NSX网络与安全解决方案简介课件.ppt

VMware网络与安全解决方案,VMware网络与安全解决方案,议程,议程为什么需要网络虚拟化VMware NSX功能介绍VMwa,议程,议程为什么需要网络虚拟化VMware NSX功能介绍VMwa,客户需要.,资源池,灵活的 IPAM,零信任安全微分段,自服务及扩展性,弹性计算分区,扩展到公有云,客户需要.资源池灵活的 IPAM零信任安全自服务及扩展,需要做出什么样的改变,虚拟机,数据中心网络,运营模式,从硬件解耦网络的创建、删除、增长和削减对应用程序透明可编程，可监视良好扩展性,?,需要做出什么样的改变虚拟机数据中心网络运营模式从硬件解耦,VMware NSX简介,基于NSX的网络虚拟化,二层交换,和VM一样管理网络,硬件,软件,VMware NSX简介基于NSX的网络虚拟化二层交换三层路,议程,议程为什么需要网络虚拟化VMware NSX功能介绍VMwa,VMware NSX 网络与安全功能,逻辑交换 运行于三层网络之上的二层网络，与物理网络解耦逻辑路由 在虚拟网络之间以及虚拟网络和物理网络之间路由逻辑防火墙 分布式防火墙，内核集成，高性能逻辑负载均衡 利用软件实现的应用负载均衡逻辑VPN 通过软件实现站点到站点以及远程访问VPN服务NSX API 可与任何云管理平台相集成的RESTful API合作伙伴生态系统,VMware NSX 网络与安全功能任何应用程序虚拟网络,VMware NSX组件,VMware NSX组件控制面板NSX 控制器运行态将虚拟,议程,议程为什么需要网络虚拟化VMware NSX功能介绍VMwa,利用VMware NSX部署网络虚拟化,计算,利用现存的网络基础架构,任意网络厂商任意网络拓扑,IP包转发网络,利用VMware NSX部署网络虚拟化计算1利用现存的网络,利用VMware NSX部署网络虚拟化(续),计算,利用现存的网络基础架构,部署VMware NSXNSX管理与边界服务,利用VMware NSX部署网络虚拟化(续)计算12利用现存,利用VMware NSX部署网络虚拟化(续),计算,利用现存的网络基础架构,部署VMware NSXNSX管理与边界服务,应用程序消费网络资源,CMP门户/自服务,可编程的虚拟网络部署,逻辑网络,利用VMware NSX部署网络虚拟化(续)计算12利用现存,VMware NSX逻辑交换机,应用/租户之间的分段虚拟机的移动性需要大二层网络大的二层物理网络扩展导致生成树问题硬件内存 (MAC, FIB)表限制,跨数据中心扩展多租户在3层基础架构上实现2层网络基于VXLAN, STT, GRE等实现Overlay 可跨越多个物理主机和网络交换机的逻辑交换服务,挑战,收益,逻辑交换 将网络的扩展性提高1000倍,Animated Slide,VMware NSX,VMware NSX逻辑交换机应用/租户之间的分段跨数据中心,Egress,逻辑交换服务,逻辑交换(L2),L2,逻辑交换(L2),Load Balancer,IDS,软件定义的虚拟网络,Ingress,1.1.1.0/24,1.1.2.0/24,网络虚拟化,物理网络,通用IP硬件,Egress逻辑交换服务逻辑交换(L2)L2逻辑交换(L2),VMware NSX三层路由: 分布式、功能全面,物理基础架构的扩展性存在挑战路由扩展性虚拟机的移动性存在挑战多租户路由的复杂度流量的发夹问题,在虚拟化层实现分布式路由动态的，基于API的配置完整功能OSPF, BGP, IS-IS基于租户的逻辑路由器可与物理交换机协同,挑战,收益,可扩展的路由 简化多租户,控制器集群,NSX管理器,Animated Slide,CMP,VM to VM Routed Traffic FlowVM,虚拟网络：一个通过软件定义的完整网络,逻辑交换(L2),L3,L2,Egress,逻辑交换(L2),L2,L3,Load Balancer,IDS,软件定义的虚拟网络,Ingress,1.1.1.0/24,1.1.2.0/24,网络虚拟化,物理网络,通用IP硬件,虚拟网络：一个通过软件定义的完整网络逻辑交换(L2)L3L2,VMware NSX防火墙：高性能，可扩展,集中式防火墙模型静态配置基于IP地址的规则每设备40 Gbps对封装的流量缺少可见性,分布在虚拟化层动态，基于API的配置使用VM名字和基于标识的规则线速，每主机15+ Gbps对封装的流量完全可见,挑战,收益,性能与扩展性 1,000+主机 30Tbps防火墙,物理安全模型,用于SDDC的NSX防火墙,防火墙管理,Animated Slide,VMware NSX防火墙：高性能，可扩展集中式防火墙模型分,虚拟网络：一个通过软件定义的完整网络,逻辑交换(L2),L3,L2,FW,Egress,逻辑交换(L2),L2,L3,Load Balancer,IDS,软件定义的虚拟网络,Ingress,1.1.1.0/24,1.1.2.0/24,网络虚拟化层,物理网络,通用IP硬件,FW,虚拟网络：一个通过软件定义的完整网络逻辑交换(L2)L3L2,VMware NSX负载均衡,应用的移动性多租户配置复杂度手工部署模型,按需的负载均衡服务满足应用需要的简单部署模式单臂或联机Layer 7, SSL, ,挑战,收益,负载均衡 基于租户的应用可用性模型,Animated Slide,VMware NSX负载均衡应用的移动性按需的负载均衡服务挑,服务部署挑战物理服务设备,Animated Slide,Web,Web,App,App,DB,DB,服务部署挑战物理服务设备Animated SlideWe,服务部署挑战虚拟服务设备,Animated Slide,Web,Web,App,App,DB,DB,服务部署挑战虚拟服务设备Animated SlideWe,NSX平台构成示例,数据库层逻辑交换机,Web层逻辑交换机,应用层逻辑交换机,外部网络,为三层应用提供基本的网络连接服务,配置简单全部通过软件实现无需改变物理网络配置,边界服务(HA, FW, NAT, VPN, LB Services),NSX平台,自动创建和连接网络与服务,快速可重复的部署包括网络与安全服务REST API,逻辑路由器,NSX平台构成示例数据库层逻辑交换机Web层逻辑交换机应,采用NV技术的数据中心网络架构,广域网互联网,Rack 1,ToR,Rack 2,Rack N,ToR,ToR,ToR,ToR,采用NV技术的数据中心网络架构广域网互联网Rack 1In,议程,议程为什么需要网络虚拟化VMware NSX功能介绍VMwa,NSX高可用机制,Animated Slide,NSX完全可以应用于生产网络,NSX控制器： 集群，主机级高可用，数据面板分离。