NSX предоставляет полный набор элементов логических сетей, граничных протоколов и служб безопасности для организации и управления виртуальными сетями. Установка подключаемого модуля NSX в vCenter Server предоставляет централизованный элемент управления для создания и управления службами и компонентами NSX в центре обработки данных.
Описание функций и возможностей см. в руководстве по администрированию NSX.
VMware NSX Edge
обеспечивает централизованную вертикальную маршрутизацию между логическими сетями, развернутыми в доменах NSX, и внешней инфраструктурой физической сети. NSX Edge поддерживает протоколы динамической маршрутизации, такие как протокол маршрутизации с приоритетом кратчайшего пути (OSPF), а также внутренний (iBGP) и внешний (eBGP) протоколы пограничного шлюза. Кроме того, возможно использование статической маршрутизации. В возможности маршрутизации входит поддержка служб с переходом из активного состояния в режим ожидания и маршрутизации с выбором из нескольких равнозначных путей (ECMP). NSX Edge также предоставляет стандартные пограничные службы, такие как преобразование сетевых адресов (NAT), балансировка нагрузки, виртуальная частная сеть (VPN) и службы брандмауэра.
Логическая коммутация
Логические коммутаторы NSX предоставляют логические сети уровня L2, обеспечивающие изоляцию между рабочими нагрузками в различных логических сетях. Виртуальные распределенные коммутаторы могут охватывать несколько узлов ESXi в кластере над структурой L3 с помощью технологии VXLAN, предоставляя преимущество централизованного управления. Можно управлять объемом изоляции посредством создания транспортных зон, используя vCenter Server и при необходимости назначая логические коммутаторы транспортным зонам.
Распределенная маршрутизация
Распределенная маршрутизация предоставляется логическим элементом под названием «распределенный логический маршрутизатор» (DLR). DLR представляет собой маршрутизатор с интерфейсами, подключенными напрямую ко всем узлам, где требуется подключение виртуальной машины. Логические коммутаторы подключены к логическим маршрутизаторам для обеспечения подключения на уровне L3. Контрольная функция, представляющая собой плоскость управления для контроля переадресации, импортируется из контролирующей виртуальной машины.
Логическая защита сети с помощью брандмауэра
Платформа NSX поддерживает следующие критические функции для обеспечения безопасности многоуровневых рабочих нагрузок.
- Собственная поддержка возможности логической защиты сети с помощью брандмауэра, который обеспечивает динамическую защиту многоуровневых рабочих нагрузок.
- Поддержка служб безопасности различных поставщиков и ввод службы, например антивирусного сканирования, для защиты рабочей нагрузки приложения.
Платформа NSX включает в себя централизованную службу брандмауэра, предлагаемую служебным шлюзом NSX Edge (ESG) и распределенным брандмауэром (DFW), включенным в ядре в качестве пакета VIB во всех узлах ESXi, являющихся частью домена NSX. DFW обеспечивает логическую защиту сети с помощью брандмауэра благодаря функциям увеличения производительности с практически линейным коэффициентом, виртуализацией, отслеживания состояния удостоверения, мониторинга активности, ведения журнала и других собственных функций сетевой безопасности для виртуализации сети. Можно настроить такие брандмауэры для установки фильтра трафика на уровне виртуального сетевого адаптера каждой виртуальной машины. Такая гибкость имеет важное значение для создания изолированных виртуальных сетей, даже для отдельных виртуальных машин, если необходим этот уровень детализации.
Используйте vCenter Server для управления правилами брандмауэра. Таблица правил организована в форме разделов, где каждый раздел определяет конкретную политику безопасности, которая может быть применена к конкретным рабочим нагрузкам.
Группы безопасности
NSX предоставляет критерии механизма группирования, в которые можно включить любой из следующих элементов.
- Объекты vCenter Server, например виртуальные машины, распределенные коммутаторы и кластеры
- Свойства виртуальных машин, например виртуальные сетевые адаптеры, имена и операционные системы для виртуальных машин
- Объекты NSX, в том числе теги безопасности, логические коммутаторы и маршрутизаторы
Механизмы группирования могут быть статическими или динамическими, а в качестве группы безопасности может выступать любая комбинация объектов, в том числе комбинация объектов vCenter, свойств виртуальных машин, объектов NSX или диспетчера уведомлений, например групп AD. Группа безопасности в NSX основана на статических и динамических критериях наряду со статическими критериями исключения, определенными пользователем. Динамические группы растут и сжимаются по мере того, как участники входят и выходят из группы. Например, динамическая группа может содержать все виртуальные машины, имя которых начинается с "web_". В группах безопасности есть несколько полезных характеристик.
- Можно назначить несколько политик безопасности одной группе безопасности.
- Объект может принадлежать одновременно нескольким группам безопасности.
- В группы безопасности могут входить другие группы безопасности.
Используйте средство создания служб NSX для создания групп безопасности и применения политик. Средство создания служб NSX подготавливает и назначает приложениям политики брандмауэра и службы безопасности в режиме реального времени. Политики применяются к новым виртуальным машинам, как только их добавляют в группы.
Теги безопасности
Можно применять теги безопасности к любой виртуальной машине, при необходимости добавляя контекст о рабочей нагрузке. Можно разместить группы безопасности в тегах безопасности. Теги безопасности обозначают несколько основных классификаций.
- Состояние безопасности. Например, идентифицированная уязвимость.
- Классификация по отделу.
- Классификация типов данных. Например, данные PCI.
- Тип среды. Например, производство или разработка.
- География и расположение виртуальной машины
Политики безопасности
Групповые правила политик безопасности представляют собой элементы управления безопасностью, которые применяются к группе безопасности, созданной в центре обработки данных. С помощью NSX можно создавать разделы в таблице правил брандмауэра. Разделы позволяют улучшить управление и группирование правил брандмауэра. Отдельная политика безопасности представляет собой раздел в таблице правил брандмауэра. Эта политика сохраняет синхронизацию между правилами в таблице правил брандмауэра и правилами, записанными в политике безопасности, обеспечивая согласованное применение. Так как политики безопасности написаны для определенных приложений или рабочих нагрузок, эти правила разнесены в конкретные разделы таблицы правил брандмауэра. К одному приложению можно применять несколько политик безопасности. При применении нескольких политик безопасности порядок следования разделов определяет приоритет правил в приложении.
Службы виртуальных частных сетей
NSX предоставляет службы VPN с именами L2 VPN и L3 VPN, создает туннель L2 VPN между парой устройствNSX Edge, развернутых на отдельных площадках центра обработки данных, а также L3 VPN — для обеспечения безопасного удаленного подключения на уровне L3 к сети центра обработки данных.
Управление доступом на основе ролей
В NSX есть встроенные роли пользователей, регулирующие доступ к компьютеру или ресурсам сети предприятия. Пользователи могут иметь только одну роль.
| Роль | Разрешения |
|---|---|
| Корпоративный администратор | Безопасность и операции NSX. |
| Администратор NSX | Только операции NSX. Например, установка виртуальных устройств, настройка групп портов. |
| Администратор безопасности | Только безопасность NSX. Например, определение политик защиты данных, создание групп портов, отчетов для модулей NSX. |
| Аудитор | Только для чтения. |
Интеграция партнеров
Службы, предоставляемые технологическими партнерами VMware, интегрированы с платформой NSX в области управления, контроля и обмена данными, чтобы обеспечить единые условия для работы пользователей и удобную интеграцию с любой платформой управления облачными системами. Дополнительные сведения см. в разделе https://www.vmware.com/products/nsx/technology-partners#security.
