VMWare-NSX网络及安全虚拟化解决方案

VMwareNSX：网络及安全虚拟化解决方案12主题内容1网络及安全为什么要虚拟化？2NSX网络及安全虚拟化平台主要功能3NSX网络及安全虚拟化方案典型应用场景CLOUDMOBILEDATACENTER网络及安全为什么要虚拟化？3网络成为通往云计算之路的壁垒物理网络VLANs不可扩展缺少自动化程序化控制单个人工节点管理不宜满足多种业务的SLAs网络分割限制资源池化与共享网络状态难以统一监控烟囱式扩展方式功能被硬件捆绑工作负载不能灵活部署、均衡资源有限的多租户支持租户自己无法控制地址管理限制了虚机迁移范围虚拟网络与物理网络协调困难L3-L7集中式转发性能瓶颈虚拟机网络计费人工操作拖延迁移与灾备恢复时间目前网络与安全架构向云计算转型时遇到的挑战vSphereUsersSites后台服务-VLANs,ACLs,防火墙,IDS/IPS,监控-服务器防病毒,虚拟机安全-网络设备及架构需全部升级来适应虚拟化环境:FabricPath/TRILL,andVM-tracingetc.需要新的成百上千万的投资!-AAA、应用、数据保护、合规-DMZ防火墙,NAT,DDI-SiteanduserVPNs-负载均衡器,WAF-专有硬件-桌面防病毒-数据丢失保护,白名单DMZWebHorizonVDI配置太复杂,烟囱式扩展,大量人工操作,集中式处理带来性能瓶颈,网络资源限制!挑战成本效率一、网络割裂导致资源池利用率及灵活性降低6二、网络架构复杂，维护工作量大7接入层汇聚层PGVLANUplinkTeaming集群1集群NESXiESXiESXiESXivSphereDistributedSwitch定义DVPortGroupsDefinedbasedontraffictypeTeaming–Resiliency,CapacityVLAN–TrafficIsolationNIOCShares–B/WmgmtEnd-EndQoS-802.1p物理网卡功能分区AggregatemultiplepNics监控与排障NetFlow–UnderstandtrafficPortMirroring–Troubleshooting物理网络设计802.1Q,STP,EthernetChannelBladeI/OModuleDesignVLANloadbalancing,L3GWredundancyfastconvergenceMulti-ChassisLACP,L2MPQoS,Security，subscriptionratio…难以保证网络配置的一致性！三、安全域的边界防护难以运维CONFIDENTIAL8在数据中心内部很少或没有东西向安全控制InternetInternet安全控制不足基于IP的安全策略难以运维四、已有业务变更响应缓慢，容易导致误操作9•业务开发人员:我已经调整好一套两层的Web应用系统，要尽快上线•网络管理员:我应该如何调整配置网络拓扑?NAT策略？•安全管理员：我应该如何调整防火墙安全策略？负载分担策略？InternetWebApp712345689五、对新业务部署上线支持缓慢ComputeNetworkDCServicesDBDBAppAppWebWebCorpnet/Internet10•服务部署缓慢•可扩展性受限•移动性受限•依赖于硬件•运维管理复杂虚拟化和云计算环境，使得数据中心的业务流量模型发生改变11North/SouthEast/WestL2L3六、核心链路和节点带宽被大量发夹流量消耗12North/SouthEast/West70%L2L3计算虚拟抽象层七、难以实现网络及安全的L2-L7层自动化物理基础架构•管理平面分散•大部分没有开放API接口•难以实现端到端的网络自动化虚拟数据中心企业建立云计算数据中心该如何应对以上挑战？1.网络割裂导致资源池利用率及灵活性降低2.网络架构复杂，割接工作量大3.安全域的边界防护难以运维4.已有业务变更响应缓慢，容易导致误操作5.对新业务部署上线支持缓慢6.核心链路和节点带宽被大量发夹流量消耗7.难以实现网络及安全的L2-L7层自动化CONFIDENTIAL14NSX网络及安全虚拟化平台主要功能15VMwareNSX网络与安全虚拟化平台基于NSX的网络与安全虚拟化像管理VM一样管理网络与安全硬件软件二层交换三层路由防火墙负载均衡IT物理基础架构软件定义的数据中心计算-vSphere网络-NSX存储-VSAN可延展性云计算管理平台—vRealizeSuite7云计算业务(vRealizeBusinessforCloud)云计算运营管理(vRealizeOperations和vRealizeLogInsight)云计算自动化(vRealizeAutomation)基础架构虚拟化计算硬件网络硬件存储硬件NSX是VMwareSDDC(软件定义的数据中心)的重要组成部分终端用户计算应用传统应用新式云应用混合云公有云私有云vCenterOperationsMgmtvCloudAutomationCenterIaaSPaaSDaaSApplicationDirectorMgmtvCloudDirector/ConnectorvCenterSiteRecoveryManagervSphereCloudServiceProvidersHyper-visorsCMSNSXIaaSPaaSDaaS支撑任意的应用(无需修改)虚拟网络VMwareNSX网络虚拟化平台逻辑交换网络任意网络硬件架构云管理平台（vRealizeSuite,OpenStack,Cloudstack）逻辑防火墙逻辑负载均衡逻辑路由网络逻辑VPNX86虚拟化层NSX网络与安全虚拟化总体架构NSX支持广阔的网络虚拟化生态系统NSX控制器NSXAPI合作伙伴扩展网络安全平台网关服务应用交付服务安全服务+CloudMgmtPlatformsS6000GatewayVLAN1–10.x.x.xVLAN2–172.16.x.xVLAN2–192.168.x.xVirtualNetwork（NonBoardcast）VirtualLayer2–88.33.x.x(whatever)NSX主要功能模块详解一：Layer2逻辑交换机-VxLAN利用VXLAN解决数据中心网络存在的三大问题：Anyapplicationanywhere大二层架构下存在的：MAC地址表、VLAN和二层Flooding三大问题数据复制支持unicast、hybrid和multicast模式，解决目前vxlan没有controlplane带来的flooding问题NSX主要功能模块详解二：分布式逻辑路由器DLR集中部署管理、分布式处理VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMNSX主要功能模块详解三：分布式逻辑防火墙DFWVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMBenefits…安全策略直接部署到VM网络端口No“ChokePoint”,nomorehairpin•分布式处理,线速过滤,水平扩展•基于VM元素的安全策略元素•vNIClevel管控,安全与网络无关•有效的IP及MAC的准入机制•集中管控软件定义的虚拟化网络-分布式防火墙DFW实现微分段Micro-Segmentation和SpoofGuardNSX主要功能模块详解四：NSXEdge：集成化多功能的虚拟网关….防火墙负载均衡VPN路由网关/NATDHCP/DNS中继DDIVMVMVMVMVM•高度集成化的L3-L7层网络服务•虚拟机形式，部署快速灵活，支持高可用与水平扩展概述•适合用于企业网络边界多用途网关服务•实时部署服务响应实例•支持API动态部署网络服务•可以依据应用的不同需求定制相应的网络服务•可以充分利用X86服务器的计算能力好处虚拟环境VxLAN物理环境VLANNSX典型的部署案例:快速部署网络与安全服务Edge作为南北向网关是NSX关键组成部分VMManagementVLANL2VPNBGPExternalNetworksNSXEdgeNSX主要功能模块详解五：可视化流量监控分析FlowMonitoring•Bydefault,flowmonitoringisdisabled–Toenableflowmonitoring,clicktheEnablebutton•Flowsthatshouldn’tbecollectedcanbeaddedtotheexclusionlistsintheExclusionSettingsoftheConfigurationtab27|35NSX和VMwarevRealizeOperations集成实现网络虚拟化的全面可视化管理NSX网络及安全虚拟化方案典型应用场景29NSX的主要使用情境及其提供给客户的核心价值30Multi-tenantInfrastructureDeveloperCloudDMZAnywhereSecureEndUserMetroPoolingHybridCloudNetworking快速部署完整信息系统，由数周到数分钟以低廉的成本取得最完善的数据中心东西向防护藉由简化的逻辑网络大幅减少RTO(RecoveryTimeObjective)核心价值其他相关情境ITAutomatingITMicro-segmentationDisasterRecovery安全：虚拟环境的完善保护自动化：IT支持快速部署业务业务持续性：任意地点的数据中心主要情境情境最近发生的攻击事件：31绝大多数攻击都有一个通性:攻击包可以在数据中心内部任意通行，而由于投资成本太高而且运维管理十分复杂，以至于数据中心Micro-segmentation难以实现，而NSX有效的解决了这个问题NSX的主要使用情境：安全微分段(MicroSegmentation)NSXMicro-segmentation的主要功能分区隔离高级服务相关安全组间依据安全策略通信可以集成第三方的L4–L7层安全解决方案不相关网络完全隔离32公共通信网EA3ellsVDISiSiSiSiSiSiSEC公共服务区SEC市级机关市级机关省级机关VDI部门内部应用部门对外应用部门内部应用安全管理监控区安全管理监控区公共服务区E-mail实现虚拟化数据中心内部不同应用的安全防护WebDBDBMarketingGroupServicesMgmtServices/ManagementGroup/WebAppDBHRGroupApplicationsegmentation•按部门、区域划分隔离•按应用边界划分•按应用层划分•支持安全组内部成员之间的逻辑隔离•以虚机为单位隔离按需部署逻辑隔离•支持现有网络与应用•灵活方便的安全对象管理•安全管控与应用一致性部署好处控制一个网络中的流量•控制一个网络中各组之间的流量•基于逻辑分组而不是物理拓扑保护流量安全•灵活地创建网段–甚至在同一虚拟局域网上的不同系统之间（这在传统网络中极难做到）桌面虚拟化给您的数据中心带来更大的受攻击面用户行为零日威胁不安全的Internet网站桌面到桌面的黑客攻击桌面到服务器的黑客攻击向东向西虚拟桌面数据中心SAP、Oracle、Exchange等企业级存储其他用户无法解决的问题：桌面虚拟化带来了新的安全注意事项：•暴露了数据中心内的巨大攻击面•用户和基础架构间具有多个“东西向”流保密资料35NSX微分段功能加强了HorizonVDI基础架构安全，为虚拟桌面和应用保驾护航•通过NSX网络虚拟化可以灵活创建网络资源池和逻辑隔离区，支持动态伸缩管理。微分段保护虚拟桌面和应用：–桌面虚机间访问控制–桌面到后台应用访问控制–桌面防病毒•NSX的Edge服务网关也可以用于支持VDI的基础架构:EdgeFirewall&LB