VMware NSX обеспечение сетевой
Transcript of VMware NSX обеспечение сетевой
![Page 1: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/1.jpg)
VMware NSX – обеспечение сетевой
безопасности в виртуальной среде
Лукьянов Сергей Аркадьевич
VMware
![Page 2: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/2.jpg)
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
![Page 3: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/3.jpg)
Управление Облачная инфраструктура
Виртуализация
Глобально прогресс движется в сторону
программно-конфигурируемых ЦОД (SDDC)
Виртуальные вычислительные
ресурсы
Автоматизи-
рованное
разверты-
вание
приложений
Автоматизи-
рованный
мониторинг и
управление
Безопасное выделение ресурсов по
требованию
Програм-
мная СХД
Програм-
мная сеть
Катастро-
фоустой-
чивость
Масштабируемость
Безопас-
ность
Cloud APIs
Миграция
между
облаками
Автоматиза-
ция
![Page 4: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/4.jpg)
Управление Облачная инфраструктура
Виртуализация
VMware: все необходимое для построения облака
vSphere Ent+ 5.5
IT Business
Management*
vCloud Automation
Center 5.5
vFabric Application
Director
vCenter Operations
Mgmt Suite 5.7.2
vCenter Log Insight
vCloud Director 5.5
vSAN 5.5*
(Public Beta)
vCNS 5.5 или
NSX* Site Recovery Manager 5.5
Масштабируемость
vCloud APIs
vCloud
Connector 2.5
vCenter
Orchestrator
* Новые продукты
![Page 5: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/5.jpg)
Уровень абстракции для виртуализации вычислений
Физическая сеть – камень преткновения
для программного ЦОД
Физическая
Инфраструктура
• Медленная инициализация
• Ограниченные возможности размещения
• Ограниченная мобильность сотрудников
• Зависимость от оборудования
• Высокое потребление ресурсов
Виртуальный ЦОД
![Page 6: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/6.jpg)
Виртуализация серверов – твердый орешек для сетевых администраторов
Сетевой
администратор
![Page 7: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/7.jpg)
Решение — виртуализация сети
Физическая
Инфраструктура
Уровень абстракции для виртуализации вычислений
Уровень абстракции для виртуализации сети
Виртуальный ЦОД
• Медленная инициализация
• Ограниченные возможности размещения
• Ограниченная мобильность сотрудников
• Зависимость от оборудования
• Высокое потребление ресурсов
• Программируемая инициализация
• Свободное размещение рабочих нагрузок
• Свободное перемещение рабочих нагрузок
• Изоляция от оборудования
• Эксплуатационная эффективность
![Page 8: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/8.jpg)
VMware NSX – сетевой гипервизор
Виртуализация сетей подобно виртуализации вычислений
Независимость от оборудования, полная функциональность,
автоматизация операций
Любая
IP-сеть
Разделение
VMware NSX
Виртуальные сети
Физические сети
IP-сеть, которая надежна, и обеспечивает
скорости и задержки, приемлемые для
приложений
![Page 9: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/9.jpg)
Сетевые гипервизоры от VMware
2013
• vCNS v5.1
• vCloud Suite (Network & Security) v5.1
vCNS v5.5 в составе
vCloud Suite (Network & Security) v5.5
2014
NSX vCloud
NSX OpenCloud
vCloud Network & Security
2012
![Page 10: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/10.jpg)
Архитектура VMware NSX
vCD / vCAC / OpenStack / OpenCloud
vCenter Server NSX Manager 1:1
Management Plane
Control Plane
NSX Edge
Distributed Router Controllers
Data Plane
NSX Edge
Services Gateway
VXLAN DR DFW Security VXLAN DR DFW Security
1:N
VXLAN DR DFW Security
vSphere API REST API vSphere API
SSL
REST API REST API
OVS DB SSL
![Page 11: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/11.jpg)
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
![Page 12: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/12.jpg)
Наиболее востребованные сервисы сетей
и безопасности NSX предоставляет встроенные логические сети и сервисы
для типовых потребностей (и вызовов)
автоматизации облачных услуг
Распределенный
межсетевой экран
Виртуальные сети
(логические коммутаторы)
Балансировщик
нагрузки
Распределенный
маршрутизатор
VPN'ы межсайтовые &
удаленного доступа
антивирусная платформа
Endpoint и
партнерская экосистема
VXLAN-туннели
P2V и V2V мосты
![Page 13: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/13.jpg)
Механизмы обеспечения сетевой
безопасности
Cредства управления ЦОД:
vCenter, vCD, vCAC, OpenStack, Cloudstack
Сторонние службы (AV, IDS, IPS, AAA, шифр-е)
vSphere
Интегрированные сторонние службы
Partner Ecosystem Framework
Изоляция и защита приложений
и виртуальных машин
Фаервол App
Защита периметра виртуального ЦОД
и предоставление служб шлюза
Шлюз Edge
Основа эластичных переносимых
виртуальных сетей
VXLAN
Прозрачная интеграция со
средствами управления ЦОД при
помощи подключаемых модулей
vCNS, NSX Manager
Защита от утечек данных
Data Security
![Page 14: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/14.jpg)
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
![Page 15: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/15.jpg)
NSX Firewall
• Распределенный
• Identity-based
• Высокоскоростной и
линейно масштабируемый
• Мультиарендный
• C сохранением состояния (Stateful)
• Централизованно-администрируемый
VXLAN DR DFW Security
