Вопрос безопасности сети является одним из важнейших для предприятий, поскольку безопасная инфраструктура позволяет бизнесу расти. И чтобы безопасная инфраструктура способствовала росту, для администраторов и для выполнения различных операций должны быть доступны инструменты, позволяющие просматривать и контролировать физические и виртуальные ресурсы. Это является фактически стандартом при работе с современными облачными требованиями.
Одним из таких инструментов является VMware NSX, поскольку позволяет предприятиям решить проблемы безопасности сети, медленного и комплексного развертывания, а также неэффективного использования ИТ-ресурсов.
Что представляет собой VMware NSX?
VMware NSX – это платформа виртуализации сети и обеспечения сетевой безопасности, предназначенная для программного центра обработки данных (SDDC).
Целью VMware NSX является предоставление эксплуатационной модели виртуальной машины для целых сетей. Сетевые функции, включая коммутацию, маршрутизацию, балансировку нагрузки и брандмауэр, встроены в гипервизор и распределены по всей среде. Это создает гипервизорную платформу для виртуальных сетевых служь и служб безопасности. Инициализация и управление виртуальными сетями производится независимо от основного оборудования.
NSX воспроизводит полную модель сети программным образом, позволяя быстро и легко создавать любую топологию сети, включая сложные многоуровневые сети.
Предприятия могут создавать несколько виртуальных сетей для удовлетворения разнообразных требований, используя сочетание услуг, предлагаемых NSX.
Компоненты и функции VMware NSX
NSX предоставляет полный набор логических сетевых элементов и сервисов, включая логические коммутаторы, маршрутизаторы, балансировку нагрузки, VPN, а также компоненты для мониторинга и обеспечения качества обслуживания. Эти службы предоставляются в виртуальных сетях через любую платформу облачного управления, использующую API-интерфейсы NSX. Виртуальные сети развертываются без прерывания работы на любом существующем сетевом оборудовании.
Коммутация. Наложения логического уровня 2 поверх маршрутизируемой матрице уровня 3 внутри и за пределами ЦОД. Поддержка наложения сетей на базе VXLAN.
Маршрутизация. Динамическая маршрутизация между виртуальными сетями, выполняемая распределенным образом в ядре гипервизора, масштабируемая маршрутизация с аварийным переключением типа «активный-активный» на физические маршрутизаторы. Поддерживаются протоколы статической и динамической маршрутизации (OSPF, BGP).
Распределенный брандмауэр. Распределенные службы брандмауэра, встроенные в ядро гипервизора, с пропускной способностью до 20 Гбит/с на узел гипервизора. Поддержка Active Directory и мониторинг активности. Кроме того, NSX также предоставляет возможность для вертикального трафика через NSX EdgeTM.
Балансировка нагрузки. Балансировка нагрузки для уровней 4-7 с переносом нагрузок SSL и сквозной передачей, проверка работоспособности сервера и правила приложений для программирования и обработки трафика.
VPN. Возможности VPN для доступа типа «среда-среда» и удаленного доступа, неуправляемая сеть VPN для служб облачных шлюзов.
Шлюз NSX. Поддержка моста между сетью VXLAN для VLAN для бесшовного подключения к физическим нагрузкам. Эта возможность является как встроенной для NSX, так и поставляемой коммутаторами верхнего уровня от партнера по экосистеме.
NSX API. RESTful API для интеграции с любой облачной платформой управления или пользовательскими системами автоматизации.
Эксплуатация. Встроенные возможности управления процессами, такие как центральный интерфейс командной строки, трассировка, SPAN и IPFIX, облегчают устранение неполадок и помогают проводить упреждающий̆ мониторинг инфраструктуры. Интеграция с такими средствами, как VMware vRealize® OperationsTM и vRealize Log InsightTM, расширяет возможности расширенной аналитики и устранения неполадок. Благодаря таким возможностям NSX, как управление правилами для приложений и мониторинг конечных устройств, обеспечивается комплексная визуализация сетевого трафика до уровня 7. Разработчики приложений получают возможность определять как внешние, так и внутренние конечные устройства и создавать соответствующие правила безопасности.
