隔离和控制 - VM、Docker、Physical 混合场景

08/11/2019

GTI广州科宸 (点击此处观看原文和视频)

 

Weixin Top banner

 

 

 

 

 

 

 

   

  900

 

25

 

尊敬的用户,

大家早上好! 

我们在怀疑中坚定,在坚定中憧憬,在憧憬中前行;为了美好生活,大家一些携手继续加油前行。

年底即将到来,我们技术团队中的项目经理和工程师们正在忙于交付有品质的技术服务。技术人员的时间和精力是项目成功交付的重要保障,故此原定在12月要举办的 GTI 定制化解决方案线下体验活动暂时顺延了,在这里我代表上海全体工程师团队非常感谢新、老用户和朋友们的关注和参与,谢谢!

我们销售队伍会利用和运用这段时间多做一些新项目经验总结、积极多一些与大家线下的走动和交流。昨天已成为历史无法改变,今天无论获得或失去了什么都不能松懈和气馁,现在就行动起来明天一定更加美好。

 

目 录

一. 客户需求分析

二. 选型、成本思考

三. VMware NSX 解决方案介绍

四. NSX 插件兼容性说明

五. NSX 运维可视化工具

27


一. 客户需求分析

 

28 

 

阶段一:如下图所示:规划目标每个商业应用/业务线是完整地包裹在一个安全的隔离的空间内,每个容器、K8s、虚拟机、物理机之间都是有防火墙进行精细化控制,同时该隔离区域提供路由、负载均衡、监控分析的必要的网络组件功能。

 

01

 

阶段二:如下图所示:当有2个商业应用/业务时,可以采用上述结构进行模块化叠加。

 

02

 

阶段三如下图所示:当发展到多个商业应用/业务时,就必须引入自动化管理框架,K8s、PKS、OpenShift 等等,逐渐实现CI/CD、Dev/Ops

 

03 

 

阶段四:如下图所示:商业应用/业务线开始从私有云内延展到公有云,进一步发展到跨接到多个公有云对于公有云资源使用可以采用虚拟机或者容器都是可行的,每个云内的最小资源同样能实施精细化隔离和控制,应用所跨接的多个云之间的底层网络被透明地二层打通。

 

04


经历四个发展阶段后

商业应用/业务线全景视图如下

05

 

29

27

 

二. 选型、成本思考

31

 

  • NSX与Cisco ACI 有何不同 ?

 

NSX 的最大竞争者是思科。思科在市场上有很强的地位。他们已经构建了一个名为 Nexus9K 的交换机,但它具有称为 ACI 的功能 - 以应用程序为中心的基础设施。他们试图做的是在操作系统中加入一个代理程序,然后勾画“这就是应用程序看起来的样子”然后将应用程序之间的通信量"发夹"到交换机上,进行安全检查。理论上是可以这么做。但如果你仔细想想,那么软件定义网络的重点就是在软件中对其进行定义,而且它独立于硬件所存在的,这会使部署和操作变得更加困难,而且成本也会更高,因为您必须购买这种独特的交换机

 

  • 为什么NSX的SDN战略比Cisco好 ?

 

因为 NSX 的价值主张是,不在乎您使用什么基础架构。您无需升级交换机,可以使用这些产品中使用寿命很长的旧 Cisco Catalyst 或 Cisco Nexus交换机或其他品牌的交换机。也许您是在运行在 Azure、Amazon 之上的工作负载,NSX 可以保证生产环境可以访问 Internet,但绝不会接触开发环境,并且开发环境也不会接触 Internet

 

  • 该如何定位NSX与Cisco ACI ?

 

Cisco 是一家伟大的公司。许多客户使用思科产品,这是有原因的。思科产品确实擅长硬件交换、结构管理,但是 VMware 真正擅长的领域是软件定义的网络。VMware 是软件公司,而不是硬件公司。由于 VMware 在堆栈中的核心位置,使得 NSX 对应用程序有更加深刻的理解。NSX 的管理程序就是启动 Web 服务器、启动应用程序服务器、启动数据库的安全控制过程。因此 NSX 确切地知道了这些事物的住处,它们的运行方式,并允许 NSX 执行以下非常简单的策略:Web服务器与应用服务器对话与数据库安全通信对话。NSX 与思科(或任何其他硬件供应商)之间最大的区别是软件重点和对应用程序的了解,使我们能够简化各种形式的基础架构中的策略落地实施。

