1、VMware网络与安全解决方案,议程,议程,客户需要.,资源池,灵活的 IPAM,零信任安全 微分段,自服务及扩展性,弹性计算分区,扩展到公有云,需要做出什么样的改变,虚拟机,数据中心网络,运营模式,从硬件解耦 网络的创建、删除、增长和削减对应用程序透明 可编程,可监视 良好扩展性,?,VMware NSX简介,基于NSX的网络虚拟化,二层交换,和VM一样 管理网络,硬件,软件,议程,VMware NSX 网络与安全功能,逻辑交换 运行于三层网络之上的二层网络,与物理网络解耦逻辑路由 在虚拟网络之间以及虚拟网络和物理网络之间路由逻辑防火墙 分布式防火墙,内核集成,高性能逻辑负载均衡 利用软件实
2、现的应用负载均衡逻辑VPN 通过软件实现站点到站点以及远程访问VPN服务NSX API 可与任何云管理平台相集成的RESTful API合作伙伴生态系统,VMware NSX组件,议程,利用VMware NSX部署网络虚拟化,计算,利用现存的 网络基础架构,任意网络厂商 任意网络拓扑,IP包转发网络,利用VMware NSX部署网络虚拟化(续),计算,利用现存的 网络基础架构,部署VMware NSX NSX管理与边界服务,利用VMware NSX部署网络虚拟化(续),计算,利用现存的 网络基础架构,部署VMware NSX NSX管理与边界服务,应用程序 消费网络资源,CMP门户/自服务,可
3、编程的 虚拟网络部署,逻辑网络,VMware NSX逻辑交换机,应用/租户之间的分段 虚拟机的移动性需要大二层网络 大的二层物理网络扩展导致生成树问题 硬件内存 (MAC, FIB)表限制,跨数据中心扩展多租户 在3层基础架构上实现2层网络 基于VXLAN, STT, GRE等实现Overlay 可跨越多个物理主机和网络交换机的逻辑交换服务,挑战,收益,逻辑交换 将网络的扩展性提高1000倍,Animated Slide,VMware NSX,Egress,逻辑交换服务,逻辑交换(L2),L2,逻辑交换(L2),Load Balancer,IDS,软件定义的 虚拟网络,Ingress,1.1.
4、1.0/24,1.1.2.0/24,网络虚拟化,物理网络,通用IP硬件,VMware NSX三层路由: 分布式、功能全面,物理基础架构的扩展性存在挑战路由扩展性 虚拟机的移动性存在挑战 多租户路由的复杂度 流量的发夹问题,在虚拟化层实现分布式路由 动态的,基于API的配置 完整功能OSPF, BGP, IS-IS 基于租户的逻辑路由器 可与物理交换机协同,挑战,收益,可扩展的路由 简化多租户,控制器集群,NSX管理器,Animated Slide,CMP,虚拟网络:一个通过软件定义的完整网络,逻辑交换(L2),L3,L2,Egress,逻辑交换(L2),L2,L3,Load Balancer,
5、IDS,软件定义的 虚拟网络,Ingress,1.1.1.0/24,1.1.2.0/24,网络虚拟化,物理网络,通用IP硬件,VMware NSX防火墙:高性能,可扩展,集中式防火墙模型 静态配置 基于IP地址的规则 每设备40 Gbps 对封装的流量缺少可见性,分布在虚拟化层 动态,基于API的配置 使用VM名字和基于标识的规则 线速,每主机15+ Gbps 对封装的流量完全可见,挑战,收益,性能与扩展性 1,000+主机 30Tbps防火墙,物理安全模型,用于SDDC的NSX防火墙,防火墙管理,Animated Slide,虚拟网络:一个通过软件定义的完整网络,逻辑交换(L2),L3,L2
6、,FW,Egress,逻辑交换(L2),L2,L3,Load Balancer,IDS,软件定义的 虚拟网络,Ingress,1.1.1.0/24,1.1.2.0/24,网络虚拟化层,物理网络,通用IP硬件,FW,VMware NSX负载均衡,应用的移动性 多租户 配置复杂度手工部署模型,按需的负载均衡服务 满足应用需要的简单部署模式单臂或联机 Layer 7, SSL, ,挑战,收益,负载均衡 基于租户的应用可用性模型,Animated Slide,服务部署挑战物理服务设备,Animated Slide,Web,Web,App,App,DB,DB,服务部署挑战虚拟服务设备,Animated
7、Slide,Web,Web,App,App,DB,DB,NSX平台构成示例,数据库层 逻辑交换机,Web层 逻辑交换机,应用层 逻辑交换机,外部 网络,为三层应用提供基本的网络连接服务,配置简单 全部通过软件实现 无需改变物理网络配置,边界服务 (HA, FW, NAT, VPN, LB Services),NSX平台,自动创建和连接 网络与服务,快速可重复的部署 包括网络与安全服务 REST API,逻辑路由器,采用NV技术的数据中心网络架构,广域网 互联网,Rack 1,ToR,Rack 2,Rack N,ToR,ToR,ToR,ToR,议程,NSX高可用机制,Animated Slide
