La virtualización ha realizado cambios revolucionarios en la forma en que se construyen los centros de datos. La mayoría de los centros de datos modernos utilizan la virtualización de hardware e implementan hipervisores en servidores físicos para ejecutar máquinas virtuales en ellos. Este enfoque mejora la escalabilidad, la flexibilidad y la rentabilidad del centro de datos. VMware es uno de los principales actores en el mercado de la virtualización y sus productos son muy respetados en la industria de las Tecnologías de la Información, siendo VMware ESXi Hypervisor y VMware vCenter componentes fundamentales que conforman la solución de virtualización VMware vSphere.
La red es un componente crucial de cada centro de datos, incluidos los centros de datos virtualizados y por ende los Centros de Datos Definidos por Software (SDDC por sus siglas en inglés). Ahora que si lo que necesita son redes grandes y configuraciones de red complejas para su Centro de Datos Definido por Software, considere usar Redes Definidas por Software (SDN por sus siglas en inglés). Las redes definidas por software son una arquitectura que tiene como objetivo hacer que las redes sean ágiles y flexibles. El objetivo de las Redes Definidas por Software es mejorar el control de la red al permitir que las empresas y los proveedores de servicios, respondan rápidamente a los cada vez más cambiantes requisitos comerciales y de negocio. VMware se preocupa por sus clientes y proporciona la solución VMware NSX para crear Redes Definidas por Software. La publicación del blog de hoy cubre VMware NSX y explica la diferencia entre VMware NSX-v y VMware NSX-T.
¿Qué es VMware NSX y cómo se puede utilizar?
VMware NSX es una solución de virtualización de redes que le permite crear Redes Definidas por Software en Centros de Datos Definidos por Software. De manera similar como las máquinas virtuales se ejecutan sobre un hipervisor (que genera una capa de abstracción entre éstas y el hardware del servidor físico), las redes virtuales que incluyen switches, puertos, routers, firewalls, etc., se construyen en el espacio virtual. Las redes virtuales se aprovisionan y administran independientemente del hardware subyacente. Las máquinas virtuales están conectadas a puertos virtuales de switches virtuales; la conexión entre redes virtuales se realiza con routers virtuales y las reglas de acceso se configuran en firewalls virtuales. Alternativamente, también está disponible el balanceo de carga de la red. VMware NSX es el sucesor de VMware vCloud Networking & Security (vCNS) y Nicira Network Virtualization Platform (NVP), que fue adquirida por VMware en el año 2012.
Microsegmentación
Cuando se utiliza un enfoque tradicional para configurar el acceso entre varias redes en un entorno virtual, generalmente se implementa un enrutador físico o una puerta de enlace perimetral que se ejecuta en una máquina virtual, aunque este enfoque no es especialmente rápido ni conveniente. VMware implementó el concepto de microsegmentación en NSX mediante el uso de un firewall distribuido integrado en el núcleo del hipervisor. Las políticas de seguridad, los parámetros de interacción de la red para direcciones IP, direcciones MAC, Máquinas Virtuales, aplicaciones y otros objetos se establecen en este firewall distribuido. Las reglas se pueden configurar mediante el uso de objetos como usuarios y grupos de Active Directory si NSX se implementa dentro de su empresa donde se usa el Controlador de Dominio de Active Directory (ADDC por sus siglas en inglés). Cada objeto puede considerarse como un microsegmento en su propio perímetro de seguridad de la red, con su propia DMZ (Zona DesMilitariZada).
El firewall distribuido nos permite segmentar entidades de Centros de Datos Definidos por Software como lo son las Máquinas Virtuales. La segmentación puede basarse en nombres y atributos de las Máquinas Virtuales, identidad de usuario, objetos de vCenter como Datacenters y Hosts, o también puede basarse en atributos de red tradicionales como direcciones IP, grupos de puertos, etc.
El componente Edge Firewall nos ayuda a cumplir con los requisitos clave de seguridad del perímetro, la construcción de DMZ basadas en construcciones de IP/VLAN, aislamiento de inquilino a inquilino (tenant to tenant) en Centros de Datos Definidos por software de múltiples inquilinos (multitenant), traducción de direcciones de red (Network Address Translation o NAT), Redes Privadas Virtuales (VPN) de socios (extranet), y Redes Privadas Virtuales con encripción vía Secure Socket Layer (SSL) basadas en el usuario.
