VMware NSX-T – innovatsioon mitme pilve võrgulahendustes

VMware NSX-TFoto:WaveCom

Kui varem oli isegi lihtsamate füüsilist riistvara hõlmavate võrgumuudatuste sisse viimine aeganõudev ja keeruline tegevus, kuhu tuli kaasata kogu IT tiim, siis tarkvaralistes andmekeskustes on muudatuste, konfiguratsioonide, uue disaini ja arhitektuuri koodis juurutamine oluliselt hõlpsam.

Täna kasutatakse juba enamikes kaasaegsetes andmekeskustes riistvara virtualiseerimist, tänu millele  on pilveteenuste pakkumine muutunud oluliselt paindlikumaks ja kulutõhusamaks. Virtualiseerimine võimaldab andmekeskust tõhusamalt skaleerida ning see omakorda andmekeskuse klientidel väiksemate kuludega paremaid pilveteenuseid pakkuda.

Üks põnevamaid uusi lähenemisi virtualiseerimismaailmas on tarkvaraga määratletud võrk (SDN ehk Software-defined Network). Selle lähenemise puhul on füüsiline võrk lihtsalt aluskeskkond, mille peal virtuaalse võrgu pakette vahetatakse ja suunatakse. 

VMware NSX on võimas tarkvarapõhine võrgulahendus, mis võimaldab ettevõtetel lahendada turvalisuse, automatiseerimise ja paindlikkusega seotud väljakutseid tänapäevastes andmekeskustes. 

Neli peamist VMware NSX kasutegurit

Mikrosegmenteerimine (Micro-segmentation)

Mikrosegmenteerimine aitab rakendada nn “zero-trust” turvamudelit, kus kõiki võrgu lõpp-punkte (endpoint) peetakse ohtlikeks. Traditsioonilise lähenemise puhul eraldati omavahel “ebausaldusväärsed” tsoonid (N: internet) ja “usaldusväärsed” tsoonid (N: kohtvõrk).

Mis saab aga siis, kui ründaja tungib edukalt kohtvõrku? 

Traditsioonilise võrguturbetaktikaga saavutaks ründaja kontrolli kõigi LAN-is eksisteerivate “usaldusväärsete” võrgu lõpp-punktide üle. NSX-iga aga välistab sellise olukorra virtuaalne horisontaalne (võrgusisene liiklus) ja vertikaalne (sise- ja välisvõrgu vaheline liiklus) tulemüür.

Mikrosegmenteerimise põhimõtte kohaselt ei ole võrgu lõpp-punkt usaldusväärne ja sellel on lubatud suhelda ainult teie poolt määratud konkreetsete võrgu lõpp-punktidega ja teenusega. Ükskõik, kas teie eesmärk on lukustada kriitilised rakendused või luua loogiline alamvõrk, NSX-iga on seda lihtne teha. Mikrosegmenteerimine ja horisontaalne tulemüür vähendab oluliselt võimaliku ründepinna suurust.

Mitme pilve võrgulahendused (Multi-Cloud Networking ja Federation)

Paljud ettevõtted on võtnud kasutusele hübriidtaristu, mis ulatub kohapealsest andmekeskusest ühe või mitme avaliku pilveni.  Kui tekib vajadus skaleerida ja laiendada võrguliiklust tõhusalt pilve ilma turbe- ja võrgupoliitikatest loobumata, siis ka seda saab NSXi abil hõlpsalt teha.

VMware NSX võimaldab tarkvaraliselt keeruliste segmenteeritud võrgulahenduste loomist virtualiseerimise tasandil läbi erinevate andmekeskuste. Uuema põlvkonna NSX-T abil saab siduda oma andmekeskuse lihtsalt  VMware Cloud’i teenusepakkujate avalike pilvedega või siis AWS ja Azure teenustega.

Virtualiseeritud võrkude abil saavad ettevõtted geograafilistest piiridest sõltumatult oma rakendusi juurutada ja sujuvalt liigutada erinevate asukohtade vahel.

Võrgu automatiseerimine (Network Automation)

VMware NSX on täielikult tarkvaraga määratletud lahendus ehk API liideste kaudu täielikult juurdepääsetav, konfigureeritav ja hallatav.

Kõiki NSX-i virtualiseeritud võrgu- ja turbefunktsioone saab automatiseerida, mis aitab vähendada käsitööd ning sellega kaasnevaid kitsaskohti ja vigu ning aitab tagada turbepoliitikate täitmise ja vastavusse viimise ärinõuetega. Toetatud on levinud lahendused nagu Ansible, Terraform ning vRealize automation.

Pilvepõhised rakendused (Cloud-Native Apps)

Pilvepõhised rakendused nagu kubernetes äppid saavad kasu samadest võrgueelistest nagu mikrosegmenteerimine ja ka kõik muud NSX teenused. NSX võimaldab rakendada ühtseid võrgupoliitikaid ja reegleid olenemata sellest, kus või mis platvormil see töötab. 

Uuema põlvkonna VMware NSX-T on tihedalt integreeritud VMware Tanzu Kubernetes lahendustega.

Foto: WaveCom

Uue põlvkonna lahendus NSX-T

Hetkel on VMware NSX lahendusel kaks varianti: oma elutsükli lõppu jõudnud esimese põlvkonna toode NSX-V ja järgmise põlvkonna toode NSX-T. 2022. aasta jaanuaris lõppes VMware 2012. aastal turule tulnud NSX-V toote tugi ja selle kasutajatel tuleb üle minna NSX-T peale. NSX-V oli küll võimas VMware SDN-lahendus, kuid seda piiras selle sõltuvus vCenter Serverist ja vananenud arhitektuurist.

