VMware NSX — Visão geral técnica

VMware NSX — Visão geral técnica
Dennis Pinho
Senior System Engineer Latin America
© 2015 VMware Inc. Todos os direitos reservados.
Tópicos
1
Arquitetura e componentes do NSX
2
Sistema de switch
3
Roteamento
4
Firewall distribuído e microssegmentação
5
Serviços
6
O que há de novo no NSX
7
Resumo e próximos passos
A anatomia dos data centers mais ágeis
e eficientes é o SDDC
Data centers Google/
Facebook/Amazon
Aplicativo personalizado
Abstração de software/hardware
Plataforma personalizada
Abstração de software/hardware
Qualquer plataforma x86
Qualquer armazenamento
Qualquer rede IP
A escolha da "nova TI" para "todos os aplicativos"
Data centers Google/
Facebook/Amazon
Aplicativo personalizado
Abstração de software/hardware
Plataforma personalizada
Abstração de software/hardware
Data center definido
definido por software (SDDC)
Qualquer aplicativo
Plataforma de SDDC
com NSX
Qualquer plataforma x86
Qualquer plataforma x86
Qualquer armazenamento
Qualquer armazenamento
Qualquer rede IP
Qualquer rede IP
VMware NSX: foco no aplicativo
A infraestrutura acomoda o aplicativo, não o contrário
 Ecossistemas de parceiros
com a escolha do melhor da categoria
 Política e automação
repetitivas e consistentes
 Serviços completos
para dimensionamento horizontal e HA
 Serviços distribuídos
com contexto
Como o NSX ajuda a enfentrar os desafios de data center da
próxima geração?
Simplicidade e
independência
de dispositivos
Flexibilidade e
disponibilidade
 IP Fabric
 Configuração
apenas uma vez
 Dimensionamento
horizontal
 Qualquer fornecedor
 Tempo de implantação
 Mobilidade
 Independente de topologia
• Camada 2 x
Camada 3
• Serviços
 Encaminhamento
distribuído
 Altamente disponível
Segurança e serviços
 Firewall distribuído
 Microssegmentação
 Edge multifuncional
• Firewall dinâmico
• NAT
• Balanceador de carga
Serviços centrados
na nuvem
 Orientado à API
 Automação
 Integração à CMP
 Serviços por
autoatendimento
• IPSEC/SSL
 Integração de terceiros
Plataforma NSX
IP Fabric — independente de topologia (Camada 2 ou Camada 3)
Fornece
uma reprodução fiel dos serviços de segurança e rede em software
Sistema de switch
Roteamento
Balanceamento
de carga
VPN
Segurança de dados
Conectividade
com redes físicas
Interface de
usuário, APIs de
gerenciamento
Políticas,
grupos, marcas
Firewall
Monitoramento
de atividade
VMware NSX — Casos de uso
TI com autoatendimento
Automação de data center
Nuvens públicas
Desenv. X
Teste X
Aquisição A
Desenv. A
Exemplos
Exemplos
Exemplos
Nuvem de desenv. e operações
Integração de fusões e aquisições
Microssegmentação de aplicativo
Simplificação de silos de
processamento
Implantações de DMZ
Nuvens XaaS
Nuvens de mercados específicos
Principais recursos
Principais recursos
Principais recursos
Sistema de rede específico
para aplicativos
Gerenc. flexível de endereço IP
Consumo simplificado
Consumo programático
Pilha com recursos completos
Visibilidade e operações
Implantação multilocatária
Camada 2, camada 3 e segurança
programáticas
Sobreposição de endereços IP
Qualquer hypervisor, qualquer CMP
Criação de topologias de aplicativo sofisticadas
Camada
da Web
Camada de
banco de dados
Camada de
aplicativo
VMs se conectam
a redes virtuais
Aplicação da segurança
no nível de vnic
Redes virtuais se conectam a
cargas de trabalho físicas
Com integração de
serviços físicos
Abordagem de SDDC com o NSX proporciona opção e flexibilidade
Aplicativo
de hoje
PAAS
2/3 camadas
Criar
seu
próprio
Sistemas
convergentes
<Qualquer
aplicativo>
<Qualquer rede>
<Qualquer
infraestrutura>
Contêineres
...
