VMware NSX 提供了一个敏捷式软件定义基础架构,助力用户构建云原生应用环境。NSX 专注于为具有异构端点环境和技术堆栈的新兴应用框架和架构提供网络、安全和自动化,以及简化运维。NSX 支持云原生应用、裸机工作负载、公有云和多云。
NSX 旨在由开发组织管理、运维和使用。
新功能NSX 4.0.1.1 包含一系列新特性,为私有云、公有云和多云环境的虚拟化网络连接和安全提供多种新功能。主要的新增功能和增强功能涵盖以下重点领域:
· DPU-based Acceleration for NSX:在此版本中,VMware 开始支持 DPU-based Acceleration for NSX。此功能可加快网络连接速度、提高安全性(技术预览版)、增强可见性以及节省计算资源。
除此之外,还在该产品的每个相关领域中都添加了很多其他功能。有关更多详细信息,请参见下面对已添加功能的详细描述。
L3 网络连接
· EVPN 路由服务器模式增强功能 - 增加了对两种新的 EVPN 路由服务器模式拓扑的支持:
o 支持 Tier-0 VRF 网关与托管 VNF 之间的静态路由。
o 北向 L3ECMP,用于对从 ESXi Hypervisor 传输到数据中心网关的流量进行负载均衡。
· BFD IPv6 - BFD 是一种故障检测协议,旨在实现快速转发路径故障检测和融合。此版本增加了对 IPv6 BGP 邻居和 IPv6 静态路由的 BFD 支持。
DPU-based Acceleration(基于 DPU 的加速)
DPU-based Acceleration for NSX:NSX 现在提供数据处理单元 (DPU) 支持,允许客户分流各种 NSX 功能,并利用更多主机 CPU 进行计算虚拟化。此外,DPU 还可加速网络性能。此特性的安全功能为技术预览版,不建议用于生产部署。
DPU-based Acceleration for NSX 支持以下 NSX 功能:
· 网络连接:
o 覆盖网络分段和基于 VLAN 的分段
o 分布式 IPv4 和 IPv6 路由
o 跨 SmartNIC/DPU 端口的网卡绑定
· 安全(技术预览版)
o 分布式防火墙
o 分布式 IDS/IPS
· 可见性和操作
o 流跟踪
o IPFIX
o 数据包捕获
o 端口镜像
o 统计信息
· 支持的供应商
o NVIDIA BlueField-2(仅限 25 Gb 网卡型号)-(UPT - 技术预览版)
o AMD/Pensando(25 Gb 和 100 Gb 网卡型号)
· 规模
o 单个 VDS 使用的每个主机支持单个 DPU
· 统一直通 (UPT V2):DPU-based Acceleration for NSX 支持绕过主机级别 ESXi Hypervisor 而直接访问 DPU,这使客户能够获得高水平的性能,同时不会损失他们从 vSphere 和 NSX 中获得的功能优势。
Edge 平台
· 针对 Edge 虚拟机的 SmartNIC 支持:更新了 DPDK vmxnet3 驱动程序,以支持将基于 DPU 的 (SmartNIC) pNIC 用于 Edge 虚拟机规格上的数据路径接口。通过 Edge 虚拟机的流量将从此硬件加速中获益。只能在所有数据路径接口上同时启用该功能。
· 事件和警报: 此版本引入了新的警报,以改进 Edge 节点可见性和故障排除:
o 关于 CPU 占用率的警报
o 关于 NSX Manager/CCP 与 NSX Edge 节点之间通信的警报
o 关于路由表中的最大 IPv4 和 IPv6 路由数以及 BGP 对等体最大通告前缀数的警报
· Nvidia ConnectX-6:为裸机 Edge 增加了 Nvidia ConnectX-6 支持,以便提高裸机 Edge 的吞吐量。
· 有状态活动-活动 Edge 服务:此版本支持活动-活动 HA 模式下 Tier-0 和 Tier-1 网关上的有状态服务。支持以下有状态服务:L4/L7 网关防火墙、URL 筛选、NAT 和 TLS 检查。
· NSX Edge 重新放置 API: 添加了相应选项,用于在启用自动分配时将备用 Tier-0 SR 正常重新放置到其他 Edge 虚拟机。
