Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

了解使用 Nutanix 部署 vSRX 虚拟防火墙

Nutanix 平台概述

Nutanix 虚拟计算平台是一款融合的横向扩展计算和存储系统,专为托管和存储虚拟机 (VM) 而构建。

Nutanix 群集中的所有节点会融合,以提供统一的分层存储池,并将资源呈现给虚拟机以实现无缝访问。全球数据系统架构将每个新节点集成到群集中,使您能够扩展解决方案以满足基础架构的需求。Nutanix 支持 VMware vSphere (ESXi)、Microsoft HyperV、Citrix XenServer 和 Nutanix Acropolis 虚拟机管理程序 (AHV)(基于 KVM)。

群集的基础单元是 Nutanix 节点。群集中的每个节点都运行标准虚拟机管理程序,并包含处理器、内存和本地存储(SSD 和硬盘)。

Nutanix 群集采用分布式架构,这意味着群集中的每个节点在管理群集资源和职责时共享。在每个节点中,都有一些软件组件在群集操作期间执行特定任务。所有组件都在群集中的多个节点上运行,具体取决于同样运行该组件的对等方之间的连接。大多数组件也依赖于其他组件来获得信息。

每个节点上都运行一个 Nutanix 控制器虚拟机,从而实现群集中所有节点的本地存储池。

访客虚拟机数据管理

VM 数据存储在本地,并复制到其他节点上,以防止硬件故障。

当来宾虚拟机通过虚拟机管理程序提交写请求时,该请求将发送到主机上的控制器虚拟机。为了对来宾虚拟机提供快速响应,首先将这些数据存储在元数据驱动器上的一个存储子集内。此缓存会通过 10 千兆以太网 GbE 网络快速分布到群集中的其他元数据驱动器。Oplog 数据会定期传输到群集内的持久存储。为了提高性能,数据在本地编写,并在多个节点上复制,以实现高可用性。

当来宾虚拟机通过虚拟机管理程序发送读取请求时,控制器虚拟机将首先从本地副本中读取(如果存在)。如果主机不包含本地副本,则控制器虚拟机将通过网络从包含副本的主机中读取该副本。当远程数据被访问时,它将迁移到当前主机上的存储设备,以便将来的读取请求可以位于本地。

访客虚拟机数据管理包括以下功能:

  • MapReduce tiering-Nutanix 群集根据数据的访问频率动态管理数据。新数据保存在 SSD 层上。经常访问的数据保留在 SSD 层,旧数据迁移到 HDD 层。

    自动化数据迁移也适用于网络中的读取请求。如果访客虚拟机反复访问远程主机上的数据块,则本地控制器虚拟机会将该数据迁移到本地主机的 SSD 层。这种迁移不仅可以降低网络延迟,还可以确保频繁访问的数据存储在最快的存储层上。

  • Live migration- Nutanix 虚拟计算平台完全支持虚拟机的实时迁移,无论是手动迁移还是通过 vSphere DRS 等自动流程启动。群集中的所有主机都通过控制器虚拟机对共享 Nutanix 数据存储具有可见性。访客虚拟机数据在本地编写,并复制到其他节点上,以实现高可用性。

    如果一个虚拟机迁移到其他主机,将来的读取请求将发送到数据的本地副本(如果存在)。否则,请求会通过网络发送至包含请求数据的主机。访问远程数据时,远程数据会迁移到当前主机上的存储设备,以便将来的读取请求位于本地。

  • High availability (HA)— Nutanix 群集中的内置数据冗余支持虚拟机管理程序提供的高可用性。如果某个节点发生故障,则可以在群集中的其他节点上自动重新启动所有受高可用性保护的虚拟机。虚拟机管理程序管理系统(如 vCenter)为虚拟机选择一个新主机,该主机可能包含虚拟机数据的副本,也可能不包含虚拟机数据的副本。

  • Virtualization management VM high availability—在虚拟化管理虚拟机高可用性中,当某个节点不可用时,该节点上运行的虚拟机将在同一群集中的另一个节点上重新启动。