Leaf/Spine
Sistemas
hiperconve
rgentes
...
Arquitetura e componentes do NSX
• Portal de autoatendimento
• vCloud Automation Center, OpenStack,
personalizados
Consumo em nuvem
NSX Manager
• Único portal de configuração
• Ponto de entrada da API REST
Rede lógica
Plano de gerenciamento
NSX Controller
• Gerencia redes lógicas
• Protocolo do plano de controle
• Separação dos planos de controle e
de dados
Plano de controle
Serviços distribuídos
Plano de dados
Switch
lógico
ESXi
Rede
física
NSX Edge
Roteador lógico Firewall
distribuído
Módulos de kernel do hypervisor
…
…
• Alto — plano de dados de desempenho
• Modelo de encaminhamento distribuído
de dimensionamento horizontal
Componentes do plano de dados do NSX
Plano de dados
DLR DFW Segurança
Segurança
DLR DFW
VXLAN
VXLAN
DLR DFW
Segurança
VXLAN
…
…
Clusters de processamento
Clusters de Edge (físico para virtual)
ESXi
Módulos de kernel do hypervisor (VIBs)
Switch Roteador lógico Firewall
lógico
distribuído distribuído
Gateways de serviços do NSX Edge
Componentes do vSphere
•
•
vSphere Distributed Switch
Módulos VMkernel
• Switch lógico (VXLAN)
• Roteador lógico distribuído
• Firewall distribuído
•
•
•
Fator de forma da VM
Altamente disponível
Roteamento dinâmico:
• OSPF, IS-IS, BGP
• Serviços Camada 3 a Camada 7:
• NAT, DHCP, balanceador de carga,
VPN, firewall
Componentes do plano de controle do NSX
Cluster do vSphere
 vSphere HA
Controladores
do NSX
 DRS com antiafinidade
 Propriedades
Fator de forma virtual (4 vCPUs, RAM de 4 GB)
Agente do host
Programação do plano de dados
Módulos do kernel do
caminho de dados
Isolamento do plano de controle
 Benefícios
Dimensionamento horizontal
Alta disponibilidade
VXLAN — sem multicast
Supressão do ARP
VM
ESXi
VM
VM
Componentes do plano de gerenciamento
vCAC/Openstack/personalizados
APIs do vSphere
Plano de
gerenciamento
vCenter
Plug-in do vSphere
para NSX Manager
Painel de
controle único
APIs REST do NSX
1:1
NSX Manager
NSX Manager
• Executado como máquina virtual
• Aprovisionamento e gerenciamento
de rede e serviços de rede
• Preparação do VXLAN
• Consumo da rede lógica
• Configuração dos serviços de rede
Console de
gerenciamento
de terceiros
Implantação e configuração do VMware NSX
Consumo
Implantação do VMware NSX
+
+
+
Implantação da rede
virtual programática
Geren.
de NSX
NSX
Edge
Infraestrutura virtual
Redes lógicas
Implantação do NSX Manager
Implantação de cluster do NSX Controller
Recorrente
Uma vez
Implantação de componente
Serviços lógicos de rede/segurança
Implantação de switches lógicos por camada
Preparação
Implantação do roteador lógico distribuído
ou conexão com o existente
Preparação do host
Criação de ponte de rede
Preparação da rede lógica
Tópicos
1
Arquitetura e componentes do NSX
2
Sistema de switch
3
Roteamento
4
Firewall distribuído e microssegmentação
5
Serviços
6
O que há de novo no NSX
7
Resumo e próximos passos
Switch lógico do NSX
Switch lógico 2
Switch lógico 3
VMware NSX
Switch lógico 1
Desafios
• Por segmentação de aplicativo/multilocatária
• A mobilidade da VM exige camada 2 em
qualquer lugar
• Ampla proliferação da rede física da camada
2 — problemas de STP
• Limites de tabela na memória (MAC, FIB)
de HW
Benefícios
• Multilocatário dimensionável entre data centers
• Possibilita a infraestrutura de Camada 2 sobre
Camada 3
• Com base em sobreposição com
VXLAN etc.
