因虛擬化環境及雲端架構的特性,資料中心內之虛擬機器數量大幅增加,遠超過原先實體環境規模,導致安全政策的維運困難性大幅增加。資料中心內的東西向網路流已遠遠大於出入資料中心的南北向網路流量,東西向的安全防護是刻不容緩的。
NSX微分段概念 (Micro-Segmentation)
NSX-T規劃建置
客戶導入NSX Micro-Segmentation後效益
NSX微分段概念 (Micro-Segmentation)
- 傳統集中式防火牆:需要及高效能、複雜防火牆政策、不理解虛擬化環境。
- NSX分散式防火牆:政策集中管理,但安全管理阻擋直接分散在x86主機端進行。
- 安全政策跟隨業務虛擬機器移動至任意環境,安全政策異動自動派送至對應虛擬機。
NSX-T規劃建置
- Compute Node:vSphere or KVM等虛擬化主機,上面的VM或Container都可以透過NSX-T進行東西向防護。
- Edge Node:橋接實體網路及Geneve虛擬網路的元件,所有上行到實體流量必定會經過Edge。
- Transport Node:Computer、Edge Node的統稱,資料傳輸層的元件。
- Transport Zone:表示邏輯交換延伸的範圍。
- Uplink Profile:用來定義Compute Node、Edge Node的Uplink資訊。
- NSX-T虛擬網路運行在Geneve構成的虛擬網路內,可稱為Overlay Network。
客戶導入NSX Micro-Segmentation後效益
- 以NSX達成業務間與伺服器間需求的安全管理機制。
- 能夠集中進行安全管理,並大幅減低維運Effort。
- 即使於同網路內進行弱掃測試,可於每台虛擬機前直接提供防火牆防護。
- 最短期間內鎖定所有停止支援無法更新的虛擬機並進行後續升級。
