VMware - NSX

#NSX

------------------

1. 정의 : 가상화 네트워크 와 보안 솔루션

- 실제 물리 스위치, 라우터를 다루는 것이 아니라, 가상 컴포넌트를 만들고 제어한다

- 목표 : remove dependency switch, router. VM 스스로 통신의 destination 을 찾게끔 한다

- 관련된 기능

- router

- static

                        - dynamic

                - OSPF

                - BGP

                - IS-IS

        - firewall

        - load balancer

        - NAT

        - VPN

        - IDS - IPS

        - Antivirus

        - spootgaurd

        - activity monitoring

        - live monitoring

        - data compliance

        - DHCP

2. NSX 의 컴포넌트

    - NSX Manager : Virtual Appliance 로 vCenter 와 1대1 mapping 하여 https:443 통신한다

    - NSX 에서 생성하는 logical switch 를 생성 및 관리한다

    - ESXi 에 5개의 NSX 필수 컴포넌트를 설치한다

    - 설정 및 기본 정보를 postgreSQL 에 저장한다

    - NSX Controllers : 아래 테이블 정보를 관리한다

        - ARP table

        - MAC table

        - VTEP table

        - Routing table

※ event 발생 시 업데이트 되며 vCenter 에 변경사항을 공유한다

    - NSX Edge

    - NSX Control VM : VM 인스턴스 로 ESXi 에 논리적 router 를 설치하는 용도이다

    - 물리적 router 를 거치지 않는 장점이 있다 == data traffic optimization

    - network 를 논리적으로 분리하여 사용하기 용이 하다

    - NSX Edge Service Gateway : VM 인스턴스 로 외부통신 (N-S) 을 위해 필요한 컴포넌트

    - router

                - static

                - dynamic

                    . OSPF

                    . BGP

                    . IS-IS

                - firewall

                - load balancer

                - NAT

                - VPN

                - DHCP

- NSX Distributed Logical Router : ESXi 호스트간 E-W 통신을 위해 필요한 컴포넌트

3. NSX structure

4. NSX 사용을 위한 preparation

- vCenter, vSphere, NSX Manager 가 필요하다

- ESXi 에 5가지의 컴포넌트 를 설치해야 한다 

- 메뉴 > Networking and security > Host preparation

- ESXi user world 부분 2 Agents

1. netcpa

2. vsFwd

- ESXi kernel world 부분 3 Agents

1. DFW ( distributed firewall )     ↘

2. VXLAN ( virtual extensible lan ) → VIBs ( Virtual Infrastructure Bundle )

3. DLR ( distributed logical router ) ↗

5. VXLAN 이란 : overlay L2 to L3

 

- 캡슐화 패킷 전송을 지원한다

- VTEP : ESXi host 커뮤니케이션을 위한 컴포넌트

- VM -> port group (vxlan:5000,5001)-> VTEP , -> v switch -> p switch

- 캡슐화를 통해 Ip 를 보호한다

- TCP 를 UDP 로 캡슐화 한다 (UDP, TCP 차이 : http://wooguy-tcpip.blogspot.kr/2014/04/tcp-udp.html)

- 소스 port 는 항상 random 하게 부여된다

- 타겟 port 는 4789 (vxlan 의 고정된 포트)

- VM -> port group (vlan:10) , tag vlan only -> v switch -> p switch : VM 의 Ip 추적이 가능하다

6. NSX 를 통한 2 type of communication

- EAST - WEST : VM - VM 10.11.10.12 -- 10.11.10.13 (by DLR) 

        

- North - South : VM - client desktop 10.11.10.12 -- 192.168.110.12 (by edge)

       

7. 네트워크 layer 별 구분

http://defensecurity.tistory.com/entry/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EC%9E%A5%EB%B9%84-L2-%C2%B7-L3-%C2%B7-L4-%C2%B7-L7

    - L2 스위치 > MAC 정보(MAC Table)를 보고 스위칭 : 동일 네트워크 환경

    - L3 스위치 > IP 정보(Routing Table)를 보고 스위칭 : 다른 네트워크 환경

    - L4 스위치 > IP+Port(Session or Connection)를 보고 스위칭

    - L7 스위치 > 실제 App 데이터(Content)를 보고 스위칭컴포넌트를 설치한다