NSX offre un set completo di elementi di rete logici, protocolli di perimetro e servizi di sicurezza per organizzare e gestire le reti virtuali. L'installazione di un plug-in di NSX in vCenter Server consente di centralizzare il controllo per la creazione e la gestione dei componenti e dei servizi di NSX in tutto il data center.
Vedere la Guida all'amministrazione di NSX per le descrizioni delle funzionalità e capacità NSX.
VMware NSX Edge
Fornisce routing verticale centralizzato tra le reti logiche distribuite in domini NSX e l'infrastruttura di rete fisica esterna. NSX Edge supporta protocolli di routing dinamico come OSPF (Open Shortest Path First), iBGP (internal Border Gateway Protocol), eBGP (external Border Gateway Protocol) e può utilizzare il routing statico. La funzionalità di routing supporta i servizi stateful attivo-standby e routing ECMP (Equal-Cost Multipath). NSX Edge inoltre offre servizi edge standard quali NAT (Network Address Translation), bilanciamento del carico, VPN (Virtual Private Network) e servizi firewall.
Switching logico
Gli switch logici NSX consentono di implementare reti logiche L2 che applicano l'isolamento tra carichi di lavoro su reti logiche differenti. Gli switch distribuiti virtuali possono abbracciare più host ESXi in un cluster su una struttura L3 utilizzando la tecnologia VXLAN, con in più il vantaggio della gestione centralizzata. È possibile controllare l'ambito dell'isolamento creando zone di trasporto con l'uso di vCenter Server e assegnando switch logici alle zone di trasporto in base alle esigenze.
Routing distribuito
Il routing distribuito viene realizzato grazie a un elemento logico chiamato Distributed Logical Router (DLR). Il DLR è un router che connette direttamente le interfacce a tutti gli host in cui è richiesta connettività di macchine virtuali. Gli switch logici sono connessi ai router logici per fornire connettività L3. La funzione di supervisione, il control plane per controllare l'inoltro, viene importata da una macchina virtuale di controllo.
Firewalling logico
La piattaforma NSX supporta le seguenti funzioni essenziali per la protezione dei carichi di lavoro multilivello.
- Supporto nativo per la funzionalità di firewalling logico, che offre una protezione di tipo stateful dei carichi di lavoro multilivello.
- Supporto per servizi di sicurezza multi-fornitore e inserimento servizi, ad esempio scansione antivirus, per la protezione dei carichi di lavoro delle applicazioni.
La piattaforma NSX include un servizio firewall centralizzato fornito dai gateway di servizi di NSX Edge (ESG) e un firewall distribuito (DFW) abilitato nel kernel come pacchetto VIB su tutti gli host ESXi che fanno parte di un dato dominio NSX. Il DFW fornisce il firewalling con prestazioni di velocità di trasmissione "near-line", virtualizzazione, riconoscimento delle identità, monitoraggio delle attività, registrazione e altre funzionalità di sicurezza native per la virtualizzazione della rete. È possibile configurare questi firewall per filtrare il traffico al livello di vNIC per ogni macchina virtuale. Questa flessibilità è essenziale per la creazione di reti virtuali isolate, persino per macchine virtuali singole se è richiesto un tale livello di dettaglio.
Utilizzare vCenter Server per gestire le regole di firewall. La tabella delle regole è organizzata in sezioni, ognuna delle quali rappresenta un determinato criterio di protezione che può essere applicato a carichi di lavoro specifici.
Gruppi di sicurezza
NSX mette a disposizione criteri di raggruppamento che possono includere qualsiasi dei seguenti elementi.
