尊敬的用戶,
大家早上好!
我們在懷疑中堅定,在堅定中憧憬,在憧憬中前行;為了美好生活,大家一些攜手繼續加油前行。
年底即將到來,我們技術團隊中的項目經理和工程師們正在忙於交付有品質的技術服務。技術人員的時間和精力是項目成功交付的重要保障,故此原定在12月要舉辦的 GTI 定製化解決方案線下體驗活動暫時順延了,在這裡我代表上海全體工程師團隊非常感謝新、老用戶和朋友們的關注和參與,謝謝!
我們銷售隊伍會利用和運用這段時間多做一些新項目經驗總結、積極多一些與大家線下的走動和交流。昨天已成為歷史無法改變,今天無論獲得或失去了什麼都不能鬆懈和氣餒,現在就行動起來明天一定更加美好。
目 錄
一. 客戶需求分析
二. 選型、成本思考
三. VMware NSX 解決方案介紹
四. NSX 插件兼容性說明
五. NSX 運維可視化工具
一. 客戶需求分析
- 階段一:如下圖所示:規劃目標每個商業應用/業務線是完整地包裹在一個安全的隔離的空間內,每個容器、K8s、虛擬機、物理機之間都是有防火牆進行精細化控制,同時該隔離區域提供路由、負載均衡、監控分析的必要的網絡組件功能。
- 階段二:如下圖所示:當有2個商業應用/業務時,可以採用上述結構進行模塊化疊加。
- 階段三:如下圖所示:當發展到多個商業應用/業務時,就必須引入自動化管理框架,K8s、PKS、OpenShift 等等,逐漸實現CI/CD、Dev/Ops。
- 階段四:如下圖所示:商業應用/業務線開始從私有云內延展到公有云,進一步發展到跨接到多個公有云。對於公有云資源使用可以採用虛擬機或者容器都是可行的,每個雲內的最小資源同樣能實施精細化隔離和控制,應用所跨接的多個雲之間的底層網絡被透明地二層打通。
經歷四個發展階段後
商業應用/業務線全景視圖如下
二. 選型、成本思考
- NSX與Cisco ACI 有何不同 ?
NSX 的最大競爭者是思科。思科在市場上有很強的地位。他們已經構建了一個名為 Nexus9K 的交換機,但它具有稱為 ACI 的功能 - 以應用程序為中心的基礎設施。他們試圖做的是在操作系統中加入一個代理程序,然後勾畫“這就是應用程序看起來的樣子”,然後將應用程序之間的通信量"髮夾"到交換機上,進行安全檢查。理論上是可以這麼做。但如果你仔細想想,那麼軟件定義網絡的重點就是在軟件中對其進行定義,而且它獨立於硬件所存在的,這會使部署和操作變得更加困難,而且成本也會更高,因為您必須購買這種獨特的交換機。
- 為什麼NSX的SDN戰略比Cisco好 ?
因為 NSX 的價值主張是,不在乎您使用什麼基礎架構。您無需升級交換機,可以使用這些產品中使用壽命很長的舊 Cisco Catalyst 或 Cisco Nexus交換機或其他品牌的交換機。也許您是在運行在 Azure、Amazon 之上的工作負載,NSX 可以保證生產環境可以訪問 Internet,但絕不會接觸開發環境,並且開發環境也不會接觸 Internet。
- 該如何定位NSX與Cisco ACI ?
