跨VCF云数据中心网络和安全
上面介绍了双活数据中心的网络模型,接下来介绍一下跨中心的网络安全,如何通过NSX federation实现跨中心统一安全策略管理,统一下发安全相关的配置,一致的安全体验。
我们可以在NSX全局管理器中配置全局的管理策略,这些安全策略会下发到每个Hypervisor的内核当中,实现微分段,为跨中心的工作负载提供L4-L7的状态化分布式防火墙策略。NSX Federation的安全策略可以分为本地的安全策略、基于某些特定区域(Region)的安全策略和全局(Global)的安全策略,我们可以在指定的区域内部应用安全策略,也可以实现区域间的安全策略和全局的安全策略,federation也可以实现区域内部虚拟机的安全策略。如下图所示:
在NSX全局管理器中配置的安全策略可以应用到任何一个位置,可以应用到全局,可以应用到特定的组,灵活配置安全策略。提供一个跨云一致的网络安全策略,安全策略通过NSX全局管理器统一进行安全管理,而且工作负载从一个中心迁移到另外一个数据中心的时候,安全策略也能自动跟随,如下图所示:
总结
通过VCF中的NSX Federation可以实现在不改变现有物理网络架构的同时,实现跨VCF云的双活的网络架构,工作负载可以跨VCF云中心进行部署。采用NSX Federation方案,无需修改跨中心的MTU,多VCF云数据中心的位置可以位于同城,也可以位于异地,同时可以实现跨中心实现一致的网络和安全策略,并且实现跨VCF云中心统一资源池。
