Gli SDDC supportati da NSX-T supportano un'ampia gamma di soluzioni di rete e sicurezza.

NSX-T è stato progettato specificamente per supportare diversi ambienti di data center su larga scala, e fornire funzionalità robuste per i container e il cloud.

Nota:

I valori massimi della configurazione NSX-T sono ora inclusi in Valori massimi di configurazione di VMware.

Funzionalità di rete e connettività

NSX-T fornisce tutte le funzionalità di rete richieste dai carichi di lavoro in esecuzione nell'SDDC. Tali funzionalità consentono di:

  • Distribuire le reti (L2, L3 e isolate) e definire subnet e gateway per i carichi di lavoro che vi risiederanno.
    • Le VPN L2 estendono i domini L2 in locale all'SDDC, consentendo di migrare il carico di lavoro senza modificare gli indirizzi IP.
    • Le VPN IPsec basate su route sono in grado di connettersi a reti locali, VPC o altri SDDC. Le VPN basate su route utilizzano BGP per acquisire nuove route quando le reti diventano disponibili.
    • Le VPN IPsec basate su criteri possono essere utilizzate anche per connettersi a reti locali, VPC o altri SDDC.
    • Le reti isolate non dispongono di uplink e forniscono l'accesso solo alle macchine virtuali connesse.
  • Utilizzare AWS Direct Connect (DX) per trasportare il traffico tra reti in locale e SDDC su una connettività a larghezza di banda elevata e bassa latenza. È anche possibile utilizzare una VPN basata su route come backup per il traffico DX.
  • Abilitare il DHCP nativo in modo selettivo per i segmenti di rete, oppure utilizzare l'inoltro DHCP per collegarsi a una soluzione IPAM in locale.
  • Creare più zone DNS, consentendo l'uso di server DNS differenti per sottodomini di rete.
  • Sfruttare il routing distribuito, gestito da un modulo del kernel NSX in esecuzione sull'host in cui si trova il carico di lavoro, in modo che i carichi di lavoro possano comunicare in modo efficiente tra loro.

Funzionalità di sicurezza

Le funzionalità di sicurezza NSX-T includono funzionalità Network Address Translation (NAT) e di firewall avanzate.

  • Source NAT (SNAT) viene applicato automaticamente a tutti i carichi di lavoro nell'SDDC, per abilitare l'accesso a Internet. Per fornire un ambiente sicuro, l'accesso a Internet viene bloccato in corrispondenza dei firewall edge; tuttavia, è possibile modificare il criterio del firewall in modo da consentire l'accesso gestito. È inoltre possibile richiedere un IP pubblico per i carichi di lavoro e creare criteri NAT personalizzati per i suddetti.
  • I firewall edge vengono eseguiti nei gateway di gestione ed elaborazione. Questi firewall di tipo stateful esaminano tutto il traffico in ingresso e in uscita dall'SDDC.
  • Il firewall distribuito (Distributed Firewall, DFW) è un firewall di tipo stateful eseguito in tutti gli host SDDC. Offre protezione per il traffico all'interno dell'SDDC e consente la micro-segmentazione, per un controllo granulare del traffico tra carichi di lavoro.

Strumenti delle operazioni di rete

NSX-T fornisce inoltre diversi strumenti di gestione delle operazioni di rete più comuni.

  • Il mirroring delle porte è in grado di inviare il traffico con mirroring da un'appliance di origine a un'appliance di destinazione nell'SDDC o nella rete in locale.
  • IPFIX supporta l'analisi del traffico di rete specifica del segmento inviando flussi di traffico a un agente di raccolta IPFIX.