NS_网络与安全解决方案简介.ppt

VMware网络与安全解决方案 议程 议程 客户需要 资源池 灵活的IPAM 零信任安全微分段 自服务及扩展性 弹性计算分区 扩展到公有云 需要做出什么样的改变 虚拟机 数据中心网络 运营模式 从硬件解耦网络的创建 删除 增长和削减对应用程序透明可编程 可监视良好扩展性 VMwareNSX简介 基于NSX的网络虚拟化 二层交换 和VM一样管理网络 硬件 软件 议程 VMwareNSX 网络与安全功能 逻辑交换 运行于三层网络之上的二层网络 与物理网络解耦逻辑路由 在虚拟网络之间以及虚拟网络和物理网络之间路由逻辑防火墙 分布式防火墙 内核集成 高性能逻辑负载均衡 利用软件实现的应用负载均衡逻辑VPN 通过软件实现站点到站点以及远程访问VPN服务NSXAPI 可与任何云管理平台相集成的RESTfulAPI合作伙伴生态系统 VMwareNSX组件 议程 利用VMwareNSX部署网络虚拟化 计算 利用现存的网络基础架构 任意网络厂商任意网络拓扑 IP包转发网络 利用VMwareNSX部署网络虚拟化 续 计算 利用现存的网络基础架构 部署VMwareNSXNSX管理与边界服务 利用VMwareNSX部署网络虚拟化 续 计算 利用现存的网络基础架构 部署VMwareNSXNSX管理与边界服务 应用程序消费网络资源 CMP门户 自服务 可编程的虚拟网络部署 逻辑网络 VMwareNSX逻辑交换机 应用 租户之间的分段虚拟机的移动性需要大二层网络大的二层物理网络扩展导致生成树问题硬件内存 MAC FIB 表限制 跨数据中心扩展多租户在3层基础架构上实现2层网络基于VXLAN STT GRE等实现Overlay可跨越多个物理主机和网络交换机的逻辑交换服务 挑战 收益 逻辑交换 将网络的扩展性提高1000倍 AnimatedSlide VMwareNSX Egress 逻辑交换服务 逻辑交换 L2 L2 逻辑交换 L2 LoadBalancer IDS 软件定义的虚拟网络 Ingress 1 1 1 0 24 1 1 2 0 24 网络虚拟化 物理网络 通用IP硬件 VMwareNSX三层路由 分布式 功能全面 物理基础架构的扩展性存在挑战 路由扩展性虚拟机的移动性存在挑战多租户路由的复杂度流量的发夹问题 在虚拟化层实现分布式路由动态的 基于API的配置完整功能 OSPF BGP IS IS基于租户的逻辑路由器可与物理交换机协同 挑战 收益 可扩展的路由 简化多租户 控制器集群 NSX管理器 AnimatedSlide CMP 虚拟网络 一个通过软件定义的完整网络 逻辑交换 L2 L3 L2 Egress 逻辑交换 L2 L2 L3 LoadBalancer IDS 软件定义的虚拟网络 Ingress 1 1 1 0 24 1 1 2 0 24 网络虚拟化 物理网络 通用IP硬件 VMwareNSX防火墙 高性能 可扩展 集中式防火墙模型静态配置基于IP地址的规则每设备40Gbps对封装的流量缺少可见性 分布在虚拟化层动态 基于API的配置使用VM名字和基于标识的规则线速 每主机15 Gbps对封装的流量完全可见 挑战 收益 性能与扩展性 1 000 主机30Tbps防火墙 物理安全模型 用于SDDC的NSX防火墙 防火墙管理 AnimatedSlide 虚拟网络 一个通过软件定义的完整网络 逻辑交换 L2 L3 L2 FW Egress 逻辑交换 L2 L2 L3 LoadBalancer IDS 软件定义的虚拟网络 Ingress 1 1 1 0 24 1 1 2 0 24 网络虚拟化层 物理网络 通用IP硬件 FW VMwareNSX负载均衡 应用的移动性多租户配置复杂度 手工部署模型 按需的负载均衡服务满足应用需要的简单部署模式 单臂或联机Layer7 SSL 挑战 收益 负载均衡 基于租户的应用可用性模型 AnimatedSlide 服务部署挑战 物理服务设备 AnimatedSlide Web Web App App DB DB 服务部署挑战 虚拟服务设备 AnimatedSlide Web Web App App DB DB NSX平台构成示例 数据库层逻辑交换机 Web层逻辑交换机 应用层逻辑交换机 外部网络 为三层应用提供基本的网络连接服务 配置简单全部通过软件实现无需改变物理网络配置 边界服务 HA FW NAT VPN LBServices