Social :  

NSX Part 1 – Introdução ao VMware NSX

nsxHoje começo (depois de muita enrolação) a minha série de posts sobre VMware NSX, série essa que pretendo começar falando sobre NSX de um aspecto mais introdutório e teórico, mas com o passar dos posts quero mostrar como montei meu Lab de NSX, desde a instalação, deploy dos componentes e configuração de firewall, OSPF etc.

Falar de uma ferramente relativamente nova como é o NSX, categorizada como SDN (Software Defined Network) ou NFV, exige uma certa coragem, hoje vejo que SDN se tornou um termo muito amplo, como é o caso do termo “nuvem”, ou seja, existem diversas fabricantes que introduziram no mercado seus softwares/equipamentos para concorrer no mercado de SDN, mas nem sempre eles são concorrentes, e as vezes nem se parecem, por exemplo, eu não vejo como (ainda) o Cisco ACI possa concorrer com o VMware NSX, vejo que os dois se complementam, mas de forma alguma um substitui o outro, mas, mesmo assim vou me arriscar a falar um pouco do que conheço e pesquisei até chegar aqui.

Como diria Albert Einsten:

"Se você não consegue explicar algo de modo simples, é porque não entendeu bem a coisa."

Pretendo falar do NSX de uma forma mais simplista, de uma forma que eu, Analista de Redes/Segurança gostaria de ter lido, pois o que vejo são muitos posts falando de NSX do ponto de vista de uma pessoa que já conhece muito sobre virtualização, e para nós, analistas acostumados com o putty, cabo serial, e caixas de equipamentos sobre a mesa, quando lemos sobre SDN ficamos no mínimo, muito confusos, isso quando não chegamos a conclusão que nossos empregos estão ameaçados com essas novas tecnologias.

Aqui eu abro um parenteses para não ser crucificado, administradores de Rede conhecem sim virtualização, e à muito tempo, como diz o nobre escritor Gustavo Santana em seu livro Data Center Virtualization Fundamentals, como analistas de rede não conhecem virtualização se já usam VLAN, VRF, VDC, VCP entre outras tecnologias de virtualização faz tempo?

O VMware NSX é a plataforma de virtualização de Rede e Segurança da vmware, visto do aspecto do modelo OSI, o NSX faz desde a camada 2 (Enlace) até a camada 7 (Aplicação), com essa afirmação de que ele é uma plataforma virtualizada e de camada 2 a 7 já podemos perceber que o NSX não é um Appliance físico e tampouco veio substituir switches/hubs e equipamentos que fazem a camada 1 (Física, aqui falo de switch apenas como equipamento que interliga os cabos e não da sua função na camada 2). O NSX foi originalmente criado pela empresa Nicira, que posteriormente foi adquirida pela VMware em 2012, atualmente ele encontra-se em duas edições, NSX para vSphere e NSX para Multi-Hypervisor (MH), nos nossos artigos e testes falaremos apenas da versão para vSphere.

O ponto forte, diria até ‘slogan’ do NSX é prover redes complexas em multi-camadas em segundos, e quem conhece vmware sabe que tornar as coisas mais simplistas é um ponto forte desta fabricante, como acontece com a virtualização de servidores, aonde é criada uma camada de abstração de software (hypervisor) e criado CPU’s, Memória, HD e outros atributos virtuais, o NSX também cria todo um ambiente de rede virtual, como Switches lógicos, Roteadores lógicos, Firewall virtual, balanceadores de carga virtuais, VPN’s etc, isso permite que toda a ‘inteligência‘ da rede seja feita pelo NSX, deixando a atual rede física apenas como ‘ligações de rede’.

nsxcomplete

Em suma, os serviços que o NSX provem são:

Logical Switch: habilidade de criar redes L2 que podem trafegar dentro de redes L3, isso permite por exemplo, que máquinas virtuais trafeguem por todo o data center e até para DC’s remotos mantendo todas as suas configurações, inclusive MAC Address, um dos recursos que permitem a realização de tal tarefa é o uso de VXLAN, alias, farei um post só sobre VXLAN pois esse é um dos pontos chave que permitem o NSX realizar suas tarefas.

