NSX 提供了一套完整的逻辑网络要素、边界协议和安全服务,用于组织和管理您的虚拟网络。在 vCenter Server 上安装 NSX 插件后可以集中控制在数据中心创建和管理 NSX 组件和服务的操作。

有关特性和功能的描述,请参见《NSX 管理指南》

VMware NSX Edge

NSX 域中部署的逻辑网络与外部物理网络基础架构之间提供集中的南北向路由。NSX Edge 支持动态路由协议,如开放最短路径优先 (Open Shortest Path First, OSPF)、内部边界网关协议 (internal Border Gateway Protocol, iBGP) 和外部边界网关协议 (external Border Gateway Protocol, eBGP),并且可以使用静态路由。路由功能支持活动-备用有状态服务和等价多路径路由 (Equal-Cost Multipath Routing, ECMP)。NSX Edge 还提供标准 Edge 服务,如网络地址转换 (NAT)、负载平衡、虚拟专用网络 (VPN) 和防火墙服务。

逻辑交换

NSX 逻辑交换机提供 L2 逻辑网络,用于在不同逻辑网络上的工作负载之间实施隔离。分布式虚拟交换机可以使用 VXLAN 技术,通过 L3 架构跨群集中的多个 ESXi 主机,从而实现集中管理。您可以使用 vCenter Server 创建传输区域,并根据需要为传输区域分配逻辑交换机,从而对隔离范围进行控制。

分布式路由

分布式路由通过一种称为分布式逻辑路由器 (Distributed Logical Router, DLR)的逻辑要素提供。DLR 路由器可以通过接口直接连接到需要虚拟机连接的所有主机。逻辑交换机连接到逻辑路由器,从而提供 L3 连接。管理功能(也就是控制转发的控制层面)是从控制虚拟机导入的。

逻辑防火墙保护

NSX 平台支持以下保护多层工作负载的关键功能。

  • 对逻辑防火墙保护功能提供原生支持,从而对多层工作负载提供有状态的保护。
  • 支持多供应商安全服务和服务插入,例如,防病毒扫描,从而实现应用程序工作负载保护。

NSX 平台包括 NSX Edge 服务网关 (ESG) 提供的集中防火墙服务,以及在内核中作为给定 NSX 域的所有 ESXi 主机上的 VIB 软件包启用的分布式防火墙 (DFW)。DFW 通过近线速率性能、虚拟化、身份识别、活动监控、日志记录以及其他网络虚拟化原生网络安全功能来提供防火墙保护。您可以对这些防火墙进行配置,以在每个虚拟机的 vNIC 级别过滤流量。这种灵活性对于创建隔离虚拟网络,甚至是单个虚拟机(如果需要此详细级别)来说是必不可少的。

使用 vCenter Server 管理防火墙规则。规则表分为多个区域,每个区域构成一个可应用于特定工作负载的特定安全策略。

安全组

NSX 提供分组机制条件,可包括以下任何项。

  • vCenter Server 对象,如虚拟机、分布式交换机和群集
  • 虚拟机属性,如 vNIC、虚拟机名称和虚拟机操作系统
  • NSX 对象,包括逻辑交换机、安全标记和逻辑路由器

分组机制可以是静态的,也可以是动态的,安全组可以是任意对象组合,包括 vCenter 对象、NSX 对象、虚拟机属性或 AD 组之类的 Identity Manager 对象的任意组合。NSX 中的安全组基于所有静态和动态标准以及用户定义的静态排除标准。动态组会随着成员的进入和离开而增长和缩减。例如,某个动态组可能包含名称以 web_ 开头的所有虚拟机。安全组具有一些非常有用的特征。

  • 可以为一个安全组分配多个安全策略。
  • 一个对象可以同时属于多个安全组。
  • 安全组可以包含其他安全组。

使用 NSX Service Composer 创建安全组并应用策略。NSX Service Composer 实时为应用程序置备和分配防火墙策略和安全服务。策略会应用于添加到组中的新虚拟机。

安全标记

可以为任何虚拟机应用安全标记,从而根据需要添加关于工作负载的上下文。可以将安全组基于安全标记。安全标记指示一些常用的分类。

  • 安全状态。例如,识别出漏洞。
  • 按部门分类。
  • 数据类型分类。例如,PCI 数据。
  • 环境类型。例如,生产或开发运维。
  • 虚拟机地域或位置。

安全策略

安全策略组规则是应用于数据中心内创建的安全组的安全控制。通过 NSX,您可以在防火墙规则表中创建区域。使用区域可以对防火墙规则进行更好的管理和分组。在防火墙规则表中,一个安全策略是一个区域。此策略可在防火墙规则表中的规则与通过安全策略编写的规则之间保持同步,确保实施一致。由于安全策略是针对特定应用程序或工作负载所编写的,因此,这些规则会组织到防火墙规则表中的特定区域。可以为一个应用程序应用多个安全策略。应用多个安全策略时,各个区域的顺序决定了规则应用的优先顺序。

虚拟专用网络服务

NSX 提供名为 L2 VPN 和 L3 VPN 的 VPN 服务。在单独的数据中心站点中部署的一对 NSX Edge 设备之间创建 L2 VPN 通道。创建 L3 VPN 以提供从远程位置到数据中心网络的安全 L3 连接。

基于角色的访问控制

NSX 具有内置的用户角色,用于调节对企业内的计算机或网络资源的访问。用户只能具有一个角色。

表 1. NSX Manager 用户角色
角色 权限
企业管理员 NSX 操作和安全。
NSX 管理员 NSX 操作。例如,安装虚拟设备、配置端口组。
安全管理员 NSX 安全。例如,定义数据安全策略、创建端口组、为 NSX 模块创建报告。
审核员 只读。

合作伙伴整合

VMware 技术合作伙伴提供的服务与 NSX 平台的管理、控制和数据功能集成,提供统一的用户体验,并且可与任何云管理平台无缝集成。更多内容请参见:https://www.vmware.com/products/nsx/technology-partners#security