Cisco 是一家偉大的公司。許多客戶使用思科產品,這是有原因的。思科產品確實擅長硬件交換、結構管理,但是 VMware 真正擅長的領域是軟件定義的網絡。VMware 是軟件公司,而不是硬件公司。由於 VMware 在堆棧中的核心位置,使得 NSX 對應用程序有更加深刻的理解。NSX 的管理程序就是啟動 Web 服務器、啟動應用程序服務器、啟動數據庫的安全控制過程。因此 NSX 確切地知道了這些事物的住處,它們的運行方式,並允許 NSX 執行以下非常簡單的策略:Web服務器與應用服務器對話與數據庫安全通信對話。NSX 與思科(或任何其他硬件供應商)之間最大的區別是軟件重點和對應用程序的瞭解,使我們能夠簡化各種形式的基礎架構中的策略落地實施。
- NSX 安全優勢
如果您的目標是加強安全性並超越傳統的基於外圍的防禦態勢,那麼 NSX 可能是管控虛擬流量的可靠選擇。
NSX 可以 - 全面的應用可視性:減少網絡安全團隊在應用安全性審查週期中花費的時間。對應用組合的獨有的可見性(從網絡流量到工作負載上的進程級行為)可幫助自動創建網絡安全策略。
NSX 也可以 - 實施已知的安全控制措施:幫助您實施跨多數據中心和混合雲環境的網絡安全策略,以保護虛擬機、容器和裸機服務器等之間的流量傳輸。
NSX 還可以 - 自適應網絡安全策略(後續有篇幅做進一步介紹):將安全保護從被動流程轉變為應用開發生命週期中的主動行為。即使應用會隨著時間的推移而變化,也會自動為每個工作負載調配,會一直跟隨工作負載的安全策略。當棄用工作負載時,其安全策略也將一併棄用,防止策略隨著時間越積越多,並進一步簡化管理。
- 解決防火牆吞吐量挑戰
到目前為止,由於必須通過物理鏈路過濾大量的數據,東西向防火牆一直很困難並且受到限制。東西向防火牆功能可從 Palo Alto Networks 等供應商處獲得,但是實現和管理整個數據中心級策略所需的設備數量可能既昂貴又在管理上無法實現。這是虛擬化的分佈式防火牆覆蓋和虛擬化數據中心的優勢所在。
單個 NSX 主機的防火牆具有 20 Gbps的吞吐量,也可在您添加 NSX 節點時線性擴展。儘管諸如 Palo Alto Networks 之類的公司的產品比 NSX 防火牆具有更多的功能,但是傳統產品無法滿足純吞吐量。VMware NSX 提供了現有的集成,以允許第三方防火牆 IPS、IDS 處理東西向流量。
- 為什麼合作伙伴在積極推薦 NSX ?
VMware 有將近10,000個客戶在使用虛擬網絡產品,其中82個在《財富》100強中採用了 NSX。對於渠道合作伙伴而言,最重要的是利用這種新的自動化功能,並將其構建到客戶的持續集成和持續交付管道中。現代的基於雲的應用程序開發人員已經達到了一切都自動化的地步,您只需一次推動就可以部署工作負載。將網絡部分當作軟件來對待,而不是像一堆黑盒子那樣,必須依賴其他部門的專業人員登錄,進行更改,更新並打開安全通道。使用 NSX,現在可以對網絡進行編碼,那是非常興奮的事情。渠道合作伙伴可以幫助客戶理解該代碼,將其構建到他們的工作流和軟件開發流程中,並在自己的環境中獲得公共雲體驗。
- NSX 大幅減少防火牆的支出
減少整體安全資本支出,部署其他物理防火牆以控制增長數據中心內部的東西流量對於大多數組織而言,很多微分段方案成本過高。此外,所需設備數量龐大以及建立和管理如此複雜的系統所需的防火牆規則在操作上採用了這種方法是不可行的。
而 VMware NSX 微分段可以完全控制無需購買數據中心中的單個工作負載額外的物理或虛擬防火牆,從而大大節省了投資。 如下圖所示:顯示了一個典型的使用案例數據中心,比較的結果是節省投資72%。同時還帶來了其他優勢,避免將應用程序之間的通信量“髮夾”到交換機或安全設備上(網絡上多了好幾跳和延遲的增加)。
- NSX 大幅降低運營費用
NSX 微分段大大減少了人工工作和安全任務所需的時間,包括移動/添加/更改,擴展和故障排除/修復。如果您考慮了配置所需的所有手動任務和管理物理網絡的安全性 - 在整個開發過程中,測試,驗證和生產環境一一微分段可以自動執行這些任務,您開始看到減少運營的所有機會費用。