Si una máquina virtual se migra de un host a otro o de una subred a otra, las reglas de acceso y las políticas de seguridad se adoptan de acuerdo con la nueva ubicación. Por ejemplo: Si un servidor de base de datos se está ejecutando en una Máquina Virtual que ha sido migrada, las reglas establecidas para esta Máquina Virtual en el firewall continuarán funcionando para esta Máquina Virtual incluso después de que se complete la migración a otro host o red, permitiendo con esto que el servidor de la base de datos acceda al servidor de aplicaciones que se ejecuta en otra Máquina Virtual que aún no se ha migrado. Este es un ejemplo que muestra la flexibilidad y automatización mejoradas cuando se utiliza VMware NSX. NSX resulta especialmente útil para proveedores de nube y grandes infraestructuras virtuales. VMware ofrece dos tipos de plataforma de red definida por software NSX: NSX-v y NSX-T.
NSX for vSphere (NSX-v).- está estrechamente integrado con VMware vSphere y requiere la implementación de VMware vCenter. VMware NSX-v es específico para los entornos de hipervisor de vSphere y se desarrolló antes que NSX-T.
NSX-Transformers (NSX-T).- se diseñó para diferentes plataformas de virtualización y entornos de múltiples hipervisores, pudiéndose también utilizar en casos en los que NSX-v no es aplicable. Si bien NSX-v admite Redes Definidas por Software solo para VMware vSphere, NSX-T también admite la virtualización de redes para el hipervisor KVM, el ambiente de ejecución de contenedores Docker, el orquestador y automatizador de operaciones Kubernetes y OpenStack, así como las cargas de trabajo nativas de Amazon Web Services. VMware NSX-T se puede implementar sin el vCenter Server y se adopta para sistemas informáticos heterogéneos.
Los escenarios principales para el uso de NSX-v se enumeran en la siguiente tabla. La tabla está dividida en tres filas, una de las cuales describe la categoría de escenario. Los escenarios para usar NSX-T están resaltados con una fuente en negrita.
Componentes de NSX
Los componentes principales de VMware NSX son NSX Manager, los controladores NSX y las puertas de enlace NSX Edge.
NSX Manager es un componente centralizado de NSX que se utiliza para la administración de redes. NSX Manager se puede implementar como una máquina virtual en uno de los servidores ESXi administrados por vCenter (desde la plantilla o template OVA). En los casos en los que utiliza NSX-v, NSX Manager puede funcionar con un solo vCenter Server, mientras que NSX Manager para NSX-T se puede implementar como una máquina virtual ESXi o una máquina virtual KVM y puede funcionar con varios servidores vCenter a la vez.
NSX Manager for vSphere se basa en Photon OS (similar a vCenter Server Appliance).
NSX-T Manager se ejecuta en el sistema operativo Ubuntu.
Controladores NSX. NSX Controller es un sistema de administración de estado distribuido que se utiliza para superponer túneles de transporte y controlar redes virtuales, implementándose éstas de manera muy semejante a como se implementa una máquina virtual en hipervisores ESXi o KVM. NSX Controller (como su nombre lo sugiere) controla todos los switches lógicos dentro de la red y maneja información sobre Máquinas Virtuales, hosts, switches y Virtual Extensible Local Area Networks o VXLAN. Para garantizar redundancia y con ello evitar puntos únicos de falla, se recomienda el implementar tres nodos del NSX Controller.
NSX Edge es un servicio de puerta de enlace que brinda acceso a redes físicas y virtuales para las Máquinas Virtuales. NSX Edge se puede instalar como un enrutador virtual distribuido o como una puerta de enlace de servicios. Proporciona servicios como: enrutamiento dinámico, firewalls, traducción de direcciones de red (NAT), protocolo de configuración dinámica de host (DHCP), red privada virtual (VPN), equilibrio de carga y alta disponibilidad.