 

  • NSX 安全优势 

 

如果您的目标是加强安全性并超越传统的基于外围的防御态势,那么 NSX 可能是管控虚拟流量的可靠选择。


NSX 可以 - 全面的应用可视性:减少网络安全团队在应用安全性审查周期中花费的时间。对应用组合的独有的可见性(从网络流量到工作负载上的进程级行为)可帮助自动创建网络安全策略。

NSX 也可以 - 实施已知的安全控制措施:帮助您实施跨多数据中心和混合云环境的网络安全策略,以保护虚拟机、容器和裸机服务器等之间的流量传输。

NSX 还可以 - 自适应网络安全策略(后续有篇幅做进一步介绍):将安全保护从被动流程转变为应用开发生命周期中的主动行为。即使应用会随着时间的推移而变化,也会自动为每个工作负载调配,会一直跟随工作负载的安全策略。当弃用工作负载时,其安全策略也将一并弃用,防止策略随着时间越积越多,并进一步简化管理。

 

  • 解决防火墙吞吐量挑战

 

到目前为止,由于必须通过物理链路过滤大量的数据,东西向防火墙一直很困难并且受到限制。东西向防火墙功能可从 Palo Alto Networks 等供应商处获得,但是实现和管理整个数据中心级策略所需的设备数量可能既昂贵又在管理上无法实现。这是虚拟化的分布式防火墙覆盖和虚拟化数据中心的优势所在。

单个 NSX 主机的防火墙具有 20 Gbps的吞吐量也可在您添加 NSX 节点时线性扩展。尽管诸如 Palo Alto Networks 之类的公司的产品比 NSX 防火墙具有更多的功能,但是传统产品无法满足纯吞吐量。VMware NSX 提供了现有的集成,以允许第三方防火墙 IPS、IDS 处理东西向流量。

  • 为什么合作伙伴在积极推荐 NSX ?


VMware 有将近10,000个客户在使用虚拟网络产品,其中82个在《财富》100强中采用了 NSX。对于渠道合作伙伴而言,最重要的是利用这种新的自动化功能,并将其构建到客户的持续集成和持续交付管道中。现代的基于云的应用程序开发人员已经达到了一切都自动化的地步,您只需一次推动就可以部署工作负载。将网络部分当作软件来对待,而不是像一堆黑盒子那样,必须依赖其他部门的专业人员登录,进行更改,更新并打开安全通道。使用 NSX,现在可以对网络进行编码,那是非常兴奋的事情。渠道合作伙伴可以帮助客户理解该代码,将其构建到他们的工作流和软件开发流程中,并在自己的环境中获得公共云体验。

 

  • NSX 大幅减少防火墙的支出

 

减少整体安全资本支出,部署其他物理防火墙以控制增长数据中心内部的东西流量对于大多数组织而言,很多微分段方案成本过高。此外,所需设备数量庞大以及建立和管理如此复杂的系统所需的防火墙规则在操作上采用了这种方法是不可行的。


而 VMware NSX 微分段可以完全控制无需购买数据中心中的单个工作负载额外的物理或虚拟防火墙,从而大大节省了投资。 如下图所示:显示了一个典型的使用案例数据中心,比较的结果是节省投资72%。同时还带来了其他优势,避免将应用程序之间的通信量“发夹”到交换机或安全设备上(网络上多了好几跳和延迟的增加)

 

06

  • NSX 大幅降低运营费用


NSX 微分段大大减少了人工工作和安全任务所需的时间,包括移动/添加/更改,扩展和故障排除/修复。如果您考虑了配置所需的所有手动任务和管理物理网络的安全性 - 在整个开发过程中,测试,验证和生产环境一一微分段可以自动执行这些任务,您开始看到减少运营的所有机会费用。


如下图中的分析所示,NSX 微分段大大加快了安全性的初始设置服务投入生产。使用传统硬件,相关的周期时间来为新申请迫使企业平均等待23天的时间,而网络虚拟化将其减少到几分钟 - 几乎减少了100%,并大幅加快了应用上市时间。同样,为新应用程序设置安全服务花费14.3小时的时间或接近两天的时间,而微分段将其减少到小于2小时 - 大幅减少了87%

 

07

  •  安全地实现业务敏捷性

 

