Emil Gągała, EMEA SDDC Network Virtualization & Security Pre-Sales Architect, VMware

VMware NSX to rozwiązanie typu SDN (Software Defined Networking), którego podstawową funkcją jest wirtualizacji sieci oraz zabezpieczenie środowisk wirtualnych. Udostępnia typowe elementy sieciowe takie jak przełączniki, routery, load balancery, firewalle i VPN, doskonale znane ze świata fizycznego, dla środowiska maszyn wirtualnych. Przy czym wszystkie funkcje sieciowe realizowane są w postaci wirtualnej jako oprogramowanie zintegrowane z VMware vSphere.

Korzyści oferowanych przez VMware NSX jest wiele. Dotyczą one zarówno zwiększenia bezpieczeństwa środowiska wirtualnego, jak i optymalizacji czynności związanych z dostarczaniem nowym usług sieciowych poprzez ich automatyzację. Dzięki NSX możemy zapewnić mobilność IP naszych aplikacji oraz zwiększyć niezawodność lokalizacji naszego Data Center. Jeśli decyzję “Czy NSX?” mamy za sobą, to kolejne, naturalne pytanie jakie się pojawia, to “Jak wdrożyć NSX?”. W sposób możliwie najprostszy, nieinwazyjny, przy jak najmniejszych zmianach w istniejącym środowisku.

Jest to pytanie, które bardzo często pojawia się w rozmowach z naszymi klientami, którzy zaczynają swoją przygodę z NSX i zbierają pierwsze doświadczenia. Większość, szczególnie w przypadku krytycznych aplikacji wymagających zachowania ciągłości pracy, oczekuje raczej podejścia ewolucyjnego niż rewolucyjnego. I takie też może być wdrożenie NSX.

Możliwe są dwa podstawowe scenariusze. Pierwszy, to podejście ograniczające implementację NSX tylko i wyłącznie do funkcji związanych z bezpieczeństwem, w szczególności z rozproszonym firewallem. Drugi scenariusz, to pełne wdrożenie NSX, obejmujące potencjalnie wszystkie dostępne funkcjonalności, w szczególności również wprowadzenie sieci nakładkowych.

Wdrożenie NSX w modelu „tylko bezpieczeństwo”

Zaletą pierwszego podejścia jest brak konieczności dokonywania jakichkolwiek zmian w istniejącej konfiguracji sieci L2/L3. Cała konfiguracja VLAN’ów, routingu, punktu styku z siecią zewnetrzną pozostaje niezmieniona.

W tym modelu na hostach ESX instalowany jest tylko moduł rozproszonego firewalla. Instalacja i uruchomienie rozproszonego modułu firewalla nie powoduje przerwy w pracy maszyn wirtualnych, ponieważ firewall jest skonfigurowany z domyślną polityką akceptującą cały ruch. Dopiero w kolejnym kroku administrator NSX dokonuje wdrożenia pożądanych polityk bezpieczeństwa, modyfikując politykę domyślną.

Przy tym modelu wdrożenia, jedyne komponenty NSX, które są wymagane to NSX Manager i moduły VIB rozproszonego firewalla instalowanie bezpośrednio w kernelu wirtualizatora ESX. Cała istniejącą konfiguracja sieciowa pozostaje bez zmian.

Pełne wdrożenie NSX

Drugi model, to model pełnego wdrożenia NSX, który zakłada uruchomienie sieci nakładkowej. Przy tym podejściu mamy możliwość korzystania nie tylko z dobrodziejstw mikrosegmentacji, ale również z rozproszonego routingu, możliwości rozciągania sieci L2 z wykorzystaniem komunikacji L3 w ramach jednej lub pomiędzy kilkoma lokalizacjami fizycznymi.

