VMware NSX Edge

Stellt zentrales vertikales Routing zwischen den in NSX-Domänen bereitgestellten logischen Netzwerken und der externen physischen Netzwerkinfrastruktur zur Verfügung. NSX Edge unterstützt dynamische Routing-Protokolle, wie z. B. Open Shortest Path First (OSPF), internes Border Gateway Protocol (iBGP) und externes Border Gateway Protocol (eBGP), und kann statisches Routing verwenden. Durch die Routing-Fähigkeit werden statusorientierte aktive Standby-Dienste und das Routing für Mehrfachpfade mit gleichen Kosten (Equal Cost MultiPath, ECMP) unterstützt. NSX Edge stellt zudem Standard-Edge-Dienste zur Verfügung, wie z. B. Dienste für die Netzwerkadressübersetzung (Network Address Translation, NAT), für den Lastausgleich, für Virtual Private Network (VPN) und für Firewalls.

Logisches Switching

Logische NSX-Switches stellen logische L2-Netzwerke bereit, durch die die Isolierung zwischen Arbeitslasten in unterschiedlichen logischen Netzwerken erzwungen wird. Virtuelle verteilte Switches können auf mehrere ESXi-Hosts in einem Cluster über eine L3-Fabric mit VXLAN-Technologie verteilt sein. Dies bringt den Vorteil einer zentralen Verwaltung. Sie können den Umfang der Isolierung durch das Erstellen von Transportzonen steuern, indem Sie vCenter Server verwenden und nach Bedarf den Transportzonen logische Switches zuweisen.

Verteiltes Routing

Das verteilte Routing wird durch ein logisches Element namens Distributed Logical Router (DLR) bereitgestellt. Der DLR ist ein Router mit Schnittstellen für die direkte Verbindung mit allen Hosts, auf denen VM-Konnektivität erforderlich ist. Logische Switches werden mit logischen Routern verbunden, um L3-Konnektivität bereitzustellen. Die Aufsichtsfunktion, die Steuerungskomponente für das Steuern der Weiterleitung, wird von einer Steuerungs-VM importiert.

Logische Firewalls

Die NSX-Plattform unterstützt die folgenden kritischen Funktionen für das Absichern von Arbeitslasten mit mehreren Schichten.

Die NSX-Plattform beinhaltet einen vom NSX Edge Services Gateway (ESG) angebotenen zentralen Firewall-Dienst und eine im Kernel aktivierte Distributed Firewall (DFW) als VIB-Paket auf allen ESXi-Hosts, die Teil einer bestimmten NSX-Domäne sind. Die DFW stellt Firewalls mit Nearline-Ratenleistung, Virtualisierung, Identitätserkennung, Activity Monitoring, Protokollierung und weiteren Funktionen für die Netzwerksicherheit bereit, die nativ zur Netzwerkvirtualisierung sind. Sie konfigurieren diese Firewalls so, dass sie Datenverkehr auf der vNIC-Ebene jeder VM filtern. Diese Flexibilität ist ausschlaggebend für das Erstellen isolierter virtueller Netzwerke, selbst für individuelle VMs, sofern dieser Detailumfang benötigt wird.

Verwenden Sie vCenter Server zur Verwaltung von Firewallregeln. Die Regeltabelle wird in Abschnitten organisiert, wobei jeder Abschnitt für eine bestimmte Sicherheitsrichtlinie steht, die auf bestimmte Arbeitslasten angewendet werden können.

Sicherheitsgruppen

NSX stellt Kriterien für Gruppierungsmechanismen bereit, welche die folgenden Elemente enthalten können.