• Switches lógicos distribuídos em hosts físicos e
switches de rede
Desmistificação da sobreposição de redes
VXLAN
Quadro da
camada 2
Quadro da
camada 2
1
A VMware envia
um quadro de
Camada 2 padrão
VXLAN
Quadro da
camada 2
HDR
HDR
HDR
HDR
de
de
de IP de MAC
VXLAN UDP externo externo
2
O hypervisor de
origem (VTEP)
adiciona cabeçalhos
IP, VXLAN e UDP
3
A rede física
encaminha o
quadro como quadro
de IP padrão
4
O hypervisor de
destino (VTEP)
desencapsula os
cabeçalhos
5
O quadro da
Camada 2 original
é entregue à VM
Visualização lógica: VMs em um único switch lógico
172.16.10.11
SL da Web
VM1
172.16.10.12
VM2
172.16.10.13
VM3
172.16.10.0/24
172.16.20.11
172.16.20.12
VM4
VM5
SL do aplicativo
172.16.20.0/24
Visualização física: VMs em um único switch lógico
Sub-rede de transporte A 192.168.150.0/24
VM1
VM2
172.16.10.11
172.16.10.12
VM3
Switch lógico 5001
172.16.10.13
vSphere Distributed Switch
192.168.150.51
192.168.250.51
192.168.150.52
Rede física
Integração da carga de trabalho física
Caso de uso: integração perfeita das cargas de trabalho não virtualizadas a redes virtuais
Solução: NSX atuando como ponte ou uso de gateways de hardware de terceiros
Ponte com base em x86
VXLAN
Cargas de trabalho físicas
VLAN
Aproveita qualquer servidor x86
Cargas de trabalho físicas
HW VTEP
VXLAN
VLAN
Densidade mais alta requer hardware específico
Modos de replicação de VXLAN
• Modo unicast
– Toda replicação usando unicast
• Modo híbrido
– Replicação local transferida para rede física,
replicação remota por unicast.
– Exige apenas acesso não autorizado/consultor IGMP
• Modo multicast
– A replicação inteira é transferida para a rede física
– Exige IGMP para replicações de Camada 2 e
roteamento multicast para topologia de Camada 3
• Todos os modos exigem MTU de 1.600 bytes
Tópicos
1
Arquitetura e componentes do NSX
2
Sistema de switch
3
Roteamento
4
Firewall distribuído e microssegmentação
5
Serviços
6
O que há de novo no NSX
7
Resumo e próximos passos
Roteamento do NSX: completo e distribuído
Locatário A
Locatário B
CMP
L2
L2
L2
Locatário C
L2
L2
L2
L2
L2
Desafios
• Desafios de dimensionamento da infraestrutura
física — dimensionamento de roteamento
• A mobilidade da VM é um desafio
• Complexidade de roteamento multilocatário
• Hairpinning do tráfego
Benefícios
•
•
•
•
•
Roteamento distribuído no hypervisor
Configuração dinâmica com base em API
Recursos completos — OSPF, BGP, IS-IS
Roteador lógico por locatário
Interconexão de roteamento com switch físico
ROTEAMENTO DIMENSIONÁVEL — simplificação do multilocatário
Componentes do roteamento do NSX
ESXi
Módulos de kernel do
hypervisor (VIBs)
Roteador
lógico
distribuído
Módulos de kernel do
VDR
VM de controle do
roteador lógico
Roteamento lógico distribuído
otimizado para padrões de tráfego L-O
Gateway de serviços do
NSX Edge
Roteamento centralizado
otimizado para
roteamento N-S
Gateway do NSX Edge: serviços de rede integrados
Roteamento/NAT
• Modelo de VM multiuso e multifuncional. A implantação varia de acordo com
o uso, lugares na topologia, desempenho etc.