To podejście wydaje się pozornie bardziej skomplikowanie. W rzeczywistości prowadzi do uproszczenia konfiguracji sieci i usług, poprzez klarowną separację infrastruktury sieci fizycznej i wirtualnej. W tym scenariuszu wymagane jest wcześniejsze jednorazowe przygotowanie transportowej sieci fizycznej do realizacji wirtualnych sieci nakładkowych.

Jak w kilku prostych krokach może wyglądać wdrożenie pełnego rozwiązania NSX?

Krok pierwszy to konfiguracja podkładowej sieci transportowej (zwiększenie MTU, zapewnienie komunikacji IP między końcami tuneli VXLAN).
Krok drugi to instalacja modułów NSX. W tym przypadku oprócz NSX managera, przygotowujemy również klaster kontrolerów NSX oraz instalujemy w kernelu ESX moduły VIB nie tylko odpowiedzialne za firewalla, ale również za przełączanie i rozproszony routing.
W kolejnym kroku konfigurujemy logiczne parametry sieci VXLAN (adresacja IP, pule VNI), po to żeby przygotować sieć transportową L3.
Po tym kroku mamy już gotową instalację NSX i możemy zacząć konfigurację wirtualnych sieci logicznych VXLAN. Nasze maszyny wirtualne są jednak cały czas podłączone do zwykłych sieci VLAN.

W jaki sposób przełączyć teraz maszyny wirtualne podłączone do sieci VLAN i podpiąć je do logicznych przełączników NSX VXLAN? Z pomocą przychodzi tutaj kolejny komponent NSX – L2 bridge. Dzięki temu elementowi możemy połączyć istniejące w naszej sieci VLAN’y z nowo utworzonymi podsieciami VXLAN. Przełączenie maszyny wirtualnej z tradycyjnej sieci do domeny VXLAN, to proces który gwarantuje ciągłość pracy i nie wymaga żadnych przerw. Co więcej, taki wspólny segment L2 VLANVXLAN jest przezroczysty z punktu widzenia maszyn wirtualnych, które „widzą” go jak zwykły segment Ethernet. Takie połączenie może być wykorzystane nie tylko w trakcie migracji maszyn wirtualnych, ale również do połączenia serwerów fizycznych (bare metal serwer).

Efektem końcowym tego kroku jest przepięcie wszystkich maszyn wirtualnych do logicznych przełączników NSX kontrolowanych przez klaster kontrolerów NSX. W kolejnym etapie przygotowujemy konfigurację zarówno rozproszonego routera (Distributed Logical Router) jak i routera brzegowego NSX (Edge).
Większość naszych klientów wymaga zachowania dotychczasowej adresacji IP maszyn wirtualnych, dlatego naszą nową bramą domyślną będzie rozproszony router DLR. Na tym etapie mamy również możliwość uruchomienia dynamicznego routingu między routerem rozproszonym a routerem brzegowym.
Przeniesienie adresu IP domyślnej bramy z dotychczasowego urządzenia fizycznego (routera, przełącznika L3 lub firewalla) do rozproszonego routera NSX to jedyny etap w trakcie całej migracji powodujący przerwę w ruchu.
Sam proces konfiguracji rozproszonego firewalla przy pełnym wdrożeniu NSX odbywa się dokładnie tak samo, jak w przypadku pierwszego, uproszczonego modelu implementacji.
Na tym etapie mamy już gotową instalację NSX z przygotowanymi elementami sieci logicznej L2, rozproszonego firewalla, rozproszonego i brzegowego routera. Możemy przystąpić do konfiguracji pożądanej polityki bezpieczeństwa dla naszego środowiska wirtualnego.

O tym, jak to zrobić oraz jakie narzędzia mogą nam w tym pomóc w następnym odcinku.

Bardziej szczegółowe rozważania dotyczące obu modeli wdrożenia NSX można znaleźć tutaj >

Chcesz się dowiedzieć więcej o rozwiązaniu VMware NSX? Zarejestruj się na nasze webinaria >

Kategoria: SDDC

Tagi: NSX, SDDC, vmware nsx