NSX wurde speziell für die großflächige Unterstützung verschiedener Datencenter-Umgebungen sowie für die Bereitstellung robuster Funktionen für Container und die Cloud konzipiert.

Netzwerk- und Konnektivitätsfunktionen

NSX stellt alle Netzwerkfunktionen bereit, die von im SDDC ausgeführten Arbeitslasten benötigt werden. Diese Funktionen bieten folgende Möglichkeiten:

• Bereitstellen von Netzwerken (L2-, L3- und isolierte Netzwerke) und Definieren von Subnetzen und Gateways für die dort anfallenden Arbeitslasten.
  • L2VPNs erweitern die lokalen L2-Domänen auf das SDDC und ermöglichen so die Arbeitslastmigration ohne Änderungen der IP-Adresse.
  • Routenbasierte IPSec-VPNs können eine Verbindung zu lokalen Netzwerken, VPCs oder anderen SDDCs herstellen. Routenbasierte VPNs verwenden BGP, um neue Routen zu erlernen, sobald Netzwerke verfügbar werden.
  • Richtlinienbasierte IPSec-VPNs können auch verwendet werden, um eine Verbindung zu lokalen Netzwerken, VPCs oder anderen SDDCs herzustellen.
  • Isolierte Netzwerke haben keine Uplinks und bieten nur Zugriff auf VMs, die mit ihnen verbunden sind.
• Verwenden Sie AWS Direct Connect (DX), um Datenverkehr zwischen lokalen und SDDC-Netzwerken über Verbindungen mit hoher Bandbreite und niedriger Latenz weiterzuleiten. Optional können Sie ein routenbasiertes VPN als Sicherung für den DX-Datenverkehr verwenden.
• Aktivieren Sie systemeigenes DHCP selektiv für Netzwerksegmente. Alternativ können Sie DHCP-Relay für eine Verknüpfung mit einer lokalen IPAM-Lösung verwenden.
• Erstellen Sie mehrere DNS-Zonen, damit verschiedene DNS-Server für Netzwerksubdomänen verwendet werden können.
• Nutzen Sie die Vorteile des verteilten Routings, das von einem NSX-Kernelmodul auf dem Host verwaltet wird, auf dem sich die Arbeitslast befindet. Auf diese Weise können Arbeitslasten effizient miteinander kommunizieren.

Sicherheitsfunktionen

Zu den NSX-Sicherheitsfunktionen gehören NAT (Network Adress Translation, Netzwerkadressübersetzung) und erweiterte Firewallfunktionen.

• Quell-NAT (SNAT) ist automatisch auf alle Arbeitslasten im SDDC angewendet, um Internetzugriff zu aktivieren. Zur Bereitstellung einer sicheren Umgebung wird der Internetzugang auf den Edge-Firewalls blockiert. Die Firewallrichtlinie kann jedoch geändert werden, um verwalteten Zugriff zuzulassen. Sie können auch eine öffentliche IP-Adresse für Arbeitslasten anfordern und benutzerdefinierte NAT-Richtlinien für diese erstellen.
• Edge-Firewalls werden auf den Verwaltungs- und Computing-Gateways ausgeführt. Diese statusbehafteten Firewalls überprüfen den gesamten eingehenden und ausgehenden Datenverkehr, der das SDDC durchläuft.
• Bei der verteilten Firewall (DFW) handelt es sich um eine statusbehaftete Firewall, die auf allen SDDC-Hosts ausgeführt wird. Sie bietet Schutz für den Datenverkehr innerhalb des SDDC und ermöglicht Mikrosegmentierung, damit der Datenverkehr zwischen Arbeitslasten präzise gesteuert werden kann.

Tools für Netzwerkvorgänge

NSX stellt außerdem mehrere gängige Tools zur Verwaltung von Netzwerkvorgängen bereit.

• Mithilfe der Portspiegelung kann gespiegelter Datenverkehr von einer Quelle an eine Ziel-Appliance im SDDC oder Ihrem lokalen Netzwerk gesendet werden.
• IPFIX unterstützt segmentspezifische Netzwerkdatenverkehrsanalysen, indem Datenverkehrs-Flows an einen IPFIX-Collector gesendet werden.