- Oggetti vCenter Server come macchine virtuali, switch distribuiti e cluster
- Proprietà delle macchine virtuali quali vNIC, nomi delle macchine virtuali e sistemi operativi delle macchine virtuali
- Oggetti NSX che includono switch logici, tag di sicurezza e router logici
I meccanismi di raggruppamento possono essere statici oppure dinamici, e un gruppo di sicurezza può essere composto da qualsiasi combinazione di oggetti, inclusa qualsiasi combinazione di oggetti vCenter, oggetti NSX, proprietà delle macchine virtuali, oggetti di Identity Manager come ad esempio gruppi di Active Directory. Un gruppo di sicurezza in NSX è basato su tutti i criteri statici e dinamici, insieme ai criteri di esclusione statici definiti da un utente. I gruppi dinamici crescono e si riducono man mano che membri entrano ed escono dal gruppo. Ad esempio, un gruppo dinamico può contenere tutte le macchine virtuali che iniziano con il nome web_. I gruppi di sicurezza hanno diverse caratteristiche utili.
- A un gruppo di sicurezza si possono assegnare più criteri di protezione.
- Un oggetto può appartenere a più gruppi di sicurezza contemporaneamente.
- I gruppi di sicurezza possono contenere altri gruppi di sicurezza.
Utilizzare NSX Service Composer per creare i gruppi di sicurezza e applicare i criteri. NSX Service Composer si occupa in tempo reale del provisioning e dell'assegnazione dei criteri del firewall e dei servizi di sicurezza alle applicazioni. I criteri vengono applicati alle nuove macchine virtuali quando queste vengono aggiunte al gruppo.
Tag di sicurezza
È possibile applicare tag di sicurezza a qualsiasi macchina virtuale, aggiungendo contesto relativo al carico di lavoro secondo necessità. I gruppi di sicurezza possono essere basati su tag di sicurezza. I tag di sicurezza indicano diverse classificazioni comuni.
- Stato di sicurezza. Ad esempio, identificata vulnerabilità.
- Classificazione per reparto.
- Classificazione in base ai tipi di dati. Ad esempio dati PCI.
- Tipo di ambiente. Ad esempio, produzione o sviluppo.
- Geografia o posizione delle macchine virtuali.
Criteri di protezione
Le regole dei gruppi di criteri di protezione sono controlli di sicurezza che vengono applicati a un gruppo di sicurezza creato nel data center. Con NSX è possibile creare sezioni in una tabella di regole di firewall. Le sezioni permettono di gestire e raggruppare meglio le regole di firewall. Un singolo criterio di protezione rappresenta una sezione in una tabella di regole di firewall. Il criterio conserva la sincronizzazione tra le regole contenute in una tabella di regole di firewall e le regole scritte attraverso il criterio di protezione, garantendo l'implementazione della coerenza. Quando vengono scritti criteri di protezione per determinate applicazioni o carichi di lavoro, queste regole vengono organizzate in sezioni specifiche all'interno di una tabella di regole di firewall. A una singola applicazione si possono applicare più criteri di protezione. Quando si applicano più criteri di protezione, l'ordine delle sezioni determina la precedenza nell'applicazione delle regole.
Servizi VPN
NSX fornisce servizi VPN denominati VPN L2 e VPN L3. Creare un tunnel VPN L2 tra una coppia di dispositivi NSX Edge distribuiti in siti di data center separati. Creare una VPN L3 per fornire connettività L3 sicura alla rete del data center da posizioni remote.
Controllo degli accessi basato sui ruoli
NSX dispone di ruoli utente incorporati che regolano l'accesso alle risorse di computer o reti all'interno di un'azienda. Gli utenti possono avere un solo ruolo.
| Ruolo | Autorizzazioni |
|---|---|
| Amministratore enterprise | Operazioni e sicurezza di NSX. |
| Amministratore NSX | Solo operazioni di NSX. Ad esempio installazione di appliance virtuali, configurazione dei gruppi di porte. |
| Amministratore sicurezza | Solo sicurezza di NSX. Ad esempio definizione dei criteri di protezione dei dati, creazione di gruppi di porte, creazione di report per moduli di NSX. |
| Auditor | Sola lettura. |
Integrazione partner
I servizi forniti dai partner tecnologici di VMware si integrano nella piattaforma NSX all'interno delle funzioni di gestione, controllo e dati per offrire un'esperienza utente unificata e una totale integrazione con qualsiasi piattaforma di gestione cloud. Per ulteriori informazioni, consultare il documento all'indirizzo: https://www.vmware.com/products/nsx/technology-partners#security.
