作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

在我們與客戶VMware NSX時,會強調這是一個軟體定義資料中心內的網路與安全平台,而並非單純一個方案或產品的導入。

當客戶採用NSX於軟體定義資料中心內時,NSX將能夠提供客戶下列的機制

 

  • 資料中心內的網路虛擬化 (Data Center Network Function Virtualization)
  • 建立自動化的軟體定義網路機制 (Software-Defined Network)
  • 虛擬環境內的微切分安全防護 (Micro-Segmentation)

 

這邊我們簡單將各個機制解釋如下:

 

資料中心內的網路虛擬化 (Data Center Network Function Virtualization) 

 

VMware能將資料中心內所需求的網路功能,以內建於vSphere Hypervisor內或是以虛擬機器Gateway的方式,於業務系統需求時建立並提供需求的網路與安全功能。這些網路功能完全是以抽象化、虛擬化的方式以軟體方式提供,與底層硬體網路架構無關。

 

也就是說,當一個新的系統或業務要建立時,除了所需要的虛擬機器與應用外,這個系統底層所需要的網段及路由設定、防火牆與其他相關的安全檢查需求、負載平衡需求、VPN設定等,都可以依照實際需求在系統建立時,動態向NSX要求對應的構件並組態所需的網路設定及功能。用戶不再需要額外去購買新的網路設備,或更動底層的網路組態。就像是伺服器虛擬化一樣,相關的網路功能可以虛擬地在x86伺服器上提供,如同下圖的類比

 

圖說:伺服器虛擬化與網路虛擬化的類比

  

 

藉由在底層透過x86伺服器與高速網路的介接,VMware NSX能於資源池上提供所需的L2~L7網路與安全服務,不僅僅是運算,包括網路與安全的功能都可以在虛擬化環境內同時產出。

 

建立自動化的軟體定義網路機制 (Software-Defined Network) 

 

NSX將需求的網路功能轉發層(Data Plane / Forwarding Plane)建立於各台Hypervisor內,以分散式的架構進行運作。但包括網路的拓墣、轉發的資訊、位置提供、以及組態設定的功能則集中至控制層(Control Plane)進行。同時,各個網路功能透過可程式化、自動化的方式,以API的方式供外部系統呼叫。可以透過下圖簡要說明

 

圖說:NSX基於軟體定義網路架構進行設計

 

透過這樣的設計,NSX能夠提供客戶下列的好處

 

  • 區分轉發層(分散於各台Hypervisor)與控制層(集中於Controller),控制層有出現失效狀況時,用戶的現有網路運作仍能進行運作
  • 跳脫傳統網路要一台一台 Hop-by-Hop的設定與管理方式,統一的管理介面進行所有的網路及安全需求設定
  • 網路與安全功能可供外部的雲管理平台 (Cloud Management Platform) 進行呼叫,進行自動化與動態的部署

 

虛擬環境內的微切分安全防護 (Micro-Segmentation) 

 

傳統安全防護的問題不在防護的功能,各個廠商都能有自己的獨特技術,利用不同的機制進行完整的保護。但真正的問題在於在一個零信任(Zero-Trust)的環境內,我們如何確保到每一台機器、每個封包都有辦法進行檢查?

 

NSX內的Micro-Segmentation提供了一個與傳統邊界防護或是直接於Host上防護機制不同的做法。傳統邊界防護的問題在於只能提供網路Segment間的保護,但同一個網段內的機器就無法做到檢查。而在每一台OS上都去安裝防護機制呢?則造成非常大的管理問題,包括安全機制要如何部署、安全機制與不同OS的相容性、各個機器上的安全機制效能影響,都是要考慮的問題。

 

NSX Micro-segmentation的做法則是在虛擬環境內,直接將封包檢查的功能放到Hypervisor層。每一個虛擬機器的封包進出都無法避開這個安全檢查層,就像是每台機器前面就有自己的安全檢查設備一般。更棒的是,這個機制能夠搭配不同安全廠商的技術進行保護,客戶可以選擇最適合自己企業的防護方式。希望採用Trend-Micro的防毒機制?希望利用Palo-Alto-Network的Next Generation Firewall?企業不需要做選擇,他們都可以使用這些防護機制在NSX平台上

 

圖說:NSX的安全檢查直接於Hypervisor上進行,每個封包都跑不掉

 

 

後續的系列文章內我們將逐步對各個NSX平台內所提供的構件進行相關介紹。敬請期待~