    通常,通过与网络隔离(无法响应心跳)来检测实体故障。虚拟化管理可确保故障转移期间最多有一个虚拟机实例在任意点运行。该属性可防止可能导致损坏的并发网络和存储 I/O。

    虚拟化管理虚拟机高可用性实施准入控制,以帮助确保在节点发生故障时,群集的其他部分有足够的资源来容纳其他虚拟机。

  • Datapath redundancy— Nutanix 群集会自动在虚拟机管理程序主机与其访客虚拟机数据之间选择最佳路径。控制器虚拟机具有多个冗余路径可用,这使得群集对故障的弹性更高。

    如果可用,最佳路径是通过本地控制器虚拟机到本地存储设备。在某些情况下,数据在本地存储上不可用,例如,访客虚拟机最近迁移到另一个主机时。在这些情况下,控制器虚拟机通过该主机的控制器虚拟机将整个网络的读取请求定向到另一个主机上的存储。

    当本地控制器虚拟机不可用时,数据路径冗余也会做出响应。为了维护存储路径,群集会自动将主机重定向至其他控制器虚拟机。当本地控制器虚拟机恢复联机时,数据路径会返回到此虚拟机。

使用 Nutanix 部署 vSRX 虚拟防火墙概述

本主题概述了在 Nutanix 企业云上部署 vSRX 虚拟防火墙。

vSRX 虚拟防火墙提供与物理瞻博网络 SRX 系列防火墙相同的全功能高级安全性,但采用虚拟化外形。处理速度高达 100 Gbps,是业界最快的虚拟防火墙。采用 Nutanix 的 vSRX 虚拟防火墙可提供:

  • 为任何虚拟工作负载提供高性能和可预测规模的单一平台。

  • 面向横向扩展虚拟数据中心的高性能网络和安全性。

  • 通过多虚拟机管理程序支持(Hyper-V、ESXi 和 Acropolis 虚拟机管理程序)以及完整的设备产品组合实现灵活性,可实现计算和存储资源的正确组合。

  • 虚拟机,通过以虚拟机为中心的备份和集成灾难恢复保持运行并得到保护。

  • 创新的虚拟机箱交换矩阵架构,具有简化管理的自动化功能。

手动、刚性和静态连接和安全实施可能适用于传统网络环境。然而,在多云时代,应用程序需求高度动态,网络安全必须成为计算和存储的敏捷且可扩展的合作伙伴。

企业多云通常采用 Nutanix 企业云等外围安全解决方案来阻止进入或离开 HCI 的南北流量中包含的威胁。这些解决方案只要行之有效,就无法抵御受损害的虚拟机 (VM) 带来的威胁,这些虚拟机会感染数据中心内部应用程序和服务之间的东西流量。如果不及时识别和解决这些威胁,它们可能会危及任务关键型应用程序并导致敏感数据丢失,从而对组织的收入和声誉造成无法弥补的损害。

vSRX 虚拟防火墙与 Nutanix 企业云配合使用,可提供高级安全性、一致管理、自动威胁补救和有效的微分段,为当今多云环境提供安全、自动化的解决方案。

瞻博网络与 Nutanix 超融合联合解决方案通过高级安全、一致管理、自动化威胁补救、自动化和有效的微分段帮助企业保护其多云环境。现在,企业可以轻松部署安全、自动化的多云,而没有运维和管理复杂性的开销。

Nutanix 在云中提供按需服务。服务包括基础架构即服务 (IaaS) 和平台即服务 (SaaS),以及应用程序和数据库即服务。Nutanix 是一款高度灵活、可扩展且可靠的云平台。在 Nutanix 中,您可以将服务器和服务作为自带许可证 (BYOL) 服务托管在云端。

