据中心的任何可用基础架构上,与底层物理网络基础架构无关。 这种能力不仅提高了灵活性和机动性,还提高了可用性和复原力。
NSX Controller
NSX Controller 是一种高级分布式状态管理系统,可控制虚拟网络和 VXLAN 覆盖传输隧道。 NSX 控制器是网络内所有逻辑交换机的中央控制点,负责维护所有虚拟机、主机、逻辑交换机和 VXLAN 的信息。 控制器支持三种逻辑交换机控制平面方式:多点广播、单点广播和混合。 这些模式将 NSX 与物理网络解耦。IBM Cloud 需要单播模式,因为 IBM Cloud 专用网络(VLAN)不为组播或混合模式提供 IGMP 服务。 NSX 控制器使用带有虚拟隧道端点 (VTEPS) 的单播模式提供 MAC 学习和其他功能,以允许逻辑交换机内的 VXLAN 广播、未知单播和组播 (BUM) 流量。 单点广播方式会在主机上本地复制所有 BUM 流量,并且在 VTEPS 之间的第 3 层连接外部,无需进行物理网络配置。 NSX 控制器由 NSX 管理器部署,至少由三个控制器节点和其他各种节点组成,以支持(分布式)第 3 层路由服务。 所有节点都作为虚拟机进行部署,并由位于 IBM Cloud 的 ESX 管理集群上的 NSX Manager 进行管理。
NSX Edge
NSX Edge 提供网络边缘安全性和网关服务,以隔离虚拟化网络。 您可以将 NSX Edge 安装为逻辑(分布式)路由器或服务网关。 NSX Edge 逻辑(分布式)路由器通过租户 IP 地址空间和数据路径隔离来提供东西分布式路由。 同一主机上位于不同子网中的虚拟机或工作负载可以相互通信,而不必遍历传统的路由接口。 NSX Edge 网关通过提供常用网关服务(例如,DHCP、VPN、NAT、动态路由选择和负载均衡),将隔离的存根网络连接到共享(上行链路)网络。 NSX Edge 的常见部署包括部署在 DMZ、VPN 外联网和多租户云环境中,其中 NSX Edge 会为每个租户创建虚拟边界。