O NSX fornece um conjunto completo de elementos lógicos de rede, protocolos de limite e serviços de segurança para organizar e gerenciar suas redes virtuais. Instalar um plug-in do NSX no vCenter Server oferece um controle centralizado para criar e gerenciar os componentes e serviços do NSX em todo o data center.
Consulte o Guia de administração do NSX para obter descrições dos recursos e das capacidades.
VMware NSX Edge
Fornece roteamento norte-sul centralizado entre as redes lógicas implantadas nos domínios do NSX e a infraestrutura de rede física externa. O NSX Edge oferece suporte aos protocolos de roteamento dinâmico, como Open Shortest Path First (OSPF), internal Border Gateway Protocol (iBGP) e external Border Gateway Protocol (eBGP), e pode usar roteamento estático. A capacidade de roteamento oferece suporte a serviços com estado ativo-em espera e roteamento de vários caminhos com custo igual (ECMP). O NSX Edge também fornece serviços de borda padrão, como a conversão de endereços de rede (NAT), balanceamento de carga, rede virtual privada (VPN) e serviços de firewall.
Switching lógico
Os switches lógicos do NSX fornece redes lógicas L2 impondo o isolamento entre cargas de trabalho em diferentes redes lógicas. Os switches virtuais distribuídos podem se estender por vários hosts ESXi em um cluster em uma estrutura L3 usando a tecnologia VXLAN, acrescentando a vantagem do gerenciamento centralizado. Você pode controlar o escopo do isolamento mediante a criação de zonas de transporte usando o vCenter Server e da atribuição de switches lógicos às zonas de transporte, conforme necessário.
Roteamento distribuído
O roteamento distribuído é fornecido por um elemento lógico chamado Roteador Lógico Distribuído (DLR). O DLR é um roteador com interfaces diretamente conectadas a todos os hosts nos quais a conectividade da VM é necessária. Os switches lógicos são conectados a roteadores lógicos para fornecer conectividade L3. A função de supervisão, o plano de controle para controlar o encaminhamento, é importada de uma VM de controle.
Firewall lógico
A plataforma NSX oferece suporte às seguintes funções críticas para a proteção de cargas de trabalho de várias camadas.
- Suporte nativo à capacidade de firewall lógico, que fornece proteção com estado de cargas de trabalho de várias camadas.
- Suporte aos serviços de segurança vários fornecedores e de inserção de serviço, por exemplo, a verificação antivírus, para a proteção da carga de trabalho do aplicativo.
A plataforma NSX inclui um serviço de firewall centralizado oferecida pelo NSX Edge services gateway (ESG) e um firewall distribuído (DFW) ativado no kernel como um pacote VIB em todo o hosts ESXi que fazem parte de um determinado domínio do NSX. O DFW fornece o firewall com desempenho próximo à velocidade máxima, virtualização, reconhecimento de identidade, monitoramento de atividades, registro em log e outros recursos de segurança de rede nativos da virtualização de rede. Configure esses firewalls para filtrar o tráfego no nível do vNIC de cada VM. Essa flexibilidade é essencial para a criação de redes virtuais isoladas, mesmo para VMs individuais, se esse nível de detalhe for necessário.
Use o vCenter Server para gerenciar as regras de firewall. A tabela de regras é organizada em seções, com cada uma delas constituindo uma política de segurança específica que pode ser aplicada a cargas de trabalho específicas.
Grupos de segurança
O NSX fornece critérios de mecanismo de agrupamento que podem incluir qualquer um dos itens a seguir.
- Objetos do vCenter Server, como máquinas virtuais, switches distribuídos e clusters
- Propriedades da máquina virtual, como vNICs, nomes de máquinas virtuais e sistemas operacionais de máquina virtual
- Objetos do NSX, incluindo switches lógicos, tags de segurança e roteadores lógicos
Os mecanismos de agrupamento podem ser estáticos ou dinâmicos, e um grupo de segurança pode ser qualquer combinação de objetos, incluindo qualquer combinação de objetos do vCenter, objetos do NSX, propriedades da VM ou objetos do Identity Manager, como Grupos AD. Um grupo de segurança no NSX é baseado em todos os critérios estáticos e dinâmicos, juntamente com os critérios de exclusão estática definidos por um usuário. Os grupos dinâmicos aumentam e diminuem conforme os membros entram e saem do grupo. Por exemplo, um grupo dinâmico pode conter todas as VMs que começam com o nome web_. Os grupos de segurança têm várias características úteis.
- Você pode atribuir várias políticas de segurança a um grupo de segurança.
- Um objeto pode pertencer a vários grupos de segurança ao mesmo tempo.
- Os grupos de segurança podem conter outros grupos de segurança.
Use o NSX Service Composer para criar grupos de segurança e aplicar políticas. O NSX Service Composer provisiona e atribui políticas de firewall e serviços de segurança aos aplicativos em tempo real. As políticas são aplicadas a novas máquinas virtuais conforme elas são adicionadas ao grupo.
Tags de segurança
Você pode aplicar tags de segurança a qualquer máquina virtual, adicionando contexto sobre a carga de trabalho conforme necessário. Você pode basear grupos de segurança em tags de segurança. As tags de segurança indicam várias classificações comuns.
- Estado de segurança. Por exemplo, a vulnerabilidade identificada.
- Classificação por departamento.
- Classificação de tipo de dados. Por exemplo, dados PCI.
- Tipo de ambiente. Por exemplo, a produção ou operações de desenvolvimento.
- Geografia ou localização da VM.
Políticas de segurança
As regras do grupo Políticas de segurança são os controles de segurança aplicados a um grupo de segurança criado no data center. Com o NSX, você pode criar seções em uma tabela de regras de firewall. As seções permitem um melhor gerenciamento e agrupamento das regras de firewall. Uma política de segurança única é uma seção em uma tabela de regras de firewall. Essa política mantém a sincronização entre as regras em uma tabela de regras de firewall e as regras escritas gravadas por meio da política de segurança, garantindo uma implementação consistente. Como as políticas de segurança são escritas para aplicativos ou cargas de trabalho específicas, essas regras são organizadas em seções específicas em uma tabela de regras de firewall. Você pode atribuir várias políticas de segurança a um único aplicativo. A ordem das seções quando você aplica várias políticas de segurança determina a precedência da aplicação da regra.
Serviços de rede virtual privada
O NSX fornece serviços de VPN denominados L2 VPN e L3 VPN. Crie um túnel L2 VPN entre um par de dispositivos do NSX Edge implantados em locais de data centers separados. Crie um L3 VPN para fornecer conectividade L3 segura à rede do data center de localizações remotas.
Controle de acesso baseado em função
O NSX tem funções de usuário internas que regulam o acesso aos recursos do computador ou da rede em uma empresa. Os usuários podem ter somente uma função.
Função | Permissões |
---|---|
Administrador corporativo | Operações e segurança do NSX. |
Administrador do NSX | Somente operações do NSX. Por exemplo, instalar appliances virtuais, configurar grupos de portas. |
Administrador de segurança | Somente segurança do NSX. Por exemplo, definir políticas de segurança de dados, criar grupos de portas, criar relatórios para módulos NSX. |
Auditor | Somente leitura. |
Integração com parceiros
Os serviços dos parceiros de tecnologia da VMware são integrados com a plataforma NSX no gerenciamento, controle e funções de dados para fornecer uma experiência de usuário unificada e uma integração perfeita com qualquer plataforma de gerenciamento de nuvem. Saiba mais em: https://www.vmware.com/products/nsx/technology-partners#security.