作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

VMware從2015年5月開始有了一個新的NSX銷售項目:NSX for vSphere: Horizon Edition。之前NSX主要的授權模式都是與vSphere相同是用CPU Socket的方式,但如果是搭配像Horizon這樣的桌面虛擬化方案,此時的授權模式變成了以桌面虛擬機器的數量作為計算基礎,而且提供相當優惠的價錢。這時大家會開始思考一個問題:之前我們都把NSX當作是資料中心內伺服器保護的安全與網路機制,但如果拿NSX來搭配桌面虛擬化方案呢?

 

真的是超適合的,老實說。

 

給不熟悉桌面虛擬化方案的讀者快速的進行複習。桌面虛擬化方案一般又稱作VDI (Virtual Desktop Infrastructure),是將用戶所使用的桌面環境像是Windows 7的桌面,由原本放在桌上的PC / Notebook,轉移到資料中心內部的桌面虛擬機器。此時,

 

  • 用戶所實際操作與使用的應用程式、機敏文件與資料都是鎖在受IT完整管控的資料中心內,用戶無法實際接觸這些資料,達成資料不落地的安全效益
  • 用戶於前端可以使用各種終端設備,包括原有的PC / Notebook、精簡型電腦、各種行動設備或平板來接取後端的虛擬桌面。在任何一個具備網路連接的地點都可以接取後端的虛擬桌面,達成行動化的效益
  • 既然所有桌面機器都在資料中心內了,IT自然可以透過各種機制達成集中管理的效益

 

好,當客戶已經買單VDI的效益,決定要導入桌面虛擬化,此時一併導入NSX,到底有什麼好處?

 

以我個人在VMware做了兩年的EUC SE負責VMware Horizon的售前技術支援,以及在前公司超過三年的桌面雲方案架構規劃與專案技術支援,我可以很有信心的和大家講,通常在導VDI時,

 

  • 資安保護超重要的,基本上有八成以上的專案都是為了要達成完善的桌面/機敏資料安全保護而起案的。但當客戶只做了桌面虛擬化時,雖然VDI完善地達成了資料不落地,把重要的機敏資料都從桌面抽走送到資料中心內,可是這反而造成了在Data Center內的機敏資料保護變得超重要。不然用戶雖然碰不到資料,但卻可以很容易地從網路傳走資料,這不是很諷刺嗎?
  • 中大型生產環境,一定需要至少一對以上的負載平衡器,但通常要借到不容易,而要買的話也是一筆不小的投資
  • 桌面虛擬機器數量多、密度高,如果不把系統保護如防毒機制集中化,在更新、掃毒時會造成很恐怖的IO風暴
  • VDI環境可能會提供完全不同的部門甚至合作廠商使用,企業常會需要針對不同的使用者提供不同的安全防護政策

 

而上面的相關需求,都可以被NSX滿足!更進一步,企業甚至不見得需要比原來沒有NSX時的投資增加太多,因為原來專案內企業還是得要去買負載平衡器或一些對應的網路服務設備,而利用NSX搭配VDI時不僅需求的網路服務功能可以滿足,而且更進一步地提升了VM的安全。

 

我們更細部地就NSX如何達成各項桌面虛擬化的方案需求作更進一步的說明,請大家想看看:

 

資料中心內的網路安全防護 

 

拿一張之前網誌出現過的圖來做例子,想像一下,VDI環境建置時提供多種內部、外部的角色連接後端環境,而且由於管理方便所有VDI桌面均放置於同一網段內。此時企業的安全政策為

 

  • 內部與外部的用戶限制僅能連往對應的後端系統
  • 內部與外部用戶以及各部門間不可以有任何資料交換
  • 同樣是RD部門內的員工因為資料保護要求,不可以有資料交換
  • 各個桌面連往內部系統要限制可接取的服務,而連Internet要有IPS及網頁連線的保護
  • 用戶間不能有不適當的應用資料交換,如BT等程式

 

在上面這麼複雜的安全政策敘述,我們可以很簡單地用NSX內的Distributed Firewall以及Service Composer功能,再加上一家與NSX整合的安全廠商產品就可達成。而沒有NSX的環境呢?可以請各位想像一下,您要如何滿足這樣的需求?以我來說,我會直接和客戶坦承有至少兩到三個需求是做不到的,而剩下的需求要達成,會有很醜的架構與很高昂的建置成本。

 

負載平衡 

 

下面這張圖是在Horizon View裡面需要負載平衡的架構。各位可以看到,在一個Horizon View的生產環境內,負載平衡器需要使用在下列兩個地點:

 

  • 內部Intranet用戶接取Connection Server,Load Balancer應放置於Connection Server之前進行Connection Server的本地負載平衡
  • 外部Internet用戶接取Security Server,Load Balancer放置於Security Server之前擔任Security Server的本地負載平衡

 

而Horizon View內需求的負載平衡設定條件如下圖。這邊所有的需求參數,像是Session Affinity (Session Persistent)、Keep alive Method (Health Check)、Least Connection、Maximum number of concurrent connections等等都是NSX內Edge Server Load Balancer完全支援的功能。大家真的不需要額外花幾十萬上百萬買一對負載平衡器,當專案內有採用NSX時,Horizon View所需要之負載平衡功能完全可以直接以NSX Edge Gateway提供即可。

 

系統安全防護 

 

用戶購買Horizon時就會內建有供桌面使用的vSphere for Desktop使用,而且內建vShield Endpoint功能。無論有沒有採用NSX,我們都會建議大家在桌面虛擬化環境內啟用防毒集中化的功能;桌面虛擬化環境內防毒的更新以及系統掃描是會造成IO風暴的大問題,最好的架構絕對是在各個Host上將系統防護的功能集中起來。

 

但既然已經有這樣的功能,為什麼需要NSX呢?在有NSX的Guest Introspection Service下能夠提供比傳統vShield Endpoint集中防毒更多的功能包括

 

  • 提供除了防毒之外的系統防護功能,比如說第三方廠商的System / File Monitoring、Data Security功能、用戶活動監控功能
  • 以Service Composer內的Security Group / Security Policy等等做不同桌面群組 / 不同用戶單位的細部控制
  • 防毒廠商可以用Security Tag等方式給中毒的VM加上註記,提供在不同安全方案間的連動防護(被加上Tag的VM自動加入某一代表VM中毒的安全群組,此安全群組利用其他方案進行網路或系統防護)

 

我們強烈建議所有的中大型桌面虛擬化環境,或說更直接點,有100 U用戶以上的桌面虛擬化環境在規劃、建置時都應考量加入NSX。NSX與Horizon的搭配能夠協助客戶在投資並未增加太多、甚至可能減少的狀況下,達成最完整的桌面安全防護機制,達成客戶要進行桌面虛擬化的安全效益。