Experten-Interview: VMware NSX

Dank VMware NSX Datacenter lässt sich die Netzwerk-Infrastruktur im Handumdrehen virtualisieren. Die Funktionen und Vorteile kennt unser Experte Stephan Zurbuchen.

NSX bietet die Virtualisierung der Datacenter-Netzwerk- und Security-Infrastruktur. Auch verbindet und schützt NSX Applikationen im gesamten Datacenter. Dies gilt für Workloads im klassischen On-Prem Datacenter und in der Cloud. Nebst Switching und Routing bietet NSX die Virtualisierung einer breiten Palette von Netzwerk-Funktionen wie Firewall, Load Balancer, VPN, IDS/IPS und DHCP Server.

Ganz wichtig: NSX reproduziert das gesamte Netzwerk in Software. So können wir auch komplexe Netzwerk-Architekturen losgelöst von der darunterliegenden physischen Infrastruktur provisionieren und betreiben.

Da die Netzwerk-Infrastruktur in Software realisiert wird, sehe ich den Hauptvorteil in der Flexibilität und Effizienzsteigerung. Beispielsweise ist die Implementation einer neuen Funktion wie Load Balancing innert kürzester Zeit realisiert und einsatzbereit. So ist man unabhängig von Hardware-Lieferungen. Oder die Zuordnung von neuen Server VMs zu Firewall-Regeln kann mittels Tags bewerkstelligt werden. Durch Automatisierung beschleunigt dies den Onboarding-Prozess von neuen Workloads erheblich. Der Prozess zum Bestellen und Ergänzen von Firewall-Regeln entfällt.

Mikrosegmentierung und Zero Trust erhöhen die Sicherheit und Integrität im Netzwerk enorm. Aber was heisst das konkret? Und wie wird dies mit NSX realisiert? Mit dem Zero-Trust-Ansatz wird jeder Datenstrom innerhalb des Datacenters untersucht und mittels einer entsprechenden Regel erlaubt. Mit Mikrosegmentierung teilen wir das Datacenter in kleine, logische Zonen ein, was eine sehr granulare Kontrolle der Verkehrsströme zwischen den Workloads erlaubt. NSX ist sehr flexibel bei der Zuordnung von Workloads in einzelne Segmente. Diese Einteilung erfolgt dynamisch oder statisch via Attribute wie Tags oder Hostnames. Mikrosegmentierung hilft also, Zero Trust zu erreichen.

Die NSX Distributed Firewall (DFW) wird auf jedem ESXi Host im Kernel implementiert. Firewall-Regeln werden direkt an der vNIC auf dem Hypervisor durchgesetzt. Wenn die VM auf einen anderen Host oder in ein anderes Datacenter umzieht, wandert die Security Policy mit. Dies stellt sicher, dass die Sicherheit der Applikationen jederzeit gewährleistet ist.

NSX ist die ideale Lösung für kleine und grosse Datacenter mit virtualisierten Servern und Diensten. Provider von Cloud oder Datacenter Services können mit NSX ihre Dienstleistungen bedarfsgerecht und mandantenfähig anbieten. NSX kann in vielen unterschiedlichen Szenarien sinnvoll eingesetzt werden. Von einem reinen Firewall Setup, in dem das Switching und Routing auf der physischen Infrastruktur stattfindet, bis hin zur voll ausgearbeiteten Private-Cloud-Lösung mit VMware VCF.

Auch für die Container Management Platform VMware Tanzu ist NSX die perfekte Ergänzung und bietet eine nahtlose Integration. Die Netzwerk-Anforderungen wie Load Balancer und Ingress sowie Egress Routing der Tanzu Kubernetes Cluster werden beim Erstellen der Tanzu Workloads im NSX Netzwerk provisioniert und zur Verfügung gestellt.

Mir gefällt besonders die verteilte Architektur von NSX. Netzwerkfunktionen wie Switching, Routing oder Firewalling werden dezentral, nahe der Nutzlast auf dem Hypervisor abgebildet. Dies optimiert die Datenströme im Datacenter und entlastet die zentralen Netzwerk-Komponenten oder macht diese gar überflüssig.

Ein weiteres Highlight ist für mich die Flexibilität, mit der ich Firewall-Gruppen dynamisch erstellen kann. Anhand Tags, Hostnamen, OS-Namen und weiteren Attributen weise ich VMs dynamisch und ohne weitere Arbeitsschritte einzelnen Gruppen zu, um die entsprechenden Firewall-Regeln zu konsumieren. Dies ist eine grosse Hilfe auf dem Weg zu Zero Trust und Mikrosegmentierung.

Erstaunlich ist auch, wie einfach und schnell weitere Workloads zur Verfügung gestellt werden können. Das Serverteam braucht dringend ein neues Segment für das Onboarding einer Applikation? Mit wenigen Klicks im NSX Manager ist dieses erstellt und steht dem Serverteam im vCenter als Port-Gruppe zur Verfügung. NSX übernimmt die Hauptlast der Provisionierung und Konfiguration im Hintergrund.

Stephan Zurbuchen nimmt sich gerne Zeit und hilft Ihnen weiter: Kontaktieren Sie ihn unter zurbuchen@netcloud.ch