DDI
Firewall
Balanceamento
de carga
VPN de Camada 2/
Camada 3
Transmissão
DHCP/DNS
• Uso funcional — apenas roteamento P/V, somente balanceamento de carga,
firewall de perímetro etc.
• Fator de forma — Extragrande a compacto (uma licença)
• Transição dinâmica de serviços (FW/NAT, LB, DHCP e IPSEC/SSL)
• Suporte ao roteamento com várias interfaces — OSPF e BGP
• Podem ser implantados no modo de alta disponibilidade e independente
• De acordo com os serviços de edge do locatário — dimensionamento por
interface e instância
• Dimensionamento da largura de banda completa com suporte ECMP na
versão 6.1
• Exige consideração de design para os seguintes itens
VM
VM
VM
VM
VM
• Posicionamento de edge para tráfego completo
• Consideração de design para cluster do Edge
• Dimensionamento de largura de banda — 10 G a 80 G
Opções de configuração do Edge — serviços e dimensionamento
Serviços
FW, LB, NAT
Dinâmico
SIM
Roteamento
Único caminho
Harmonia com o
temporizador de
ativação/desativação
de 30/120
Roteador físico
Adjacências
do roteamento
HA com failover — exige conectividade de Camada 2
Largura de banda 10G
E2
Em espera
E1
Ativo
Roteador físico
EDGE e DLR ECMP
Largura de banda — 80G por locatário, dimensionamento linear
Serviços
FW, LB, NAT
Sem suporte
Estado não sincronizado
Roteamento
Até 8 caminhos
Convergência mais rápida
com temporizadores de
ativação/em espera
reduzidos
Adjacências
do roteamento
E1
E2
E3
E8
…
Roteamento lógico distribuído
O roteamento distribuído permite encaminhamento local otimizado,
reduz o tráfego a montante e evita hairpinning do tráfego
Plano de controle
VM de controle do
roteador lógico
 A VM de controle do roteador lógico gerencia as adjacências de roteamento com
o edge por meio do protocolo de roteamento BGP ou OSPF
 A VM de controle oferece suporte à HA por meio da configuração ativa em espera
Plano de dados


Interfaces lógicas (LIFs) em instância de roteador lógico
-
Os endereços IP são atribuídos às LIFs
-
Várias LIFs podem ser configuradas em uma instância de roteador lógico
-
A configuração LIF é distribuída a cada host
-
Uma tabela ARP é mantida por LIF
vMAC é o endereço MAC da LIF
-
vMAC é o mesmo em todos os hosts e nunca é visto pela rede física
-
As VMs usam o vMAC como endereço MAC do gateway padrão
Módulo de kernel do DLR
LIF1
LIF2
Host do vSphere
Visualização lógica: VMs com roteamento distribuído
172.16.10.11
SL da Web
VM1
172.16.10.12
VM2
172.16.10.13
VM3
172.16.10.0/24
172.16.10.1
172.16.20.11
172.16.20.12
VM4
VM5
192.168.10.1
192.168.10.0/29
SL do aplicativo
172.16.20.0/24
172.16.20.1
Serviços de roteador
lógico distribuído
Visualização física: roteamento lógico
Sub-rede de transporte A 192.168.150.0/24
VM1
VM4
Sub-rede de transporte B 192.168.250.0/24
VM5
VM2
Controlador
VM3
Switch lógico 5002
Switch lógico 5001
vSphere Distributed Switch
192.168.150.51
192.168.250.51
192.168.150.52
Cluster de gerenciamento
Rede física
Programação do plano de controle da Camada 3
Plano de dados
Roteamento de edge e roteador distribuído
Núcleo
VXLAN
VLAN
Núcleo
VLAN 10
VLAN 20
Roteador
físico
Adjacências
do roteamento
E1
R2
R1
R4
R3
E2
E1
Ativo
E2
E3
E4
E5
E6
E7
Em espera
Adjacências
do roteamento
VXLAN em trânsito
DLR
DLR
Web
E8
Apl.