Opciones de implementación
La implementación es bastante similar tanto para NSX-v como para NSX-T. Los pasos para implementar NSX son los siguientes:
- Implemente NSX Manager como una máquina virtual en un host ESXi como un dispositivo virtual (Virtual Appliance). Asegúrese de registrar NSX Manager en vSphere vCenter (para NSX-v). Si usa NSX-T, NSX Manager se puede implementar como un dispositivo virtual en un host KVM, ya que VMware NSX-T le permite crear un clúster de NSX Managers.
- Implemente tres NSX Controllers y cree un clúster de NSX Controller.
- Instale los vSphere Installation Bundle (VIB o módulos de kernel) en hosts ESXi para habilitar un firewall distribuido, enrutamiento distribuido y VXLAN si está utilizando NSX-v. Si utiliza NSX-T, los módulos del kernel también deben estar instalados en los hipervisores KVM.
- Instale NSX Edge como una máquina virtual en ESXi (para NSX-v y NSX-T). Si está utilizando NSX-T y no hay posibilidad de instalar Edge como una máquina virtual en ESXi, Edge se puede implementar en un servidor físico. La instalación de Edge como una máquina virtual en hipervisores KVM no es compatible en este momento (para NSX-T v.2.3). Si necesita implementar Edge en un servidor físico, verifique la lista de compatibilidad de hardware (importante para lo referente a los Procesadores y los puertos de red físicos) antes de hacer esto.
Capacidades comunes de NSX
Hay una serie de capacidades y alcances disponibles para ambos tipos de NSX.
Las capacidades comunes de NSX-v y NSX-T son:
- Virtualización de redes basada en software
- Superposición basada en software
- Enrutamiento distribuido
- Cortafuegos distribuido
- Automatización impulsada por API
- Seguimiento y estadísticas detalladas
Tenga en cuenta que las API son diferentes para NSX-v y para NSX-T.
Licenciamiento
Las licencias son las mismas para ambos tipos de NSX, ya que le brindan más flexibilidad y universalidad. Por ejemplo, puede solicitar una licencia para usar NSX for vSphere y, si realiza algunos cambios en su infraestructura y necesita implementar NSX-T, puede usar la licencia obtenida para ESXi-v. NSX es NSX: no hay distinción por el lado de las licencias, ya que las ediciones de licencias también son las mismas.
Encapsulación de superposición
La encapsulación superpuesta para redes virtuales se utiliza para abstraer redes virtuales al transportar información de capa 2 sobre la capa 3. Se crea una red lógica de capa 2 sobre redes de capa 3 existentes (redes IP) en una infraestructura física existente. Como resultado, dos máquinas virtuales pueden comunicarse entre sí a través de la red, incluso si el tráfico entre las máquinas virtuales debe enrutarse. Una red física puede denominarse red subyacente.
VXLAN frente a GENEV
NSX-v usa el protocolo de encapsulación VXLAN, mientras que NSX-T usa GENEVE, que es un protocolo más moderno.
VXLAN. Utiliza encapsulación MAC sobre IP. El principio de funcionamiento del aislamiento de la red difiere de la técnica de VLAN. VLAN tradicional tiene un número limitado de redes que es 4,094 de acuerdo con el estándar 802.1q, y el aislamiento de la red se realiza en la capa 2 de una red física agregando 4 bytes en los encabezados de la trama Ethernet. Por otro lado, la cantidad máxima de redes virtuales para VXLAN es 16,777,216 (diez y seis millones, setecientos setenta y siete mil, doscientos diez y seis). El identificador de red VXLAN se utiliza para marcar cada red virtual en este caso. Las tramas de capa 2 de la red superpuesta se encapsulan dentro de los datagramas UDP transmitidos a través de una red física. En este caso, el número de puerto UDP es 4,789.
El encabezado VXLAN consta de las siguientes partes.
- Se utilizan 8 bits para banderas. El indicador I debe establecerse en 1 para que una ID de red VXLAN (VNI) sea válida. Los otros 7 bits son campos R que están reservados y deben ponerse a cero en la transmisión. Los campos R establecidos en cero se ignoran al recibirlos.
- El identificador de red VXLAN (VNI), que también se conoce como ID de segmento de VXLAN, es un valor de 24 bits que se utiliza para determinar la red de superposición individual que se utiliza para comunicar las máquinas virtuales entre sí.
