基礎網(wǎng)絡中,物理網(wǎng)絡被分成邏輯子網(wǎng)或其他子網(wǎng)。網(wǎng)絡分段通過縮減每個子網(wǎng)主機系統(tǒng)的數(shù)量,減少網(wǎng)絡擁堵,從而提高性能。通過限制播送流量,隱藏內(nèi)部網(wǎng)絡的結(jié)構(gòu),以及減輕子網(wǎng)內(nèi)網(wǎng)絡故障的影響,分段技術(shù)有助于提高網(wǎng)絡安全性。
VMware NSX為網(wǎng)絡虛擬化增加了基本的性能,帶來了如隔離、分割和安全性等好處。虛擬網(wǎng)絡中,隔離可以在不修改現(xiàn)有網(wǎng)絡體系的情況下,阻止不相關(guān)實體之間的通信,這一點類似于它在虛擬機中的作用。
分割技術(shù)是直接進行的,它將虛擬網(wǎng)絡中的通信置于單個物理網(wǎng)卡中。管理員可以在特定的工作負載中使用NSX建立安全范圍,或在數(shù)據(jù)中心構(gòu)建網(wǎng)段以便增加完善的防火墻功能。這種細微的操作促成了“micro-segmentation”一詞的產(chǎn)生。NSX micro-segmentation 只在vSphere環(huán)境上運行。
網(wǎng)絡虛擬化的安全性規(guī)定了分布式防火墻以及遵循虛擬機部署和運行的策略。另外,第三方安全產(chǎn)品如惡意軟件掃描和入侵預防工具,與NSX相結(jié)合以便提供更全面的服務。
網(wǎng)絡虛擬化分割和安全性中,策略起到了很大的作用,因為這些策略遵循企業(yè)大量自動化的工作流程。除了使用IP地址,虛擬網(wǎng)絡策略利用虛擬機名稱、虛擬網(wǎng)絡標識符、操作系統(tǒng)和其他細節(jié)信息,做出更好的配置決策并減少差錯。
例如NSX的網(wǎng)絡虛擬化平臺也支持虛擬機容器。這種方法結(jié)合了動態(tài)可擴展性的容器,例如Docker等具備普通虛擬機隔離和移動優(yōu)點的容器。除了為各項業(yè)務目標保留一些靈活性,企業(yè)需要摒棄特有的資源,NSX微分割的特色值得探索。