Gastblog: Een deep-dive in de verschillende use cases van NSX

April 14, 2016
Gastblog: Een deep-dive in de verschillende use cases van NSX

Hieronder een gastblog van Robert Verdam, Virtualization Consultant bij bConn ICT en blogger bij CloudFix, over de eerste bConn Deep-Dive sessie die vorige week plaatsvond rond het topic NSX:
“Onze 1e bConn Deep-Dive sessie is een aanvulling op de bConn Expert Academy sessies welke wij reeds met enige regelmaat organiseren. Deze zijn bedoeld om technisch specialisten bij te praten over nieuwe ontwikkelingen binnen het vakgebied en ervaringen hieromtrent uit te wisselen. Uit deze sessies is gebleken dat er behoefte was aan verdere verdieping op het gebied van VMware NSX. De deelnemers hadden de mogelijkheid vooraf vragen in te dienen, zodat de deep-dive specifiek kon worden afgestemd op hun informatiebehoefte.

Geordy Korte, Sr. System Engineer Networking & Security bij VMware was bereid om deze deep-dive te leiden en met behulp van de deelnemerslijst (uiteenlopend van projectmanager tot vExpert) en de ingediende vragen een voor alle toehoorders zeer interessante uiteenzetting over VMware NSX te houden. Aangezien deze deep-dive een groot succes is gebleken, wil ik jullie een zo goed mogelijk beeld geven wat er tijdens deze sessie is besproken.

Use Cases
De vragen welke in aanloop naar de deep-dive sessie voornamelijk binnenkwamen, hadden te maken met de vraag waar NSX momenteel binnen Nederland voor wordt (en kan worden) ingezet. (use cases)

Een tweetal van de belangrijkste use cases zijn tijdens deze deep-dive aan bod gekomen:

• Netwerkvirtualisatie (en Automation)
• Security

Netwerkvirtualisatie (en Automation)
NSX maakt het mogelijk om de logische netwerken te abstraheren van de onderliggende fysieke netwerkinfrastructuur, netwerkconfiguraties in software te definiëren en vervolgens op generieke x86-hardware te laten draaien. Hierbij wordt de netwerkconfiguratie dus volledig ontkoppeld van de fysieke onderlaag. De fysieke netwerklaag blijft natuurlijk altijd nog benodigd, maar de configuratie hiervan kan enorm vereenvoudigd worden (slechts een aantal VLAN’s benodigd). De logische netwerken zijn zo dus volledig te ontkoppelen.

deep-dive-1

Figuur 1 Ontkoppeling netwerkconfiguratie van fysieke onderlaag

NSX ondersteunt de volgende netwerkcomponenten in software:

• Switch (Distributed Logical Switch)
• Router (Distributed Logical Router) met ondersteuning voor Static, OSPF, BGP en IS-IS
• Firewall (Distributed Logical Router)
• Bridge (Virtueel naar Fysiek, VXLAN<->VLAN)
• Edge Router (o.a. DHCP/DNS-Relay, L2/L3 VPN, SSLVPN, Routing/NAT)
• Load-Balancer

NSX maakt gebruik van een zogenaamde overlay network-techniek op basis van VXLAN, waarbij de afzonderlijke ESX-hosts dienen als 1 of meerdere VTEP’s (Virtual Tunnel Endpoint). Hiervoor worden een aantal kernel-modules (VIB’s) geïnstalleerd als add-on op een distributed vSwitch.

Het gebruik van VXLAN maakt het mogelijk om L2-frames te transporteren over een L3-netwerk (L2oL3) en is het dus niet langer nodig om een VLAN te stretchen tussen ESX Hosts of zelfs datacenters om virtuele machines in eenzelfde L2 domein te kunnen (ver)plaatsen. Dit maakt het dus mogelijk om een virtuele machine tussen datacenters te verplaatsen zonder het IP-adres van de virtuele machine te moeten wijzigen, zonder dat de ESX-hosts fysiek gekoppeld zijn aan het betreffende logische netwerk.

Aangezien VXLAN een encapsulation-techniek is moet wel rekening gehouden worden met de benodigde MTU van 1600 in je fysieke datacenter-netwerk en op je datacenter-interconnects (DCI).

deep-dive-2

Figuur 2 Opbouw VXLAN Pakket

Bijkomend voordeel van de het definiëren van logische netwerken in software is dat het nu heel makkelijk wordt om deze netwerkconfiguraties aan te maken, te dupliceren en weer te verwijderen (lifecycle management voor netwerkconfiguraties) voor bijvoorbeeld OTAP-provisioning, B&R (Backup & Recovery) en DR (Distaster Recovery)-doeleinden.

Aangezien al deze functionaliteit beschikbaar wordt gesteld via de NSX API’s kan een zogenaamd Cloud Consumption Platform (zoals bijvoorbeeld vRealize Automation of Openstack) hier gebruik van maken en is bijvoorbeeld het uitrollen van een nieuwe applicatieomgeving voor een ontwikkelaar niet meer een kwestie van dagen, maar een kwestie van minuten. Daarbovenop kan de ontwikkelaar ook nog eens zelf deze omgeving (met/zonder goedkeuring) uitvoeren (self-services) en wordt dit zonder tussenkomst van een beheerder doorgevoerd.

