NSX网络与安全解决方案简介

©2013VMwareInc.Allrightsreserved©2013VMwareInc.AllrightsreservedVMware网络与安全解决方案22议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结33议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结44客户需要…….资源池灵活的IPAM零信任安全微分段自服务及扩展性弹性计算分区扩展到公有云55需要做出什么样的改变……虚拟机数据中心网络运营模式从硬件解耦网络的创建、删除、增长和削减对应用程序透明可编程，可监视良好扩展性我们能够像管理VM一样管理网络吗？66VMwareNSX简介基于NSX的网络虚拟化二层交换三层路由防火墙负载均衡和VM一样管理网络硬件软件77议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX入门NSX运营NSX合作伙伴生态系统总结88VMwareNSX–网络与安全功能任何应用程序(无需修改)虚拟网络VMwareNSX网络虚拟化平台任何网络硬件任何云管理平台任何虚拟化层逻辑交换–运行于三层网络之上的二层网络，与物理网络解耦逻辑路由–在虚拟网络之间以及虚拟网络和物理网络之间路由逻辑防火墙–分布式防火墙，内核集成，高性能逻辑负载均衡–利用软件实现的应用负载均衡逻辑VPN–通过软件实现站点到站点以及远程访问VPN服务NSXAPI–可与任何云管理平台相集成的RESTfulAPI合作伙伴生态系统99VMwareNSX组件控制面板NSX控制器运行态•将虚拟网络与物理网络解耦•独立于数据路径•高可用数据面板NSXEdgeVDS/OVS虚拟化层扩展模块FirewallDistributedLogicalRouterVXLANNSXvSwitch•高可用虚拟机•服务于南北向流量的数据面板•路由和高级服务•智能网络边界•线速性能管理面板NSX管理器•单点配置•RESTAPI和用户界面•高可用CMP消费者•自服务门户•vCAC,vCD,Openstack,Cloudstack,自定义门户1010议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结1111利用VMwareNSX部署网络虚拟化计算1利用现存的网络基础架构任意网络厂商任意网络拓扑IP包转发网络1212利用VMwareNSX部署网络虚拟化(续)计算12利用现存的网络基础架构部署VMwareNSXNSX管理与边界服务NSXEdgeNSXMgmt虚拟基础架构NSX基础架构1313利用VMwareNSX部署网络虚拟化(续)计算12利用现存的网络基础架构部署VMwareNSXNSX管理与边界服务NSXEdgeNSXMgmt虚拟基础架构NSX基础架构3应用程序消费网络资源CMP门户/自服务可编程的虚拟网络部署逻辑网络+1414VMwareNSX逻辑交换机•应用/租户之间的分段•虚拟机的移动性需要大二层网络•大的二层物理网络扩展导致生成树问题•硬件内存(MAC,FIB)表限制•跨数据中心扩展多租户•在3层基础架构上实现2层网络•基于VXLAN,STT,GRE等实现Overlay•可跨越多个物理主机和网络交换机的逻辑交换服务挑战收益逻辑交换–将网络的扩展性提高1000倍AnimatedSlideVMwareNSXLogicalSwitch1LogicalSwitch2LogicalSwitch31515逻辑交换服务1616VMtoVMRoutedTrafficFlowVMwareNSX三层路由:分布式、功能全面•物理基础架构的扩展性存在挑战——路由扩展性•虚拟机的移动性存在挑战•多租户路由的复杂度•流量的发夹问题•在虚拟化层实现分布式路由•动态的，基于API的配置•完整功能——OSPF,BGP,IS-IS•基于租户的逻辑路由器•可与物理交换机协同挑战收益可扩展的路由–简化多租户控制器集群NSX管理器L2L2TenantATenantBL2L2L2TenantCL2L2L2AnimatedSlideCMP1717虚拟网络：一个通过软件定义的完整网络1818VMwareNSX防火墙：高性能，可扩展•集中式防火墙模型•静态配置•基于IP地址的规则•每设备40Gbps•对封装的流量缺少可见性•分布在虚拟化层•动态，基于API的配置•使用VM名字和基于标识的规则•线速，每主机15+Gbps•对封装的流量完全可见挑战收益性能与扩展性——1,000+主机30Tbps防火墙物理安全模型用于SDDC的NSX防火墙防火墙管理AnimatedSlideVMwareNSXAPICMP1919虚拟网络：一个通过软件定义的完整网络2020VMwareNSX负载均衡•应用的移动性•多租户•配置复杂度——手工部署模型•按需的负载均衡服务•满足应用需要的简单部署模式——单臂或联机•Layer7,SSL,…挑战收益负载均衡–基于租户的应用可用性模型AnimatedSlideL2租户AVM1VM2VM1VM3VM2L2L2L3租户B2121服务部署挑战——物理服务设备AnimatedSlideWebWebDBDBAppAppWebWebAppAppDBDB2222服务部署挑战——虚拟服务设备AnimatedSlideWebWebDBDBAppAppWebWebAppAppDBDB2323NSX平台构成示例数据库层逻辑交换机Web层逻辑交换机应用层逻辑交换机外部网络为三层应用提供基本的网络连接服务1配置简单全部通过软件实现无需改变物理网络配置边界服务(HA,FW,NAT,VPN,LBServices)NSX平台自动创建和连接网络与服务2快速可重复的部署包括网络与安全服务RESTAPI逻辑交换机二层桥接BridgedVLANVM逻辑路由器2424采用NV技术的数据中心网络架构广域网互联网Rack1InfrastructureRacksEdgeRacksToRRack2RackNToRToRToRToR2525议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结26WANInternetComputeMgmtandControlEdgeRackNSX高可用机制AnimatedSlideNSX完全可以应用于生产网络vSphereClustersNSX组件的高可用•NSX控制器：集群，主机级高可用，数据面板分离。