自從VMware在2012年買下新創公司Nicira之後,2014年開始以NSX這套產品進軍網路虛擬化應用,當時的版本是6.0,經過幾年下來的發展,在2017年2月,NSX正式推出了6.3版,支援VMware伺服器虛擬化平臺vSphere的6.5版,並維持與vSphere 5.5、6.0之間的相容性。

在新增功能的部分,NSX加入了新的應用程式規則管理員(Application Rule Manager),以及端點監控(Endpoint Monitoring)的特色,能將多種狀態呈現出來,包含作業系統層級的活動到網路的流向,進而可執行自動化的政策實施與規則更新作業,並能促使微分割(micro-segmentation)環境的建置,變得更為簡易,而且提供更多功能。

圖中是NSX這次改版新增的Application Rule Manager,管理者在此可根據即時網路流向的分析資料,建立防火牆規則。有了這套工具,能夠簡化應用系統進行網路微分割配置的處理流程,例如,建立對應的安全群組與防火牆規則。

另一個層面是增進應用系統的持續運作能力,NSX提供了一貫、動態的安全政策,能夠因應軟體定義資料中心環境的規模擴展,可跨越多個機房與vCenter系統來運作。

NSX 6.3也考慮到了分公司或分支辦公室,而能夠將這些環境涵蓋進來,企業可將統一的虛擬網路架構延伸出去,進而針對位於不同地區的所有連網設備,實施集中式的安全控管,使企業能夠將軟體定義資料中心與分公司環境,相互連結。

至於網路服務供應商及網路功能虛擬化部署的部分,也是NSX這次改版的重點之一,6.3版強化對於VMware私有雲平臺vCloud Director的支援,該套系統在NSX的相關功能上,提供進階的自助服務,方便營運多租戶業務的服務供應商進行部署,以及網路功能虛擬化環境的建置。

而針對DevOps的應用,NSX也能搭配2016年底推出的vSphere Integrated Container(VIC)一起使用,企業可運用NSX for vSphere 6.3連接基於vSphere 6.5而成的VIC基礎架構,以便提供安全的Container使用環境。

若企業需要用到跨多臺vCenter的NSX環境(Cross-vCenter NSX),6.3版也在分散式防火牆(Distributed Firewall,DFW)的部分,提供多種強化特色。

例如,NSX現在可支援多個全域分散式防火牆(Universal DFW)的網段,在全域規則與本地規則當中,均可在來源、目的與套用的欄位上,使用全域安全群組。

而在全域安全群組上,管理者在定義成員時,可以選擇靜態或動態的方式,前者是在每一臺虛擬機器上,透過手動增加安全標籤而成,後者則是根據動態的條件,像是指定虛擬機器的名稱,而加以組成。

對於全域安全標籤的作法上,企業現在可以在主要的NSX Manager上,予以定義,並且套用相關的標記,以便透過次要的NSX Manager來進行全域同步作業。

而這些標籤可經由靜態的方式指定到虛擬機器上,例如根據獨特的ID來選取,也能根據防毒或弱點掃描的結果作為反應條件,而動態指派到特定的虛擬機器上。

關於獨特ID的使用,NSX 6.3現在允許用戶在主要的NSX Manager上,設定獨特ID的條件選取條件,以便在接取全域安全標籤時,例如虛擬機器實例的UUID、虛擬機器BIOS的UUID、虛擬機器名稱,或是組合上述屬性,藉此識別不同的虛擬機器。

另一個NSX新版比較細部的運作特色,是關於netcpa這支控制平面代理程式(Control Plane Agent)的自動復原,該功能可確保資料傳輸路徑的溝通作業持續進行,當中自動化執行的netcpa監控處理程序,若遇到任何突發問題,例如系統故障,也會重新啟動,同時,也會產生核心檔案供除錯之用,並透過Syslog伺服器發出自動重啟的事件警告。

支援法規遵循與安全認證的特色,也是NSX 6.3強調的部分。以法規要求的滿足來說,VMware在NSX當中,提供了FIPS的特殊模式,企業可在NSX Manager 和NSX Edge當中,限定使用遵循聯邦資訊處理標準(Federal Information Processing Standards,FIPS)所要求的加密方式,像是:TLS_RSA_WITH_AES_256_CBC_SHA256、TLS_RSA_WITH_AES_128_CBC_SHA256、TLS_RSA_WITH_AES_256_CBC_SHA、 TLS_RSA_WITH_AES_128_CBC_SHA。若要啟動這項模式,IT人員可透過vSphere Web Client的網頁介面,或是呼叫NSX REST API來進行。

在安全認證上,NSX也已經通過幾項具有公信力的測試,例如在安全評估共通準則(Common Criteria),NSX取得了EAL2+等級的保證;同時,NSX在分散式防火牆與邊緣防火牆(Edge Firewall),也取得了認證,以符合一般對於網路安全設備的要求。

在NSX的網頁管理介面當中,提供了可呈現系統、網路服務狀態的儀表板,而6.3版裡面增加了更多項目,像是服務部署的狀態、NSX Manager的備份狀態、邊緣應用設備的通知。
 

產品資訊

VMware NSX for vSphere 6.3.1
●原廠:VMware(02)8758-2804
●建議售價:廠商未提供
●系統元件(硬體需求):
Manager(16GB記憶體、4顆vCPU、20GB硬碟空間)
Controller(4GB記憶體、4顆vCPU、60GB硬碟空間)
Edge(1GB記憶體、2顆vCPU、4GB硬碟空間)
●軟體需求:vSphere 5.5.0/6.0.0/6.5a

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容