NSX管理器： 存储高可用和配置备份，不保存运行态数据。NSX Edge: 成对虚拟机，活动状态同步，主机级别高可用。NSX vSwitch: 分布式架构，影响范围只限于故障主机。主机失败： 虚拟机会被迁移到其它主机，NSX组件继续提供服务最佳实践将管理组件，控制组件和Edge虚拟设备部署于集群之中。,WANInternetComputeMgmt and Co,网络虚拟化平台运营,亮点总体逻辑网络健康/状态VM到VM的连通性基于VM的数据流可见性流量分析数据包捕获传输隧道健康清单和容错管理多级日志、事件跟踪和审计物理网络排故和可见性升级管理,聚合运维视图统计信息收集告警和健康监视网络性能与资源利用全基础架构管理与监视(vCenter Operations Manager),网络虚拟化平台运营亮点聚合运维视图,议程,议程为什么需要网络虚拟化VMware NSX功能介绍VMwa,NSX扩展性：合作伙伴集成,NSX API,合作伙伴扩展,Cloud MgmtPlatforms,NSX扩展性：合作伙伴集成NSX控制器NSX API合作网络,NSX基于策略的管理框架,可以在软件定义的数据中心里更有效率地使用网络和安全服务,应用 在一个位置上应用安全策略到工作负载，并随时保持可见性,自动化不需要开发即可在不同的服务之间实现自动化工作流。,置备使用一种方法置备服务和监视服务的可用性,NSX基于策略的管理框架可以在软件定义的数据中心里更有效率地,议程,议程为什么需要网络虚拟化VMware NSX功能介绍VMwa,VMware NSX 应用场景,自服务IT,开发云新员工报道管理,应用特定网络灵活的IP地址管理简化使用,主要功能,示例,数据中心自动化,应用微分段简化计算分区DMZ部署,可编程消费完整功能集可见性与运维,主要功能,示例,公有云,XaaS云垂直云,多租户部署二三层可编程安全性重叠IP地址任意虚拟化层、任意CMP,主要功能,示例,VMware NSX 应用场景自服务ITDev XDev,vSphere,X86主机,KVM,Xen Server,Hyper-V,硬件,软件,硬件,软件,任意云管理平台,VMware NSX API,软件定义网络的新角色,分布式交换机,分布式路由器,分布式防火墙,边界服务,VMware NSX 软件 (网络虚拟化),虚拟网络,现存的网络基础架构,vSphereX86主机KVMXen ServerHyper,谢谢！,谢谢！,Seeing Broad Adoption,Seeing Broad Adoption,Physical View Of NSX Component Deployment,Compute Clusters,Management Cluster,Edge Cluster,NSX Manager,NSX Edge,NSX Controller,Data Center IP network,Management network(vMotion & storage),vCenterServer,PhysicalAppliances,External networksWAN/ Internet,Controller SoftwareVirtual network orchestratorMassive scale,Hypervisor Service ModulesDistributed network services (Switching, Routing)Load Balancer, Switch, Firewall, Router/VPN,Gateway SoftwareIntegration with existing physical infra.V to V / V to P,Physical View Of NSX Component,Priv UserNetwork Activity Monitoring,Solution Categories,CMPvCD, vCAC, etc.,NSXService Composer,AutomationvCO, Scripts, etc.,APIREST, Java, .NET,NW IsoVXLAN, NAT,FirewallTCP, Identity,VPNIPsec, SSL,DLPAt Rest, Wire,Priv UserAAA, Session Recording,AVMalware, Whitelist,FIMConfig Files,Registry,IPS/IDSMonitor, Prevent, Report,VulnerabilityPenetration Testing,Next Gen FWApp Aware, Fine GrainedApp Layer IPS,EncryptionVMFS, VMDK, OS,ConfigurationManagementPatching,SIEMSyslog,Event Correlation,Platform(Future NSX Enabled),Extensibility,NSX,NSX Enabled,Consumption,VMware &PlatformPartner,VMware,NSXEnabledPartner,VMware +Customer/3rd Party/ Open Src,PlatformPartner,Logging,Priv UserSolution CategoriesCM,