IBM Cloud Docs
VMwarevSphere NSX 概述

VMwarevSphere NSX 概述

VMwareNSX® 是一個軟體網路和安全虛擬化平台,可為網路提供虛擬機器的操作模型。 虛擬網路重現Layer2-Layer7軟體中的網路模型,允許在幾秒鐘內以程式設計方式建立和配置複雜的多層網路拓撲,而無需額外的IBM Cloud專用網路。 NSX 也提供新的網路安全模型。 安全設定檔會配送至虛擬埠並由虛擬埠強制執行,並與虛擬機器一起移動。

NSX 支援VMware軟體定義的資料中心策略。 透過所有資料中心資源和服務擴展抽象、池化和自動化的虛擬化功能,軟體定義的資料中心架構透過策略驅動的自動化簡化並加速了運算、儲存和網路資源的配置和管理。 透過虛擬化網絡,NSX 提供了一種新的網路營運模型,突破了當前的實體網路障礙。 新模型使VMware和IBM Cloud以降低成本的同時實現更好的速度和敏捷性。

NSX 包括邏輯網路服務的程式庫 - 邏輯交換器、邏輯路由器、邏輯防火牆、邏輯負載平衡器、邏輯 VPN 及分散式安全。 您不需要修改即可在支援現有應用程式的隔離軟體型虛擬網路中建立這些服務的自訂組合,或提供新應用程式工作負載的唯一需求。 虛擬網路是以程式設計方式進行佈建及管理,與 IBM Cloud 網路建構無關。 這種與硬體的解耦帶來了敏捷性、速度和營運效率,可以改變資料中心的營運。 NSX 的好處包括下列特性:

  • 資料中心自動化
  • 自助式網路服務
  • 利用自動化網路及服務佈建進行快速應用程式部署
  • 在相同的裸機基礎架構上隔離開發、測試及正式作業環境
  • 單一帳戶多方承租戶雲端

您可以透過以下方式設定 NSX vSphere Web 用戶端、命令列介面 (CLI) 和 REST API。 NSX 提供的核心網路服務包括:

邏輯交換器

雲端部署或虛擬資料中心可能具有跨多個租戶的各種應用程式。 基於安全、錯誤隔離以及避免出現重疊的 IP 位址問題,這些應用程式及承租戶需要彼此隔離。 NSX 邏輯交換器會建立可邏輯佈線之應用程式或承租戶虛擬機器的邏輯播送網域或區段 (VXLAN vWires)。 此功能可實現部署的靈活性和速度,同時仍提供實體網路廣播域 (VLAN) 的所有特性,而無需實體第 2 層蔓延。 邏輯交換器容許將數千個承租戶網路佈建至單一「IBM Cloud 專用網路 (VLAN)」。 邏輯交換器是分散式的,而且可以跨越任意大型運算叢集,甚至可以跨相同資料中心內的 Pod。 這種分佈允許虛擬機器在資料中心內移動,而不受 Pod 之間實體第 2 層 (VLAN) 邊界的限制。

邏輯路由器

動態路由提供二層廣播域(VXLAN、vWires,邏輯開關)。 此路由減少了第 2 層廣播域並提高了網路效率和規模。 NSX 將這種智慧擴展到提供東西向路由功能的工作負載。 此擴充功能允許更直接的虛擬機到虛擬機通信,而無需昂貴或及時地擴展躍點。 NSX 也提供南北向入站和出站連接IBM Cloud資料中心,從而使租戶能夠安全且有效率地存取公共網路。

邏輯防火牆

「邏輯防火牆」提供動態虛擬資料中心的安全機制。 NSX 邏輯防火牆的分散式防火牆元件可讓使用者對虛擬資料中心實體(虛擬伺服器)進行分段,vCenter物件(資料中心和主機)以及 IP 位址和 VLAN 等傳統網路屬性。 Edge Firewall 元件可協助您實現關鍵的外圍安全需求,例如建置基於 IP/VLAN 建構的 DMZ、多租用戶虛擬資料中心中的租用戶到租用戶隔離、網路位址轉換 (NAT)、VPN 和基於使用者的 SSL VPN。 Edge Firewalls 可與 Vyatta 和 Fortinet 服務結合或取代 Vyatta 和 Fortinet 服務IBM Cloud用於週邊保護。 「防火牆流程監視」特性會顯示應用程式通訊協定層次的虛擬機器之間的網路活動。 您可以使用這項資訊來審核網路資料流量、定義並修正防火牆原則,以及識別對網路的威脅。

邏輯虛擬專用網路 (VPN)

SSL VPN-Plus 容許遠端使用者存取專用公司應用程式。 IPSec VPN 提供 NSX Edge 實例與遠端網站(在 IBM Cloud 上執行的 VMware)之間的網站間連線功能。 L2 VPN 允許使用者透過允許虛擬機器跨地理邊界和跨區域保持網路連線來擴展您的資料中心。IBM Cloud資料中心和您當地的VMware環境。