通过 VMware NSX 网络虚拟化进行微分段的好处在于能够改变历史上企业一直被迫在 IT 安全团队中选择速度和安全性通常被不公平地认为会抑制业务敏捷性安全地开展业务的局面。NSX 使微分段成为现实并使企业能够快速,安全地进行创新在保持无所不在的同时获得竞争优势数据中心的持久安全性。业务领域也能享受着许多安全性和高性能微分段的好处,并将继续发现真正改变游戏规则的创新用途和应用技术。

38


27


三. VMware NSX 解决方案介绍

34

  • VMware NSX 产品愿景

 

VMware NSX 产品虚拟云网络的强大愿景背后是强大的产品组合。自从2018年 VMworld 以来,VMware 网络和安全性角度积累了重要的产品组合。NSX 建立在 {任何基础设施〜任何云〜任何应用程序〜任何平台〜任何设备} 的基础上,已成为家族品牌。如下图所示。

 

08

  • 定制化隔离与控制解决方案

 

根据我们实际接触到的案例总结出大多数用户的环境中既有大量虚拟机、又有不少容器还有若干物理机,GTI 定制化隔离与控制解决方案旨在解决具有异构端点和技术堆栈的应用程序框架和体系结构。除 vSphere 外,这些环境可能还包括其他虚拟机管理程序,容器,裸机操作系统和公共云。定制化方案的价值在于帮助用户的 IT 和开发团队选择最适合其特定应用程序的技术。除 IT 之外,该方案还可用于开发组织的管理,运营和使用。如下图所示。

09

  • 解决方案体系结构设计原理

 

体系结构围绕四个基本属性进行设计。 如下图所示描绘了从任何站点到任何云,再到任何端点设备的那些属性的通用性。这不仅在基础架构级别(例如,硬件,虚拟机管理程序),而且在公共领域都实现了更大的解耦。云(例如,AWS,Azure)和容器级别(例如,K8s,Pivotal);所有这些都保留了跨域实施的平台的四个关键属性。 方案架构的价值和特征包括:一致性策略整体网络的连通性安全控制服务可视化

10

  • 与容器和云本机应用程序集成

 

当前的数字转换时代对 IT 部门提出了挑战,要求他们解决指令以规范应用程序和数据的安全性,提高交付速度并提高应用程序可用性。IT 管理员意识到必须采用新方法来保持相关性。至关重要的是该解决方案通过在应用程序生命周期中专门定义连接性,安全性和策略来架构性地解决问题。

基于应用程序驱动的基础架构以编程方式自动创建网络和交换网段是满足这些新架构要求的唯一方法。该方案使 IT 和开发团队可以选择最适合其特定应用程序的技术。它提供了一个通用框架来管理和增加同时包含 VM 和容器的环境的可见性。随着开发人员采用诸如容器之类的较新技术,并且在公共云中运行的工作负载百分比不断增加,网络虚拟化必须扩展以提供这些环境中原生的全方位网络和安全服务(例如LB,NAT,DFW等)。通过为在 VM 和容器上运行的工作负载提供无缝的网络虚拟化。

11

 

  • NSX 容器插件 NCP


NSX 容器插件(NCP)旨在提供与许多基于容器的应用程序可以驻留的环境的直接集成。NSX 容器插件利用CNI与容器接口,并允许 NSX 协调容器的网络,策略和负载平衡。诸如Kubernetes(即k8s)之类的容器编排器非常适合 NSX 集成。包含 k8s 企业发行版的解决方案,著名的 PKS 和 RedHat Open Shift 支持 NSX 解决方案。此外,NSX 支持与 PaaS 解决方案(如Pivotal Cloud Foundry)集成。有关详细内容,后期我们将在线下活动内做 Demo 演示。


NCP 的主要组件在容器中运行,并与 NSX Manager 和 Kubernetes API 服务器通信(对于k8s / OpenShift)。NCP 监视对容器和其他资源。它还通过 NSX API 管理容器的网络资源,例如逻辑端口,交换机,路由器和安全组。


NSX 容器插件:NCP 是容器映像形式的软件组件,通常作为 Kubernetes 容器运行。

适配器层:NCP 以模块化方式构建,因此可以为各种 CaaS 和 PaaS 平台添加单独的适配器。

NSX 基础结构层:实现创建拓扑,附加逻辑端口等的逻辑。

NSX API客户端:实现 NSX API 的标准化接口。

12

 