Bovengenoemde voordelen zijn namelijk vooral van toepassing op grote dynamische omgevingen en minder in kleinere (veelal statische) omgevingen. Netwerkvirtualisatie wordt momenteel voornamelijk ingezet bij zogenaamde Tier-1 klanten (grote enterprise klanten) als basis voor hun cloudplatform en/of software-defined datacenter.

Dat geldt niet voor de use case die behandeld wordt in de volgende sectie.

Security
Waar VMware NSX momenteel vaak ook in kleinere omgevingen wordt ingezet (zelfs in omgevingen vanaf 1 Host), is voor security. NSX maakt gebruik van een distributed firewall (DFW)-component welke als kernel-module op elke ESX-host wordt geïnstalleerd. Dit maakt het mogelijk om firewalling dicht bij de virtuele machine te laten plaatsvinden (op VMnic-niveau) en zo een zogenaamde microsegementatie en zero-trust model mogelijk te maken.

Voordeel van het gedistribueerde systeem is dat het netwerkverkeer efficiënt kan plaatsvinden en niet onnodig naar een centrale firewall hoeft te worden gestuurd om een beslissing te maken of verkeer wel/niet is toegestaan tussen twee virtuele netwerken, maar direct dicht bij de virtuele machine.

deep-dive-3

Figuur 3 Vergelijking datapad Firewalling (zonder / met NSX)

In de security use-case is het mogelijk om alleen gebruik te maken van het security component van NSX, zonder gebruik te maken van netwerkvirtualisatie. In een later stadium kan dan alsnog worden gekozen om ook gebruik te maken van het eerder besproken netwerkvirtualisatiecomponent.

Standaard biedt NSX een statefull firewall, waarmee je aan de hand van 5-tuple (Source IP, Source Port, Destination IP, Destination Port, Protocol) en een actie kunt bepalen welk netwerkverkeer er wel/niet wordt toegestaan. Mocht je voor bepaald verkeer een diepere inspectie willen, dan kan er gebruik worden gemaakt van 3rd party integraties van o.a. Palo Alto en Check Point. Als actie in de firewall-regel wordt dan vervolgens gekozen voor een redirect, waarmee het verkeer door de 3trd party (virtuele) firewall wordt geleid, waar vervolgens de keuze voor het wel of niet toestaan van het verkeer wordt gemaakt.

deep-dive-4

Figuur 4 Redirect naar 3th-party component

Aangezien NSX een 1:1 relatie heeft met vCenter kan er buiten de standaard IP-adressen ook gebruik worden gemaakt van informatie zoals virtuele machine naam, welk OS een bepaalde virtuele machine draait, security tags en door handig gebruik te maken van 3rd party integraties kan er ook gebruik worden gemaakt van zaken als de status van de virusscanner. Deze virtuele machines kunnen gegroepeerd worden in een security groups, waar vervolgens bepaalde security policies op kunnen worden losgelaten op basis van voorgaande informatie.

deep-dive-5

Figuur 5 Dynamische toepassing van security policies op (dynamische) security groups

Zoals eerder aangegeven is NSX volledig API-driven en kan dus ook de NSX Distributed Firewall volledig via API-calls worden gemanaged.

Geordy heeft hier een kleine demonstratie van gegeven wat dit allemaal mogelijk maakt, waarbij hij laat zien dat het bijvoorbeeld mogelijk is om management-toegang (RDP / SSH) alleen on-demand mogelijk te maken als er aan een bepaald helpdesk ticket gewerkt wordt, welke gerelateerd is aan de betreffende virtuele machine. Deze demonstratie wordt momenteel opnieuw gemonteerd en zodra deze beschikbaar is, zal ik hiervan een link delen op www.cloudfix.nl.

Vragen?
Wil je meer weten over specifieke details van de VMware NSX oplossing, vraag het me gerust. Of misschien ben je net als ik een geek en vind je het interessant om het te hebben over hoe de diverse NSX BUM-replicatiemodellen (Unicast, Multicast, Hybrid) technisch in elkaar steken, welke tabellen zich waar in het NSX-systeem bevinden (VNI-VTEP, VNI-IP-MAC, etc) en op basis hiervan ARP-supression wordt toegepast of hoe een VXLAN-pakketje er in detail uitziet?

Ik wil daarnaast iedereen die eens zelf aan de slag wil met NSX graag de hands-on labs van VMware aanraden. Hier kun je gratis ‘spelen’ met veel producten van VMware, waaronder NSX. Aan de hand van een manual wordt je door de oplossing geleid, maar het staat je ook vrij om zelf te experimenteren in de lab omgeving.

Als laatste wil ik jullie wijzen op de NSX Link-O-Rama waar een groot aantal informatiebronnen gebundeld is en je eigenlijk wel alles kan vinden met betrekking tot NSX.”


 
Related Posts
 

Onderstaand een gastblog van Sven Huisman van PQR:

Wanneer je in …

Read More

Onderstaand een gastblog van Sven Huisman van PQR:

De laatste jaren …

Read More

Onderstaand een gastblog van Rob Beekmans van PQR:

“De wet tegen …

Read More

Nu technologie wordt gezien als een belangrijk onderdeel van de …

Read More

 
 
Blog Archive