Introdução
O VMware NSX é uma plataforma de software de virtualização de rede e segurança que fornece o modelo operacional de uma máquina virtual para o ambiente de rede.
A virtualização com o NSX reproduz o modelo operacional de rede de camada 2 a 7 em software, permitindo que topologias complexas de rede em múltiplas camadas sejam provisionadas em segundos.
O NSX também oferece um novo modelo para a segurança de rede, pois permite criar firewalls distribuídos conectados diretamente às máquinas virtuais, promovendo microssegmentação da rede. Os firewalls distribuídos “se movem” junto com as máquinas virtuais caso as mesmas sejam movidas para outros locais.
A virtualização de rede é um componente essencial para a criação de um data center definido por software (SDDC, ou Software Defined Data Center) onde a inteligência está baseada em software, a estrutura é independente de hardware e existe a possibilidade de automação para configurações e gerenciamento.
Serviços de Rede do NSX
Os NSX oferece os seguintes serviços de rede:
- Logical switches: cria domínios de broadcast aos quais uma aplicação ou uma máquina virtual dentro de um cliente (tenant) podem ser logicamente conectados. Um logical switch é distribuído e pode se estender por grandes conjuntos computacionais (computer clusters). Isso permite realizar vMotion dentro do data center sem as limitações físicas de limites de camada 2.
- Logical routers: oferece funcionalidades de roteamento estático e dinâmico em software, facilitando a comunicação leste-oeste de aplicações e máquinas virtuais, além de permitir comunicação norte-sul entre redes virtuais isoladas e outras redes.
- Logical Firewall: fornece serviços de segurança para data centers virtuais e dinâmicos. O componente de firewall distribuído permite a segmentação virtual de objetos como máquinas virtuais (baseados em nomes ou atributos), identidades de usuários, objetos do vCenter como datacenters ou hosts, assim como em atributos tradicionais como endereço IP, VLANs, etc. O componente de borda (edge firewall) permite construir DMZs, criar isolamento entre tenants em ambientes com múltiplos clientes em data centers virtuais, realizar NAT, criar Extranet VPNs e VPNs para usuários baseadas em SSL.
- Logical VPNs: permite criar VPNs de acesso remoto para usuários através de SSL ou VPNs site-to-site com IPSec.
- Logical Load Balancer: permite a distribuição de requisições de serviços entre múltiplos servidores de forma transparente ao usuário. O balanceamento pode ser realizado até a camada 7.
- Service Composer: permite o provisionamento e a atribuição de serviços de rede e segurança a aplicações ou máquinas em um ambiente virtual através da criação de grupos de segurança (security groups). O componente Data Security traz visibilidade aos dados virtuais e oferece ferramentas de análises para cumprimento de legislações e normas de segurança.
- Serviços de estensibilidade (NSX extensibility): fornece diversas integrações com outros produtos da VMware e de terceiros (como Palo Alto, F5, Symantec e outros).
Componentes
O NSX oferece os serviços lógicos de rede através dos seguintes componentes (no texto os nomes dos componentes será mantido em inglês para trazer familiaridade com a interface de usuário do NSX):
- NSX Manager: é o componente de gerenciamento centralizado de rede do NSX e é fornecido como um appliance virtual no ambiente do vSphere. Oferece a interface gráfica (UI) e a API de gerenciamento para o NSX. O mapeamento do NSX Manager para o vCenter é de 1:1 e para os outros componentes do NSX é de 1:N.
- NSX vSwitch: é o software que opera nos hypervisors dos servidores para formar uma camada de abstração entre estes e a rede física.
- NSX Controller: é um sistema avançado de gerenciamento distribuído de estado que controla as redes virtuais e os túneis de transporte em overlay. Esse componente funciona como ponto central de controle para todos os switches lógicos na rede e mantém informações sobre todas as máquinas virtuais, hosts, logical switches e VXLANs. Existem três modos para o plano de controle: unicast, multicast e híbrido.
- NSX Edge: oferece serviços de segurança e gateway para redes virtualizadas. Possui duas formas de instalação:
- Services gateway: conecta redes virtuais isoladas (stub networks) a redes compartilhadas (uplink) e fornece serviços como DHCP, NAT, VPN, roteamento dinâmico e balanceamento de carga. Através dessas funcionalidades, permite criar implementações de DMZ, Extranet VPN e nuvem multi-tenants com isolamento entre os clientes.
- Distributed logical router: fornece roteamento distribuído leste-oeste com isolamento de caminho e endereçamento IP entre tenants. Máquinas virtuais e aplicações que estejam em um mesmo host podem ser comunicar diretamente sem ter que atravessar um roteador tradicional.
A figura abaixo ilustra os componentes da plataforma NSX:
NOTA: o ícone do CMS (Cloud Management System) na imagem acima mostra a possibilidade de integração do NSX a sistemas de gerenciamento de nuvens, tal como o vCAC (vCloud Automation Center) da VMware que já possui diversas integrações nativas com o NSX.
NOTA 2: Toda a comunicação de controle do NSX é protegida com criptografia SSL. O NSX Manager cria certificados SSL self-signed para cada controller e host ESXi. A autenticação mútua entre os componentes do NSX ocorre utilizando esses certificados.
NOTA 3: O User World Agent é um cliente SSL que roda como daemon de serviço e que comunica as controllers do NSX, mediando a comunicação das controladoras com os módulos de kernel no hypervisor (exceto o módulo de firewall). Esse cliente recebe informações do NSX Manager através do Message Bus Agent. O módulo de kernel do hypervisor de firewall distribuído comunica-se diretamente com o NSX Manager através do daemon de serviço chamado vsfwd.
A interação dos componentes do NSX é demonstrada pela figura abaixo:
Esta série de artigos não pretende esgotar a discussão sobre o NSX, uma vez que a plataforma é bastante poderosa e oferece muitos recursos. A intenção é abordar a instalação e algumas configurações básicas de componentes do NSX em um abiente de laboratório para oferecer um primeiro contato com a ferramenta.
Clique no link a seguir para acessar o próximo artigo da série: Requisitos para instalação.
Para acessar o índice dessa série de artigos clique em Introdução ao NSX – Índice.
Referências
Este artigo utiliza como referências testes realizados no laboratório do Agility Tech Center e os seguintes documentos da VMware:
- NSX Installation and Upgrade Guide (NSX 6.0 for vSphere)
- NSX Administration Guide (NSX 6.0 for vSphere)