分布式防火墙
· L7 AppID:添加了其他的 AppID。有关现在可用的 AppID 的完整列表,请参阅相应文档。
· FQDN 分析:当 FQDN 的解析链涉及多个 CNAME 时,可以更好地进行 IP 映射。
· 警报:添加了其他与每秒连接数和每个 vNIC/主机的防火墙规则数相关的警报。
入侵检测和防御 (IDS/IPS)
· 警报:添加了其他与即将达到/已超出 CPU 和网络阈值相关的警报。
· 超额订阅配置:现在,可以在全局范围内将 IDS/IPS 引擎配置为在 CPU 超额订阅时丢弃或绕过流量。如果需要精细地控制该行为,也可以在规则级别应用此配置。
恶意软件防护
· 在 Linux 虚拟机上支持分布式恶意软件检测和防护:
o 现在,分布式防火墙上的恶意软件检测和防护支持在为 NSX 准备的 vSphere 主机集群上运行的 Linux 客户机端点(虚拟机)。
· 增强了 NSX UI 上对潜在恶意软件的筛选:
o “恶意软件防护”>“潜在的恶意软件”页面中的气泡图和表格都支持使用以下其他筛选条件:
§ 已阻止
§ 文件类型
§ 恶意软件类别
§ 恶意软件系列
· 分布式恶意软件防护支持对所有文件类别进行本地和云文件分析:
o 以前,在分布式防火墙上,NSX 恶意软件防护仅支持对 Windows 可移植的可执行文件 (PE) 进行本地和云文件分析。现在,在分布式防火墙上,支持对 Windows 和 Linux 客户机端点(虚拟机)的所有文件类别进行本地和云文件分析。
· 恶意软件防护运行状况问题警报:
o 添加了其他关于恶意软件防护运行状况问题的警报。
网关防火墙
· 裸机 Edge 节点上支持网关恶意软件检测:可以在裸机 Edge 节点上配置恶意软件防护功能,以检测已知和未知的零日恶意软件。
· 通过网关防火墙统计信息,可以了解每个规则的每个会话的连接数、每个主机的最大连接数以及每个规则的连接数。
服务插入
· 添加了其他与服务部署、运行状况和活跃性相关的警报。
联合
· 全局管理器中提供有三项与防火墙相关的功能:
o 可从全局管理器中为每个站点启用/禁用防火墙。
o 支持分布式防火墙中的工作负载排除列表。
o 可从全局管理器置备基于时间的分布式防火墙规则。
NSX Application Platform 与相关服务
· NSX 4.0.1.1 与 NSX Application Platform 4.0.1.0 版本兼容,并具备在 NAPP 上运行的相关 NSX 功能(NSX Intelligence、NSX Network Detection and Response、NSX 恶意软件防护和 NSX Metrics)。
· 更新了 K8s 版本支持:从 1.20 更新为 1.24。
· 增强了对容器映像的验证。
· 可使用 OCI 兼容 Helm Chart。使用 NSX 4.0.1.1 部署 NSX Application Platform 4.0.1 时,可使用 OCI 兼容 Helm Chart。如果使用 NSX 版本 3.2.x 或 4.0.0.1 部署 NSX Application Platform 4.0.1,则必须使用与 ChartMuseum 兼容的 URL 来获取 Helm Chart 和 Docker 映像。有关详细信息,请参阅《部署和管理 VMware NSX Application Platform》文档。
安装和升级
· vSphere with Tanzu - 在 NSX UI 中发出关于部分维护模式的通知 - 可在 NSX UI 中收到有关 vCenter 操作(如 vSphere with Tanzu 部分维护模式)的通知,以避免在主机维护期间操作失败。
· 在 NSX 升级期间灵活地跨集群升级选定的 TN 组 - 以前,NSX 升级顺序固定为:所有 Edge → 所有主机 → NSX Manager。这意味着,用户必须先升级所有 Edge 节点,然后才能开始升级主机。从 NSX 4.0.1 开始,可以更加灵活地升级 Edge 和主机。现在,NSX 允许用户创建 Edge 或主机组,并能够一次性升级选定的 Edge 或主机组,而不必局限于之前的升级顺序。这有助于用户更好地根据其业务需求来升级 NSX 部署。
