VMware将NSX安全引入AWS工作负载

2018-09-19 15:42:22在拉斯维加斯举行的VMworld 2018大会上，VMware推出了适用于AWS Direct Connect的NSX实例，以及在亚马逊云计算服务(AWS)工作负载应用NSX安全策略的技术。

近日VMware推出了一些功能来改善其NSX网络target="_blank">虚拟化的使用以及私有云和公共云中的安全软件。

在拉斯维加斯举行的VMworld 2018大会上，VMware推出了适用于AWS Direct Connect的NSX实例，以及在亚马逊云计算服务(AWS)工作负载应用NSX安全策略的技术。此外，VMware称Arista Networks的虚拟和物理交换机会执行NSX策略—这是这两家供应商合作的结果。

VMware正在对AWS工作负载应用NSX安全策略，包括微分段，这主要通过在AWS上的VMware Cloud添加NSX-T支持来实现。NSX-T为容器和非VMware虚拟化环境提供网络和安全管理。AWS上的VMware Cloud是一种混合云服务，可在AWS运行VMware软件定义数据中心堆栈。

NSX-T>服务器运行的容器和基于Linux的工作负载。NSX-T利用Open vSwitch将Linux主机转变成NSX-T传输节点，并提供状态安全服务。

VMware计划在11月份发布NSX-T 2.3。

AWS Direct Connect上的NSX

为了帮助企业连接到AWS，VMware将在NSX和AWS Direct Connect之间进行整合。该组合将在AWS上VMware Cloud运行的工作负载以及数据中心内基于VMware私有云运行的工作负载之间提供NSX连接。

AWS Direct Connect可让公司绕过公共互联网，并在数据中心和AWS位置之间建立专用网络连接。对于有规定禁止在公共互联网传输敏感数据的公司来说，Direct Connect特别有用。

***，VMware还在Arista的CloudVision和NSX之间引入互操作性。这样的话，企业可在Arista交换机执行NSX安全策略，无论是运行在公共云还是在数据中心。

Arista CloudVision可在多个云环境中管理交换架构。去年，该公司发布虚拟版本的EOS网络操作系统，可用于AWS、谷歌Cloud Platform、微软Azure和甲骨文云。

VMware正在利用其NSX产品组合来连接和保护数据中心、分支机构和公共云中运行的基础设施及应用程序。对于分支机构，VMware已将NSX与该公司的VeloCloud软件定义WAN整合，以便在WAN边缘的应用程序提供微分段。

在多云网络方面，VMware主要竞争对手是思科和瞻博网络。

TechTarget中国原创内容，原文链接：

? TechTarget中国：

国内SDWAN网络有什么优势特征？

SD-WAN主要优势：

可部署于物理设备（白盒）、虚拟环境（VMware、KVM）、公有云部署（如AWS\Azure\Ali\Tencent）等，实现企业各种混合组网；

具备传统路由设备的功能，支持各类动态路由协议，如OSPF、BGP等，可与各厂商设备进行对接；

支持双主热备HA部署，保障企业网络的高可用；

链路负载及实时链路质量检测，智能分流（可根据自定义或预定义应用进行智能分流）；

支持状态化防火墙、下一代防火墙，可实现Web过滤，防病毒等各类安全策略，强化内网安全；

提供可视化界面，全网设备状态及网络使用情况一键查看；

零接触部署，插线即用，简化实施过程，缩短项目部署周期。

SD-WAN主要特性：

一线多接，同一线路实现路由的多种意图；

灵活接入，无缝连接到SD-WAN网络；

针对不同应用，调用不同的安全策略；

内嵌安全加密机制，加密传输，保证数据安全；

极简部署，先决条件依赖低（即现网改动较小）。

vSphere DRS是什么？

Vmware DRS可以配置为自动或手动模式运行，在自动模式中，Vmware DRS会自动将虚拟机前一道群集中最适合的主机上，无需进行任何人工操作，在手动模式中，Vmware DRS会就虚拟机的最佳位置提出建议，然后让系统管理员决定是否进行迁移。 借助Vmware DRS，可以将新的虚拟机放置到群集上，而不是某台特定的主机服务器上，，对虚拟机的位置以及启动时间，Vmware DRS会自动作出智能化的决定。 针对特定的使用情况，Vmware DRS还支持关联和反关联规则。 例如，反关联规则可使群集中各虚拟机时中在不同的物理服务器上运行，以便实现硬件冗余。 相反，关联规则可使两个具有内部联网需求的虚拟机时中在同一物理主机上运行。 迁移虚拟机之后，Vmware DRS会完整保留已分配的资源。 Vmware DRS知道，如果在具有3GHz的8路服务器上，某台虚拟机分配到10%的CPU资源，那么将其迁移到处理器主频较低的2路服务器上之后，该虚拟机将需要获得更高比例的主机资源，才能保证其正常运行。 在向群集中添加新的ESX Server主机时，Vmware DRS会立即做出响应，通过在VirtualCenter内进行简单的拖放就可以进行添加。 新的主机会使群集中虚拟机的资源池获得增长而Vmware DRS会适当地将虚拟机迁移到新的主机上，以重新平衡工作负载。 同样，从群集中删除主机时，Vmware DRS也会做出相应，将该主机上的虚拟机迁移到群集中的其他主机上。

SDWAN如何改造多云应用网络？

SD-WAN如何改造多云应用？

对于工作负载迁移上云的现况，企业采用异质平台的云端服务，主要目的是避免因此被单一厂商绑定，许多本土企业是AWS、Azure、GCP都有采用，部署不同的应用服务。 但运行一段时间后才发现，全数部署在单一服务供应商的平台，难以随着市场需求调整迁移到其他云端平台。 另一个层面的问题是迁移部署后才发现云端平台的功能性不足、网路回应速度不够快等问题，毕竟不同公有云服务供应商各有强弱项，若初期未纳入规画考量，上线运行后恐遭遇障碍，届时也难得到企业等级的技术支援。

现阶段本土云端服务代理商几乎都专精于单一种公有云平台的技术，少有多种技术皆得以掌握，即便是系统整合商，技术人员的技能也尚未跟上现代应用的脚步。 现实的状况是，企业普遍不愿意支付技术支援服务费用，也是导致系统整合商难以培育人才的因素之一。

针对多云应用需求，首先是使用者存取时的控管，透过虚拟网络连线执行单一登入，可以透过云端服务来提供，或者是建置在公有云的IaaS平台上，企业可依据应用需求选用；其次是应用服务的保护可选用防火墙、流量控管、DNS等机制，亦可透过云端服务整合运行，例如所有连线到网路银行服务的流量，必须全数先导向WAF检查。

诸如此类云端应用所需机制，皆可藉由Cloud取得。 现代企业应用架构通常是地端与外部公有云整合运行，因此SD-WAN解决方案搭配ADC服务，当终端用户连线存取SaaS时，可透过Cloud提供的存取控管机制来确保安全性，或是针对Office 365应用提供多因素认证、在文件上加上浮水印等安全机制，以确保云端应用的安全性。