En el artículo anterior de la serie vimos Edge Security Gateway o puerta de enlace de servicios de Edge, uno de sus componentes principales. En el artículo de hoy, voy a describir los componentes principales de NSX Data Center for vSphere restantes y sus características.
Switches lógicos (Logical Switches)
Una implementación de nube o un data center virtual puede tener una gran variedad de aplicaciones que corren en diferentes tenants. Por lo tanto, estas aplicaciones y tenants requieren estar aislados entre sí tanto por motivos de seguridad, para eliminar errores de forma rápida y práctica, y también para evitar la superposición de direcciones IP. NSX Data Center for vSphere permite crear varios switches lógicos, cada uno de los cuales es un único dominio de difusión lógico. Una máquina virtual de una aplicación o un tenant se puede conectar de forma lógica a un switch lógico. lo que permite flexibilidad y velocidad de implementación, al mismo tiempo que brinda todas las características de los dominios de difusión de una red física (VLAN) sin los problemas de spanning tree o dispersión en la Capa 2.
Un switch lógico se distribuye a todos los hosts de vCenter (o todos los hosts de un entorno Cross-vCenter NSX) y puede abarcarlos a todos. Esto permite migrar (vMotion) máquinas virtuales dentro del data center sin las limitaciones de la Capa 2 física (VLAN) y, además, la infraestructura física no está limitada por los límites de la tabla de MAC/FIB, ya que el switch lógico contiene su dominio de difusión dentro del software.
Routers lógicos (Logical Routers)
El ruteo proporciona la información de reenvío necesaria entre los dominios de difusión de Capa 2 y permite disminuir su tamaño, así como también mejorar la eficiencia y el escalamiento de la red. NSX Data Center for vSphere lleva esta inteligencia hasta las cargas de trabajo para realizar el ruteo Este-Oeste. Esto permite una comunicación más directa entre una máquina virtual y otra sin la necesidad de ampliar la infraestructura. A su vez, los routers lógicos proporcionan conectividad Norte-Sur y permiten que los tenants accedan a redes públicas.
Firewall Lógico (Logic Firewall)
El firewall lógico proporciona mecanismos de seguridad para los data centers virtuales dinámicos. El componente firewall distribuido (Distributed Firewall) del Firewall Lógico permite segmentar las entidades del data center virtual, como máquinas virtuales basadas en nombres, atributos de máquinas virtuales, identidad del usuario, objetos de vCenter (data centers) y hosts, así como también atributos de redes tradicionales (direcciones IP, VLAN, etc.). El componente firewall de borde (Edge Firewall) permite cubrir las necesidades de seguridad perimetral, como la creación de DMZ y el aislamiento entre los diferentes tenants alojados dentro un mismo data center virtual.
La característica Flow Monitoring muestra la actividad de red entre las máquinas virtuales en el nivel del protocolo de aplicaciones. De esta forma podemos utilizar esta información para auditar el tráfico de red, definir y refinar las directivas de firewall e identificar amenazas a la red.
Redes privadas virtuales (VPN) lógicas
El servicio SSL VPN-Plus permite a los usuarios remotos acceder a aplicaciones privadas que se encuentren dentro la empresa. VPN IPsec ofrece conectividad de site to site entre una instancia de NSX Edge y sitios remotos con NSX Data Center for vSphere o con routers de hardware y gateways VPN de terceros. La VPN de Capa 2 permite ampliar el data center permitiendo que las máquinas virtuales mantengan la conectividad de red al mismo tiempo que mantienen la misma dirección IP.
Balanceador de carga (Logic Load Balancer)
El balanceador de carga de NSX Edge distribuye las conexiones cliente dirigidas a una sola dirección IP virtual (vIP) hacia varios destinos configurados como miembros de un grupo de balanceo de carga. La distribución se realiza de forma uniforme hacia varios servidores para que la distribución de carga sea transparente a los usuarios. De esta forma, se puede lograr una utilización de recursos óptima, maximizar la capacidad de proceso, minimizar el tiempo de respuesta y evitar la sobrecarga.
Service Composer
El componente Service Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones en una infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y los servicios se aplican a las máquinas virtuales de dicho grupo por medio de una directiva de seguridad.
Extensibilidad de NSX Data Center for vSphere
Finalmente, el servicio de extensibilidad permite que proveedores de soluciones integren sus productos con la plataforma de NSX Data Center for vSphere. Esto da la posibilidad a los operadores del data center de aprovisionar redes virtuales complejas de varios niveles en cuestión de segundos, independientemente de los componentes o la topología de red subyacente.
En el próximo artículo veremos las Zonas de Transporte (Transport Zones), que son las encargadas de controlar con qué hosts puede comunicarse un swtich lógico.
Hasta la próxima
0 comments:
Publicar un comentario