DB
Web
Apl.
DB
Dinâmico ativo em espera
8 edges ativos ECMP
não dinâmicos
Topologia corporativa (design de duas camadas) com/sem 6.1 e posteriores
 A típica topologia corporativa consiste em segmentos lógicos de camada
de aplicativo
• Camada da Web e balanceador de carga
• Camada de banco de dados e aplicativos
Núcleo
Rede externa
• O roteamento e o encaminhamento distribuído são permitidos para
cada segmento lógico disponível em todos os hosts por meio de
roteador lógico distribuído (DLR)
Roteador físico
Roteador
físico
• A VM de controle do DLR forma uma adjacência ao EDGE sobre o
segmento lógico em trânsito VXLAN
• Permitindo que a carga de trabalho se mova sem as dependências da VLAN, pois E1
o encaminhamento local existe em cada host por meio da LIF do DLR
• O tráfego completo é tratado no próximo EDGE de salto, que fornece
encaminhamento virtual para físico (VXLAN para VLAN)
VLAN 20
E2
E3
Uplink
de
Edge …
NSX Edge
Interconexão
de roteamento
E8
Interconexão
de roteamento
 O roteamento de DLR para EDGE é aprovisionado inicialmente uma vez;
a topologia pode então ser usada para segmentos lógicos adicionais
(LIFs adicionais) na implantação de várias camadas de aplicativo
 Dimensionamento
•
•
•
VXLAN 5020
Link de
DLR
trânsito Roteamento
Dimensionamento do EDGE — duas vias
•
Por dimensionamento de locatário — cada carga de trabalho/locatário obtém seu
próprio EDGE e DLR
Dimensionamento com base em ECMP de ganho incremental de LB — upgrade da
LB de 10G por aceleração do edge até, no máximo, 80G (8 edges). Disponível na
versão NSX 6.1 e posteriores
Dimensionamento do DLR
•
Até 1.000 LIFs — 1.000 redes lógicas por instância do DLR
Interconexão
de roteamento
Atualização
de rota
distribuído
Web
Web1
Apl.
Apl1
DB1
ECMP
não dinâmico
DB
Webn
Apln
DBn
Tópicos
1
Arquitetura e componentes do NSX
2
Sistema de switch
3
Roteamento
4
Firewall distribuído e microssegmentação
5
Serviços
6
O que há de novo no NSX
7
Resumo e próximos passos
Problema: segurança de rede do data center
A segurança da rede centrada no perímetro não foi suficientemente comprovada, e a microssegmentação é
operacionalmente impraticável
Internet
Internet
Pouco ou nenhum
controle lateral
dentro do perímetro
Insuficiente
Operacionalmente
inviável
NSX: ponto de controle necessário no data center para segurança
Uma plataforma NSX
é composta por elementos
distribuídos incorporados em
cada hypervisor,
permitindo que cada
VM/aplicativo tenha sua
própria política de segurança
Segurança mais próxima dos aplicativos e
alinhada com o ciclo de vida do aplicativo
Integrações de parceiros de segurança
Ecossistema de parceiros
IPS de última geração
Proteção contra malware
Proteção detalhada de cargas de trabalho de VM
individuais com definições de política personalizáveis
Segurança de data center com antimalware sem
agente e proteção contra ameaças de rede guest
Automação de interceptação avançada de malware
Gerenciamento unificado dos sensores físicos e virtuais
Proteção dinâmica e em tempo real contra ameaças
e resposta para cargas de trabalho que são
transferidas entre hosts e data centers virtuais
Gerenciamento de vulnerabilidades
Firewall de última geração
Proteção contra arquivo e malware
Avaliação automática do risco de vulnerabilidade
Várias técnicas de prevenção contra ameaças,
incluindo firewall, IPS e antimalware
Único virtual appliance fornece sem agente:
Habilitação de aplicativo seguro com inspeção
contínua de conteúdo para todas as ameaças
Verificação de software e vulnerabilidades
Controles detalhados com base em usuário para
aplicativos, conteúdo e usuários
Detecção e prevenção de intrusões
O NSX é a plataforma para
integração de serviços de
segurança avançada.