Микросегментация с учетом контекста. NSX позволяет создавать динамические группы безопасности и связанные политики не только на основе IP- и MAC- адресов, но и с учетом объектов и меток VMware vCenterTM, типа операционной̆ системы и сведений о приложениях уровня 7, что помогает реализовать контекстную микросегментацию приложений. Благодаря политикам на основе учетных данных, в которых используются данные для входа в систему, получаемые от ВМ, из каталога Active Directory и из интегрированных систем управления мобильными устройствами, можно реализовать систему безопасности на уровне пользователя, в том числе на уровне сеанса в удаленных средах и средах виртуальных компьютеров.
Управление облаком. Встроенная интеграция с vRealize AutomationTM and OpenStack.
Интеграция со сторонними партнерскими решениями. Поддержка интеграции служб управления, плоскости управления и плоскости данных со сторонними партнерскими решениями в самых разных категориях, таких как брандмауэр следующего поколения, IDS/IPS, антивирусы без агентов, контроллеры доставки приложений, коммутаторы, управление процессами и видимостью, повышенная безопасность и т.д.
Сеть и безопасность за пределами vCenter. Расширение сети и безопасности на несколько серверов vCenter и центров обработки данных, независимо от основных возможностей физической топологии, чтобы обеспечить аварийное восстановление и центры обработки данных в режиме «активный-активный».
Управление журналами. Помогает решить проблемы быстрее благодаря дополнительным средствам визуализации vRealize Log для NSX. Визуализация тенденций развития событий, создание оповещений и другие возможности в режиме реального времени.
Преимущества VMware NSX
К основным преимуществам VMware NSX относятся:
Микросегментация и гибкие политики безопасности, применяемые к отдельным рабочим нагрузкам.
Автоматизация. Значительно повышается эффективность работы за счет автоматизации.
Скорость и производительность. Сокращается время инициализации сети с нескольких дней до нескольких секунд.
Непрерывность работы. Мобильность рабочей нагрузки независимо от топологии физической сети внутри и между центрами данных.
Повышенный уровень безопасности. Расширение сети и безопасности в VMware vCenterTM и границ центра обработки данных, независимо от базовой физической топологии.
Платформа VMware NSX может применятся в нескольких сценариях.
Безопасность
Традиционные аппаратные решения полагаются на размещение жестких конструкций безопасности в основном на периметре центра обработки данных, оставляя внутреннюю часть центра обработки данных неохраняемой. NSX, в свою очередь, обеспечивает более безопасный центр обработки данных путем интеграции виртуальной безопасности и распределенной межсетевой защиты непосредственно в инфраструктуру. Это создает пункты обеспечения политик для каждой рабочей нагрузки. В первый раз оперативно можно обеспечить грамотную безопасность политиками, которые распространяются с рабочей нагрузкой, независимо от того, где рабочая нагрузка находится в топологии сети.
В результате гарантируется незамедлительная реакция на угрозы, возникающие внутри ЦОД, и применение политик безопасности на всех уровнях, вплоть до отдельной виртуальной машины. В отличие от традиционных сетей, в данном случае угрозы, проникшие сквозь защиту периметра, не смогут горизонтально перемещаться внутри ЦОД.
Это значительно снижает риск для бизнеса, позволяя операциям безопасности быстро адаптироваться к изменениям угроз, значительно упрощая эксплуатационную модель безопасности.
Автоматизация
Автоматизация лежит в основе гибкости и согласованности ИТ, что в свою очередь значительно улучшает общую экономию средств. Тем не менее, ИТ-организации, которые все еще ограничены аппаратными средствами, не могут реализовать значимую стратегию автоматизации. В частности, сетевое оборудование во многом зависит от подверженности ошибкам ручного конфигурирования и обслуживания разрастающейся библиотеки сценариев. Результатом является трудоемкий процесс, который влияет на способность ИТ поддерживать бизнес.
NSX полностью устраняет этот аппаратно-ориентированный барьер для автоматизации сетевых операций. Перемещая сетевые службы и службы безопасности на уровень виртуализации центров обработки данных, NSX предоставляет ту же автоматизированную операционную модель виртуальной машины, но для всей сети. Это решает такие проблемы, как длительная инициализация сетей, ошибки в конфигурациях и высокие расходы. В NSX сети создаются программным образом, что исключает «узкие места», типичные для физических сетей.
