NSX supporta un'ampia gamma di soluzioni di rete e sicurezza.
NSX è stato progettato specificamente per supportare diversi ambienti di data center su larga scala e fornire funzionalità efficaci per i container e il cloud.
Nota:
I valori massimi di configurazione di NSX sono ora inclusi in Valori massimi di configurazione di VMware.
Funzionalità di rete e connettività
NSX fornisce tutte le funzionalità di rete richieste dai carichi di lavoro in esecuzione nell'SDDC. Tali funzionalità consentono di:
- Distribuire le reti (L2, L3 e isolate) e definire subnet e gateway per i carichi di lavoro che vi risiederanno.
- Le VPN L2 estendono i domini L2 in locale all'SDDC, consentendo di migrare il carico di lavoro senza modificare gli indirizzi IP.
- Le VPN IPsec basate su route sono in grado di connettersi a reti locali, VPC o altri SDDC. Le VPN basate su route utilizzano BGP per acquisire nuove route quando le reti diventano disponibili.
- Le VPN IPsec basate su criteri possono essere utilizzate anche per connettersi a reti locali, VPC o altri SDDC.
- Le reti isolate non dispongono di uplink e forniscono l'accesso solo alle macchine virtuali connesse.
- Utilizzare AWS Direct Connect (DX) per trasportare il traffico tra reti in locale e SDDC su una connettività a larghezza di banda elevata e bassa latenza. È anche possibile utilizzare una VPN basata su route come backup per il traffico DX.
- Abilitare il DHCP nativo in modo selettivo per i segmenti di rete, oppure utilizzare l'inoltro DHCP per collegarsi a una soluzione IPAM in locale.
- Creare più zone DNS, consentendo l'uso di server DNS differenti per sottodomini di rete.
- Sfruttare il routing distribuito, gestito da un modulo del kernel NSX in esecuzione sull'host in cui si trova il carico di lavoro, in modo che i carichi di lavoro possano comunicare in modo efficiente tra loro.
Funzionalità di sicurezza
Le funzionalità di sicurezza di NSX includono Network Address Translation (NAT) e funzionalità del firewall avanzate.
- Il NAT di origine (SNAT) viene applicato automaticamente a tutti i carichi di lavoro nell'SDDC per abilitare l'accesso a Internet. Per fornire un ambiente sicuro, l'accesso a Internet viene bloccato in corrispondenza dei firewall edge; tuttavia, è possibile modificare il criterio del firewall in modo da consentire l'accesso gestito. È inoltre possibile richiedere un IP pubblico per i carichi di lavoro e creare criteri NAT personalizzati per i suddetti.
- I firewall edge vengono eseguiti nei gateway di gestione ed elaborazione. Questi firewall di tipo stateful esaminano tutto il traffico in ingresso e in uscita dall'SDDC.
- Il firewall distribuito (Distributed Firewall, DFW) è un firewall di tipo stateful eseguito in tutti gli host SDDC. Offre protezione per il traffico all'interno dell'SDDC e consente la micro-segmentazione, per un controllo granulare del traffico tra carichi di lavoro.
Strumenti delle operazioni di rete
NSX fornisce inoltre diversi strumenti di gestione delle operazioni di rete più comuni.
- Il mirroring delle porte è in grado di inviare il traffico con mirroring da un'appliance di origine a un'appliance di destinazione nell'SDDC o nella rete in locale.
- IPFIX supporta l'analisi del traffico di rete specifica del segmento inviando flussi di traffico a un agente di raccolta IPFIX.