  • NSX 的多云架构


当扩展到公共云中的工作负载时,NSX 为跨私有云和多个公共云的网络和安全策略管理提供了一个单一的平台


此外,在 NSX 中,会自动发现本机云服务端点(RDS,ELB,Azure LB 等),并可在 NSX 分布式防火墙策略中使用。你可以在创建这些策略时不需要手动查找端点 IP。

 

从结构上讲,公共云网关负责发现云虚拟机/服务端点以及两种操作模式下的策略实现。在本机云强制模式下,NSX 提供公共管理平面,用于跨多个公共云配置丰富的微分段策略。使用 NSX 强制模式时,公共云网关还提供服务,例如 VPN,NAT 和边缘防火墙,类似于本地 NSX Edge。NSX 强制模式进一步允许每个基于云的 VM 实例具有其他好处,包括分布式数据平面,其中包括逻辑交换,逻辑路由和监视功能(例如 syslog,端口镜像,IPFIX 等),同时允许客户遵循云提供商的最佳做法进行设计网络拓扑。


13

 

  • NSX 作为高级安全平台


除了提供网络虚拟化之外,NSX-T还可以用作高级安全平台,提供丰富的功能集以简化安全解决方案的部署


  • NSX 分布式防火墙(DFW)在 vNIC级别上为工作负载提供状态保护。DFW 强制执行发生在系统管理程序内核中,有助于实现微分段。

  • 用于本地和云部署的统一安全策略模型,支持多管理程序(即ESXi 和KVM)和多工作负载,粒度级别低至 VM、容器、裸机属性。

  • 与计算域不可知-支持由不同计算管理器管理的虚拟机监控程序,同时允许将定义的微分段策略应用于跨多个 vCenter 环境的虚拟机监控程序。

  • 支持基于第3层,第4层,第7层 APP-ID 和基于身份的防火墙策略。

  • NSX 网关防火墙充当 N-S 流量的集中式状态防火墙服务。网关防火墙是针对每个网关实现的,在 Tier-0 和 Tier-1 上均受支持。从策略配置和实施角度来看,网关防火墙独立于 NSX DFW。

  • 网关和分布式防火墙服务插入功能,可通过与合作伙伴生态系统集成来提供 IPS/IDS 等高级防火墙服务。

  • 根据各种标准(包括标记,虚拟机名称,子网和段)将对象动态分组为称为组的逻辑结构。

  • 策略实施的范围可以是选择性的,具有应用程序或工作负载级别的粒度。

  • SpoofGuard 在 vNIC 级别阻止IP欺骗。

  • 交换机安全性提供风暴控制和安全性,防止未经授权的流量。

 

  • 与众不同的安全策略 - 动态自适应

 

NSX 的分布式防火墙安全策略与现有大多数的防火墙与众不同,抛弃了以往的静态安全策略,而是启用动态安全策略,能否覆盖很多复杂的场景,灵活而便捷。以往 IP 地址被替换为组,端口被替换为服务,同时增加了上下文关联的配置文件。细心的网络安全工程师或您可以看如下图例所示,可以细细体会出其中的变化与奥妙,维护动态安全策略的工作量大幅减少,这种动态自适应安全策略达到了易于实施的应用安全隔离和实现应用网络流量精细化控制的目标。

14


  • 策略:安全策略包括防火墙规则和服务配置等各种安全元素。策略以前称为防火墙区域控制规则。

  • 规则:作为流量评估依据和定义在匹配时所执行操作的一组参数。规则包括源和目标、服务、上下文配置文件、日志记录以及标记等参数。

  • :组包括静态和动态添加的不同对象,可用作防火墙规则的源和目标字段。可以将组配置为包含虚拟机、IP 集、MAC 集、逻辑端口、逻辑交换机、AD 用户组和其他嵌套组的组合。可以基于标记、虚拟机名称、操作系统名称或计算机名称动态包含组。创建组时,必须包括该组所属的域,默认情况下为默认域。

  • 服务:定义端口和协议的组合。用于根据端口和协议对流量进行分类。可以在防火墙规则中使用预定义的服务和用户定义的服务。

  • 上下文配置文件:定义上下文感知的属性,其中包括应用程序 ID 和域名。此外,还包括子属性,如应用程序版本或密码集。防火墙规则可以包含上下文配置文件以启用第 7 层防火墙规则。


35


27


四. NSX 插件兼容性说明

37

 

