NSX levert een volledige set logische netwerkelementen, boundaryprotocollen en beveiligingsservices om uw virtuele netwerken te organiseren en te beheren. Als u een NSX-invoegtoepassing installeert op vCenter Server, krijgt u centrale controle om NSX-onderdelen en -services te maken en te beheren via uw datacenter.

Zie de NSX-beheerhandleiding voor beschrijvingen van de functies en mogelijkheden van NSX.

VMware NSX Edge

Biedt centrale noord-zuidroutering tussen de logische netwerken die zijn geïmplementeerd in NSX-domeinen en de externe fysieke netwerkinfrastructuur. NSX Edge ondersteunt dynamische routeringsprotocollen zoals Open Shortest Path First (OSPF), internal Border Gateway Protocol (iBGP) en external Border Gateway Protocol (eBGP), en kan statische routering gebruiken. De routeringsoptie biedt actieve/stand-by stateful services en Equal-Cost Multipath Routing (ECMP). NSX Edge biedt ook standaardrandservices zoals Network Address Translation (NAT), taakverdeling, virtueel particulier netwerk (VPN) en firewallservices.

Logisch schakelen

NSX logische switches leveren logische netwerken op L2 waarbij isolatie van workloads op verschillende logische netwerken wordt afgedwongen. Virtueel gedistribueerde switches kunnen meerdere ESXi-hosts beslaan in een cluster over L3-materiaal door gebruik te maken van VXLAN-technologie, wat het voordeel van centraal beheer toevoegt. U kunt de omvang van de isolatie regelen door transportzones te maken met vCenter Server en waar nodig logische switches toe te wijzen aan de transportzones.

Gedistribueerde routering

Gedistribueerde routering wordt geboden door een logisch element dat Distributed Logical Router (DLR) wordt genoemd. De DLR is een router met rechtstreeks verbonden interfaces met alle hosts waar VM-connectiviteit is vereist. Logische switches worden verbonden met logische routers om L3-connectiviteit te bieden. De toezichthoudende functie, de control plane om fowarding te regelen, wordt geïmporteerd van een regelende VM.

Logisch firewallgebruik

Het NSX-platform ondersteunt de volgende kritieke functies om meerlagige workloads te beveiligen.

  • Native ondersteuning voor logische firewallmogelijkheden biedt stateful bescherming van meerlagige workloads.

  • Ondersteuning voor beveiligingsservices van meerdere leveranciers en service-invoeging, bijvoorbeeld scannen op virussen, voor de bescherming van workloads van toepassingen.

Het NSX-platform heeft een centrale firewallservice die wordt geleverd door de NSX Edge-servicesgateway (ESG) en een gedistribueerde firewall (DFW) die in de kernel wordt ingeschakeld als VIB-pakket op alle ESXi-hosts die deel uitmaken van een bepaald NSX-domein. De DFW biedt firewallgebruik met near-line rate prestaties, virtualisatie, identiteitsbewustzijn, activiteitscontrole, logboekregistratie en overige netwerkbeveiligingsfuncties die eigen zijn aan netwerkvirtualisatie. U configureert deze firewalls om verkeer op het vNIC-niveau van elke VM te filteren. Deze flexibiliteit is essentieel om geïsoleerde virtuele netwerken te maken, zelfs voor individuele VM's als dat detailniveau is vereist.

Gebruik vCenter Server om firewallregels te beheren. De regeltabel is ingedeeld in secties waarbij elke sectie bestaat uit een specifiek beveiligingsbeleid dat kan worden toegepast op specifieke workloads.

Beveiligingsgroepen

NSX biedt criteria voor groeperingsmechanismen die elk van de volgende items kunnen bevatten.

  • vCenter Server-objecten zoals virtual machines, gedistribueerde switches en clusters

  • Eigenschappen van virtual machines zoals vNIC's, namen van virtual machines en besturingssystemen van virtual machines

  • NSX-objecten zoals logische switches, beveiligingstags en logische routers

Groeperingsmechanismen kunnen statisch of dynamisch zijn, en een beveiligingsgroep kan elke combinatie van objecten zijn, waaronder ook elke combinatie van vCenter-objecten, NSX-objecten, VM-eigenschappen of Identity Manager-objecten zoals AD-groepen. Een beveiligingsgroep in NSX is gebaseerd op alle statische en dynamische criteria in combinatie met statische uitsluitingscriteria zoals gedefinieerd door een gebruiker. Dynamische groepen groeien en krimpen als leden toetreden of de groep verlaten. Zo kan een dynamische groep bijvoorbeeld alle VM's bevatten die beginnen met de naam web_. Beveiligingsgroepen hebben diverse nuttige karakteristieken.