- Los campos reservados (24 bits y 8 bits) deben establecerse en cero e ignorarse al recibirlos.
El tamaño del encabezado VXLAN es fijo y es igual a 8 bytes. Se recomienda el uso de Jumbo Frames con MTU establecido en 1600 bytes o más, para VXLAN.
GENEVE. El encabezado GENEVE se parece mucho a VXLAN y tiene la siguiente estructura:
Un encabezado de túnel compacto está encapsulado en UDP sobre IP.
Se utiliza un pequeño encabezado de túnel fijo para proporcionar información de control, así como un nivel básico de funcionalidad e interoperabilidad.
Se encuentran disponibles opciones de longitud variable para hacer posible la implementación de futuras innovaciones.
El tamaño del encabezado GENEVE es variable.
NSX-T utiliza GENEVE (GEneric NEtwork Virtualization Encapsulation) como un protocolo de tunelización que conserva las capacidades de descarga tradicionales disponibles en las NIC (Network Interface Controllers) para obtener el mejor rendimiento. Se pueden agregar metadatos adicionales a los encabezados superpuestos y permite mejorar la diferenciación de contexto para procesar información como telemetría de extremo a extremo, seguimiento de datos, cifrado, seguridad, etc. en la capa de transferencia de datos. La información adicional en los metadatos se denomina TLV (tipo, longitud, valor). GENEVE es desarrollado por VMware, Intel, Red Hat y Microsoft. GENEVE se basa en los mejores conceptos de los protocolos de encapsulación VXLAN, STT y NVGRE.
El valor de MTU para Jumbo Frames debe ser de al menos 1700 bytes cuando se usa la encapsulación GENEVE causada por el campo de metadatos adicional de longitud variable para los encabezados GENEVE (MTU 1600 o superior se usa para VXLAN, como recordará).
NSX-v y NSX-T no son compatibles debido a la diferencia de encapsulación superpuesta que se explica en esta sección.
Redes de capa 2
Ahora que ya sabe cómo se encapsulan las tramas Ethernet de capa 2 virtual a través de redes IP, es hora de explorar la implementación de redes de capa 2 virtual para NSX-v y NSX-T.
Nodos de transporte y switches virtuales
Los nodos de transporte y los switches virtuales representan componentes de transferencia de datos de NSX.
El Nodo de Transporte (TN) es el dispositivo compatible con NSX que participa en la transmisión de tráfico y la superposición de redes en NSX. Un nodo debe contener un switch de host para poder servir como nodo de transporte.
NSX-v requiere usar el Switch Virtual Distribuido (VDS) de vSphere como es habitual en vSphere. No se pueden usar Switches Virtuales Estándar para NSX-v.
NSX-T asume que necesita implementar un Switch Virtual Distribuido NSX-T (N-VDS). Los Open Virtual Switches (OVS) se utilizan para hosts KVM y los Switches Virtuales VMware se utilizan para hosts ESXi que se pueden utilizar para este propósito.
N-VDS (Switch Virtual Distribuido que antes se conocía como Switches de host) es un componente de software de NSX en el nodo de transporte, que realiza la transmisión del tráfico. N-VDS es el componente principal del plano de datos de los nodos de transporte que reenvía el tráfico y posee al menos una tarjeta de red física (NIC). Los switches NSX (N-VDS) de los diferentes nodos de transporte son independientes, pero pueden agruparse asignando los mismos nombres para la administración centralizada.
En los hipervisores ESXi, N-VDS se implementa mediante VMware vSphere Distributed Switch a través del módulo NSX-vSwitch que se carga en el kernel del hipervisor. En los hipervisores KVM, el switch de host se implementa mediante el módulo Open Virtual Switch (OVS).
Las Zonas de Transporte están disponibles para NSX-v y NSX-T. Las zonas de transporte definen los límites de la distribución de redes lógicas. Cada zona de transporte está vinculada a su Switch NSX (N-VDS). Las zonas de transporte para NSX-T no están vinculadas a clústeres.
Existen dos tipos de zonas de transporte para VMware NSX-T debido a la encapsulación GENEVE: Superposición o VLAN. En cuanto a VMware NSX-v, una zona de transporte define los límites de distribución de VXLAN únicamente.
