Verstehen Sie die virtuelle Firewall-Bereitstellung der vSRX mit Nutanix
Nutanix-Plattform – Überblick
Die Nutanix Virtual Computing Platform ist ein konvergiertes, skalierbares Rechen- und Speichersystem, das speziell für das Hosten und Speichern virtueller Maschinen (VMs) entwickelt wurde.
Alle Knoten in einem Nutanix-Cluster konvergieren, um einen einheitlichen Pool von Tiered Storage bereitzustellen und VMs Ressourcen für einen nahtlosen Zugriff zu präsentieren. Eine globale Datensystemarchitektur integriert jeden neuen Knoten in den Cluster, sodass Sie die Lösung an die Anforderungen Ihrer Infrastruktur anpassen können. Nutanix unterstützt VMware vSphere (ESXi), Microsoft HyperV, Citrix XenServer und Nutanix Acropolis Hypervisor (AHV) (KVM-basiert).
Die grundlegende Einheit für den Cluster ist ein Nutanix-Knoten. Jeder Knoten im Cluster führt einen Standard-Hypervisor aus und enthält Prozessoren, Arbeitsspeicher und lokalen Speicher (SSDs und Festplatten).
Der Nutanix-Cluster verfügt über eine verteilte Architektur, was bedeutet, dass jeder Knoten im Cluster die Verwaltung von Clusterressourcen und -verantwortlichkeiten teilt. Innerhalb jedes Knotens gibt es Softwarekomponenten, die während des Clusterbetriebs spezifische Aufgaben ausführen. Alle Komponenten laufen auf mehreren Knoten im Cluster und sind von der Konnektivität zwischen ihren Peers abhängig, die die Komponente auch ausführen. Die meisten Komponenten hängen auch von anderen Komponenten ab, um Informationen zu erhalten.
Auf jedem Knoten läuft eine Nutanix-Controller-VM, die die Zusammenlegung von lokalem Speicher von allen Knoten im Cluster ermöglicht.
Vm-Datenmanagement für Gast
VM-Daten werden lokal gespeichert und zum Schutz vor Hardwareausfällen auf anderen Knoten repliziert.
Wenn eine Gast-VM eine Schreibanforderung über den Hypervisor sendet, wird diese Anforderung an die Controller-VM auf dem Host gesendet. Um eine schnelle Reaktion auf die Gast-VM zu ermöglichen, werden diese Daten zuerst auf dem Metadaten-Laufwerk in einer Teilmenge des Speichers gespeichert. Dieser Cache wird schnell über das 10-Gigabit-Ethernet-GbE-Netzwerk auf andere Metadaten-Festplatten im Cluster verteilt. Oplog-Daten werden in regelmäßigen Abständen in den permanenten Speicher innerhalb des Clusters übertragen. Daten werden lokal für die Leistung geschrieben und für hohe Verfügbarkeit auf mehreren Knoten repliziert.
Wenn die Gast-VM eine Leseanforderung über den Hypervisor sendet, liest die Controller-VM zuerst aus der lokalen Kopie, falls vorhanden. Wenn der Host keine lokale Kopie enthält, liest die Controller-VM im gesamten Netzwerk von einem Host, der eine Kopie enthält. Wenn remote auf Daten zugegriffen wird, werden sie auf Speichergeräte auf dem aktuellen Host migriert, sodass zukünftige Leseanfragen lokal erfolgen können.
Das VM-Datenmanagement für Gäste umfasst die folgenden Funktionen:
MapReduce tiering— Nutanix-Cluster verwaltet Daten dynamisch, basierend auf der Anzahl der Zugriffe. Neue Daten werden auf der SSD-Ebene gespeichert. Häufig abgerufene Daten werden auf der SSD-Ebene gespeichert, und alte Daten werden auf die FESTPLATTE-Ebene migriert.
Die automatisierte Datenmigration gilt auch für Leseanfragen im gesamten Netzwerk. Wenn eine Gast-VM wiederholt auf einen Datenblock auf einem Remote-Host zutrifft, migriert die lokale Controller-VM diese Daten auf die SSD-Ebene des lokalen Hosts. Diese Migration reduziert nicht nur die Netzwerklatenz, sondern stellt auch sicher, dass häufig abgerufene Daten auf der schnellsten Speicherebene gespeichert werden.
Live migration— Die Live-Migration von VMs, unabhängig davon, ob sie manuell oder über einen automatischen Prozess wie vSphere DRS eingeleitet wird, wird von der Nutanix Virtual Computing Platform vollständig unterstützt. Alle Hosts innerhalb des Clusters haben über die Controller-VMs Visibilität in gemeinsam genutzte Nutanix-Datenspeicher. Gast-VM-Daten werden lokal geschrieben und für hohe Verfügbarkeit auch auf anderen Knoten repliziert.
Wenn eine VM auf einen anderen Host migriert wird, werden zukünftige Leseanforderungen an eine lokale Kopie der Daten gesendet, sofern diese vorhanden ist. Andernfalls wird die Anfrage über das Netzwerk an einen Host gesendet, der die angeforderten Daten enthält. Wenn remote auf Daten zugegriffen wird, werden die Remote-Daten auf Speichergeräte auf dem aktuellen Host migriert, sodass zukünftige Leseanforderungen lokal sind.
High availability (HA)— Die integrierte Datenredundanz in einem Nutanix-Cluster unterstützt hohe Verfügbarkeit, die vom Hypervisor bereitgestellt wird. Wenn ein Knoten ausfällt, können alle mit hoher Verfügbarkeit geschützten VMs auf anderen Knoten im Cluster automatisch neu gestartet werden. Das Hypervisor-Managementsystem wie vCenter wählt einen neuen Host für die VMs aus, der möglicherweise eine Kopie der VM-Daten enthalten kann oder nicht.
