《VMWare NSX网络及安全虚拟化解决方案PPT课件》由会员分享,可在线阅读,更多相关《VMWare NSX网络及安全虚拟化解决方案PPT课件(56页珍藏版)》请在金锄头文库上搜索。
1、VMwareNSX 网络及安全虚拟化解决方案 1 2 主题内容 CONFIDENTIAL 网络及安全为什么要虚拟化 3 网络成为通往云计算之路的壁垒 物理网络 VLANs不可扩展 缺少自动化程序化控制 单个人工节点管理 不宜满足多种业务的SLAs 网络分割限制资源池化与共享 网络状态难以统一监控 烟囱式扩展方式 功能被硬件捆绑 工作负载不能灵活部署 均衡资源 有限的多租户支持 租户自己无法控制地址管理 限制了虚机迁移范围 虚拟网络与物理网络协调困难 L3 L7集中式转发性能瓶颈 虚拟机网络计费 人工操作拖延迁移与灾备恢复时间 目前网络与安全架构向云计算转型时遇到的挑战 vSphere VLAN
2、s ACLs 防火墙 IDS IPS 监控服务器防病毒 虚拟机安全网络设备及架构需全部升级来适应虚拟化环境 FabricPath TRILL andVM tracingetc 需要新的成百上千万的投资 AAA 应用 数据保护 合规 DMZ防火墙 NAT DDISiteanduserVPNs负载均衡器 WAF专有硬件 桌面防病毒数据丢失保护 白名单 配置太复杂 烟囱式扩展 大量人工操作 集中式处理带来性能瓶颈 网络资源限制 挑战 效率 5 CONFIDENTIAL 一 网络割裂导致资源池利用率及灵活性降低 6 CONFIDENTIAL 二 网络架构复杂 维护工作量大 7 定义DVPortGrou
3、psDefinedbasedontraffictypeTeaming Resiliency CapacityVLAN TrafficIsolationNIOCShares B WmgmtEnd EndQoS 802 1p物理网卡功能分区AggregatemultiplepNics监控与排障NetFlow UnderstandtrafficPortMirroring Troubleshooting物理网络设计802 1Q STP EthernetChannelBladeI OModuleDesignVLANloadbalancing L3GWredundancyfastconvergenceMu
4、lti ChassisLACP L2MPQoS Security subscriptionratio 难以保证网络配置的一致性 CONFIDENTIAL 三 安全域的边界防护难以运维 8 DataCenterPerimeter DataCenterPerimeter 在数据中心内部很少或没有东西向安全控制 Internet Internet 安全控制不足 基于IP的安全策略难以运维 四 已有业务变更响应缓慢 容易导致误操作 9 业务开发人员 我已经调整好一套两层的Web应用系统 要尽快上线网络管理员 我应该如何调整配置网络拓扑 NAT策略 安全管理员 我应该如何调整防火墙安全策略 负载分担策略
5、 Internet Web App CONFIDENTIAL 五 对新业务部署上线支持缓慢 10 服务部署缓慢可扩展性受限移动性受限依赖于硬件运维管理复杂 10 CONFIDENTIAL 虚拟化和云计算环境 使得数据中心的业务流量模型发生改变 11 CONFIDENTIAL 六 核心链路和节点带宽被大量发夹流量消耗 12 70 CONFIDENTIAL 计算虚拟抽象层 七 难以实现网络及安全的L2 L7层自动化 物理基础架构 管理平面分散大部分没有开放API接口难以实现端到端的网络自动化 虚拟数据中心 13 CONFIDENTIAL 企业建立云计算数据中心该如何应对以上挑战 网络割裂导致资源池
6、利用率及灵活性降低网络架构复杂 割接工作量大安全域的边界防护难以运维已有业务变更响应缓慢 容易导致误操作对新业务部署上线支持缓慢核心链路和节点带宽被大量发夹流量消耗难以实现网络及安全的L2 L7层自动化 14 NSX网络及安全虚拟化平台主要功能 15 VMwareNSX网络与安全虚拟化平台 基于NSX的网络与安全虚拟化 像管理VM一样管理网络与安全 硬件 软件 二层交换 16 CONFIDENTIAL IT物理基础架构 软件定义的数据中心 计算 vSphere 网络 NSX 存储 VSAN 云计算管理平台 vRealizeSuite7 云计算业务 vRealizeBusinessforClou
7、d 云计算运营管理 vRealizeOperations和vRealizeLogInsight 云计算自动化 vRealizeAutomation 基础架构虚拟化 计算硬件 网络硬件 存储硬件 NSX是VMwareSDDC 软件定义的数据中心 的重要组成部分 终端用户计算 应用 传统应用 新式云应用 17 CONFIDENTIAL vCloudAutomationCenterIaaSPaaSDaaS Hyper visors CMS IaaSPaaSDaaS NSX网络与安全虚拟化总体架构 18 CONFIDENTIAL NSX支持广阔的网络虚拟化生态系统 NSXAPI 合作伙伴扩展 Clou
8、dMgmtPlatforms S6000Gateway 19 VLAN1 10 x x x VLAN2 172 16 x x VLAN2 192 168 x x VirtualNetwork NonBoardcast VirtualLayer2 88 33 x x whatever NSX主要功能模块详解一 Layer2逻辑交换机 VxLAN 利用VXLAN解决数据中心网络存在的三大问题 Anyapplicationanywhere大二层架构下存在的 MAC地址表 VLAN和二层Flooding三大问题数据复制支持unicast hybrid和multicast模式 解决目前vxlan没有co
