作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

前篇網誌內我們討論了目前客戶想購買NSX Advanced Load Balancer的授權時,有兩種主要的形式:首先是地端訂閱授權,我們在後面簡述為TERM,以及雲訂閱授權,後面簡述為SaaS。本篇內我們要先就兩種授權在『架構面』上的技術差異進行討論。首先客戶常詢問的問題是,當採用SaaS模式時,是不是表示NSX ALB的控制器 (Controller),甚至服務引擎,都會放在雲端?如果環境的要求就是企業要能全權管理NSX ALB的所有構件,不要與其他企業共用,那是不是顯然就不能採用SaaS模式了?

不是的。當企業採用SaaS授權時,NSX ALB的方案構件可以採用下列方式部署:

  • Customer Managed:NSX ALB的Controller與Service Engine都部署在客戶自建的資料中心,或客戶租用的公有雲環境內,所有構件均完全由客戶自行控制。唯一的要求是這個客戶自行管理的Controller需可透過Internet連線到VMware雲平台,進行授權集中控管,以及安全相關功能的更新
  • VMware Hosted:NSX ALB的控制器由VMware在雲端提供,實體提供服務的Service Engine則可以部署在客戶自有環境,或甚至直接在雲端提供服務。此模式目前僅有在歐美,尚未在APJ (亞洲及太平洋區)提供,但應該在今年內就逐漸可以讓客戶開始選擇此模式。

但基本上在我們與台灣客戶討論時,十個裡面有十個說,至少在現在,他們只考慮由Controller 到Service Engine從頭到尾都要自行控管的模式。這個沒問題,因此此處要強調的第一個重點:採用雲訂閱SaaS模式時,企業完全可以自行安裝及管理NSX ALB相關構件在企業內部環境,也就是上面討論的Customer Managed機制。完全不用擔心。

採用雲訂閱模式與地端訂閱模式,在安裝時只有一個差別在授權上:

  • 地端訂閱模式與傳統大家熟悉的VMware產品授權模式一樣,客戶購買後會取得一個授權Key。安裝時僅需要將Key輸入即可
  • 雲訂閱模式沒有給Key,授權是集中管理的。客戶購買授權後,首先會收到一封onboarding的郵件,使用此郵件的鏈結在VMware Cloud上新建或選擇對應的客戶CSP (Cloud Service Platform) 來授權此功能。接著在安裝NSX ALB的Controller後,先選擇授權模式是Enterprise with Cloud Service,接著進行註冊。介面內會詢問客戶的CustomerConnect ID以及CSP相關資訊,註冊成功後就可以使用了。

上面相關SaaS授權的onboarding / 註冊流程,大家可以參考https://docs.vmware.com/en/VMware-NSX-Advanced-Load-Balancer/22.1.1/Cloud_Service/GUID-71DB1388-8EE8-4DF0-AB80-347121C93BAD.html 這個鏈結內的詳細步驟說明。此外,安裝過程中,Licensing若是選擇Enterprise Tier,代表的是使用地端訂閱模式,而選擇Enterprise with Cloud Service Tier,則代表要採用雲訂閱模式,如下圖所示。

但要讓雲訂閱模式能夠運作,除了購買正確的授權外還有一個大前提:客戶的NSX ALB Controller必須要能連網。如果在Air-Gap (Internet完全隔離,或是在政府那邊常談到的所謂『網路實體隔離』)的環境,雲訂閱模式是無法生效的。下圖是雲訂閱模式運作的網路要求:

上圖內左邊是客戶需要有一個可連接外網的瀏覽器,分別能連到VMware Customer Connect網站,VMware Cloud Console網站,且連到NSX ALB Cloud Service Portal (portal.avipulse.vmware.com) 這邊進行雲服務的授權取得與onboarding動作。右邊則是NSX ALB的控制器,能夠同樣連到NSX ALB Cloud Service Portal來進行授權管理及主動問題管理等,並能由AWS-S3作特定安全特徵更新。上述的連線都僅需要指定網址的TCP 443 port,且均可以透過Proxy的機制來連接。因此,除了非常少數的政府或軍方客戶,大部分企業客戶環境內,資安團隊在釐清需求後,應該都可以同意上述要求。

而企業可能會關心的另一個資安議題則是在這樣的雲訂閱模式下,會不會有任何個資或機敏資料被傳到雲端?也請不用擔心,NSX ALB Cloud Service 有提供相關的Privacy Datasheet就上述採用雲服務時的相關資料保護進行說明,有興趣的話各位可下載相關文件深入進行研討: https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/docs/vmw-datasheet-nsx-advanced-load-balancer-service-privacy.pdf

到此我們已經大致就NSX Advanced Load Balancer內,雲訂閱模式及地端訂閱模式在架構及授權的差異做了簡單說明。在前文內我們有做一個很簡單的表格來進行兩種訂閱模式的比較,這邊再拉出來一次:

本文內,我們已經就上表的架構部署方式、架構必要要求,以及授權管理機制做了說明。但到目前為止的討論內,首先授權集中管理並沒有什麼好處,而不能運作在Air-Gap環境更是雲訂閱模式架構上的缺點。那麼為什麼建議要採用這種模式?因此下一篇我們要討論第二個重點:採用雲訂閱模式時額外會提供的Cloud Service內,所謂的安全更新及主動化管理,到底是什麼,有哪些技術上的效益。