VMware NSX – Beneficios

Publicado el 11 julio 2016 por Pipearaque

Hola que tal

VMware NSX cuenta con los siguientes beneficios:

Despliegue sin Interrupción: Las máquinas virtuales no requieren modificación para poder usar una red virtual. Es tan simple como crear la red virtual y luego ir a la vNIC de la máquina y conectarla a esta red. También se cuenta con un asistente de migración de máquinas virtuales el cual permite tomar varias máquinas y migrarlas a la red virtual de NSX.

Aislamiento de cargas de trabajo: Las máquinas virtuales conectadas a las redes virtuales de NSX se encuentran aisladas de la red física. La red física, por ejemplo, puede estar configurada solo con IPv4, y aun así, las máquinas virtuales pueden correr con la versión 4 y/o 6 del protocolo IP.

Logical Switch de NSX: El Switch Lógico de NSX o LS, es un grupo de puertos distribuido configurado con una VXLAN. Las VXLANs no requieren configuración de la infraestructura física, permitiendo crear redes virtuales con ese grado de independencia. VXLAN también permite extender la capa 2 sin importar si la máquina virtual atraviesa límites de capa 3. El LS también está muy enfocado para ambientes Multitenant, en donde cada red de un cliente, es una VXLAN o lo que es lo mismo, un LS.

Routing de NSX: NSX cuenta con dos tipos de Routers:

  • NSX Edge Router: Es una máquina virtual que cuenta con distintos servicios, entre ellos, enrutamiento estático y dinámico con OSPF, BGP, IS-IS, además de redistribución de rutas e Equal Cost Multi Plathing "ECMP". Este router está optimizado para enrutar tráfico de Norte a Sur, es decir, el tráfico entre las máquinas virtuales y la redes externas, por ejemplo, Internet.
  • NSX Distributed Logical Router: El router distribuido de NSX, o DRL, es un servicio distribuido que corre a nivel de ESXi y está optimizado para el enrutamiento de Este a Oste, es decir, el tráfico entre máquinas virtuales de distintas redes. Este Router también reduce el tráfico de Hairpins, es decir, el tráfico saliente entre máquinas virtuales en un mismo ESXi, en distintas redes. Este router soporta las mismas características de enrutamiento que el NSX Edge Router, con excepción de IS-IS.

Tanto el router de Edge, como el DLR están orientados también para ambientes Multitenant.

Firewall de NSX: En cuanto a la parte de Firewall, este también cuenta con dos tipos:

  • NSX Edge Firewall: La misma máquina virtual de NSX Edge Router y la misma que entrega otros servicios como VPNs, balanceo de carga, DCHP/DCHP Relay y Firewall. Este firewall está optimizado para filtrado de Norte a Sur. Es un firewall L3/L4
  • NSX Distributed Firewall: Es un servicio distribuido que corre a nivel de ESXi. Este firewall está diseñado para filtrar de forma óptima el tráfico de Este a Oeste. Este firewall L2/L3/L4, es independiente de la infraestructura física y permite la micro-segmentación, ya que las políticas se verifican a nivel de la vNIC de las máquinas virtuales.

Tanto el NSX Edge Firewall como el Distributed Firewall están optimizados para ambientes multinenant. Ambos permiten trabajar con reglas de red, reglas de infraestructura y reglas basadas en aplicación, como firewall de identidades y Dynamic Tagging. Al ser Firewalls que trabajan con reglas de infraestructura, permite al administrador de seguridad de NSX, trabajar con orígenes y destinos basados en nombres de inventario de vCenetr Server, como Datacenters, Clusters, vApps, Resource Pools, etc. Un beneficio notorio del Firewall Distribuido de NSX es su crecimiento Line Rate, en donde por cada ESXi que se tenga, son 20 Gbps de throughput. Finalmente, los beneficios administrativos son:

  • Las políticas de una máquina virtual se migran con vMotion.
  • Las políticas se eliminan automáticamente cuando la máquina es eliminada.
Aislamiento, Segmentación y Segmentación con servicios avanzados:
  • Aislamiento: La naturaleza de una red virtual, o LS, o lo que es lo mismo, una VXLAN, es su aislamiento. Una VXLAN es un dominio de brocadcast que precisa de un elemento de capa 3 para poder ser enrutado. Sin este elemento L3, cada red virtual es aislada y solo máquinas virtuales conectadas a la misma red podrán comunicarse. El firewall distribuido de VMware permite filtrar tráfico incluso entre máquinas virtuales en la misma red, sin necesidad de acudir a tecnologías complejas como PVLANS.
  • Segmentación: Al ser conectadas las redes virtuales a un elemento de capa 3, como el DRL, estás ya tendrían un camino de comunicación, o enrutamiento. Al ser esto cierto, las redes virtuales se pueden comunicar y el Firewall Distribuido de VMware vuelve a jugar un papel importante para establecer políticas que permitan o impidan la comunicación entre máquinas de distintas redes.
  • Segmentación con servicios avanzados: NSX permite insertar servicios avanzados de red, como servicios de introspección de Red y servicios de introspección de Guest. Algunos servicios avanzados estarían dentro de NSX y otros pueden ser traídos con la ayuda de terceros.

Reducción de la latencia: NSX pude reducir la latencia que implica el tener que salir a buscar un firewall, balanceador o router físico.

Con la ayuda del Firewall Distribudio, el Balanceador de carga de NSX Edge y del DLR, gran parte del tráfico de las máquinas virtuales pueden contenerse en el mismo ESXi, o salir a las primeras capas de red del datacenter, pero no a la capa de core.

NSX Edge Gateway: Esta máquina virtual proporciona enrutamiento entre las redes virtuales de NSX y la infraestructura física. Otros beneficios de esta máquina virtual son los siguientes:

Automatización con vRealize Automation: NSX puede integrarse con vRealize Automation, proporcionando una segunda interfaz de administración alterna a NSX Manager, un portal de auto-aprovisionamiento y la entrega de servicios de red de forma dinámica y bajo demanda, como LS, App Edge Logical Router, Balanceador de carga, Grupos de seguridad, Firewall Edge Gateway y DHCP Lógico.

Espero haya sido de utilidad.

Un saludo!!!

Soy Andrés Felipe Araque D. Ingeniero dse Telecomunicaciones y apasionado por la Virtualización y VMware.