如下圖中的分析所示,NSX 微分段大大加快了安全性的初始設置服務投入生產。使用傳統硬件,相關的週期時間來為新申請迫使企業平均等待23天的時間,而網絡虛擬化將其減少到幾分鐘 - 幾乎減少了100%,並大幅加快了應用上市時間。同樣,為新應用程序設置安全服務花費14.3小時的時間或接近兩天的時間,而微分段將其減少到小於2小時 - 大幅減少了87%。
- 安全地實現業務敏捷性
通過 VMware NSX 網絡虛擬化進行微分段的好處在於能夠改變歷史上企業一直被迫在 IT 安全團隊中選擇速度和安全性通常被不公平地認為會抑制業務敏捷性安全地開展業務的局面。NSX 使微分段成為現實並使企業能夠快速,安全地進行創新在保持無所不在的同時獲得競爭優勢數據中心的持久安全性。業務領域也能享受著許多安全性和高性能微分段的好處,並將繼續發現真正改變遊戲規則的創新用途和應用技術。
三. VMware NSX 解決方案介紹
- VMware NSX 產品願景
VMware NSX 產品虛擬雲網絡的強大願景背後是強大的產品組合。自從2018年 VMworld 以來,VMware 網絡和安全性角度積累了重要的產品組合。NSX 建立在 {任何基礎設施〜任何雲〜任何應用程序〜任何平臺〜任何設備} 的基礎上,已成為家族品牌。如下圖所示。
- 定製化隔離與控制解決方案
根據我們實際接觸到的案例總結出大多數用戶的環境中既有大量虛擬機、又有不少容器還有若干物理機,GTI 定製化隔離與控制解決方案旨在解決具有異構端點和技術堆棧的應用程序框架和體系結構。除 vSphere 外,這些環境可能還包括其他虛擬機管理程序,容器,裸機操作系統和公共雲。定製化方案的價值在於幫助用戶的 IT 和開發團隊選擇最適合其特定應用程序的技術。除 IT 之外,該方案還可用於開發組織的管理,運營和使用。如下圖所示。
- 解決方案體系結構設計原理
體系結構圍繞四個基本屬性進行設計。 如下圖所示描繪了從任何站點到任何雲,再到任何端點設備的那些屬性的通用性。這不僅在基礎架構級別(例如,硬件,虛擬機管理程序),而且在公共領域都實現了更大的解耦。雲(例如,AWS,Azure)和容器級別(例如,K8s,Pivotal);所有這些都保留了跨域實施的平臺的四個關鍵屬性。 方案架構的價值和特徵包括:一致性策略、整體網絡的連通性、安全控制服務、可視化。
- 與容器和雲本機應用程序集成
當前的數字轉換時代對 IT 部門提出了挑戰,要求他們解決指令以規範應用程序和數據的安全性,提高交付速度並提高應用程序可用性。IT 管理員意識到必須採用新方法來保持相關性。至關重要的是該解決方案通過在應用程序生命週期中專門定義連接性,安全性和策略來架構性地解決問題。
基於應用程序驅動的基礎架構以編程方式自動創建網絡和交換網段是滿足這些新架構要求的唯一方法。該方案使 IT 和開發團隊可以選擇最適合其特定應用程序的技術。它提供了一個通用框架來管理和增加同時包含 VM 和容器的環境的可見性。隨著開發人員採用諸如容器之類的較新技術,並且在公共雲中運行的工作負載百分比不斷增加,網絡虛擬化必須擴展以提供這些環境中原生的全方位網絡和安全服務(例如LB,NAT,DFW等)。通過為在 VM 和容器上運行的工作負載提供無縫的網絡虛擬化。
- NSX 容器插件 NCP
NSX 容器插件(NCP)旨在提供與許多基於容器的應用程序可以駐留的環境的直接集成。NSX 容器插件利用CNI與容器接口,並允許 NSX 協調容器的網絡,策略和負載平衡。諸如Kubernetes(即k8s)之類的容器編排器非常適合 NSX 集成。包含 k8s 企業發行版的解決方案,著名的 PKS 和 RedHat Open Shift 支持 NSX 解決方案。此外,NSX 支持與 PaaS 解決方案(如Pivotal Cloud Foundry)集成。有關詳細內容,後期我們將在線下活動內做 Demo 演示。