•NSX管理器：存储高可用和配置备份，不保存运行态数据。•NSXEdge:成对虚拟机，活动状态同步，主机级别高可用。•NSXvSwitch:分布式架构，影响范围只限于故障主机。•主机失败：虚拟机会被迁移到其它主机，NSX组件继续提供服务最佳实践•将管理组件，控制组件和Edge虚拟设备部署于集群之中。2727网络虚拟化平台运营亮点•总体逻辑网络健康/状态•VM到VM的连通性•基于VM的数据流可见性•流量分析——数据包捕获•传输隧道健康•清单和容错管理•多级日志、事件跟踪和审计•物理网络排故和可见性•升级管理聚合运维视图•统计信息收集•告警和健康监视•网络性能与资源利用•全基础架构管理与监视(vCenterOperationsManager)2828议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结2929NSX扩展性：合作伙伴集成NSX控制器NSXAPI合作伙伴扩展网络安全平台网关服务应用交付服务安全服务+CloudMgmtPlatforms3030NSX基于策略的管理框架可以在软件定义的数据中心里更有效率地使用网络和安全服务应用在一个位置上应用安全策略到工作负载，并随时保持可见性自动化不需要开发即可在不同的服务之间实现自动化工作流。置备使用一种方法置备服务和监视服务的可用性3131议程为什么需要网络虚拟化VMwareNSX功能介绍VMwareNSX部署NSX运营NSX合作伙伴生态系统总结3232VMwareNSX–应用场景自服务ITDevXDevATestXAcquisitionA开发云新员工报道管理应用特定网络灵活的IP地址管理简化使用主要功能示例数据中心自动化应用微分段简化计算分区DMZ部署可编程消费完整功能集可见性与运维主要功能示例公有云XaaS云垂直云多租户部署二三层可编程安全性重叠IP地址任意虚拟化层、任意CMP主要功能示例3333vSphereX86主机KVMXenServerHyper-V线速双向任意物理与虚拟节点硬件软件硬件软件任意云管理平台VMwareNSXAPI线速双向无需绕路线速双向内核集成25,000CPS250万会话15Gbps100KCPS1M并发FW,LB,VPN软件定义网络的新角色分布式交换机分布式路由器分布式防火墙边界服务VMwareNSX软件(网络虚拟化)虚拟网络现存的网络基础架构3434谢谢！tzang@vmware.com3535SeeingBroadAdoption3636PhysicalViewOfNSXComponentDeploymentComputeClustersManagementClusterEdgeClusterNSXManagerNSXEdgeNSXControllerDataCenterIPnetworkManagementnetwork(vMotion&storage)vCenterServerPhysicalAppliancesExternalnetworksWAN/InternetComputeRacksInfraRacksEdgeRacksControllerSoftware•Virtualnetworkorchestrator•MassivescaleHypervisorServiceModules•Distributednetworkservices(Switching,Routing)•LoadBalancer,Switch,Firewall,Router/VPNGatewaySoftware•Integrationwithexistingphysicalinfra.•VtoV/VtoPL2L337PrivUserNetworkActivityMonitoringSolutionCategoriesCMPvCD,vCAC,etc.NSXServiceComposerAutomationvCO,Scripts,etc.APIREST,Java,.NETNWIsoVXLAN,NATFirewallTCP,IdentityVPNIPsec,SSLDLPAtRest,WirePrivUserAAA,SessionRecordingAVMalware,WhitelistFIMConfigFiles,RegistryIPS/IDSMonitor,Prevent,ReportVulnerabilityPenetrationTestingNextGenFWAppAware,FineGrainedAppLayerIPSEncryptionVMFS,VMDK,OSConfigurationManagementPatchingSIEMSyslog,EventCorrelationPlatform(FutureNSXEnabled)ExtensibilityNSXNSXEnabledConsumptionVMware&PlatformPartnerVMwareNSXEnabledPartnerVMware+Customer/3rdParty/OpenSrcPlatformPartnerLogging