Modos de replicación de los Switches Lógicos
Cuando dos máquinas virtuales que residen en diferentes hosts se comunican directamente, el tráfico de unidifusión se intercambia en el modo encapsulado entre dos direcciones IP de punto final asignadas a hipervisores sin necesidad de saturación. A veces, el tráfico de red de capa 2 originado por una máquina virtual se debe inundar de manera similar al tráfico de capa 2 en las redes físicas tradicionales, por ejemplo, si un remitente no conoce la dirección MAC de la interfaz de red de destino. Significa que se debe enviar el mismo tráfico (difusión, unidifusión, multidifusión) a todas las máquinas virtuales conectadas al mismo switch lógico. Si las máquinas virtuales residen en diferentes hosts, el tráfico debe replicarse en esos hosts. El tráfico de difusión, unidifusión y multidifusión también se conoce como Tráfico BUM.
Veamos la diferencia entre los modos de replicación de NSX-v y NSX-T.
NSX-v admite el modo Unicast, el modo Multicast y el modo Híbrido.
NSX-T admite el modo Unicast con dos opciones: replicación jerárquica de dos niveles (optimizada, igual que para NSX-v) y replicación principal (no optimizada).
La supresión del Protocolo de Resolución de Direcciones (Address Resolution Protocol o ARP), reduce la cantidad de tráfico de difusión del ARP que se envía a través de la red y está disponible para los modos de replicación de tráfico Unicast e Híbrido. Por lo tanto, la supresión del ARP está disponible tanto para NSX-v como para NSX-T.
Cuando una "VM1" envía una solicitud ARP para conocer la dirección MAC de una "VM2", el switch lógico intercepta la solicitud ARP. Si el switch ya tiene la entrada ARP para la interfaz de red de destino de la "VM2", el switch envía la respuesta ARP a la "VM1". De lo contrario, el switch envía la solicitud ARP a un controlador NSX. Si el controlador NSX contiene la información sobre el enlace de la IP de la VM a la MAC, el controlador envía la respuesta con ese enlace y luego el switch lógico envía la respuesta ARP a la "VM1". Si no hay una entrada ARP en el controlador NSX, la solicitud ARP se retransmite en el switch lógico.
Bridging de capa 2 de NSX
El Bridge de capa 2 es útil para migrar cargas de trabajo de redes superpuestas a VLAN, o para dividir subredes en cargas de trabajo físicas y virtuales.
NSX-v: funciona en el nivel de kernel de un hipervisor en el que se ejecuta una máquina virtual de control.
NSX-T: crea un nodo NSX-bridge independiente para este propósito. Los nodos Bridge de NSX se pueden ensamblar en clústeres para mejorar la tolerancia a fallas de toda la solución.
En la Máquina Virtual de control NSX-v, la redundancia se implementó mediante el esquema de Alta Disponibilidad (HA). Una copia de la Méquina Virtual está activa mientras que la segunda copia de la misma Máquina Virtual queda en espera. Si la Máquina Virtual Activa falla, puede llevar algún tiempo cambiar de Máquina Virtual y cargar la Máquina Virtual en Espera activándola. NSX-T no enfrenta esta desventaja, ya que se usa un clúster tolerante a fallas en lugar del esquema activo/en espera para Alta Disponibilidad.
El modelo de enrutamiento
En los casos en los que utiliza VMware NSX, se utilizan los siguientes términos:
Tráfico Este-Oeste (East-West Traffic) se refiere a la transferencia de datos a través de la red, dentro del centro de datos. Este nombre se utiliza para este tipo particular de tráfico, ya que las líneas horizontales en los diagramas suelen indicar tráfico de Red de Área Local (LAN).
Tráfico Norte-Sur (North-South Traffic) se refiere al tráfico cliente-servidor o al tráfico que se mueve entre un centro de datos y una ubicación fuera del centro de datos (redes externas). Las líneas verticales de los diagramas suelen describir este tipo de tráfico de red.
Enrutador Lógico Distribuido (Distributed Logical Router - DLR) es un enrutador virtual que puede utilizar rutas estáticas y protocolos de enrutamiento dinámico como OSPF, IS-IS o BGP.