NCP 的主要組件在容器中運行,並與 NSX Manager 和 Kubernetes API 服務器通信(對於k8s / OpenShift)。NCP 監視對容器和其他資源。它還通過 NSX API 管理容器的網絡資源,例如邏輯端口,交換機,路由器和安全組。
- NSX 容器插件:NCP 是容器映像形式的軟件組件,通常作為 Kubernetes 容器運行。
- 適配器層:NCP 以模塊化方式構建,因此可以為各種 CaaS 和 PaaS 平臺添加單獨的適配器。
- NSX 基礎結構層:實現創建拓撲,附加邏輯端口等的邏輯。
- NSX API客戶端:實現 NSX API 的標準化接口。
- NSX 的多雲架構
當擴展到公共雲中的工作負載時,NSX 為跨私有云和多個公共雲的網絡和安全策略管理提供了一個單一的平臺。
此外,在 NSX 中,會自動發現本機雲服務端點(RDS,ELB,Azure LB 等),並可在 NSX 分佈式防火牆策略中使用。你可以在創建這些策略時不需要手動查找端點 IP。
從結構上講,公共雲網關負責發現雲虛擬機/服務端點以及兩種操作模式下的策略實現。在本機雲強制模式下,NSX 提供公共管理平面,用於跨多個公共雲配置豐富的微分段策略。使用 NSX 強制模式時,公共雲網關還提供服務,例如 VPN,NAT 和邊緣防火牆,類似於本地 NSX Edge。NSX 強制模式進一步允許每個基於雲的 VM 實例具有其他好處,包括分佈式數據平面,其中包括邏輯交換,邏輯路由和監視功能(例如 syslog,端口鏡像,IPFIX 等),同時允許客戶遵循雲提供商的最佳做法進行設計網絡拓撲。
- NSX 作為高級安全平臺
除了提供網絡虛擬化之外,NSX-T還可以用作高級安全平臺,提供豐富的功能集以簡化安全解決方案的部署。
- NSX 分佈式防火牆(DFW)在 vNIC級別上為工作負載提供狀態保護。DFW 強制執行發生在系統管理程序內核中,有助於實現微分段。
- 用於本地和雲部署的統一安全策略模型,支持多管理程序(即ESXi 和KVM)和多工作負載,粒度級別低至 VM、容器、裸機屬性。
- 與計算域不可知-支持由不同計算管理器管理的虛擬機監控程序,同時允許將定義的微分段策略應用於跨多個 vCenter 環境的虛擬機監控程序。
- 支持基於第3層,第4層,第7層 APP-ID 和基於身份的防火牆策略。
- NSX 網關防火牆充當 N-S 流量的集中式狀態防火牆服務。網關防火牆是針對每個網關實現的,在 Tier-0 和 Tier-1 上均受支持。從策略配置和實施角度來看,網關防火牆獨立於 NSX DFW。
- 網關和分佈式防火牆服務插入功能,可通過與合作伙伴生態系統集成來提供 IPS/IDS 等高級防火牆服務。
- 根據各種標準(包括標記,虛擬機名稱,子網和段)將對象動態分組為稱為組的邏輯結構。
- 策略實施的範圍可以是選擇性的,具有應用程序或工作負載級別的粒度。
- SpoofGuard 在 vNIC 級別阻止IP欺騙。
- 交換機安全性提供風暴控制和安全性,防止未經授權的流量。
- 與眾不同的安全策略 - 動態自適應
NSX 的分佈式防火牆安全策略與現有大多數的防火牆與眾不同,拋棄了以往的靜態安全策略,而是啟用動態安全策略,能否覆蓋很多複雜的場景,靈活而便捷。以往 IP 地址被替換為組,端口被替換為服務,同時增加了上下文關聯的配置文件。細心的網絡安全工程師或您可以看如下圖例所示,可以細細體會出其中的變化與奧妙,維護動態安全策略的工作量大幅減少,這種動態自適應安全策略達到了易於實施的應用安全隔離和實現應用網絡流量精細化控制的目標。
- 策略:安全策略包括防火牆規則和服務配置等各種安全元素。策略以前稱為防火牆區域控制規則。
- 規則:作為流量評估依據和定義在匹配時所執行操作的一組參數。規則包括源和目標、服務、上下文配置文件、日誌記錄以及標記等參數。