NSX平台 自动创建和连接网络与服务 快速可重复的部署包括网络与安全服务RESTAPI 逻辑路由器 采用NV技术的数据中心网络架构 广域网互联网 Rack1 ToR Rack2 RackN ToR ToR ToR ToR 议程 NSX高可用机制 AnimatedSlide NSX完全可以应用于生产网络 NSX控制器 集群 主机级高可用 数据面板分离 NSX管理器 存储高可用和配置备份 不保存运行态数据 NSXEdge 成对虚拟机 活动状态同步 主机级别高可用 NSXvSwitch 分布式架构 影响范围只限于故障主机 主机失败 虚拟机会被迁移到其它主机 NSX组件继续提供服务最佳实践将管理组件 控制组件和Edge虚拟设备部署于集群之中 网络虚拟化平台运营 亮点总体逻辑网络健康 状态VM到VM的连通性基于VM的数据流可见性流量分析 数据包捕获传输隧道健康清单和容错管理多级日志 事件跟踪和审计物理网络排故和可见性升级管理 聚合运维视图统计信息收集告警和健康监视网络性能与资源利用全基础架构管理与监视 vCenterOperationsManager 议程 NSX扩展性 合作伙伴集成 NSXAPI 合作伙伴扩展 CloudMgmtPlatforms NSX基于策略的管理框架 可以在软件定义的数据中心里更有效率地使用网络和安全服务 应用在一个位置上应用安全策略到工作负载 并随时保持可见性 自动化不需要开发即可在不同的服务之间实现自动化工作流 置备使用一种方法置备服务和监视服务的可用性 议程 VMwareNSX 应用场景 自服务IT 开发云新员工报道管理 应用特定网络灵活的IP地址管理简化使用 主要功能 示例 数据中心自动化 应用微分段简化计算分区DMZ部署 可编程消费完整功能集可见性与运维 主要功能 示例 公有云 XaaS云垂直云 多租户部署二三层可编程安全性重叠IP地址任意虚拟化层 任意CMP 主要功能 示例 vSphere X86主机 KVM XenServer Hyper V 硬件 软件 硬件 软件 任意云管理平台 VMwareNSXAPI 软件定义网络的新角色 分布式交换机 分布式路由器 分布式防火墙 边界服务 VMwareNSX软件 网络虚拟化 虚拟网络 现存的网络基础架构 谢谢 tzang SeeingBroadAdoption PhysicalViewOfNSXComponentDeployment ComputeClusters ManagementCluster EdgeCluster NSXManager NSXEdge NSXController DataCenterIPnetwork Managementnetwork vMotion storage vCenterServer PhysicalAppliances ExternalnetworksWAN Internet ControllerSoftwareVirtualnetworkorchestratorMassivescale HypervisorServiceModulesDistributednetworkservices Switching Routing LoadBalancer Switch Firewall Router VPN GatewaySoftwareIntegrationwithexistingphysicalinfra VtoV VtoP PrivUserNetworkActivityMonitoring SolutionCategories CMPvCD vCAC etc NSXServiceComposer AutomationvCO Scripts etc APIREST Java NET NWIsoVXLAN NAT FirewallTCP Identity VPNIPsec SSL DLPAtRest Wire PrivUserAAA SessionRecording AVMalware Whitelist FIMConfigFiles Registry IPS IDSMonitor Prevent Report VulnerabilityPenetrationTesting NextGenFWAppAware FineGrainedAppLayerIPS EncryptionVMFS VMDK OS ConfigurationManagementPatching SIE