• vCenter Server-Objekte wie virtuelle Maschinen, verteilte Switches und Cluster
• Eigenschaften virtueller Maschinen wie vNICs, VM-Namen und VM-Betriebssysteme
• NSX-Objekte einschließlich logische Switches, Sicherheits-Tags und logische Router

Gruppierungsmechanismen können entweder statisch oder dynamisch sein, und eine Sicherheitsgruppe kann eine beliebige Kombination von Objekten aufweisen, einschließlich Kombinationen von vCenter-Objekten, NSX-Objekte, VM-Eigenschaften oder Identity Manager-Objekte wie AD-Gruppen. Eine Sicherheitsgruppe in NSX basiert auf allen statischen und dynamischen Kriterien mit durch einen Benutzer festgelegten statischen Ausschlusskriterien. Dynamische Gruppen werden mit ein- und austretenden Mitglieder größer bzw. kleiner. Beispielsweise kann eine dynamische Gruppe alle VMs enthalten, deren Name mit „web_“ beginnt. Sicherheitsgruppen weisen mehrere nützliche Merkmale auf.

Verwenden Sie NSX Service Composer, um Sicherheitsgruppen zu erstellen und Richtlinien anzuwenden. NSX Service Composer ist für die Echtzeit-Bereitstellung und -Zuweisung von Firewall-Richtlinien und Sicherheitsdiensten zu Anwendungen zuständig. Richtlinien werden auf neue virtuelle Maschinen angewendet, sobald diese der Gruppe hinzugefügt wurden.

Sicherheits-Tags

Sie können Sicherheits-Tags auf alle virtuellen Maschinen anwenden, und dabei nach Bedarf Kontext zur Arbeitslast hinzufügen. Sie können Sicherheitsgruppen Sicherheits-Tags zugrunde legen. Sicherheits-Tags geben mehrere allgemeine Klassifizierungen an.

• Sicherheitszustand. Beispiel: Schwachstellen identifiziert.
• Klassifizierung nach Abteilung.
• Datentyp-Klassifizierung. Beispiel: PCI-Daten.
• Umgebungstyp. Beispiel: Produktion oder Entwicklungen.
• VM-Geografie oder -Standort.

Sicherheitsrichtlinien

Gruppenregeln für Sicherheitsrichtlinien sind Sicherheitskontrollen, die auf eine im Datencenter erstellte Sicherheitsgruppe angewendet werden. Mit NSX können Sie Abschnitte in einer Tabelle mit Firewall-Regeln erstellen. Durch die Bereiche können Firewall-Regeln besser verwaltet und gruppiert werden. Eine einzelne Sicherheitsregel ist ein Abschnitt in einer Tabelle mit Firewall-Regeln. Durch diese Richtlinie wird die Synchronisierung zwischen Regeln in einer Tabelle mit Firewall-Regeln und durch die Sicherheitsrichtlinie geschriebenen Regeln erhalten, wodurch eine konsistente Implementierung gewährleistet wird. Da Sicherheitsrichtlinien für bestimmte Anwendungen oder Arbeitslasten geschrieben werden, werden diese Regeln in bestimmten Abschnitten in einer Tabelle mit Firewall-Regeln organisiert. Sie können mehrere Sicherheitsrichtlinien auf eine einzelne Anwendung anwenden. Die Reihenfolge der Abschnitte bei der Anwendung mehrere Sicherheitsrichtlinien bestimmt die Rangfolge der Regelanwendung.

Virtual Private Network-Dienste

NSX stellt VPN-Dienste namens L2 VPN und L3 VPN bereit. Erstellen Sie einen L2 VPN-Tunnel zwischen einem Paar von NSX Edge-Geräten, die auf unterschiedlichen Datencenter-Sites bereitgestellt wurden. Erstellen Sie ein L3 VPN, um von Remotespeicherorten eine sichere L3-Konnektivität zum Datencenter-Netzwerk bereitzustellen.

Rollenbasierte Zugriffssteuerung

NSX verfügt über integrierte Benutzerrollen, die den Zugriff auf Computer- oder Netzwerkressourcen innerhalb eines Unternehmens regulieren. Benutzer können nur eine Rolle aufweisen.

Partnerintegration

Dienste von VMware-Technologiepartnern sind in die NSX-Plattform in die Verwaltungs-, Steuerungs- und Datenfunktionen integriert, um eine einheitliche Benutzererfahrung und eine nahtlose Integration mit allen Cloud-Verwaltungsplattformen bereitstellen zu können. Weitere Informationen finden Sie unter: https://www.vmware.com/products/nsx/technology-partners#security.