微信号:dellemc_tech

介绍:为戴尔易安信客户提供技术支持服务,为广大IT行业用户分享技术文章与行业信息。

融合计算、存储、网络和安全于一身的公司还未出现?看EMC技术大牛如何回应

2017-09-17 13:34 戴尔易安信技术支持

前两天看到网络某位大牛的一篇文章分析超融合市场,其中提到“超融合是从很大意义上将计算、存储、网络、安全等企业级IT基础设施有机融合在了一起,但不只是硬件架构上的融合。到目前为止,能完全有机融合这四大元素的公司似乎还没有出现,更多的还是如何将计算、存储、网络还有虚拟资源互相融合。”


我觉得这与EMC分析的企业转型之路有不谋而合之处,其中包含数字化转型,IT转型,工作空间转型,还有安全转型。其中安全转型往往容易被忽略,但对于企业也同样重要。



不过不太认同此大牛的后半句话,我认为EMC VxRail是目前业界唯一不通过第三方厂商,可通过单一厂家解决方案,将计算、存储、网络、安全集于一体的超融合设备,基于VxRail硬件平台:


  • 通过vSAN实现软件定义存储

  • 通过vSphere实现软件定义计算

  • 通过vSwitch实现软件定义网络 

  • 通过NSX实现软件定义安全



前几天,VMware刚公布了2018财年Q2的业绩,第二季度总收入额为19亿美元,同比增长12.2%。而vSAN和NSX是VMware增长最快的两个产品,vSAN年同比增长150%并且达到了10,000个用户,NSX年同比增长40%并且在第二季度前十大成交单都有销售。


大部分用户采用VMware内置的分布式交换机实现虚拟化层互联,而需要使用软件定义网络实现网络层面安全的用户才需要部署NSX。当然,NSX不属于VxRail内置组件,属于可选项,需要单独采购。在近期VMare发布了在VxRail部署NSX的官方指导。


VMware NSX分为支持多平台版本NSX-T(以前叫做NSX-MH)和支持vSphere版本NSX-V。对于VxRail来讲,当然是指的NSX-V。软件定义网络有很多使用场景和用途,这个指导主要讨论安全方面。



文中首先指出了EMC VxRail以vSAN和PowerEdge服务器为基础,辅以可选的NSX-V,是业界唯一与VMware共同设计、合作研发、优化和制造的超融合产品。



然后,列出了传统的安全方式的各种挑战:


  • 服务器、网络、存储、安全管理的孤岛问题,带来管理成本上升;

  • 传统方式需要单独的物理安全设备,而对于分支机构或远程办公室,数据中心的空间和电力是很大限制因素;

  • 传统安全方式不是根据应用,而是根据IP地址设置,而IP地址是可以更改的;

  • 工作负载迁移被限制或很困难;



因为VxRail搭建好就是一个高可用的vSphere集群,所以安装NSX非常简单。NSX就是一个OVA文件,上传至VxRail上的vSAN存储空间后,填入一些配置参数即可。文中以G410为例,介绍了如何部署NSX-V。




VxRail搭建好后会自动部署一个分布式交换机,其中分为不同用途的端口组。建议将NSX部署在vCenter Management分布式端口组。NSX的安装不会改变任何VxRail默认的网络设置。



和VxRail的所有解决方案一样,优势之一在于可以通过vSphere Web Client单一界面统一管理。NSX安装完成后,需要将其注册到vSphere中。



这样,就可以在vSphere Web Client界面里统一来进行管理了。



如果要使用Distribution Fire Wall功能,需要通过vCenter在每台VxRail节点上推送Firewall VIB。



然后就可以在NSX-V上部署各种安全策略了,下面例子中创建了Web和DB两个安全策略。



因此,部署和使用其实很简单。文章后面还主要针对于NSX-V安全方面在VxRail上的使用场景做了分析。


1.通过NSX-V在VDI场景中提供更高的安全服务



在上面例子中,在VxRail集群上分为两个集群:一个是后台业务应用集群,一个是VDI Pool。


后台业务分为典型的3层架构:DB、App、Web。而由于安全要求,要求Web层如果访问DB,必须通过App层;不允许Web层直接访问DB。


同时,在VDI Pool与后台应用也需要有相应的安全策略:比如用户存在不同的部门,如财务,HR和IT。那么每个部门的VDI用户也要被限制能够访问后台不同应用的安全权限。

这些都可以通过NSX-V其中的micro-segmentation概念来实现。


2. 应用微隔离



在此例子中,对比了传统方式和NSX-V实现方式的不同。比如,用户业务中存在10.0.0.1/24和11.0.0.1/24两个网段,之间不能互访。对于传统方式,即使两个业务服务器在同一机柜中,但由于安全设备在另外一个机柜中,那么访问也必须经过另外一个机柜,造成通讯路径变大。



而NSX-V可通过micro-segmentation的概念,在vNIC层面定义安全策略,使得数据在发出的时候就经过安全策略判断。同时,NSX-V设置的安全策略是和Tag绑定,而不是根据IP地址。因为IP地址是可以更改的,更容易被攻击。


3.DMZ Anywhere



可以利用NSX-V DFW在任何地方非常容易的创建出一个DMZ区域。比如在上面图例中,NSX将网络分段,定义安全策略控制内部访问以及从Internet的外部访问的进出站规则。



综上所述,通过NSX-V,VxRail是唯一可通过单一厂家解决方案,实现计算、存储、网络和安全融合的超融合产品。




更多精彩内容,请点击阅读原文”进行查看!

如何每天都能收到如此精彩的文章?

①点击右上角点击查看官方账号”→点击关注

②长按并识别下图中的二维码,直接访问EMC中文支持论坛


 
戴尔易安信技术支持 更多文章 如何在安装或更换硬件组件时避免静电放电损害(ESD) EMC和戴尔超融合是什么关系?这位CTO来告诉你! 数据缩减技术效率对比 满足变化中存储需求的高效架构 谈重复数据删除技术的风险和预防之策
猜您喜欢 傅盛、潘石屹与《从0到1》彼得对话:中国人为什么疯狂追求成功? 安卓自定义View进阶-事件分发机制原理 天猫11.11:移动端性能提升两倍 Method Swizzling 解读Android官方MVP项目单元测试