Visibilidade de riscos em tempo real em todo o data center
Segmentação automática de ativos de risco
Priorização de vulnerabilidade para correção efetiva
Antimalware com filtragem de URL
Detecção de alterações nos arquivos
Visão geral da arquitetura de segurança do NSX
•
Segurança de edge dinâmica
•
DFW de acordo com as características da vNIC
•
–
Distribuído e totalmente programável (API REST)
–
vMotion com regras e estado de conexão intactos
–
Regras flexíveis e independência de topologia
–
Integração do ecossistema de terceiros — PAN
–
Base para o design da microssegmentação
Ferramentas e métodos para proteger recursos virtuais
–
•
Regras de redirecionamento de tráfego com construtor
de serviços ou interface de usuário de serviços de
segurança de parceiros
–
Módulo de filtragem na definição da política de segurança
–
Objetos variados de política e pontos de aplicação de
políticas (PEP)
•
Identidade — grupos AD
•
Objetos de contêiner VC — DC, cluster, grupos de portas, SW lógico
•
Características da VM — nomes de VM, marcas de segurança,
atributos, nomes de SO
•
Protocolos, portas, serviços
Grupos de segurança aproveitam objetos e PEP para
chegar à microssegmentação
Internet
Intranet/Extranet
Proteção do
perímetro dinâmico
Firewall de
perímetro
(físico)
Gateway de
serviços do
NSX EDGE
Virtual
Proteção
interna de
VMs e
entre elas
DFW
DFW
Clusters de processamento
FW distribuído — DFW
Data center definido por
software (SDDC)
DFW
Plataforma de segurança distribuída do NSX
MODELO DE SEGURANÇA FÍSICA
SISTEMA DE FIREWALL DISTRIBUÍDO
Gerenc. de
firewall
CMP
API
VMware NSX
Desafios
Benefícios
•
•
•
•
•
• Distribuído no nível de hypervisor
• Configuração dinâmica com base em API
• Nome da VM, objetos VC, regras com
base na identidade
• Taxa linear de aprox. 20 Gbps por host
• Visibilidade completa para tráfego
encapsulado
Modelo de firewall centralizado
Configuração estática
Regras com base no endereço IP
40 Gbps por appliance
Falta de visibilidade com tráfego
encapsulado
Recursos do firewall distribuído
VM5
VM4
SL1 do aplicativo
VM1
VM2
SL1 da Web
vSphere Distributed Switch
192.168.150.51
192.168.150.52
192.168.250.51
Cluster de gerenciamento
Recursos
•
•
•
•
As regras de firewall são aplicadas no nível da vNIC
Política independente do local (adjacências da Camada 2 ou Camada 3)
Estado persistente entre vMotions
Aplicação com base nos atributos da VM, como marcas, nomes de VM, switch lógico etc.