![Page 16: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/16.jpg)
VM VM VM VM VM
Identity-based Firewall
VM VM VM VM VM VM VM VM VM VM VM VM
Уп
ра
вл
яю
щи
й
кл
ас
те
р N
SX
Транспортная
IP-сеть
VM VM VM VM VM
Логическое
представление сетей
![Page 17: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/17.jpg)
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
![Page 18: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/18.jpg)
Аутентификация и авторизация в NSX
Есть сейчас
• Аутентификация:
• Базовая аутентификация доступа
• Унифицированный API аутентификации, применяемый к UI, CLI и средствам
менеджмента/автоматизации
• Протокол LDAP
• Интеграция с SSO
• Авторизация:
• Авторизация локальных аккаунтов с привилегиями R / RW ко всей системе
• Унифицированный RBAC на всех NSX API объектах и методах
Планируется
• Авторизация:
• RBAC для локальных аккаунтов
![Page 19: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/19.jpg)
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
![Page 20: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/20.jpg)
Типы логических VPN
Public
Cloud
Site to Site (IPsec) VPN
User (SSL) VPN
Cloud (L2) VPN
![Page 21: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/21.jpg)
Реализация VPN в NSX
Site to Site (IPSEC) VPN
IPsec, совместимый и
протестированный с
ведущими вендорами
IKEv1
Шифрация – 3DES, AES128,
AES256
Аппаратная разгрузка
AESNI
NAT & Perimeter Firewall
Traversal
User (SSL) VPN
Клиенты для всех основных
OS:
Windows, Mac OS, Linux
Удаленная аутентификация
через Active Directory, RSA
Secure ID, LDAP, Radius
TCP Acceleration
Поддержка AESNI
Операционная панель
управления
Cloud (L2) VPN
Основаны на SSL
Поддержка Web-proxy
L2-мост в Облако
Поддержка
широковещания
![Page 22: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/22.jpg)
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
![Page 23: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/23.jpg)
#1 – Упрощение предоставления сервисов
Partner Management Console
vCenter/vCloud/vCAC
vCNS Manager
Предоставление сервисов
Сервисы безопасности VMware
Сервисы третьих сторон
• Все категории безопасности
• Многочисленные форм-факторы
• Мультивендорная поддержка
Мониторинг здоровья
Обеспечение доступности сервиса
Разделение обязанностей
Роль предоставителя сервиса отделена от
администратора vCenter
Роли для Security Admin, Audit
SLAs на уровне кластера
Политика и согласованность
![Page 24: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/24.jpg)
#2 – Потребление сервисов: составление
сервисов для многоуровневых приложений
“Web-tier” “App-tier” “Database-tier”
wire LB FW IDS wire FW IDS wire FW
NSX Service Composer “сочетает” контейнеры и сервисные профили в шаблоны политик и
конфигурируемые рабочие экземпляры
Policy = Container(s) + Service(s)
• Типичное 3-уровневое приложение
• Контейнеры
• “Web-tier”
• “App-tier”
• “Database-tier”
• Сервисы
• Firewall rules
• Network isolation (overlay)
• Load Balancer
• Intrusion Detection
“Web-tier” “App-tier” “Database-tier”
FW wire LB IDS
Экспорт в файл
ШАБЛОН РАБОЧИЕ ЭКЗЕМПЛЯРЫ
container FW wire
![Page 25: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/25.jpg)
#3 – Автоматизация сервисов: включение
мультивендорных, разнородных рабочих
процессов
2. Партнеры: Снижают время выхода на рынок, предоставляя рабочие процессы,
интегрированные с сервисами других вендоров. Расширяют область применения за счет
интеграции с решениями других вендоров.
1. Заказчики: Получают лучшие в своем роде решения. Увеличивают эффективность
путем автоматизации рабочих процессов между ЛЮБЫМИ интегрированными сервисами.
![Page 26: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/26.jpg)
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
![Page 27: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/27.jpg)
Что еще могут добавить наши партнеры Программно-конфигурируемые сети Партнеры разрабатывают лучшие образцы
наложенных сетевых сервисов:
• Anti-Virus (AV), Anti-Malware
• Application Delivery Controller (ADC)
• Application Whitelisting
• Application Firewall
• Data Loss Prevention (DLP)
• Encryption
• File Integrity Monitoring (FIM)
• Firewall (Host/Network)
• Identity and Access Management
• Intrusion Detection/Prevention System (IDS/IPS)
• Load Balancer
• Network Forensics
• Network Gateway (VXLAN)
• Network Port Profile
• Network Switch
• Policy and Compliance Solution
• Security Intelligence and Event Management (SIEM)
• User Access Control (closest to our SAM)
• Vulnerability Management
• WAN Optimizer
• Web Filter
Свойства виртуальных сервисов:
• Программное развертывание
• Размещение любой рабочей
нагрузки где угодноe
• Свободное перемещение рабочей
нагрузки
• Отделение от оборудования
• Операционная эффективность
![Page 28: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/28.jpg)
Партнерская экосистема VMware NSX
![Page 29: VMware NSX обеспечение сетевой](https://reader033.fdocuments.net/reader033/viewer/2022052813/628f6f957a101b01c80b8e26/html5/thumbnails/29.jpg)
VMware NSX: что запомнить?
2 Трансформирует операционную модель сети и сетевой безопасности
3 Открывает широкое поле деятельности для партнеров
1 Удаляет последний барьер на пути к SDDC
4 Можно протестировать работу NSX на http://labs.hol.vmware.com HOL-SDC-1303, HOL-SDC-1319