Inquilino o Tenant se refiere a un cliente o una organización que obtiene acceso a un entorno seguro aislado, proporcionado por un Proveedor de Servicios Administrados (Managed Services Provider - MSP). Una organización grande puede usar una arquitectura de múltiples inquilinos (multi-tenant) considerando cada departamento como un solo inquilino. VMware NSX puede resultar especialmente útil para proporcionar Infraestructura como un Servicio (IaaS).
Enrutamiento en NSX-v
"NSX for vSphere" usa Distributed Logic Router o DLR (enrutador lógico distribuido) y enrutamiento centralizado. Hay un módulo de kernel de enrutamiento en cada hipervisor en el que realizar el enrutamiento entre Interfaces Lógicas (LIF) en el enrutador distribuido.
Consideremos, por ejemplo, el esquema de enrutamiento típico para NSX-v, cuando tiene un conjunto de tres segmentos: Máquinas Virtual que ejecutan Bases de Datos, Máquinas Virtuals que ejecutan servidores de aplicaciones y Máquinas Virtuales que ejecutan servidores web. Las máquinas virtuales de estos segmentos (azul celeste, verde y azul profundo) están conectadas a un enrutador lógico distribuido (DLR) que, a su vez, está conectado a redes externas a través de puertas de enlace de borde (NSX Edge).
Si está trabajando con varios inquilinos, puede usar una construcción de NSX Edge de varios niveles, o cada inquilino puede tener su propia VM de controlador y DLR dedicada, la última de las cuales reside en el clúster de borde. La puerta de enlace NSX Edge conecta redes stub aisladas a redes compartidas (enlace ascendente) proporcionando servicios de puerta de enlace comunes como DHCP, VPN, NAT, enrutamiento dinámico y equilibrio de carga. Las implementaciones comunes de NSX Edge incluyen DMZ, extranets VPN y entornos de nube de múltiples inquilinos donde NSX Edge crea límites virtuales para cada inquilino.
Si necesita transmitir tráfico desde una máquina virtual ubicada en el "Segmento A" (en color azul) del primer inquilino al "Segmento A" del segundo inquilino, el tráfico debe pasar a través de la puerta de enlace de NSX Edge. En este caso, no hay enrutamiento distribuido, ya que el tráfico debe pasar por el único punto que es la puerta de enlace NSX Edge designada.
También puede ver el principio de funcionamiento del esquema en el que los componentes se dividen en Clústeres: Clúster de Administración, Clúster Perimetral y Clúster de Cómputo. En este ejemplo, cada Clúster utiliza 2 hosts ESXi. Si dos Máquinas Virtuales se ejecutan en el mismo host ESXi pero pertenecen a diferentes segmentos de red, el tráfico pasa a través de la puerta de enlace NSX Edge que se encuentra en otro host ESXi del clúster Edge. Después del enrutamiento, este tráfico debe transmitirse de nuevo al host ESXi en el que se ejecutan las VM de origen y destino.
Los servicios adicionales como BGP, NAT y Edge Firewall se pueden habilitar en los nodos Edge, que a su vez se pueden combinar en un Clúster para mejorar la disponibilidad. Además, NSX-T también proporciona una detección de fallas más rápida. En términos simples, el mejor medio para distribuir el enrutamiento es el enrutamiento dentro de la infraestructura virtualizada.
Direccionamiento IP para redes virtuales
Cuando configura NSX-v, debe elaborar un plan de direccionamiento IP dentro de los segmentos de NSX. En este caso, también deben agregarse conmutadores lógicos de tránsito que enlazan DLR y puertas de enlace Edge. Si está utilizando una gran cantidad de puertas de enlace Edge, debe componer el esquema de direccionamiento IP para los segmentos que están vinculados por estas puertas de enlace Edge.
Sin embargo, NSX-T no requiere estas operaciones. Todos los segmentos de red entre Tier0 y Tier1 obtienen direcciones IP automáticamente. No se utilizan protocolos de enrutamiento dinámico; en cambio, se utilizan rutas estáticas y un sistema conecta los componentes automáticamente, lo que facilita la configuración; no es necesario que dedique mucho tiempo a planificar el direccionamiento IP para los componentes de la red de servicio (tránsito).