Regras do firewall distribuído
VM5
VM4
SL1 do aplicativo
VM1
VM2
SL1 da Web
vSphere Distributed Switch
192.168.150.51
192.168.150.52
Regras com base em nomes de VM
192.168.250.51
Cluster de gerenciamento
Regras com base em switches lógicos
Integração de terceiros à Palo Alto Networks
vCenter
NSX Manager
Panorama
• Panorama registrado com o NSX Manager
• Implantação da série da VM em hosts ESXi
• O NSX Service Composer define o
redirecionamento do tráfego
• As regras de política são gerenciadas
pelo Panorama
ESXi
Design de microssegmentações
Roteador
lógico distribuído
Logical Distributed
Router
• Redução de camadas de aplicativo para serviços semelhantes,
com cada camada de aplicativo tendo seu próprio switch lógico
.1
Camada
da Web 01
Web-Tier-01
Camada
da Web 01
App-Tier-01
1.1.1.0/24
2.2.2.0/24
– Melhor para gerenciar os requisitos de segurança específicos de domínio
(WEB, DB)
.1
.1
web-02
web-01
– Mais fácil desenvolver isolamento segmentado entre domínios de
.11
camada de aplicativos — granularidade Web para DB — Deny_All x Web
para aplicativo
apl. 01
app-01
.12
Camada
de DB 01
DB -Tier-01
3.3.3.0/24
apl. 02
app-02
.11
db-02
db-01
.12
.11
.12
Roteador
lógico distribuído
Logical Distributed
Router
– Pode exigir segurança complexa entre camadas de aplicativo, conforme
especificações do isolamento Web para aplicativo ou aplicativo para banco
de dados exigido no switch lógico, assim como entre segmentos
.1
Todas as camadas
01
All-Tier-01
1.1.1.0/24
• Redução de camadas inteiras de aplicativo em um único
web-02
web-01
apl. 02
app-02
app-01
apl.
01
db-02
db-01
switch lógico
.11
.12
.21
.22
.31
.32
– Melhor para gerenciar o conhecimento específico de proprietário de
SG-APL.
SG-APP
SG-WEB
aplicativo/grupo
– Modelo de contêiner de aplicativos. Pode ser adequado a aplicativos como
SG-DB
PARAR
modelo locatário
– Construção mais simples de grupo de segurança por camada de aplicativo
– O isolamento entre contêineres de aplicativos diferentes é obrigatório
• Modelo de DMZ
– Segurança de confiança zero
Camada
da Web
Web para
aplicativo
TCP/8443
– Rede lógica com várias DMZs, padrão deny_ALL em segmentos DMZ
– Proteção de fora para dentro por vários grupos
Camada de
aplicativo
Tráfego HTTPS do
cliente para Web
Rede
externa
Tópicos
1
Arquitetura e componentes do NSX
2
Sistema de switch
3
Roteamento
4
Firewall distribuído e microssegmentação
5
Serviços
6
O que há de novo no NSX
7
Resumo e próximos passos
Balanceamento de carga do NSX
Locatário A
VM1
Locatário B
VM1
VM2
VM2
Desafios
Benefícios
• Mobilidade de aplicativos
• Multilocatário
• Complexidade de configuração —
modelo de implantação manual
• Serviço de balanceador de carga
sob demanda
• Modelo de implantação simplificado
para aplicativos — braço único ou
embutido
• Camada 7, SSL, ...
BALANCEADOR DE CARGA — por modelo de disponibilidade do aplicativo locatário
Visão lógica do balanceamento de carga
172.16.10.11
.12
VIP
172.16.10.10
.13
Gateway
172.16.10.1
Modo de balanceamento
de carga de braço único
SL da Web
172.16.10.0/24
172.16.20.11
SL da Web
172.16.20.0/24
.12
.13
Gateway
172.16.20.1
VIP
192.168.100.3
Modo de balanceamento
de carga embutido
Serviços VPN do NSX
Site a site
Internet/WAN
• Os serviços VPN são
entregues como um serviço
pelo Edge
• Interoperável com clientes
IPSec
• Transferência de hardware
Nuvem híbrida
para desempenho
Internet/WAN
Nuvem
pública
• Capacidade de estender
Camada 2 entre sites para
DC ativo-ativo
Tópicos
1
Arquitetura e componentes do NSX
2
Sistema de switch
3
Roteamento
4
Firewall distribuído e microssegmentação
5
Serviços
6
O que há de novo no NSX
7
