SDDC 管理員將 NSX 功能設定為在資料中心提供網路隔離和分割。
網路隔離
隔離是大多數網路安全性的基礎,不論是對開發、測試及生產環境的符合性、抑制還是隔離皆是如此。傳統上使用 ACL、防火牆規則及路由原則建立和強制執行隔離和多重租賃。藉由網路虛擬化,系統本身會提供對這些內容的支援。透過使用 VXLAN 技術,虛擬網路預設會與其他虛擬網路以及基礎實體基礎結構隔離,從而提供最低權限的安全性主體。虛擬網路會獨立建立,並在明確連線前保持隔離狀態。無需實體子網路、VLAN、ACL 或防火牆規則即可啟用隔離。
網路分割
網路分割與隔離有關,但會套用至多層虛擬網路。傳統上來說,網路分割是實體防火牆或路由器的一項功能,用於允許或拒絕網路區段或層之間的流量。對 Web、應用程式及資料庫層之間的流量進行分割時,傳統設定程序非常耗時且極易出現人為錯誤,從而導致出現大量安全性缺口。需要裝置組態語法、網路定址及應用程式連接埠和通訊協定方面的專業知識才可實作。
網路虛擬化簡化了產生公認組態的網路服務組態建置和測試程序,這些組態可透過程式設計方式部署並在整個網路內複製,以強制執行分割。網路分割和隔離一樣,是 NSX 網路虛擬化的核心功能。
微分割
微分割透過使用分散式路由器和 Distributed Firewall,隔離 vNIC 層級的流量。在 vNIC 強制執行的存取控制提升了在實體網路上強制實施之規則的效率。您可將微分割與 NSX Distributed Firewall 及實作 Distributed Firewall 搭配使用,以針對三層應用程式 (例如,Web 伺服器、應用程式伺服器及資料庫) 實作微分割,其中多個組織可能會共用同一個邏輯網路拓撲。
零信任模型
若要實現最嚴格的安全性設定,請在設定安全性原則時套用零信任模型。除非原則明確允許,否則零信任模型將拒絕對資源和工作負載的存取。在此模型中,必須將流量列入白名單才能允許該流量通過。確保允許必要的基礎結構流量通過。依預設,NSX Manager、NSX Controller 以及 NSX Edge 服務閘道會從 Distributed Firewall 功能中排除。vCenter Server 系統不會排除,且應明確允許以防止鎖定,然後再套用此類原則。