- 組:組包括靜態和動態添加的不同對象,可用作防火牆規則的源和目標字段。可以將組配置為包含虛擬機、IP 集、MAC 集、邏輯端口、邏輯交換機、AD 用戶組和其他嵌套組的組合。可以基於標記、虛擬機名稱、操作系統名稱或計算機名稱動態包含組。創建組時,必須包括該組所屬的域,默認情況下為默認域。
- 服務:定義端口和協議的組合。用於根據端口和協議對流量進行分類。可以在防火牆規則中使用預定義的服務和用戶定義的服務。
- 上下文配置文件:定義上下文感知的屬性,其中包括應用程序 ID 和域名。此外,還包括子屬性,如應用程序版本或密碼集。防火牆規則可以包含上下文配置文件以啟用第 7 層防火牆規則。
四. NSX 插件兼容性說明
- 裸機服務器
- 裸機 Linux 容器
- Kubernetes
- Pivotal Cloud Foundry (PCF)
- OpenShift
- OpenStack Neutron
五. NSX 運維可視化工具
- 網絡可見性和分析
- 混合雲/多雲和 SD-WAN 的可見性,支持 VMware NSX,VeloCloud,AWS 上的 VMware Cloud 和 Microsoft Azure
- 發現覆蓋網絡和底層網絡之間的連通性
- 跨混合雲分析流量和應用程序
- 規劃應用程序安全性和雲遷移
- 發現應用程序(虛擬機,容器),識別流量模式
- 在應用程序發現和定義中支持 Azure 虛擬機
- 創建應用程序層時,支持對 Kubernetes 實體執行“自定義搜索”
- 優化了儀表板,提高了響應能力,縮短了加載時間
- 規劃安全性:推薦防火牆策略,微分段應用
- 解決跨 VM,容器和雲的混合應用程序的安全性
- 映射依賴關係以減少應用遷移期間的風險
- 對虛擬和物理網絡進行優化和故障排除
- 減少應用程序連接性問題的平均修復時間(MTTR)
- 通過消除網絡瓶頸來優化應用程序性能
- 對 Kubernetes 服務和 Pod 執行網絡路徑跟蹤
- 在多個 NSX Manager 中進行管理和擴展
- 範例一:應用儀表盤增強
Network Insight 工具有一個引人注目的儀表板,專注於應用程序。一切都在那裡;應用程序本身的拓撲,在應用程序的層與外部之間流動的實時網絡流,所有基礎結構事件,所有工作負載指標;解決應用程序故障所需的一切。網絡拓撲特別有用,因為它可以顯示網絡流量,但是僅限於4.1 版本中的層。使用 Network Insight 4.2,放大時可以看到每個流。通過放大,層可以擴展為包括所有工作負載(VM,容器)和每個工作負載的流連接。
- 範例二:K8s 服務to服務和 Pod to Pod
- 範例三:流式遙測以獲取物理交換機擁塞指標
- 範例四:網絡延遲指標
延遲是應用程序性能的最佳指標之一;延遲越大,最終用戶的等待時間就越長。Network Insight 4.2 引入了兩種形式的網絡延遲度量:連接到網絡流的 TCP 往返時間(RTT)和特定組件(vSphere主機中的虛擬和物理NIC)之間的延遲度量。
TCP RTT 度量標準附加到網絡流,可以在流的儀表板中找到(單擊特定流),也可以使用搜索引擎,例如流的“平均TCP RTT”,其中“平均TCP RTT> 10ms”。這將導致具有10ms 更高 RTT 延遲的流列表。
通過使用 Flow Insights 頁面並查看“網絡性能”圖,還有一種很好的方法來分析整個基礎結構的延遲性能。
上圖顯示了總體延遲統計信息,並快速識別了性能最差組中的所有流。然後,您可以深入查找未執行的確切流程並分析原因。
其他可用的延遲度量標準是虛擬 NIC(vNIC)和物理 NIC(pNIC)的延遲度量標準。當前在同一 vSphere 主機內跟蹤這些延遲指標,並且支持不同的路徑,即 vNIC 到 pNIC,pNIC 到 vNIC 和 vNIC 到 vNIC。要獲取延遲指標,需要適用於 vSphere 6.4.5 或更高版本的 NSX Data Center。
閱讀更多 GTI廣州科宸 的文章
