NSX se diseñó específicamente para admitir diversos entornos de centro de datos a escala y proporcionar capacidades sólidas para los contenedores y la nube.

Funciones de redes y conectividad

NSX proporciona todas las capacidades de redes requeridas por las cargas de trabajo que se ejecutan en el SDDC. Estas capacidades permiten realizar las siguientes acciones:

• Implementar las redes (de capa 2, capa 3 y aisladas) y definir las subredes y las puertas de enlace para las cargas de trabajo que residirán allí.
  • Las VPN de capa 2 extienden los dominios locales de capa 2 hasta el SDDC, lo que permite la migración de cargas de trabajo sin cambios de dirección IP.
  • Las VPN de IPsec basadas en rutas se pueden conectar a redes locales, a las VPC o a otros SDDC. Las VPN basadas en rutas usan BGP para conocer las nuevas rutas a medida que las redes están disponibles.
  • Las VPN de IPsec basadas en directivas también se pueden utilizar para conectarse a redes locales, a las VPC o a otros SDDC.
  • Las redes aisladas no tienen vínculos superiores y solo ofrecen acceso a las máquinas virtuales que están conectadas a ellas.
• Utilice AWS Direct Connect (DX) para transportar el tráfico entre las redes locales y las del SDDC con un ancho de banda elevado y una conectividad de baja latencia. También puede utilizar una VPN basada en rutas como copia de seguridad para el tráfico de DX.
• Habilite una instancia nativa de DHCP de forma selectiva para los segmentos de red o utilice la retransmisión DHCP para establecer un vínculo con una solución local de IPAM.
• Cree varias zonas de DNS para permitir el uso de diferentes servidores DNS con subdominios de red.
• Aproveche el enrutamiento distribuido, administrado desde un módulo de kernel de NSX que se ejecute en el host donde reside la carga de trabajo, para que las cargas de trabajo puedan comunicarse entre sí de forma eficiente.

Funciones de seguridad

Entre las funciones de seguridad de NSX se incluyen la traducción de direcciones de red (Network Address Translation, NAT) y las capacidades de firewall avanzadas.

• Se aplica la NAT de origen (Source NAT, SNAT) de forma automática a todas las cargas de trabajo en el SDDC para habilitar el acceso a Internet. Para proporcionar un entorno seguro, el acceso a Internet se bloquea en los firewalls de Edge, pero se puede cambiar la directiva de firewall y permitir el acceso administrado. También puede solicitar una dirección IP pública para las cargas de trabajo y crear directivas NAT personalizadas para ellas.
• Los firewalls de Edge se ejecutan en las puertas de enlace de administración y cómputo. Estos firewalls con estado examinan todo el tráfico que entra al SDDC y sale de él.
• Un firewall distribuido (Distributed Firewall, DFW) es un firewall con estado que se ejecuta en todos los hosts del SDDC. Protege el tráfico dentro del SDDC y permite la microsegmentación para controlar de forma detallada el tráfico entre las cargas de trabajo.

Herramientas de operaciones de red

NSX también proporciona varias herramientas populares de administración de operaciones de red.

• El reflejo del puerto puede enviar tráfico reflejado desde un dispositivo de origen a otro de destino en el SDDC o la red local.
• IPFIX permite analizar el tráfico de red específico del segmento enviando flujos de tráfico a un recopilador de IPFIX.