NSX a été conçu spécifiquement pour prendre en charge divers environnements de centre de données à grande échelle et fournir des fonctionnalités robustes pour les conteneurs et le cloud.

Fonctionnalités de mise en réseau et de connectivité

NSX fournit toutes les capacités de mise en réseau requises par les charges de travail exécutées dans le SDDC. Ces fonctionnalités vous permettent d'effectuer les opérations suivantes :

• Déployer des réseaux (L2, L3 et isolés) et définir des sous-réseaux et des passerelles pour les charges de travail qui y résident.
  • Les VPN L2 étendent vos domaines L2 sur site au SDDC, ce qui permet la migration de la charge de travail sans modification d'adresses IP.
  • Les VPN IPsec basés sur une route peuvent se connecter à des réseaux sur site, des VPC ou d'autres SDDC. Les VPN basés sur les routes utilisent BGP pour apprendre de nouvelles routes dès que des réseaux deviennent disponibles.
  • Les VPN IPsec basés sur une stratégie peuvent également être utilisés pour se connecter à des réseaux sur site, à des VPC ou à d'autres SDDC.
  • Les réseaux isolés n'ont pas de liaisons montantes et ne fournissent l'accès qu'aux machines virtuelles qui y sont connectées.
• Utilisez AWS Direct Connect (DX) pour transporter le trafic entre les réseaux sur site et les réseaux SDDC sur une bande passante élevée et une connectivité à faible latence. Vous pouvez éventuellement utiliser un VPN basé sur les routes comme sauvegarde pour le trafic DX.
• Activez le protocole DHCP natif de manière sélective pour les segments de réseau ou utilisez le relais DHCP pour établir une liaison avec une solution IPAM sur site.
• Créez plusieurs zones DNS, en autorisant l'utilisation de différents serveurs DNS pour les sous-domaines réseau.
• Tirez parti du routage distribué, géré par un module de noyau NSX exécuté sur l'hôte où réside la charge de travail, de sorte que les charges de travail puissent communiquer efficacement entre elles.

Fonctionnalités de sécurité

Les fonctionnalités de sécurité de NSX comprennent la traduction d'adresse réseau (NAT) et des capacités de pare-feu avancées.

• La NAT source (SNAT) est appliquée automatiquement à toutes les charges de travail dans le SDDC pour activer l'accès Internet. Pour fournir un environnement sécurisé, l'accès à Internet est bloqué sur les pare-feu Edge, mais la stratégie de pare-feu peut être modifiée pour autoriser l'accès géré. Vous pouvez également demander une adresse IP publique pour les charges de travail et créer des stratégies NAT personnalisées pour celles-ci.
• Les pare-feu Edge s'exécutent sur les passerelles de gestion et de calcul. Ces pare-feu avec état examinent tout le trafic entrant et sortant du SDDC.
• Distributed Firewall (DFW) est un pare-feu avec état qui s'exécute sur tous les hôtes SDDC. Il assure la protection du trafic dans le SDDC et permet à la microsegmentation d'autoriser un contrôle précis sur le trafic entre les charges de travail.

Outils d'opérations réseau

NSX propose également plusieurs outils de gestion des opérations réseau parmi les plus utilisés.

• La mise en miroir de ports peut envoyer du trafic en miroir d'une source vers un dispositif de destination dans le SDDC ou votre réseau sur site.
• IPFIX prend en charge l'analyse du trafic réseau spécifique d'un segment en envoyant des flux de trafic à un collecteur IPFIX.