使用 Nutanix 的 vSRX 虚拟防火墙的优势

  • Advanced security— 通过提供高级安全服务(包括用户和应用程序防火墙、高级威胁防御和入侵防御)来保护业务。

  • Microsegmentation— 利用微分段来保护应用程序,并防御企业多云中的横向威胁传播。通过有效的微分段保护虚拟工作负载。

    微分段在虚拟化主机级别应用安全策略,促进了细粒度分段和控制。从安全的角度来看,在越精细的级别阻止威胁,控制威胁传播的防御就越有效。管理员必须通过微分段和自动威胁补救来增强其安全解决方案,提供所需的可见性和控制,以保护横向数据中心流量免受常见漏洞的影响。

  • Visibility— 提供对应用程序、用户和 IP 行为的精细可见性和分析。

  • Automation— 提供 Nutanix 和瞻博网络的丰富 API 和自动化库,以实现敏捷 DevOps 工作流程:通过安全和网络工作流程的统一自动化来改进安全响应。

  • Operational simplicity— 通过单一管理平台管理和跨多云部署的简单直观控制,简化并启用策略部署和实施。

了解使用 Nutanix AHV 部署 vSRX 虚拟防火墙

Nutanix Acropolis 超融合基础架构 (HCI) 支持客户在虚拟化解决方案方面的选择,包括 VMware vSphere (ESXi)、Microsoft HyperV、Citrix XenServer 和 Nutanix AHV。AHV 是一个功能丰富的 Nutanix 虚拟机管理程序。AHV 是基于成熟的开源技术的企业就绪虚拟机管理程序。Nutanix AHV 是 Acropolis 随附的无许可证虚拟化解决方案,可提供面向多云环境的企业虚拟化。借助 Acropolis 和 AHV,虚拟化已紧密集成到 Nutanix 企业云操作系统中,而不是作为需要单独许可、部署和管理的独立产品分层使用。

部署、克隆和保护虚拟机等常见任务通过 Nutanix Prism 集中管理,而不是以零敲碎打的策略使用不同的产品和策略。

图 1 说明了如何为具有 AHV 虚拟机管理程序的 Nutanix 企业云私有子网内运行的应用程序提供安全性。

图 1: Nutanix 企业云 vSRX Virtual Firewall Deployment in Nutanix Enterprise Cloud中的 vSRX 虚拟防火墙部署

Nutanix AHV 虚拟化解决方案(包括管理它所需的工具)在出厂时就已装好并准备投入使用,以便您可以在安装群集并开机后立即启动并运行系统。系统启动并运行后,可以通过简单的 HTML 5 Web UI 维护环境。Prism 元素(在您部署的每个群集上提供)将此 UI 与整个 Nutanix 解决方案集成在一起。您可以通过群集 IP 通过每个 Nutanix 群集或任何单独的 Nutanix 控制器虚拟机 (CVM) IP 地址访问 Prism 元素。Prism 元素无需额外软件;它内置于每个 Nutanix 群集中,并包含对 AHV 的支持

如果您希望使用更集中的机制来管理部署,则 Prism Central 可从 Nutanix 门户获得,也可直接从 Nutanix 群集进行部署。Prism Central 是一款强大的可选软件设备虚拟机,可在 ESXi、Hyper-V 或 AHV 上运行。

Prism Central 既是一个平台,也是一个与虚拟机管理程序无关的管理界面,可提供已部署 Nutanix 群集的聚合视图。除了允许您查看和管理群集之外,Prism Central 还提供对虚拟机、主机、磁盘以及容器或池化磁盘的洞察。

Prism Central 提供单一管理平台,不仅可以管理多个 Nutanix 群集,还可以管理本机 Nutanix 虚拟机管理程序 AHV。与其他虚拟机管理程序不同,AHV 无需额外的后端应用程序或数据库即可维护 UI 中呈现的数据。

