NSX è stato progettato specificamente per supportare diversi ambienti di data center su larga scala e fornire funzionalità efficaci per i container e il cloud.

Funzionalità di rete e connettività

NSX fornisce tutte le funzionalità di rete richieste dai carichi di lavoro in esecuzione nell'SDDC. Tali funzionalità consentono di:

• Distribuire le reti (L2, L3 e isolate) e definire subnet e gateway per i carichi di lavoro che vi risiederanno.
  • Le VPN L2 estendono i domini L2 in locale all'SDDC, consentendo di migrare il carico di lavoro senza modificare gli indirizzi IP.
  • Le VPN IPsec basate su route sono in grado di connettersi a reti locali, VPC o altri SDDC. Le VPN basate su route utilizzano BGP per acquisire nuove route quando le reti diventano disponibili.
  • Le VPN IPsec basate su criteri possono essere utilizzate anche per connettersi a reti locali, VPC o altri SDDC.
  • Le reti isolate non dispongono di uplink e forniscono l'accesso solo alle macchine virtuali connesse.
• Utilizzare AWS Direct Connect (DX) per trasportare il traffico tra reti in locale e SDDC su una connettività a larghezza di banda elevata e bassa latenza. È anche possibile utilizzare una VPN basata su route come backup per il traffico DX.
• Abilitare il DHCP nativo in modo selettivo per i segmenti di rete, oppure utilizzare l'inoltro DHCP per collegarsi a una soluzione IPAM in locale.
• Creare più zone DNS, consentendo l'uso di server DNS differenti per sottodomini di rete.
• Sfruttare il routing distribuito, gestito da un modulo del kernel NSX in esecuzione sull'host in cui si trova il carico di lavoro, in modo che i carichi di lavoro possano comunicare in modo efficiente tra loro.

Funzionalità di sicurezza

Le funzionalità di sicurezza di NSX includono Network Address Translation (NAT) e funzionalità del firewall avanzate.

• Il NAT di origine (SNAT) viene applicato automaticamente a tutti i carichi di lavoro nell'SDDC per abilitare l'accesso a Internet. Per fornire un ambiente sicuro, l'accesso a Internet viene bloccato in corrispondenza dei firewall edge; tuttavia, è possibile modificare il criterio del firewall in modo da consentire l'accesso gestito. È inoltre possibile richiedere un IP pubblico per i carichi di lavoro e creare criteri NAT personalizzati per i suddetti.
• I firewall edge vengono eseguiti nei gateway di gestione ed elaborazione. Questi firewall di tipo stateful esaminano tutto il traffico in ingresso e in uscita dall'SDDC.
• Il firewall distribuito (Distributed Firewall, DFW) è un firewall di tipo stateful eseguito in tutti gli host SDDC. Offre protezione per il traffico all'interno dell'SDDC e consente la micro-segmentazione, per un controllo granulare del traffico tra carichi di lavoro.

Strumenti delle operazioni di rete

NSX fornisce inoltre diversi strumenti di gestione delle operazioni di rete più comuni.

• Il mirroring delle porte è in grado di inviare il traffico con mirroring da un'appliance di origine a un'appliance di destinazione nell'SDDC o nella rete in locale.
• IPFIX supporta l'analisi del traffico di rete specifica del segmento inviando flussi di traffico a un agente di raccolta IPFIX.