9、ntrolplane带来的flooding问题 20 CONFIDENTIAL NSX主要功能模块详解二 分布式逻辑路由器DLR 21 CONFIDENTIAL 集中部署管理 分布式处理 VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM 22 CONFIDENTIAL NSX主要功能模块详解三 分布式逻辑防火墙DFW 23 CONFIDENTIAL VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM 软件定义的虚拟化网络 分布式防火墙DFW实现微分段Micro Segmentation和SpoofGuard 2
10、4 CONFIDENTIAL NSX主要功能模块详解四 NSXEdge 集成化多功能的虚拟网关 VM VM VM VM VM 虚拟环境VxLAN 物理环境VLAN 25 CONFIDENTIAL NSX典型的部署案例 快速部署网络与安全服务Edge作为南北向网关是NSX关键组成部分 26 NSX主要功能模块详解五 可视化流量监控分析FlowMonitoring Bydefault flowmonitoringisdisabledToenableflowmonitoring clicktheEnablebuttonFlowsthatshouldn tbecollectedcanbeaddedto
11、theexclusionlistsintheExclusionSettingsoftheConfigurationtab 27 35 CONFIDENTIAL NSX和VMwarevRealizeOperations集成实现网络虚拟化的全面可视化管理 28 NSX网络及安全虚拟化方案典型应用场景 29 NSX的主要使用情境及其提供给客户的核心价值 30 Multi tenantInfrastructure DeveloperCloud DMZAnywhere SecureEndUser MetroPooling HybridCloudNetworking 快速部署完整信息系统 由数周到数分钟
12、以低廉的成本取得最完善的数据中心东西向防护 藉由简化的逻辑网络大幅减少RTO RecoveryTimeObjective 核心价值 其他相关情境 CONFIDENTIAL 最近发生的攻击事件 31 绝大多数攻击都有一个通性 攻击包可以在数据中心内部任意通行 而由于投资成本太高而且运维管理十分复杂 以至于数据中心Micro segmentation难以实现 而NSX有效的解决了这个问题 NSX的主要使用情境 安全微分段 MicroSegmentation CONFIDENTIAL NSXMicro segmentation的主要功能 分区 隔离 高级服务 Production Test DevN
13、etwork 相关安全组间依据安全策略通信 可以集成第三方的L4 L7层安全解决方案 不相关网络完全隔离 DB App Web DB App Web 32 CONFIDENTIAL 公共通信网 E A 3 e l l s VDI SEC 公共服务区 SEC 市级机关 市级机关 省级机关 VDI 部门内部应用 部门对外应用 部门内部应用 安全管理监控区 安全管理监控区 公共服务区 E mailwwwApp 入侵检测 入侵检测 Internet Internet 资源池与微分段方案 33 CONFIDENTIAL 34 Micro segmentation 实现虚拟化数据中心内部不同应用的安全防护
14、 Applicationsegmentation 按部门 区域划分隔离按应用边界划分按应用层划分支持安全组内部成员之间的逻辑隔离以虚机为单位隔离 按需部署逻辑隔离 支持现有网络与应用灵活方便的安全对象管理安全管控与应用一致性部署 好处 控制一个网络中各组之间的流量基于逻辑分组而不是物理拓扑保护流量安全灵活地创建网段 甚至在同一虚拟局域网上的不同系统之间 这在传统网络中极难做到 CONFIDENTIAL 桌面虚拟化给您的数据中心带来更大的受攻击面 用户行为 零日威胁 不安全的Internet网站 桌面到桌面的黑客攻击 桌面到服务器的黑客攻击 向东向西 虚拟桌面 数据中心 VDI无法解决的问题 桌
15、面虚拟化带来了新的安全注意事项 暴露了数据中心内的巨大攻击面用户和基础架构间具有多个 东西向 流 35 NSX微分段功能加强了HorizonVDI基础架构安全 为虚拟桌面和应用保驾护航 通过NSX网络虚拟化可以灵活创建网络资源池和逻辑隔离区 支持动态伸缩管理 微分段保护虚拟桌面和应用 桌面虚机间访问控制桌面到后台应用访问控制桌面防病毒 NSX的Edge服务网关也可以用于支持VDI的基础架构 EdgeFirewall LB 外部开发人员桌面池 InternalDeveloperNetwork ExternalDeveloperNetwork HorizonInfra 36 使用NSX保护VDI环
16、境中的东西向流量 侧重于合规性和风险缓解的组织将实施安全区以保护数据中心内的东西向流量 难以实施需要大量的物理基础架构管理复杂 集中式虚拟桌面 37 利用NSX提升虚拟桌面的网络安全 38 CONFIDENTIAL 为每个桌面构建 一体式网络 消除网络间的串扰最小的受攻击面 防范威胁扩散集中定义策略 并在虚拟机创建时即自动添加到其中永久跟随桌面 无论它位于何处 NSX微分段 应对VDI环境的东西向挑战 39 虚拟网络连接 快速 简单 可延展 40 网络 NSX VxLAN EORPOD TORPOD 服务器机房 三层交换核心 EORPOD TORPOD 服务器机房 NSXController 利用NSX分布式虚拟防火墙功能 实现虚拟机环境的精细化安全管理 同时实现虚拟机vmotion时 安全策略随动 不需要任何变更支持基于特点应用或虚机的span和rspan功能实现流量的实时监控满足行业监管的要求借助VxLAN技术实现跨机房和三层网络随意vMotion 利用NSX轻松实现在单个虚拟机和应用级别的精细化安全管理和监控 41 CONFIDENTIAL NSX提供基于智能分组的安全策略 按自