Logical Router: Permite o uso de roteamento estático e dinâmico através de software sem que o tráfego saia do ambiente virtual, ou seja, permite que máquinas virtuais tenham seu tráfego Leste-Oeste dentro do data-center roteado pelos roteadores lógicos sem a necessidade do tráfego ocorrer de forma norte-sul.

Aqui abro um parenteses para mostrar uma imagem que exemplifica um pouco da diferença do tráfego Leste-Oeste e Norte-Sul:

extrahopblog-3

Na imagem podemos ver que o tráfego East-West (leste-oeste) entre os servidores ou redes virtuais diferentes é feito sem que a comunicação passe pelas camadas superiores (North-South), ou seja, sem que o trafego consuma os uplinks entre os Switches Topo-de-Rack, Switches de Distribuição, Core e até Firewalls de borda.

alert-storm-warning-weather-icon-icon-search-engine-0O que vemos nos data centers atuais é que geralmente os servidores vmware são ligados aos switches ToR (top-of-Rack), os quais são ligados geralmente por links de alta capacidade aos switches de Distribuição/Core e finalmente ligados á um Firewall, que geralmente faz a borda da rede, um ‘problema’ gerado por essa topologia é que uma maquina virtual que esteja por exemplo no servidor ESX1 quiser comunicar com outra maquina virtual em outra rede lógica no mesmo servidor, ela deve passar por todos os equipamentos superiores e voltar ao mesmo servidor físico, isso porquê o Gateway que faz a comunicação entre as duas redes distintas por exemplo pode ser o Firewall de borda da rede. O NSX resolve esse problema simplesmente adicionando o poder de roteamento e até firewall diretamente no servidor físico, uma imagem que exemplifica isso pode ser vista a seguir:

screen-shot-2015-12-16-at-8-26-16-am

Na imagem anterior , podemos ver que uma vm que está na rede 172.16.10.x, para comunicar com outra vm que está em uma rede diferente (172.16.20.x) mas no mesmo servidor físico sem o NSX teria que passar por todos os equipamentos superiores, utilizando desnecessariamente a infraestrutura e podendo sobrecarregar os links, com o NSX, os roteadores lógicos podem de forma automática ‘rotear’ esse trafego no próprio servidor ESX físico.

Firewall Ditribuido: esse talvez seja um dos principais pontos do NSX, a capacidade de criar firewalls diretamente em cada uma das vNIC das maquinas virtuais á nível de kernel, provavelmente vocês já devem ter lido isso como micro segmentação, inclusive a vmware lançou um ebook free sobre esse assunto. O que vemos hoje em dia é que existe um grande esforço para proteger as redes em sua borda, ou seja, são implantados Firewalls, IPS/IDS, WAF etc na borda da rede, mais precisamente na ligação da rede do data center com a internet, mas uma vez que o ataque tenha transpassado por essa camada de segurança, nada mais impede que o ataque seja distribuído entre as VMs, veja a imagem a seguir:

traditionalxnsx

Como pode ser visto na imagem, o NSX adiciona firewalls virtuais nas próprias vm’s, permitindo que o ataque seja contido dentro do data center, aqui vale ressaltar que o Firewall do NSX não é uma solução de firewall do tipo Next Generation Firewall, como CheckPoint, PaloAlto e Fortinet, não possuindo IPS, URL filtering, Antivirus entre outras featwares que um firewall desse tipo possui, o intuito dele não é substituir o firewall de borda da rede, porém ele se integra aos firewalls citados, permitindo até que determinado tráfego seja enviado para um appliance virtual destas fabricantes disponível em cada um dos hosts físicos para devida analise antes que de ser entregue à uma determinada VM. Esse conceito pode parecer um tanto quanto complexo no momento, mas com certeza teremos um post para exemplificar com mais detalhes.

VPN’s Lógicas: Permite a criação de VPNs para acesso remoto e VPNs Site-to-Site de forma muito simples, inclusive sites remotos que possuem também NSX podem estender a rede entre data-centers de forma fácil e usando os recursos já existentes no NSX, iremos abordar também com mais detalhes.

