隨著企業(yè)IT數(shù)字化轉(zhuǎn)型的進(jìn)程，網(wǎng)絡(luò)和安全的復(fù)雜性給企業(yè)帶來了很多的挑戰(zhàn)，企業(yè)的目標(biāo)是從集中的數(shù)據(jù)中心轉(zhuǎn)移到超分布式的應(yīng)用和數(shù)據(jù)中心，通常情況下跨越多個(gè)地理位置，同時(shí)應(yīng)用架構(gòu)和部署方式發(fā)生了巨大的變化，從傳統(tǒng)的單體應(yīng)用向多層應(yīng)用轉(zhuǎn)變，甚至對于某些應(yīng)用開始采用微服務(wù)架構(gòu)，這給管理和維護(hù)帶來了挑戰(zhàn)。而傳統(tǒng)的安全只是邊界安全，在邊界內(nèi)部VM沒有“戴口罩”，其中某個(gè)VM受到病毒的威脅，它可能會(huì)把病毒傳播到其它的VM，甚至傳播到數(shù)據(jù)中心內(nèi)部所有的VM，為了防止病毒的傳播，需要為每一個(gè)VM“戴口罩”，而為每一個(gè)VM“戴口罩“并不是一件容易的事情。

　　VMware NSX Data Center（以下簡稱NSX）有非常多的應(yīng)用場景，其中一個(gè)非常重要應(yīng)用場景就是云安全應(yīng)用場景，它可以非常方便的為每一個(gè)VM“戴口罩”，實(shí)現(xiàn)VM之間的安全隔離和自我隔離，以防止病毒的傳播，同時(shí)能夠自動(dòng)排除受病毒威脅的VM，實(shí)現(xiàn)零信任的安全模型。

　　NSX微分段技術(shù)好比“口罩”一樣，微分段的安全策略可以應(yīng)用到每個(gè)VM或pod容器上，同時(shí)可以提供異構(gòu)環(huán)境下安全策略管理，它除了為vsphere平臺(tái)提供微分段，也可以為KVM、容器以及公有云上的VM或容器，甚至裸金屬服務(wù)器提供微分段能力，如下圖所示：

　　通過NSX Manager控制臺(tái)統(tǒng)一將安全策略下發(fā)到應(yīng)用運(yùn)行的地方，實(shí)現(xiàn)應(yīng)用微分段技術(shù)，進(jìn)而實(shí)現(xiàn)東西向安全隔離。

 

 

 

 

 

 

　　NSX分布式防火墻采用控制轉(zhuǎn)發(fā)分離的架構(gòu)，管理和控制合一，管理平面通過NSX Manager實(shí)現(xiàn)，通常部署為3個(gè)節(jié)點(diǎn)的集群，提供GUI或者Restful API配置安全策略，NSX Manager將用戶發(fā)布的策略推送到NSX manager中的控制平面服務(wù)進(jìn)而推送到數(shù)據(jù)平面，為了監(jiān)控和排錯(cuò)，NSX manager通過MPA檢索DFW的狀態(tài)和流的統(tǒng)計(jì)數(shù)據(jù)。

　　控制平面包括兩個(gè)組件，一個(gè)集中的控制平面（CCP），另外一個(gè)是本地控制平面（LCP）。CCP部署在NSX manager集群中，通過CCP與LCP之間的通信，將安全策略推送到數(shù)據(jù)平面。

　　數(shù)據(jù)平面部署LCP，接收配置的安全策略并在Hypervisor內(nèi)核執(zhí)行安全策略。

　　最后，總結(jié)一下，NSX微分段提供了非常細(xì)粒度的安全防護(hù)能力，粒度可以細(xì)化到虛擬機(jī)的虛擬網(wǎng)卡級(jí)，提供異構(gòu)環(huán)境和多云環(huán)境下一致的網(wǎng)絡(luò)安全策略，并且提供了豐富的功能，為每個(gè)虛擬機(jī)“戴口罩”，保護(hù)自身，也保護(hù)它人，同時(shí)提供L2-L7的東西向安全防護(hù)能力，有效的阻止了安全威脅在云環(huán)境下的傳播。