邏輯負載平衡器

NSX Edge 負載平衡器可讓網路資料流量遵循特定目的地的多條路徑。 它會將送入的服務要求平均配送到多部伺服器,如此,使用者可以很清楚負載分佈狀況。 因此,負載平衡有助於達成最佳資源使用率、最大化傳輸量、最小化回應時間,以及避免超載。 NSX Edge 提供最高到第 7 層的負載平衡。

服務編製器

「服務編製器」可協助您將網路及安全服務佈建及指派給虛擬基礎架構中的應用程式。 這些服務可以對映並套用至安全群組中的虛擬機器。 資料安全性提供對儲存在組織的虛擬化和雲端環境中的敏感資料的可見性,其中包括IBM Cloud。 根據 NSX Data Security 報告的違規行為,您可以確保敏感資料得到充分保護,並評估全球法規的合規性。

NSX 延伸

VMware合作夥伴可以將其網路服務解決方案與 NSX 平台集成,使客戶能夠獲得跨領域的整合體驗VMware產品。 資料中心營運商可以在幾秒鐘內配置複雜的多層虛擬網絡,獨立於底層網路拓撲或組件IBM Cloud。

NSX 核心元件

您可以透過以下方式設定和管理這些元件vSphere Web 用戶端、命令列介面 (CLI) 和 REST API。 VMwareNSX 需要功能IBM Cloud環境至少有vSphere和vCenter版本 6. 元件部署為VMware運作的設備虛擬機IBM Cloud。 不支援將 NSX 元件作為虛擬伺服器實例。 建議按照說明建立專用 ESX 管理叢集。 此外,可能還需要邊緣服務叢集。

NSX Manager

NSX Manager 是 NSX 的集中式網路管理元件,作為虛擬設備安裝在您的 ESX 主機上。vCenter伺服器環境。IBM Cloud架構建議將此虛擬機器部署在專用管理 ESX 叢集上。 其中一個 NSX Manager 會對映至單一 vCenter Server 環境及多個 NSX Edge、「vShield 端點」及「NSX 資料安全」實例。

NSX vSwitch

NSX vSwitch 是在 IBM Cloud ESX 主機上運作的軟體,可以在伺服器與實體網路之間形成軟體抽象層。 隨著對資料中心的需求不斷增長和加速,與資料本身的速度和存取相關的要求也在不斷增長。 在大部分的基礎架構中,虛擬機器存取及行動性通常取決於實體網路基礎架構,以及它們所在的實體網路環境。 由於潛在的第 2 層或第 3 層邊界(例如綁定到特定的環境),這種依賴性可能會迫使虛擬工作負載進入不太理想的環境。IBM Cloud特定 Pod 中的專用網路 (VLAN)。 NSXvSwitch將這些虛擬工作負載放置在資料中心的任何可用基礎架構上,無論底層實體網路基礎架構為何。 這種能力不僅可以提高靈活性和移動性,還可以提高可用性和彈性。

NSX Controller

NSX 控制器是一種進階分散式狀態管理系統,可控制虛擬網路及 VXLAN 重疊傳輸通道。 NSX 控制器是網路內所有邏輯交換器的中央控制點,可維護所有虛擬機器、主機、邏輯交換器和 VXLAN 的資訊。 控制器支援三個邏輯交換器控制平面模式:「多重播送」、「單點播送」及「混合式」。 這些模式將 NSX 與實體網路分離。IBM Cloud需要單播模式為IBM Cloud專用網路 (VLAN) 不提供多播或混合模式的 IGMP 服務。 NSX Controller 使用具有虛擬隧道端點 (VTEPS) 的單播模式來提供 MAC 學習和其他功能,以允許邏輯交換器內的 VXLAN 廣播、未知單播和多播 (BUM) 流量。 單點播送模式可本端抄寫主機上的所有 BUM 資料流量,而且在 VTEPS 之間的第 3 層連線功能外面不需要任何實體網路配置。 NSX 控制器由 NSX Manager 部署為最少三個控制器節點和各種其他節點的集合,以支援(分散式)第 3 層路由服務。 所有節點都會部署為虛擬機器,而且是透過位於 IBM Cloud 之「ESX 管理叢集」上的 NSX Manager 進行管理。

NSX Edge

NSX Edge 提供網路 Edge 安全及閘道服務,以隔離虛擬化網路。 您可以將 NSX Edge 安裝為邏輯(分散式)路由器或服務閘道。 NSX Edge 邏輯(分散式)路由器提供使用承租戶 IP 位址空間及資料路徑隔離的「東-西」分散式遞送。 位於不同子網路的相同主機上的虛擬機器或工作負載可以彼此通訊,而不需要遍訪傳統遞送介面。 NSX Edge Gateway 藉由提供一般閘道服務(例如 DHCP、VPN、NAT、動態遞送及「負載平衡」),將隔離的 Stub 網路連接至共用(上行鏈路)網路。 NSX Edge 的一般部署包括在 DMZ、VPN Extranets 及多方承租戶雲端環境中,而在這些環境中,NSX Edge 會建立每一個承租戶的虛擬界限。