Distributed Network & Security Services

Back to Blog
NSX Distributed Network & Security Services

Distributed Network & Security Services

Seit mehr als 20 Jahren werden virtualisierte Netzwerke, welche im weitesten Sinne mit dem Terminus Software-defined Network in Verbindung gebracht werden können, in Rechenzentren auf Hypervisor-Plattformen eingesetzt und sind mittlerweile nicht mehr wegzudenken. Mit der zunehmenden Automatisierung von IT-Infrastrukturen und den darauf betriebenen Virtualisierungs- und Containerisierungs-Plattformen wächst auch das Bedürfnis nach ganzheitliche Netzwerklösungen, welche die virtuellen und physikalischen Netzwerke vereinen. Diese Technologien müssen neben der Netzwerkautomatisierung auch Anforderungen an die integrale Netzwerksicherheit erfüllen und sollten sich optimalerweise in den Automatisierungsprozess integrieren lassen.

Dabei gilt es, bekannte und bestehende Netzwerkkonzepte zu unterstützen und neue Ansätze zu ermöglichen:

  • End-zu-End Automatisierung, um die agile Bereitstellung von Netzwerk sowie Sicherheitsfunktionen zu ermöglichen.
  • Die Visibilität über sämtliche Konnektivitäten erlaubt es, schnellere Analysen durchzuführen und dadurch die operativen Aufwände zu reduzieren.
  • Entkoppelung der Steuerungsebene (Control Plane) von der Datenweiterleitung (Data Plane), um programmierbare Netzwerk- und flexible Sicherheitsarchitekturen zu ermöglichen.
  • Reduzierung der betrieblichen Aufwände durch standardisierte, konsistente und automatisierte Konfigurationen.
  • Optimierung der Netzwerkperformance durch Verteilung der Lasten und optimalen Pfadfindung.
  • Forcieren von Sicherheitsfunktionen (bspw. Stateful Firewalling) direkt an der Netzwerkschnittstelle des Workloads, ohne dabei vom Workload Abhängig zu sein.

Seit mehr als 8 Jahren begleiten wir unsere Kunden bei der Planung und Realisierung von Software-defined Networking (SDN) Infrastrukturen und setzen dabei auf die führende und etablierte SDN-Technologie von VMware NSX.

Wusstest du, dass der erste Release von VMware NSX aus der Akquisition von Nicira im Jahr 2012 hervorging?

Nicira wurde 2007 als Ergebnis von Forschungsarbeiten an der Stanford University (US) gegründet und leistete Pionierarbeit im Bereich des Software-defined Networking.

 

Software-defined Network (SDN) mit VMware NSX

VMware NSX verfolgt seit seiner Einführung vor über 10 Jahren einen verteilten Netzwerk- sowie Sicherheitsarchitekturansatz. Dabei muss der Datenverkehr nicht wie bei klassischen Netzwerkinfrastrukturen zentral über einzelne Appliances geschleust werden, sondern kann effizient an der Quelle zur Einspeisung in den virtuellen Ether überprüft und verarbeitet werden. Dadurch lassen sich auch sogenannte “Zero Trust Network Architecture (ZTNA)”-Ansätze verfolgen, da der Workload effektiv mikrosegmentiert werden kann, ohne den Datenverkehr vorher an ein entsprechende Firewall-Appliance um-/weiterleiten zu müssen.

Diesen Ansatz der sogenannten Distributed Network & Security Services proklamieren mittlerweile auch andere Hersteller und ermöglichen Netzwerk- wie aber auch Sicherheitsfunktionen auf verteilten Netzwerkkomponenten anzuwenden.

Eine Implementation oder Kombination von VMware NSX mit anderen Netzwerktechnologien ist möglich, da VMware NSX grundsätzlich agnostisch beziehungsweise ohne komplexe Abhängigkeit der zugrundeliegenden Netzwerkinfrastruktur implementiert werden kann.

Wusstest du, dass VMware NSX es dir erlaubt, anstelle einer Full-Stack Topologie (Distributed Network & Security Services) auch eine SDN-only (nur Distributed Network Services) oder Security-only (nur Distributed Security Services) Topologien zu wählen?

Solltest du lediglich dein Netzwerk automatisieren oder vereinfachen wollen, kannst du VMware NSX als Networking Stack bereitstellen. Du kannst natürlich auch VMware NSX ohne Networking Stack bereitstellen und dennoch verteilte Sicherheitsfunktionen über die VMware NSX Distributed Firewall bereitstellen und so einen ZTNA-Ansatz ermöglichen, ohne dabei Anpassungen an der bestehenden Netzwerkinfrastruktur vornehmen zu müssen.