  • U kunt meerdere beveiligingsbeleidsregels toewijzen aan een beveiligingsgroep.

  • Een object kan tegelijk bij meerdere beveiligingsgroepen horen.

  • Beveiligingsgroepen kunnen andere beveiligingsgroepen bevatten.

Gebruik NSX Service Composer om beveiligingsgroepen te maken en beleidsregels toe te passen. NSX Service Composer richt firewallbeleidsregels en beveiligingsservices in en wijst ze in real time toe aan toepassingen. Beleidsregels worden toegepast op nieuwe virtual machines wanneer ze worden toegevoegd aan de groep.

Beveiligingstags

U kunt beveiligingstags toepassen op elke virtual machine, waarbij waar nodig context over de workload wordt toegevoegd. U kunt beveiligingsgroepen baseren op beveiligingstags. Beveiligingstags geven diverse algemene classificaties aan.

  • Beveiligingsstatus. Bijvoorbeeld, geïdentificeerde kwetsbaarheid.

  • Classificatie per afdeling.

  • Gegevenstype classificatie. Bijvoorbeeld PCI-gegevens.

  • Type omgeving. Bijvoorbeeld productie of ontwikkeling.

  • Geografie of locatie van VM.

Beveiligingsbeleid

Groepsregels voor beveiligingsbeleid zijn beveiligingsfuncties die worden toegepast op een beveiligingsgroep die is gemaakt in het datacenter. Met NSX kunt u secties maken in een tabel met firewallregels. Met deze secties kunt u uw firewallregels beter beheren en groeperen. Eén beveiligingsbeleid komt overeen met één sectie in een tabel met firewallregels. Dit beleid onderhoudt synchronisatie tussen regels in een tabel met firewallregels en regels die worden geschreven door het beveiligingsbeleid, zodat deze consistent worden toegepast. Aangezien beveiligingsbeleidsregels worden geschreven voor specifieke toepassingen of workloads, worden deze regels georganiseerd in specifieke secties in een tabel met firewallregels. U kunt meerdere beveiligingsbeleidsregels toewijzen aan één toepassing. De volgorde van de secties wanneer u meerdere beveiligingsbeleidsregels toepast, bepaalt de voorrang bij de toepassing van de regels.

Services voor virtuele particuliere netwerken

NSX biedt VPN-services, L2 VPN en L3 VPN genoemd. Maak een L2 VPN-tunnel tussen een paar van NSX Edge-apparaten die zijn geïmplementeerd op verschillende datacenterlocaties. Maak een L3 VPN om veilige L3-connectiviteit te bieden voor het datacenternetwerk vanaf andere externe locaties.

Op rollen gebaseerde toegangscontrole

NSX heeft ingebouwde gebruikersrollen die toegang tot computer- of netwerkbronnen in een bedrijf regelen. Gebruikers kunnen slechts één rol hebben.

Tabel 1. NSX-gebruikersrollen beheren

Rol

Rechten

Enterprisebeheerder

NSX-bewerkingen en -beveiliging.

NSX-beheerder

Alleen NSX-bewerkingen. Bijvoorbeeld: virtuele applicaties installeren, poortgroepen configureren.

Beveiligingsbeheerder

Alleen NSX-beveiliging. Bijvoorbeeld: gegevensbeveiligingsbeleid definiëren, poortgroepen maken, rapporten maken voor NSX-modules.

Auditor

Alleen-lezen.

Partnerintegratie

Services van VMware-technologiepartners worden geïntegreerd met het NSX-platform in de beheer-, bedienings- en gegevensfuncties om een consistente gebruikerservaring en naadloze integratie met elk cloudbeheerplatform te bieden. Zie https://www.vmware.com/products/nsx/technology-partners#security voor meer informatie.