Wichtige Konzepte des Ost-West-Netzwerkschutzes

Datenverkehr zwischen Gast-VMs in einem lokalen Datencenter wird von Drittanbieterdiensten geschützt, die von Partnern bereitgestellt werden. Es gibt einige Konzepte, die Ihnen dabei helfen, den Workflow zu verstehen.

Dienst: Partner registrieren Dienste mit NSX. Ein Dienst stellt die vom Partner angebotene Sicherheitsfunktionalität dar. Zu den Details der Dienstbereitstellung gehören beispielsweise OVF-URL von Dienst-VMs, Punkt zum Anhängen des Diensts, Status des Diensts. Wenn eine Benachrichtigung für einen Dienst erzeugt wird, benachrichtigt NSX den Partner nach einem Zeitintervall von 30 Sekunden.
Anbietervorlage: Sie enthält Funktionen, die ein Dienst für Netzwerkdatenverkehr durchführen kann. Partner definieren Anbietervorlagen. Eine Anbietervorlage kann beispielsweise einen Netzwerkvorgangsdienst bereitstellen, wie z. B. Tunneling mit dem IPSec-Dienst.
Dienstprofil: Hierbei handelt es sich um eine Instanz einer Anbietervorlage. Ein NSX-Administrator kann ein Dienstprofil erstellen, das von Dienst-VMs verwendet wird.
Gast-VM: Quelle oder Ziel des Datenverkehrs im Netzwerk. Der eingehende oder ausgehende Datenverkehr wird von einer Dienstkette geprüft, die für eine Regel definiert ist, die Ost-West-Netzwerkdienste ausführt.
Dienst-VM: Eine VM, die die von einem Dienst angegebene OVA- oder OVF-Appliance ausführt. Sie ist über die Dienstebene verbunden, um umgeleiteten Datenverkehr zu empfangen.
Dienstinstanz: Wird erstellt, wenn ein Dienst auf einem Host bereitgestellt wird. Jede Dienstinstanz verfügt über eine entsprechende Dienst-VM.
Dienstsegment: Ein Segment einer Dienstebene, die mit einer Transportzone verknüpft ist. Jeder Dienstanhang wird von den anderen Dienstanhängen und von den regulären L2- oder L3-Netzwerksegmenten, die von NSX bereitgestellt werden, getrennt. Die Dienstebene verwaltet Dienstanhänge.
Service Manager: Ist der Partner Service Manager, der auf einen Satz von Diensten verweist.
Dienstkette: Ist eine logische Abfolge von Dienstprofilen, die vom Administrator definiert werden. Dienstprofile überprüfen Netzwerkdatenverkehr gemäß der in der Dienstkette angegebenen Reihenfolge. Das erste Dienstprofil ist beispielsweise „Firewall“, das zweite Dienstprofil ist „Überwachung“ usw. Dienstketten können verschiedene Dienstprofilabfolgen für unterschiedliche Richtungen des Datenverkehrs (Egress/Ingress) angeben.
Umleitungsrichtlinie: Stellt sicher, dass für eine bestimmte Dienstkette klassifizierter Datenverkehr an diese Dienstkette umgeleitet wird. Sie basiert auf Datenverkehrsmustern, die der NSX-Sicherheitsgruppe und einer Dienstkette entsprechen. Der gesamte dem Muster entsprechende Datenverkehr wird entlang der Dienstkette umgeleitet.
Dienstpfad: Ist eine Abfolge von Dienst-VMs, die die Dienstprofile einer Dienstkette implementieren. Ein Administrator definiert die Dienstkette, die aus einer vordefinierten Reihenfolge von Dienstprofilen besteht. NSX erzeugt basierend auf der Anzahl und den Speicherorten der Gast- und Dienst-VMs mehrere Dienstpfade anhand einer Dienstkette. Ausgewählt wird der optimale Dienstpfad für den zu prüfenden Datenverkehr. Jeder Dienstpfad wird durch einen Dienstpfadindex (Service Path Index, SPI) angegeben und jeder Hop entlang eines Pfads weist einen eindeutigen Dienstindex (Service Index, SI) auf.