Mit NSX-T bietet VMware eine Plattform für das Software-Defined Data Center (SDDC) an, die ein zentrales Netzwerk- und Security-Management für die Workloads im eigenen RZ und in der Cloud erlaubt. Wir haben NSX-T im LANline-Testlabor implementiert und auch einen Blick auf die Cloud-Integration geworfen.
Die Nutzung von Cloud-Ressourcen zählt für die meisten IT-Teams heute zum Tagesgeschäft. Sie bringt aber einige Herausforderungen für das Netzwerk- und Security-Management mit sich. Im Vergleich zu klassischen Netzwerkdesigns, aufgebaut aus Switch- und Router-Hardware, bietet ein SDDC mehrere Vorteile: Per SDDC-Plattform lassen sich Netzwerkkonfigurationen und Sicherheitsrichtlinien in sämtlichen Umgebungen umsetzen – im eigenen RZ, an Edge-Standorten oder in der Cloud. Auch eine Mikrosegmentierung von Netzwerken für ein feiner abgestuftes Security-Konzept kann das IT-Team deutlich einfacher implementieren als im physischen Netz. Aufgrund der Softwarearchitektur passen sich SDDC-Lösungen zudem sehr viel einfacher an neue Anforderungen an als hardwarebasierte Netzwerke. Des Weiteren gibt es zahlreiche Automatisierungs-Tools, was die Bereitstellung neuer Netzwerke stark beschleunigt.
VMware hat mit NSX-T Data Center eine SDDC-Lösung im Portfolio, die sich über die eigenen RZ- und Edge-Standorte sowie in der Cloud betriebene Systeme hinweg aufspannen lässt. Die für die Verwaltung reiner vSphere-Umgebungen konzipierte NSX-V-Variante entwickelt der Hersteller nicht mehr weiter. NSX-T unterstützt neben ESXi auch KVM als Host-Plattform. Die Rollen NSX-Manager und Host Transport Node können zudem auf Bare-Metal- Servern laufen. Die SDDC-Lösung unterstützt eine Integration in zahlreiche Cloud-Plattformen wie zum Beispiel AWS, Microsoft Azure, Google oder IBM.
NSX-T kann auch Container in Kubernetes-Clustern verwalten. Die Komponente NSX Federation erlaubt die zentrale Konfiguration verteilter NSX-Manager-Installationen und vereinfacht die Disaster Recovery. Mit NSX Intelligence bietet VMware eine Appliance an, die den Datenverkehr bis auf Layer 7 analysieren kann und die Einhaltung von Sicherheitsregeln überwacht. Für die Vergabe von Benutzer- und Rollenberechtigungen lässt sich NSX-T in Microsofts Active-Directory-Dienste und in Open-LDAP-Lösungen integrieren.
Auf der VMworld hat VMware im Herbst 2021 für NSX-T zahlreiche neue Funktionen vorgestellt: unter anderem eine verbesserte Anomalieerkennung und -analyse sowie die Kombination der in NSX-T schon länger integrierten IDS/IPS-Funktionen (Intrusion Detection/Prevention System) mit der Malware-Erkennung. Hinzugekommen sind zudem softwarebasierte Netzwerk-TAPs (Test Access Points), um den Datenverkehr noch umfänglicher zu erfassen und zu analysieren. Für das Routing unterstützt NSX-T neben statischen Routen mit BGP (Border Gateway Protocol) jetzt auch das dynamische OSPF-Protokoll (Open Shortest Path First). Mittels Virtual Routing and Forwarding (VRF) lassen sich mandantenfähige SDDCs implementieren.
Bei NSX-T handelt es sich um eine komplexe Lösung, die auf einer dreischichtigen Architektur mit Management-, Kontroll- und Datenebene basiert. Die Management-Plane sollte man als hochverfügbaren Cluster mit drei NSX-Manager-Nodes einrichten. Die Control Plane stellt sicher, dass alle Befehle korrekt ausgeführt werden. Sie läuft ebenfalls auf den NSX-Manager-Knoten. Die Data Plane besteht aus den ESXi- oder KVM-Hosts sowie den NSX Edge Nodes und sorgt für die Weiterleitung des Datenverkehrs. Sie enthält einen eigenen Virtual Distributed Switch (VDS); dieser entkoppelt die Data Plane von den per vCenter verwalteten VDS-Instanzen.
NSX-T installieren und konfigurieren
Für das Einrichten eines NSX-T-SDDCs bietet VMware mehrere Optionen. Wir nutzten die OVA-Datei mit der NSX Unified Appliance Version 3.1.2, die wir über das vCenter des Testlabs auf dem ESXi-Cluster installierten. Die Testumgebung bestand aus zwei physischen Dell- PE-T640-Servern mit ESXi 7.0.3 und einer vCenter-7.0.3-Appliance. Im OVA-Konfigurationsdialog legten wir unter anderem den Namen und die IP-Adresse für den ersten NSX-Manager fest.
Nachdem das vCenter die Appliance importiert hatte, öffneten wir per Web-Browser die NSX-T-Konsole. Hier fügten wir das vCenter als Compute Manager hinzu, der die VMs und ESXi-Hosts verwaltet. Da hohe Ausfallsicherheit ein NSX-Manager-Cluster mit drei-Nodes erfordert, erzeugten wir per NSX-Konsole zwei weitere NSX-Manager-Nodes, die automatisch in den Cluster eingebunden wurden.
Für die Kommunikation mit externen Systemen verwendet NSX-T sogenannte Edge Nodes. Sie stellen über Tier-0-Gateways die benötigten Routing-Services bereit. Ein Edge Node ist auch erforderlich, wenn man im internen Netz Services wie NAT oder VPN nutzen will. In diesem Fall wird das Edge-System als Tier-1-Gateway konfiguriert. Wir fügten in der NSX-Konsole im Fabric-Menü unter dem Punkt Nodes eine neue Edge-Appliance hinzu und wiesen ihr die Edge-Cluster-Funktion zu. In Produktivumgebungen sollte man immer zwei oder mehr Edge Nodes einrichten, um die Ausfallsicherheit zu erhöhen. Zum Abschluss stellten wir zwischen dem Edge Node und dem NSX-Manager eine Verbindung her, damit die Data-, Control- und Management-Plane miteinander kommunizieren können.