Интеграция NSX с платформами управления облаком, такими как vRealize Automation и OpenStack, обеспечивает расширенные возможности автоматизации, значительно ускоряя службы и сокращая время их предоставления от нескольких месяцев до нескольких минут.
Обеспечение непрерывной работы приложений
Непрерывная работа приложений для обеспечения аварийного восстановления или для объединения ресурсов центра обработки данных является приоритетом для ИТ.
NSX позволяет организациям не только перемещать виртуальные машины между центрами обработки данных, но также перемещать все связанные сети и политики безопасности. В виртуализированной сетевой инфраструктуре ИТ-отделы теперь могут реплицировать среды приложений в удаленные ЦОД для аварийного восстановления, перемещать их между корпоративными ЦОД или развертывать в гибридных облачных средах. Все это можно сделать всего за несколько минут, без прерывания работы запущенного приложения, а также без взаимодействия с физической сетью.
Для бизнеса это означает максимальное время безотказной работы приложений, значительную экономию средств и устранение незапланированных отключений.
Редакции VMware NSX и цены
Платформа VMware NSX поставляется в 4 редакциях.
Standard. Для организаций, которым требуется адаптивность и автоматизация сети.
Advanced. Для организаций, которым требуются возможности редакции Standard и более высокий уровень безопасности ЦОД, реализуемый с помощью микросегментации.
Enterprise. Для организаций, которым требуются возможности редакции Advanced, а также службы сети и система безопасности для нескольких доменов.
ROBO. Для организаций, которым требуется виртуализировать и защитить приложения в удаленном офисе или филиале.
Возможности |
Standard (цена) |
Advanced (цена) |
Enterprise (цена) |
ROBO (цена) |
Распределенная коммутация |
+ |
+ |
+ |
+* |
Распределенная маршрутизация |
+ |
+ |
+ |
|
Брандмауэр NSX Edge |
+ |
+ |
+ |
+ |
Преобразование сетевых адресов |
+ |
+ |
+ |
+ |
Программный мост между уровнем 2 и физической средой |
+ |
+ |
+ |
|
Динамическая маршрутизация с ECMP (в режиме «активный-активный») |
+ |
+ |
+ |
+ |
Автоматизация на основе API-интерфейсов |
+ |
+ |
+ |
+ |
Интеграция с vRealize и OpenStack |
+ |
+ |
+ |
+ |
Управление журналами с помощью vRealize Log Insight для NSX |
+ |
+ |
+ |
+ |
Автоматизация политик безопасности с помощью vRealize |
|
+ |
+ |
+ |
Балансировка нагрузки с помощью NSX Edge |
|
+ |
+ |
+ |
Распределенный брандмауэр (с интеграцией с Active Directory) |
|
+ |
+ |
+ |
Мониторинг активности серверов |
|
+ |
+ |
+ |
Внедрение служб (интеграция со сторонними решениями) |
|
+ |
+ |
+ |
Интеграция с VMware AirWatch |
|
+ |
+ |
+ |
Управление правилами для приложений |
|
+ |
+ |
+ |
NSX для нескольких серверов vCenter |
|
|
+ |
|
Оптимизация NSX в нескольких средах |
|
|
+ |
|
VPN (IPSEC и SSL) |
|
|
+ |
+ |
Удаленный шлюз |
|
|
+ |
|
Интеграция с оборудованием конечного устройства туннеля VXLAN |
|
|
+ |
|
Мониторинг конечных устройств |
|
|
+ |
|
Распределенный брандмауэр с поддержкой уровня 7 |
|
|
+ |
|
*С поддержкой виртуальной локальной сети
Заключение
Компании, которые уже развернули у себя NSX, утверждают, что это решение быстро становится определяющим фактором их успеха и фундаментальной частью их инфраструктуры ЦОД.
Эволюция в области сетей и безопасности позволила клиентам NSX получать значительные и быстрые выгоды, а также также устранила трудоемкие задачи, которые ранее занимали много времени.
Если у вас возникли вопросы по внедрение платформы виртуализации о обеспечения безопасности сети VMware NSX или ее редакциям, вы можете обратиться за консультацией к специалистам компании Пирит.