但是,请记住:
o 一个组只能仅包含 Edge 或仅包含主机,而不能同时包含这两者。
o 虽然可以灵活地升级选定的 Edge 或主机组,但是只有在升级所有 Edge 和主机后才能升级 NSX Manager。
· 使用命令“del nsx”从裸机 Windows 主机中移除 NSX - 通过单个命令“del nsx”,即可从裸机 Windows 主机中清理 NSX。注意:这将从主机中彻底清除 NSX。因此,请谨慎使用此功能。
· 在进行 NSX 备份时支持使用 SSH 密钥/证书 - 除了将用户名和密码用作备份服务器身份验证方法的可选选项之外,NSX 备份现在还支持使用 SSH 密钥。
· 重新同步 TN - 通过 NSX UI 进行 MP 通信 - 配置更改有时可能会导致传输节点与管理平面不同步。这时,管理平面需要再次推送配置,以便重新同步这些节点。现在,可以从 NSX UI 完成此操作。注意:此操作可能会导致流量中断。因此,请谨慎使用此功能。
运维和监控
· 警报增强功能
o 为使警报建议操作步骤更易于执行,现已将相应知识库文章的链接包含在“建议的操作”中,该链接的文章将详细说明要执行的步骤。在此版本中,添加了证书过期警报以及相应的知识库文章。
· 使用时间序列衡量指标监控网络
o 新的 NSX Edge 监控衡量指标 - 引入了 16 个其他的 NSX Edge 衡量指标以简化监控和故障排除,包括流量缓存衡量指标、快速路径接口的队列占用,以及 NSX Edge 快速路径接口上输入和输出的网卡吞吐量。这些新的衡量指标可通过 NSX Application Platform - 衡量指标 API 来使用。
o 增强了 NSX Edge 监控衡量指标的 UI - 增强了 NSX Edge 传输节点监控 UI 页面,以显示一段时间内已处理的当前数据包数、已处理的最高数据包数以及处理的数据包趋势。增强了 NSX Edge“网络接口统计信息”>“丢弃的数据包数量趋势”UI 页面,以显示每秒丢弃的接收数据包数(由于内存缓冲区分配失败或由于查找匹配失败)。
o 增强了 NSX Tier-0 和 Tier-1 网关接口统计信息的 UI - 添加了 UI 趋势图,以显示 Tier-0 和 Tier-1 网关网络利用率趋势,以及每秒 IPv4 与 IPv6 数据包数。
· 日志记录
o 核心转储增强功能 - 可通过 CLI 改进核心转储的管理和可维护性。有关详细信息,请参阅 CLI 指南。
· CLI
o 若干基于 CLI 的增强功能(有关详细信息,请参阅 CLI 指南)-
§ 进行故障排除时,按日志期限筛选日志包
§ 获取有关传输节点的信息:NSX Manager 映射、NTP 配置和证书信息
§ 获取有关 NSX Edge 的信息,如 VRF 详细信息和数据包捕获字段
§ 检索节点信息时,获取传输节点的 IP 和主机名
VPN
· VPN 监控 - 可查看 VPN 统计信息,如隧道状态是“已启动”还是“已关闭”:
o 隧道状态(“已启动”或“已关闭”)
o 每秒接收/发送的字节数
o 每秒接收/发送的数据包数
o 数据包丢包率
o 丢包原因
可用性和用户界面
· 搜索和筛选增强功能 - 增强了搜索和筛选功能。增加了按“恶意软件类别”/“恶意软件系列”/“文件类型”/“已阻止”来筛选恶意软件防护事件的功能。
NSX for vSphere 到 NSX 的迁移
· 使用您自己的拓扑 - NSX 本机负载均衡器支持 - 在弃用用于 ALB 的 NSX 策略 API 的过程中,迁移协调器将增加对以下功能的支持:将 NSX for vSphere 负载均衡器中的配置迁移到 NSX 本机负载均衡器(仅限配置)。以前,仅支持通过就地迁移进行此操作。
· 迁移协调器中的新直接迁移模式 - 配置和 Edge 迁移 - 此模式允许在直接迁移期间同时迁移配置和 Edge,并在 NSX-V 源环境和 NSX 目标环境之间建立性能优化的分布式网桥以保持连接。在此模式下,可以选择使用兼容的 HCX 版本来迁移工作负载。此模式仅适用于本地管理器。