Prism 在群集的每个节点上运行,但与其他组件一样,它会选出领导者。所有请求都会使用 Linux iptable 从关注者转发给领导者。这允许管理员使用任何控制器虚拟机 IP 地址访问 Prism。如果 Prism 领导者失败,将选出一位新领袖。此外,该领导者还会与 ESXi 主机沟通,了解虚拟机状态和相关信息。Junos Space Security Director 管理 Nutanix AHV 群集的每个节点上部署的 vSRX 虚拟防火墙,并充当统一安全策略管理器,跨基于 Nutanix 的私有云和公共云 (AWS/Azure) 中的所有 vSRX 虚拟防火墙虚拟机应用一致的策略。

虚拟机与应用程序之间的流量通过 vSRX 虚拟防火墙重定向,从而允许配置具有高级威胁防御功能的新一代防火墙安全服务。对 Nutanix 企业云内的流量实施安全策略,通过微分段增强 Nutanix HCI,阻止横向传播的复杂威胁,同时识别和控制应用程序和用户访问。这使得安全管理员能够使用零信任安全原则隔离和分段任务关键型应用程序和数据。

使用 Nutanix 部署 vSRX 虚拟防火墙的组件

与 vSRX 虚拟防火墙和 Nutanix 联合解决方案包括以下关键组件:

  • vSRX Virtual Firewall—vSRX 虚拟防火墙以虚拟化形式提供与物理瞻博网络 SRX 系列防火墙相同的全功能高级安全性。

  • Junos Space Security Director—Junos Space Security Director 允许网络运营商从单个位置管理虚拟和物理防火墙的分布式网络。Security Director 用作 vSRX 虚拟防火墙的管理接口,管理所有 vSRX 虚拟防火墙实例上的防火墙策略。它包括一个可定制的仪表板,其中包含详细信息、威胁地图和事件日志,提供了前所未有的网络安全可见性。Google Android 和 Apple iOS 系统的移动应用程序还可以进行远程移动监控。

  • Nutanix AHV—Nutanix AHV 是 Nutanix 企业云操作系统随附的企业级虚拟化解决方案,无需许可、安装或管理任何额外的软件组件。从成熟的开源虚拟化技术开始,AHV 结合增强型数据路径,可实现最佳性能、安全强化、流网络虚拟化和完整的管理功能,以提供更精简、更强大的虚拟化堆栈,没有昂贵的现成软件,虚拟化成本更低。

  • Nutanix Manager (Nutanix Prism)—Nutanix Prism 是一个端到端管理工具,管理员可以使用 nCLI 和 Web 控制台配置和监控适用于虚拟化数据中心环境的 Nutanix 群集和解决方案。端到端管理功能简化了常见工作流程并实现了工作流程的自动化,从而不再需要跨数据中心运维的多个管理解决方案。在先进的机器学习技术推动下,Prism 分析系统数据,生成切实可行的洞察,用于优化虚拟化和基础架构管理。

使用 Nutanix AHV 部署 vSRX 虚拟防火墙的示例

图 2 显示了一个 vSRX 虚拟防火墙部署示例,用于为具有 AHV 虚拟机管理程序的 Nutanix 企业云私有子网中运行的应用程序提供安全性。

图 2:使用 AHV 在 Nutanix 企业云中部署 vSRX 虚拟防火墙的示例 Sample vSRX Virtual Firewall Deployment in Nutanix Enterprise Cloud Using AHV

vSRX 虚拟防火墙映像以 Nutanix AHV 虚拟化解决方案作为虚拟机管理程序加载到基于 Linux 的内核中。基于 AHV 的虚拟机支持多租户,允许您在主机操作系统上运行多个 vSRX 虚拟防火墙虚拟机。AHV 在主机操作系统和多个 vSRX 虚拟防火墙虚拟机之间管理和共享系统资源。

注意:

vSRX 虚拟防火墙要求您在包含支持 Intel 虚拟化技术 (VT) 的处理器的主机操作系统上启用基于硬件的虚拟化。

此部署的基本组件包括:

  • Linux bridge— 用于 CVM 控制流量

  • Open vSwitch (OVS) bridge(s)- 使用虚拟机流量并连接到物理端口

  • Physical switch—将流量传输入或流出到主机上的物理网络端口

相关文档