Logical Load Balancer: Habilidade de criar balanceamento de tráfego entre múltiplos servidores de forma transparente ao usuário. O balanceamento pode ser realizado até a camada 7.

Service Composer: permite a criação de security groups para que aplicações, maquinas virtuais e grupos de redes possam receber diferentes tratativas de segurança independente do local que a VM esteja, ou seja, maquinas virtuais podem ser movidas dentro do data-center sem que regras de segurança tenham que ser criadas todas as vezes que isso ocorrer.  As políticas de segurança são atribuídos a grupos de máquinas virtuais, e a política é aplicada automaticamente a novas máquinas virtuais à medida que são adicionados ao grupo. De um ponto de vista prático,service composer é uma interface de configuração que dá aos administradores uma maneira consistente e centralizada para aplicar e automatizar serviços de segurança de rede, como anti-virus / proteção contra malware, IPS, DLP, regras de firewall, etc, tais serviços podem estar disponíveis nativamente no NSX ou reforçada por soluções de terceiros.

NSX API’s: habilidade de desenvolver API’s para integração com outros produtos da VMware ou outras soluções de automação como OpenStack, PowerCLI, Python etc.

Existem outros serviços providos pelo NSX, iremos discutir mais à frente.

Para que o post não fique muito extenso, vou dar uma pausa por aqui, no próximo post pretendo falar sobre os componentes do NSX e como a arquitetura difere do tradicional Core/Distribuição/Acesso e da mais recente Spine-leaf.

Obrigado pela leitura. Peço que compartilhe em suas mídias sociais se você sentir que vale a pena.

Até breve!!!

 

 

Meu nome é Fernando Teixeira Silva, trabalho a 10 anos com TI, atualmente estudo tecnologias voltadas para ambientes de Data Center, como Redes, Virtualização e Storage. Criei esse blog para compartilhar experiências, problemas no ambiente de TI e novidades que garimpo pela Web.
  • Withiney Melo

    Muito interessante a forma como o tópico foi abordado. Aguardando novas postagens sobre NSX. Valeu o/

    • Muito obrigado Withiney.

    • Fernando Teixeira

      Muito obrigado pelo retorno Whitiney.

  • Emanuel Alamo

    Muito bom Fernando!

    • Fernando Teixeira

      Obrigado Emanuel, espero que aproveite os próximos.

  • Daniel Abreu

    Excelente Artigo Fernando, Parabéns!!

    • Fernando Teixeira

      Que bom Daniel, estou tentando publicar os próximos com uma linguagem mais clara possível.

  • Fernando, uma sugestão, indique sobre qual versão do NSX vc está falando, visto que algumas coisas mudam de versão para versão!

    Abraço,
    VC

    • Fernando Teixeira

      Obrigado Valdecir, vou atualizar com a versão que estou utilizando no meu LAB e que pretendo publicar. Obrigado

  • Rodrigo Lira

    Top Garoto 😀

    • Fernando Teixeira

      Muito obrigado pelo retorno Rodrigo

  • Willian Rocha

    Parabéns ótima iniciativa e um dialogo bem intuitivo…

    Sem dúvida a cultura é muito mais difícil de ser substituída do que a tecnologia. Esse desafio será para os que de fato querem viver as novas realidades de um Data Center. Vejo o NSX e SDN como na época da virtualização x86, desafios pra todo la.. hee..

    Parabéns !! Aguardando os próximos.

    • Fernando Teixeira

      Com certeza Willian, os profissionais terão que se adequar a nova realidade e as novas tecnologias, em breve teremos mais artigos, obrigado pelo retorno.

  • ## Rodrigo Oliveira ##

    Show…Fernando..

    Excelente Post…..Muito didatico…

    Vou acompanhar….

    • Fernando Teixeira

      Muito obrigado Rodrigo, espero que curta os próximos.

  • Ghregory Mendes

    Muito bom, Estou no aguardo dos proximos posts

  • Marcos Donato

    Muito bom artigo, mesmo. Está no favorito.
    Aguardando as sequências.

  • Andrea Oliveira Silva

    Parabéns! Você provou que conhece do assunto, explicou de forma bem simples e muito clara.

  • Adeilson Araujo

    Top..