多租户
· 在 NSX 中引入了多租户功能
o 引入项目 - 提供了除默认上下文(策略 API 中直接列在 /infra 下的对象)之外,还可以通过创建项目对给定的 NSX 实例进行细分的功能。项目是一种结构化设计,自带隔离特性(org/default/projects/<project-id>/infra 下的对象),将平台细分。此功能允许不同的用户在同一个 NSX 实例上工作,方法是仅允许他们访问自己的逻辑对象(Tier-1、分段、组、防火墙规则...)。在 NSX 4.0.1 中,这是一种仅限 API 的功能。
除非 NSX 管理员明确允许,否则用户将无法查看或编辑其项目外部的配置。
· 提供商/租户模型 - NSX 管理员可创建和管理项目,并指定 Edge 集群、Tier-0 和用户。
此外,NSX 管理员还可以查看所有项目对象,并通过跨项目应用安全规则来管理平台范围内的安全性(项目用户无法修改)。
· 多租户基于角色的访问控制 - 添加了两个新角色,即“组织管理员”和“项目管理员”,以便与平台中引入的多租户功能保持一致。
NSX vSphere UI 集成
· 通过 NSX vSphere UI 集成,支持 NSX Manager 集群化。
· NSX 事件已集成到 vCenter 中。
· UI 增强功能(跳过工作流、EULA、安全增强功能)。
· 解决了在 vCenter 中将 NSX 注册为解决方案资产的问题。
· 支持对使用 vCenter 插件部署的 NSX Manager 进行备份和还原。
架构
导入虚拟机模版
虚拟机命名及文件夹位置
选择计算资源池
查看详细信息
配置规模
l 超小型 重要信息: 仅 nsx-cloud-service-manager 角色支持该配置。 该配置需要满足以下条件: * 2 个 vCPU * 8GB RAM * 300GB 存储 * 虚拟机硬件版本 10 或更高版本 (vSphere 5.5 或更高版本)
l 小型 重要信息: 全局管理器生产部署支持该配置 该配置需要满足以下条件: * 4 个 vCPU * 16GB RAM * 300GB 存储 * 虚拟机硬件版本 10 或更高版本 (vSphere 5.5 或更高版本)
l 中型 重要信息: 本地管理器生产部署支持该配置 (“NSX Manager”角色) 全局管理器生产部署支持该配置 (但不是必需的) 该配置需要满足以下条件: * 6 个 vCPU * 24GB RAM * 300GB 存储 * 虚拟机硬件版本 10 或更高版本 (vSphere 5.5 或更高版本)
l 大型 重要信息: 本地管理器生产部署支持该配置 (“NSX Manager”角色) 全局管理器生产部署支持该配置 (但不是必需的) 该配置需要满足以下条件: * 12 个 vCPU * 48GB RAM * 300GB 存储 * 虚拟机硬件版本 10 或更高版本 (vSphere 5.5 或更高版本)
选择存储位置
选择网络
配置application账户信息
· 如果 root 或 admin 用户的密码不符合复杂性要求,您必须通过 SSH 或在控制台上以 root 身份使用密码 vmware 和以 admin 身份使用密码 default 登录到 NSX Manager。将提示您更改密码。
· 如果其他本地用户(例如,audit)的密码不符合复杂性要求,则会禁用该用户帐户。要启用该帐户,请通过 SSH 或控制台以 admin 用户身份登录到 NSX Manager,然后运行 set user local_user_name 命令以设置本地用户密码(当前密码为空字符串)。您也可以在 UI 中使用系统 > 用户管理 > 本地用户来重置密码。
· 如果为任何本地用户指定用户名,该名称必须是唯一的。如果指定相同的名称,则会忽略该名称并使用默认名称(例如,admin 和 audit)。
配置网络信息
DNS及服务配置
确认配置信息,无误后确定部署
NSX-manager部署完成后虚拟机配置
