NSX 提供一組完整的邏輯網路元素、邊界通訊協定和安全性服務,用於組織整理和管理您的虛擬網路。在 vCenter Server 上安裝 NSX 外掛程式可讓您進行集中控制,以在資料中心內建立和管理 NSX 元件和服務。

請參閱 NSX 管理指南,以取得 NSX 特性和功能的說明。

VMware NSX Edge

在部署於 NSX 網域中的邏輯網路與外部實體網路基礎結構之間提供集中的南北路由。NSX Edge 支援動態路由通訊協定,例如開放式最短路徑優先 (OSPF)、內部邊界閘道通訊協定 (iBGP) 以及外部邊界閘道通訊協定 (eBGP),並且可以使用靜態路由。路由功能支援可設定作用中-待命狀態的服務以及等價多路徑路由 (ECMP)。此外,NSX Edge 還提供標準 Edge 服務,例如網路位址轉譯 (NAT)、負載平衡、虛擬私人網路 (VPN) 和防火牆服務。

邏輯交換器

NSX 邏輯交換器提供 L2 邏輯網路,用於在不同邏輯網路上的工作負載之間強制執行隔離。透過使用 VXLAN 技術,虛擬分散式交換器可在 L3 網狀架構中跨越叢集中的多部 ESXi 主機,從而增添了集中管理的優點。使用 vCenter Server 建立傳輸區域並且視需要將邏輯交換器指派至傳輸區域,即可控制隔離範圍。

分散式路由

分散式路由是由稱為分散式邏輯路由器 (DLR) 的邏輯元素提供。DLR 是將介面直接連線至所有主機 (需要虛擬機器連線) 的路由器。將邏輯交換器連線至邏輯路由器可提供 L3 連線。監督功能 (用於控制轉送的控制層) 是從控制虛擬機器匯入的。

邏輯防火牆

NSX 平台支援下列保護多層工作負載安全的重要功能。

  • 對邏輯防火牆功能的原生支援,提供可設定狀態的多層工作負載保護。
  • 對多廠商安全性服務和服務插入的支援,例如,用於應用程式工作負載保護的防毒掃描。

NSX 平台包含由 NSX Edge 服務閘道 (ESG) 提供的集中防火牆服務,以及在核心中做為所有 ESXi 主機 (屬於指定 NSX 網域的一部分) 上的 VIB 套件啟用的 Distributed Firewall (DFW)。DFW 提供的防火牆功能具有近線速率效能、虛擬化、身分識別感知、活動監控、記錄以及其他源自網路虛擬化的網路安全性功能。您可以將這些防火牆設定為在每個虛擬機器的 vNIC 層級篩選流量。這種彈性對於建立隔離的虛擬網路是不可或缺的,即使對於個別虛擬機器亦是如此 (如果需要該詳細資料層級)。

使用 vCenter Server 管理防火牆規則。規則資料表將按區段進行組織整理,且每個區段所構成的特定安全性原則可套用至特定工作負載。

安全群組

NSX 提供可包含下列項目之一的分組機制準則。

  • vCenter Server 物件,例如虛擬機器、分散式交換器和叢集
  • 虛擬機器內容,例如 vNIC、虛擬機器名稱和虛擬機器作業系統
  • 包含邏輯交換器、安全性標籤和邏輯路由器的 NSX 物件

分組機制可以是靜態或動態,而安全群組可以是物件的任意組合,包括 vCenter 物件、NSX 物件、虛擬機器內容或 Identity Manager 物件 (如 AD 群組) 的任意組合。NSX 中的安全群組是以所有靜態和動態準則以及使用者所定義的靜態排除準則為基礎。動態群組會隨著成員進入和離開群組而變大和縮小。例如,動態群組可能包含所有以名稱 web_ 開頭的虛擬機器。安全群組具有幾種實用特性。

  • 您可以將多個安全性原則指派給安全群組。
  • 一個物件可同時屬於多個安全群組。
  • 安全群組可包含其他安全群組。

使用 NSX Service Composer 可建立安全群組和套用原則。NSX Service Composer 可即時佈建防火牆原則和安全性服務並將其指派給應用程式。原則會在新增至群組時套用至新虛擬機器。

安全性標籤

您可以將安全性標籤套用至任何虛擬機器,以視需要新增有關工作負載的內容。您可基於安全性標籤建立安全群組。安全性標籤指示幾種常見分類。

  • 安全性狀態。例如,漏洞已識別。
  • 依部門的分類。
  • 資料類型分類。例如,PCI 資料。
  • 環境類型。例如,生產或開發維運。
  • 虛擬機器地理位置。

安全性原則

安全性原則群組規則是套用至在資料中心中建立之安全群組的安全控制項。透過 NSX,您可以在防火牆規則資料表中建立區段。可使用區段對防火牆規則進行更好的管理和分組。單一安全性原則是防火牆規則資料表中的一個區段。此原則可在防火牆規則資料表中的規則以及透過安全性原則寫入的規則之間保持同步化,從而確保一致實作。由於安全性原則是針對特定應用程式或工作負載所撰寫的,因此,會按防火牆規則資料表中的特定區段組織整理這些規則。您可以將多個安全性原則套用至單一應用程式。套用多個安全性原則時區段的順序決定了規則應用程式的優先順序。

虛擬私人網路服務

NSX 提供名稱為 L2 VPN 和 L3 VPN 的 VPN 服務。在單獨資料中心站台中部署的一對 NSX Edge 裝置之間建立 L2 VPN 通道。建立 L3 VPN 可提供從遠端位置到資料中心網路的安全 L3 連線。

角色型存取控制

NSX 具有內建使用者角色,用於規範對企業內的電腦或網路資源的存取權。使用者只能擁有一個角色。

表 1. NSX Manager 使用者角色
角色 權限
企業管理員 NSX 作業和安全性。
NSX 管理員 僅限 NSX 作業。例如,安裝虛擬應用裝置、設定連接埠群組。
安全性管理員 僅限 NSX 安全性。例如,定義資料安全性原則、建立連接埠群組、為 NSX 模組建立報告。
稽核人員 唯讀。

合作夥伴整合

由 VMware 技術合作夥伴提供的服務將在管理、控制和資料功能方面與 NSX 平台整合,從而提供統一的使用者體驗並順暢地與任何雲端管理平台整合。請透過以下網站查看更多資訊:https://www.vmware.com/products/nsx/technology-partners#security