 

Distributed Network & Security Services

Bei der Einführung einer SDN-Technologie gilt es, einige Faktoren zu berücksichtigen:

  • Interoperabilität zu anderen Produkten/Schnittstellen, um das volle Potential einer End-zu-End Automatisierung ausschöpfen zu können.
  • Zentrale und konsistente Verwaltung von SDN-Komponenten wie beispielsweise das Erweitern (Scale-up/out) von Ressourcen/ Kapazitäten sowie Lifecycle Operationen.
  • Zentrale Überwachungs- und Analyse-Möglichkeiten zur Auswertung und Verifizierung von Datenflüssen innerhalb des SDN.
  • Umfassender Produkt- und Adoption-Support seitens Hersteller und einer Vielzahl versierter Partner sowie einer breiten technischen Community erleichtern die Adaption einer solchen Technologie erheblich.

Darüber hinaus sollte einem bewusst sein, wo eine Effektmaximierung bei der Datenverarbeitung durch verteilte Netzwerk- und Sicherheitsfunktionen erzielt werden kann. Die nachfolgende Abbildung beschreibt zwei verschiedene Ebenen, auf denen verteilte Netzwerk- und Sicherheitsservices bereitgestellt werden können:

 

distributed-network-security-services

 

Die beiden Ansätze besitzen folgende Charakteristiken:

Distributed Services on traditional network layer: Die Verarbeitung von verteilten Netzwerk- und Sicherheitsfunktionen findet auf dem Access/Leaf Layer statt. Sämtlicher Datenverkehr innerhalb der Plattform muss an diesem Layer überführt werden. Je nach Hersteller/Technologie können Sicherheitsfunktionen (bspw. Firewalling) auf dieser Ebene forciert werden oder es findet eine Weiterleitung an eine oder mehrere verteilten Firewall Appliances statt, welche dann Sicherheitsfunktionen instanziieren. Die Skalierung wird i.d.R. durch die Topologie wie bspw. Leaf-Spine definiert bzw. limitiert.

Distributed Services integrated into Hypervisor layer: Hierbei wird ein integrierter und deutlich verteilter Ansatz verfolgt, wobei der Hypervisor-Kernel um entsprechende Netzwerk- und Sicherheitsfunktionen erweitert wird. Netzwerk- und Sicherheitsfunktionen können direkt an der Quelle zur Einspeisung in den virtuellen Ether angewendet werden, wodurch die physikalische Netzwerkinfrastruktur entlastet und überflüssiger Datenverkehr reduziert werden kann. Es stehen verschiedene Skalierungsoptionen (up & out) zur Verfügung und bieten i.d.R. eine höhere Effizienz bei der Verteilung, aber auch der Verarbeitung der Daten durch den Virtualisierungskontext.

Schlusswort

Wie so oft in der IT gibt es nicht den einen Weg. Bei der Planung und Einführung einer SDN-Technologie sollte man sich die nötige Zeit dafür nehmen und bei Bedarf auf kompetente und erfahrene Partner zurückgreifen. Dabei unterstützen wir dich gerne mit unserer Expertise und langjährigen Projekt-Erfahrung (Kontaktformular). 

07.05.2024 By NSX, Security, VMware , , , , , , , , 0 Comments

Share this post

Author

Focus on VMware Software-defined Data Center (SDDC) technologies (ESXi, vSAN, NSX, Tanzu, Aria Operations for Networks), VMware Cloud Foundation, Software-defined Networking and Distributed Security, Micro-Segmentation Assessments, Health Check, Troubleshooting and Performance analysis.

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to Blog

Related Posts

20Jul

[VMware] Automating VCSA Backup & Restore

I've recentl... read more
VMware vSphere with Tanzu and NSX Advanced Load Balancer (ALB) on NSX Networking.
05Feb

vSphere with Tanzu und NSX Advanced Load Balancer Integration mit Private CA

Ab VMware vS... read more
Cloud Management and Automation Master Service Competency Achievment
20Jan

[soulTec] MSC: Cloud Management and Automation

soulTec AG a... read more
09Aug

[GitLab] Breaking and Fixing

Today I real... read more
15Jun

[Lessons Learned] vCloud Usage Meter SSL Certificate Change

When you ins... read more
07Mar

Customer Success Spezialisierung

Als erster V... read more
06Aug

[NSX] 9 Free NSX eBooks to download

Last year I ... read more
18Mar

[VMware] Solution Designer

A new fling ... read more
08May

[How-To] Build your own Homelab – Part 2

In this inst... read more
08Feb

[soulTec] MSC: Digital Workspace

Digital Work... read more