Resumo e próximos passos
Consumo
NSX — a plataforma de virtualização da rede: o que há de novo
Operações
•
•
Guias de operações e práticas
recomendadas
Integrações a ferramentas existentes
Operações analíticas de firewall
•
•
•
Operações de firewall distribuído
LBaaS: suporte ao UDP
DDI: transmissão DHCP
•
•
•
Aprimoramentos contínuos do switch virtual aberto
NSX Edge: A-A com dimensionamento horizontal — ECMP
Integração do dispositivo físico
•
Novas categorias de parceiros e
serviços do NSX
•
Capacitação híbrida e de vários sites
Integração
de parceiros
•
Serviços
VMware vCloud Automation Center
OpenStack Juno
Plano de
dados
•
•
Soluções VMware para operadores de SDDC
Produto da VMware
- Pesquisa
de dados
- Recebimento
de eventos
Valor
Pacote de
• Correlação inteligente de eventos do SDDC
gerenciamento
NSX para VC Ops • Geração proativa de alertas e MTTR reduzido
- Coleta de fluxos
de rede e aplicativo
• Registros centralizados do NSX
- Coleta de logs
Pacote de
conteúdo do NSX • De acordo com painéis de
serviço para monitoramento e
para Log Insight
solução de problemas
Soluções de parceiro para operadores de rede
Parceiros
- Pesquisa
de dados
- Recebimento
de eventos
- Coleta de fluxos
de rede e aplicativo
Valor
• Topologias completas virtuais + físicas
• Análise de impacto
• Visibilidade do túnel
• Utilização de largura de banda de rede
virtual e física
• Fácil aprovisionamento e
- Captura de dados do pacote
monitoramento distribuído
• Monitoramento de desempenho
de aplicativos
Certified Network
Virtualization Expert
Certified Network
Virtualization Professional
Plano de carreira
Programas de certificações e treinamento
Certificação
Treinamento
Certificação e treinamento do VMware NSX:
tornando o SDE real em 2014
Portfólio de treinamento e certificação do NSX
• Cursos de treinamento (www.vmware.com/go/NSXtraining)
– Instalação, configuração, gerenciamento do VMware NSX
– Fast Track do VMware NSX para especialistas em interligação de redes (em breve)
– Design e implantação do VMware NSX (em breve)
• Certificações (www.vmware.com/certification)
– VMware Certified Professional — Virtualização de rede (VCP-NV)
– VMware Certified Implementation Expert — Virtualização de rede (VCIX-NV)
– VMware Certified Design Expert — Virtualização de rede (VCDX-NV)
Panorama do material de apoio do VMware NSX
White papers de
parceiros do NSX
Designs de
fornecedores de
NSX e malha
Guias validados
de SDDC
Geren. design
do NSX
Guias de
reforço e
segurança
Designs de referência e documentos técnicos sobre Comunidades da VMware:
https://communities.vmware.com/docs
Designs de referência e documentos técnicos sobre o Portal do NSX:
http://www.vmware.com/products/nsx/resources.html
Guias de
introdução
do NSX
Tópicos
1
Arquitetura e componentes do NSX
2
Sistema de switch
3
Roteamento
4
Firewall distribuído e microssegmentação
5
Serviços
6
O que há de novo no NSX
7
Resumo
O que vem a seguir...
Executar
Laboratórios práticos
do VMware NSX
labs.hol.vmware.com
Seção 1229 da VMware
3 estações de demonstração do NSX
Aprender
Implantar
Explorar, engajar, evoluir
virtualizeyournetwork.com
Designs de referência de
recursos técnicos do NSX
vmware.com/products/nsx/resources
Blog de virtualização de rede
blogs.vmware.com/networkvirtualization
Página de produto do NSX
vmware.com/go/nsx
Certificação e treinamento do NSX
www.vmware.com/go/NVtraining
Canal do VMware NSX no YouTube
youtube.com/user/vmwarensx
Comunidade do VMware NSX
communities.vmware.com/community/vmtn/nsx
Obrigado
Para obter mais informações sobre o evento virtual, acesse a página : www.vmware.com/latam/events