  • 裸机服务器 

15 

  • 裸机Linux容器 

16

  • Kubernetes 

17

 

  • Pivotal Cloud Foundry(PCF) 

18

 

  • OpenShift 

49-1

  • OpenStack Neutron 

19

38


27

 

五. NSX 运维可视化工具

40

 

  • 网络可见性和分析

 

  • 混合云/多云和 SD-WAN 的可见性,支持 VMware NSX,VeloCloud,AWS 上的 VMware Cloud 和 Microsoft Azure

  • 发现覆盖网络和底层网络之间的连通性

  • 跨混合云分析流量和应用程序

 

  • 规划应用程序安全性和云迁移
  • 发现应用程序(虚拟机,容器),识别流量模式

  • 在应用程序发现和定义中支持 Azure 虚拟机

  • 创建应用程序层时,支持对 Kubernetes 实体执行“自定义搜索”

  • 优化了仪表板,提高了响应能力,缩短了加载时间

  • 规划安全性:推荐防火墙策略,微分段应用

  • 解决跨 VM,容器和云的混合应用程序的安全性

  • 映射依赖关系以减少应用迁移期间的风险


 

  • 对虚拟和物理网络进行优化和故障排除

 

  • 减少应用程序连接性问题的平均修复时间(MTTR)

  • 通过消除网络瓶颈来优化应用程序性能

  • 对 Kubernetes 服务和 Pod 执行网络路径跟踪

  • 在多个 NSX Manager 中进行管理和扩展


  • 范例一:应用仪表盘增强

Network Insight 工具有一个引人注目的仪表板,专注于应用程序。一切都在那里;应用程序本身的拓扑,在应用程序的层与外部之间流动的实时网络流,所有基础结构事件,所有工作负载指标;解决应用程序故障所需的一切。网络拓扑特别有用,因为它可以显示网络流量,但是仅限于4.1 版本中的层。使用 Network Insight 4.2,放大时可以看到每个流。通过放大,层可以扩展为包括所有工作负载(VM,容器)和每个工作负载的流连接。

20 


  • 范例二:K8s 服务to服务和 Pod to Pod

21

 

  • 范例三:流式遥测以获取物理交换机拥塞指标

22

  • 范例四:网络延迟指标


延迟是应用程序性能的最佳指标之一;延迟越大,最终用户的等待时间就越长。Network Insight 4.2 引入了两种形式的网络延迟度量:连接到网络流的 TCP 往返时间(RTT)和特定组件(vSphere主机中的虚拟和物理NIC)之间的延迟度量


TCP RTT 度量标准附加到网络流,可以在流的仪表板中找到(单击特定流),也可以使用搜索引擎,例如流的“平均TCP RTT”,其中“平均TCP RTT> 10ms”。这将导致具有10ms 更高 RTT 延迟的流列表。

23

 

通过使用 Flow Insights 页面并查看“网络性能”图,还有一种很好的方法来分析整个基础结构的延迟性能。

24


上图显示了总体延迟统计信息,并快速识别了性能最差组中的所有流。然后,您可以深入查找未执行的确切流程并分析原因。

其他可用的延迟度量标准是虚拟 NIC(vNIC)和物理 NIC(pNIC)的延迟度量标准。当前在同一 vSphere 主机内跟踪这些延迟指标,并且支持不同的路径,即 vNIC 到 pNIC,pNIC 到 vNIC 和 vNIC 到 vNIC。要获取延迟指标,需要适用于 vSphere 6.4.5 或更高版本的 NSX Data Center。

41


27

  

43 


Cotract us



 

 

 

Zhenglu Gu

资深网络工程师、咨询顾问

GTI 中国

电话:+86(21) 6375 8369

邮箱:ding.yi@gti.com.hk

 

Tony Ding

技术经理、咨询顾问

GTI 中国

电话:+86(21) 6375 8369

邮箱:ding.yi@gti.com.hk

 

Rock Long

区域经理、咨询顾问

GTI 中国

电话:+86(21) 6375 8369

邮箱:rock.long@gti.com.hk

 


 

摆脱以往的备份模式,数据实验室备份下来的数据完全可以使用,数据实验室打造了一个封闭隔离的环境,与生产环境是完全隔离的两套环境,用户可以随时访问到隔离环境的业务,可在数据实验室的备份环境中做系统打补丁、培训、开发等,来充分使用备份资源,使用完成后可以快速回收及释放资源

可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。

可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。