8、,NSX完全可以应用于生产网络,NSX控制器: 集群,主机级高可用,数据面板分离。 NSX管理器: 存储高可用和配置备份,不保存运行态数据。 NSX Edge: 成对虚拟机,活动状态同步,主机级别高可用。 NSX vSwitch: 分布式架构,影响范围只限于故障主机。 主机失败: 虚拟机会被迁移到其它主机,NSX组件继续提供服务 最佳实践 将管理组件,控制组件和Edge虚拟设备部署于集群之中。,网络虚拟化平台运营,亮点 总体逻辑网络健康/状态 VM到VM的连通性 基于VM的数据流可见性 流量分析数据包捕获 传输隧道健康 清单和容错管理 多级日志、事件跟踪和审计 物理网络排故和可见性 升级管理,
9、聚合运维视图 统计信息收集 告警和健康监视 网络性能与资源利用 全基础架构管理与监视(vCenter Operations Manager),议程,NSX扩展性:合作伙伴集成,NSX API,合作 伙伴 扩展,Cloud Mgmt Platforms,NSX基于策略的管理框架,可以在软件定义的数据中心里更有效率地使用网络和安全服务,应用在一个位置上应用安全策略到工作负载,并随时保持可见性,自动化不需要开发即可在不同的服务之间实现自动化工作流。,置备使用一种方法置备服务和监视服务的可用性,议程,VMware NSX 应用场景,自服务IT,开发云 新员工报道管理,应用特定网络 灵活的IP地址管理
10、简化使用,主要功能,示例,数据中心自动化,应用微分段 简化计算分区 DMZ部署,可编程消费 完整功能集 可见性与运维,主要功能,示例,公有云,XaaS云 垂直云,多租户部署 二三层可编程 安全性 重叠IP地址 任意虚拟化层、任意CMP,主要功能,示例,vSphere,X86主机,KVM,Xen Server,Hyper-V,硬件,软件,硬件,软件,任意云管理平台,VMware NSX API,软件定义网络的新角色,分布式 交换机,分布式 路由器,分布式 防火墙,边界 服务,VMware NSX 软件 (网络虚拟化),虚拟网络,现存的网络基础架构,谢谢!,,Seeing Broad Adopti
11、on,Physical View Of NSX Component Deployment,Compute Clusters,Management Cluster,Edge Cluster,NSX Manager,NSX Edge,NSX Controller,Data Center IP network,Management network (vMotion & storage),vCenter Server,Physical Appliances,External networks WAN/ Internet,Controller Software Virtual network orche
12、strator Massive scale,Hypervisor Service Modules Distributed network services (Switching, Routing) Load Balancer, Switch, Firewall, Router/VPN,Gateway Software Integration with existing physical infra. V to V / V to P,Priv User Network Activity Monitoring,Solution Categories,CMP vCD, vCAC, etc.,NSX
13、Service Composer,Automation vCO, Scripts, etc.,API REST, Java, .NET,NW Iso VXLAN, NAT,Firewall TCP, Identity,VPN IPsec, SSL,DLP At Rest, Wire,Priv User AAA, Session Recording,AV Malware, Whitelist,FIM Config Files, Registry,IPS/IDS Monitor, Prevent, Report,Vulnerability Penetration Testing,Next Gen
14、FW App Aware, Fine Grained App Layer IPS,Encryption VMFS, VMDK, OS,Configuration Management Patching,SIEM Syslog, Event Correlation,Platform (Future NSX Enabled),Extensibility,NSX,NSX Enabled,Consumption,VMware & Platform Partner,VMware,NSX Enabled Partner,VMware + Customer/ 3rd Party/ Open Src,Platform Partner,Logging,