Tuleviku rakendused on pilvekesksed ja ei sõltu konkreetsest hüperviisorist ja andmekeskusest. VMware on arendanud NSX-T strateegiliselt nii, et sellel oleks funktsionaalsused võrguprobleemidele nii kohapealsetes, hübriid- kui ka mitme pilve keskkondades. 

Peamine erinevus NSX-V ja NSX-T vahel on see, et NSX-T on VMware vSphere’ist “lahti ühendatud”, mis tähendab seda, et NSX-T juurutamiseks ei pea olema vCenter serverit. See võimaldab VMware-i uuenduslikke ja paremini hallatavaid võrguteenuseid. NSX-T-le on sisse ehitatud erinevate hüperviisorite (vSphere ESXi, CentOS Linux KVM, Ubuntu KVM jne) ja keskkondade (Kubernetes, Docker, OpenStack jne) tugi. 

Kapseldamise protokoll (Encapsulation protocol)

NSX-V VXLAN asemel on NSX-T võtnud kasutusele kaasaegsema GENEVE protokolli. GENEVE kapseldamisprotokoll toimib efektiivsemalt ja pakub rohkem jõudlust kui VXLAN, ning omab paremat latentsi hajutatud võrkudes.

Marsruutimine (Routing) 

NSX-V kasutas DLR (Distributed Logical Router) ja tsentraliseeritud marsruutimist, mis pole mitme asukohaga võrgus optimaalne ja võib põhjustada latentsuse suurenemist. Lisaks ei paku DLR head tuge multi tenant lahendustele, mis on tänapäevaste pilveteenuste põhinõue.

NSX-T kasutab kahetasandilist Tier 0 ja Tier 1 hajutatud marsruutimise mudelit, kus kõik võrgusegmendid provisioneeritakse automaatselt. Tier 0 marsruuter on kasutusel ühendusteks välisvõrkudega, Tier 1 seevastu täidab organisatsiooni edge gateway rolli. Nende omavahelised ühendused on automatiseeritud ja ei pea kulutama aega teenuse võrgukomponentide planeerimisele.

Turvalisus

NSX-T võimaldab ühe korraga määrata turbepoliitikat kõikidele pilves töötavatele rakendustele, mis aitab transpordisõlmi optimaalsemalt kasutada.  Seda saab rakendada dünaamiliselt igale töökoormusele rakenduse atribuutide ja kasutajapõhiste tag-ide alusel. IPS võimaldab kompromiteeritud rakendusi automaatselt karantiini panna. NSX-T võimaldab saata valikulist liiklust kolmanda osapoole turvateenustesse.

NSX-T kasutamine VMware pilves

VMware Cloud on teenus, mida pakuvad VMware Service Provider partnerid, kes kasutavad VMware tarkvara stack’i, mida juhib VMware Cloud Director. Läbi Cloud Dircetor´i saavad kliendid hallata oma pilveteenuseid ja kasutada ka kõiki NSX pakutavaid funktsionaalsusi. Kliendil on võimalik teha endale routed või isoleeritud võrke ning defineerida vapp alamvõrke ja pääsupunkte (gateway) mis on horisontaalselt kaitstud distributed firewall’iga. Edge või vapp gateway sisaldab tulemüüri, NAT(SNAT, DNAT), IPSEC, L2 VPN, load balancer´i ja palju muud. 

WaveCom on ainus Cloud Verified VMware pilveteenuse pakkuja Eestis

Eestis pakub VMware platvormil pilveteenust VMware Advanced partner ja Baltikumi ainuke VMware Cloud Verified sertifitseeritud teenusepakkuja WaveCom AS.

„Pakume kõiki VMware’i tarkvaralise andmekeskuse piiramatuid võimalusi nagu vSphere Enterprise Plus tasemel virtualiseerimine, Cloud Director pilveteenuste juhtimine, VMware Tanzu konteinerid, VMware NSX-T võrgulahendused, vRealize operation tenant apps, Cloud Availability Disaster Recovery ja Veeam varundus. Meie teenused on pidevas arengus, et pakkuda pidevalt uusi funktsionaalsusi ja mugavamat haldust,“ ütleb Wavecom’i tegevjuht Kristian Liivak.

WaveCom’i andmekeskus ja teenused vastavad infoturbe ja käideldavuse standardile ISO 27001:2013. WaveCom´i innovaatilises andmekeskuses majutavad teenuseid paljud tehnoloogia-, kindlustus-, finants- ja küberturvalisusega seotud ettevõtted, kes kasutavad või pakuvad kõrgkäideldavaid IT-teenuseid.

Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood mujal Geeniuses

Kolm korda nädalas

Telli DigiPRO uudiskiri

Kolm korda nädalas (esmaspäeviti, kolmapäeviti ja reedeti) spetsiaalne DigiPRO liikmetele tehtud kommenteeritud uudiskiri, et sa midagi olulist maha ei magaks. Iga uudiskirja magnet on meie ajakirjanike kirjutatud pikem artikkel, mis meie arvates võiks selles valdkonnas töötavaid inimesi huvitada ja neile vajalik olla