作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

前面七篇網誌我們和大家說明了NSX Application Platform是什麼,架構上的需求,以及不同的安裝方式。作為本系列文的最後一篇,我想要透過QA的形式,將客戶及經銷夥伴那邊常問到的問題在本文內進行回覆。

建立NSX Application Platform時需要採用什麼授權?

在NSX內,需要先配置NSX Enterprise Plus或是NSX Firewall的相關授權,然後就可以進行NAPP的部署。若各位對NSX Firewall授權沒有那麼熟悉,這是VMware NSX針對安全功能的訂閱模式授權,有分成最基本的NSX Firewall,NSX Firewall with Threat Prevention(包含IDPS功能),NSX Firewall with Advanced Threat Prevention(再包含NDR / Malware Prevention等功能)。在NAPP啟動安裝流程前,會先需要確認有任一種NSX Firewall訂閱,或是NSX Enteprise Plus的授權已經輸入。

特別需要說明的是NSX Application Platform的安裝本身以及平台上面功能的啟用,檢查的授權一樣。舉例來說,當客戶已經具備了NSX Enterprise Plus授權,可以啟用NAPP平台。但在平台建置完要啟動功能時,還會要確認所啟用的項目是否包含在授權內。比如說Intelligence有包含在Enterprise Plus授權內可以啟用,但是NDR / Malware Prevention需要ATP授權,沒有輸入,就不能使用了。

此外,當然在NSX Application Platform底層所使用的相關方案,比如說有使用vCenter / vSphere / vSAN / Tanzu等等的話,也請準備好對應的使用授權。

以後沒有用OVA等方式來部署NSX Application Platform的選擇了嗎?

是的很抱歉,我們收到的訊息是這種透過現有Kubernetes平台來配置的方式已經是確定的方式,後續不會回頭採用OVA匯入機制。BU那邊有收到在NAPP安裝機制上面來自客戶及工程師不同的意見回應,還會繼續優化、提供更簡便的安裝方式,但目前採用Kubernetes平台部署的方向不會改變。

我們對於部署Kubernetes的經驗還不純熟,這樣得要怎麼辦?

歡迎與VMware以及代理商進行聯繫。我們非常樂意提供各位相關Kubernetes的技術訓練以及教育課程,以及在架構規劃面的討論說明。

我們已經有使用NSX 3.1版之前的Intelligence功能,可不可以升級到3.2版之後?

沒問題,請參考公開文件 Upgrade NSX Intelligence   (https://docs.vmware.com/en/VMware-NSX-Intelligence/3.2/install-upgrade/GUID-9F91CFBC-DE26-451C-90E0-5AC07117BFFD.html) 內的步驟。當然由於架構上的不同,會需要先準備好可支持NAPP的Kubernetes Cluster,然後依據文件內的步驟進行需求的資料移轉。

部署需求的Kubernetes時,是不是一定要用網誌內指定的相關構件,能不能換成XX?

當然不是,在本系列網誌內採用的配置方式是正式支持的多種架構內的一種。如前面網誌,只要符合VMware  “NSX Application Platform Deployment Prerequisites” 以及”NSX Application Platform System Requirements” 這兩份文件在安裝前準備的要求,當然可以採用不同的產品來提供底層構件。

網誌內採用 vCenter / vSphere / vSAN / Tanzu / NSX-ALB / Harbor等方式進行部署,當然最主要的原因是VMware能提供完整從上到下一站式的方案及支援,大部分的構件也都是我們客戶熟悉且已經部署的環境,無論是從安裝到後續維運都會比較單純。

可不可以在 Air-Gap環境內部署NSX Application Platform

技術上不是百分之百絕對不行,但請大家把Internet連線列為必要條件。有下列的原因:

  • 過程中多個元件,比如說helm / Harbor / AKO等等,直接透過Internet下載安裝的機制極為簡單,在Air-Gap環境內則過程繁瑣
  • NAPP透過Internet上VMware Repository的安裝方式是最簡單的
  • 即使NAPP安裝完,上面啟用的服務如NDR / Malware Prevention,Internet連線是絕對必要的,比如說要將檔案傳到Internet上沙箱進行分析,下載惡意檔案列表等等。如果上層服務不能啟動,那裝NAPP的意義在哪裡呢?

NSX Application Platform使用時,有沒有一定得要先有NSX Overlay網路?

沒有,Overlay網路不是必要。前面流程內大家可以看到,NAPP的安裝與NSX本身安裝完全無關,即使NSX只裝完了Manager,還沒有管理任何Edge / vSphere host,都可以開始安裝NAPP。

但回頭來看,要裝NAPP是因為我們要啟用相關的『監控』與『安全』功能啊。那這些被監控以及要保護,受NSX納管的虛機是放在哪裡呢?各位要放在vlan segments內或是overlay網路內均可,這邊就是NSX本身方案的架構選擇了。

到此為止。本系列文雖然重點放在NSX Application Platform的介紹與安裝流程說明,但相信大家可以感覺出來,這是VMware整體方案內一個很大的改變:NSX Application Platform是VMware傳統產品內,第一個改為採用直接於Kubernetes平台部署的構件,而非採用傳統OVA匯入的方式。也因此,作為一個VMware的系統工程師,除了得了解vCenter / vSphere相關知識外,具備Kubernetes相關的配置及架構規劃能力也越來越必要了。這也是雖然相關的安裝流程與『網路』沒有什麼關係,卻花費這麼多篇幅,和大家就方案本身的安裝進行討論的原因。

下篇網誌開始我想回到本業,和大家討論在NSX Application Platform裝好後,上面可以啟用的相關功能,包含了NSX Network Detection and Response (NDR) 以及 Malware Prevention等機制。