Integración para la inspección de tráfico
NSX-v ofrece integración con servicios de terceros, como antivirus sin agentes, firewalls avanzados (firewalls de próxima generación), Instruction Detection System - IDS (Sistemas de Detección de Intrusiones), Intrusion Prevention System - IPS (Sistemas de Prevención de Intrusiones) y otros tipos de servicios de inspección de tráfico. La integración con los tipos de inspección de tráfico enumerados se realiza en una capa de kernel de hipervisor mediante un bus Virtual Machine Communication Interface - VMCI protegido (Interfaz de Comunicación de Máquina Virtual).
NSX-T no ofrece estas capacidades en este momento.
Seguridad
Los firewalls distribuidos a nivel de kernel se pueden configurar para NSX-v y NSX-T, trabajando en un nivel de adaptador virtual de Máquina Virtual. Las opciones de seguridad del conmutador están disponibles para ambos tipos de NSX, pero la opción "Tráfico de Transmisión y Multidifusión con Límite de Velocidad" solo está disponible para NSX-T.
NSX-T le permite aplicar reglas de una manera más granular, lo que da como resultado que los nodos de transporte se utilicen de manera más racional. Por ejemplo, puede aplicar reglas basadas en los siguientes objetos: conmutador lógico, puerto lógico, NSGroup. Esta función se puede utilizar para reducir la configuración del conjunto de reglas en el conmutador lógico, el puerto lógico o las instancias de NSGroup para lograr niveles más altos de eficiencia y optimización. También puede ahorrar espacio de escalalación y ciclos de búsqueda de reglas, además de alojar la implementación de múltiples inquilinos y aplicar reglas específicas de inquilinos (reglas que se aplican a las cargas de trabajo del inquilino apropiado).
El proceso de creación y aplicación de las reglas es bastante similar tanto para NSX-v como para NSX-T. La diferencia es que las políticas creadas para NSX-T se envían a todos los controladores donde las reglas se convierten en direcciones IP, mientras que en NSX-v, las políticas se transfieren inmediatamente a vShield Firewall Daemon (VSFWD).
NSX-v vs NSX-T: tabla comparativa
Ahora que está familiarizado con las capacidades más interesantes de VMware NSX, resumamos las características principales de NSX-v y NSX-T que se han explorado en esta publicación de blog, además de compararlas en la tabla.
Conclusión
VMware NSX es una excelente plataforma de virtualización de redes que los proveedores de servicios administrados pueden utilizar para proporcionar infraestructura como servicio (IaaS). NSX-v es la solución más óptima si usa solo un entorno vSphere, mientras que NSX-T puede usarse no solo para vSphere sino también para plataformas de virtualización KVM, Docker, Kubernetes y OpenStack en el marco de la construcción de redes virtuales.
No hay una respuesta única sobre qué tipo de NSX es mejor. El uso de NSX-v o NSX-T depende de sus necesidades y de las funciones proporcionadas por cada tipo de NSX. Las funciones más populares de NSX-v y NSX-T se explicaron en la publicación del blog de hoy. La política de licencias de NSX es fácil de usar: solo necesita comprar una licencia de NSX, independientemente del tipo de NSX que vaya a utilizar. Posteriormente, puede instalar NSX-T en un entorno NSX-v o al revés, según sus necesidades, y continuar usando su única licencia NSX.
Puede crear su propio centro de datos definido por software con VMware mediante la solución NSX. VMware le proporciona funciones de agrupación en clústeres para garantizar la continuidad de la operación, alta disponibilidad y tolerancia a fallas; sin embargo, la copia de seguridad de VM no será una medida redundante. Realice copias de seguridad periódicas de sus máquinas virtuales de producción relacionadas con diferentes proyectos y máquinas virtuales que se ejecutan como componentes de VMware vSphere y VMware NSX (como vCenter, NSX Manager, NSX Controller, NSX Edge) para proteger sus datos. NAKIVO Backup & Replication puede ayudarlo a respaldar sus VM de VMware de una manera confiable y eficiente, incluso si está utilizando clústeres. Descargue una versión de prueba con todas las funciones y pruebe el producto en su propia infraestructura.
No hay comentarios:
Publicar un comentario
Todos los derechos reservados.
Copyright © 2025.