Virtualization management VM high availability– Wenn ein Knoten nicht mehr verfügbar ist, werden VMs, die auf diesem Knoten ausgeführt werden, auf einem anderen Knoten im selben Cluster neu gestartet.
In der Regel wird ein Entitätsausfall durch seine Isolierung vom Netzwerk erkannt (das Versäumnis, auf Herzschläge zu reagieren). Das Virtualisierungsmanagement stellt sicher, dass während eines Failovers höchstens eine Instanz der VM ausgeführt wird. Diese Eigenschaft verhindert gleichzeitige Netzwerk- und Speicher-E/A, die zu Beschädigungen führen kann.
Virtualisierungsmanagement VM-Hochverfügbarkeit implementiert Zugangssteuerung, um sicherzustellen, dass im Falle eines Knotenausfalls der Rest des Clusters über genügend Ressourcen verfügt, um die anderen VMs unterzubringen.
Datapath redundancy— Der Nutanix-Cluster wählt automatisch den optimalen Pfad zwischen einem Hypervisor-Host und seinen Gast-VM-Daten. Die Controller-VM verfügt über mehrere redundante Pfade, die den Cluster ausfallsicherer gegenüber Ausfällen machen.
Wenn verfügbar, führt der optimale Pfad über die lokale Controller-VM zu lokalen Speichergeräten. In einigen Fällen sind die Daten im lokalen Speicher nicht verfügbar, z. B. wenn eine Gast-VM kürzlich auf einen anderen Host migriert wurde. In diesen Fällen leitet die Controller-VM die Leseanforderung über das Netzwerk über die Controller-VM dieses Hosts zur Speicherung auf einem anderen Host.
Datenpath-Redundanz reagiert auch, wenn eine lokale Controller-VM nicht verfügbar ist. Um den Speicherpfad aufrechtzuerhalten, leitet der Cluster den Host automatisch an eine andere Controller-VM um. Wenn die lokale Controller-VM wieder online ist, wird der Datenpfad an diese VM zurückgegeben.
vSRX Virtual Firewall Deployment with Nutanix – Überblick
Dieses Thema bietet einen Überblick über die Bereitstellung der virtuellen vSRX-Firewall in Nutanix Enterprise Cloud.
Die virtuelle Firewall vSRX bietet dieselbe erweiterte Sicherheit mit vollem Funktionsumfang wie die physischen Firewalls der SRX-Serie von Juniper Networks, jedoch in einem virtualisierten Formfaktor. Verarbeitungsgeschwindigkeiten von bis zu 100 Gbit/s, was sie zur branchenweit schnellsten virtuellen Firewall macht. Die virtuelle Firewall vSRX mit Nutanix bietet:
Eine einzige Plattform, die hohe Leistung und vorhersehbare Skalierbarkeit für jede virtuelle Workload bietet.
Hochleistungsfähige Netzwerke und Sicherheit für skalierbare virtuelle Datencenter.
Flexibilität mit Unterstützung für mehrere Hypervisoren (Hyper-V, ESXi und Acropolis Hypervisor) und ein vollständiges Appliance-Portfolio für die richtige Mischung aus Rechen- und Speicherressourcen.
VMs, die weiterhin ausgeführt werden und mit VM-zentrierten Backups und integrierter Disaster Recovery geschützt sind.
Innovative Virtual Chassis Fabric-Architektur mit Automatisierungsfunktionen für vereinfachtes Management.
Manuelle, starre und statische Konnektivitäts- und Sicherheitsimplementierungen können in herkömmlichen Netzwerkumgebungen funktionieren. In der Multicloud-Ära, in der die Anwendungsanforderungen sehr dynamisch sind, muss die Netzwerksicherheit jedoch ein agiler und skalierbarer Partner für Rechenleistung und Speicher sein.
Unternehmens-Multiclouds setzen in der Regel Sicherheitslösungen am Perimeter wie Nutanix Enterprise Cloud ein, um Bedrohungen zu blockieren, die in nord-süd-Datenverkehr enthalten sind, der in die HCI eindringt oder diese verlässt. So effektiv sie sind, können diese Lösungen nicht vor Bedrohungen schützen, die von kompromittierten virtuellen Maschinen (VMs) eingeschleppt werden, die den horizontalen Datenverkehr infizieren, der innerhalb des Datencenters selbst zwischen Anwendungen und Services fließt. Wenn diese Bedrohungen nicht rechtzeitig identifiziert und angegangen werden, können sie geschäftskritische Anwendungen kompromittieren und zum Verlust sensibler Daten führen, was den Umsatz und den Ruf eines Unternehmens irreparablen Schaden verursacht.
Die virtuelle Firewall vSRX arbeitet mit Nutanix Enterprise Cloud zusammen, um fortschrittliche Sicherheit, konsistente Verwaltung, automatisierte Bedrohungsabwehr und effektive Mikrosegmentierung zu bieten – eine sichere und automatisierte Lösung für den Schutz heutiger Multicloud-Umgebungen.
Die hyperkonvergente Lösung von Juniper Networks und Nutanix unterstützt Unternehmen bei der Sicherung ihrer Multicloud-Umgebungen mit fortschrittlicher Sicherheit, konsistenter Verwaltung, automatisierter Bedrohungsabwehr, Automatisierung und effektiver Mikrosegmentierung. Unternehmen können jetzt ganz einfach eine sichere und automatisierte Multicloud bereitstellen, ohne den Aufwand für Betriebs- und Verwaltungsaufwand.
Nutanix bietet On-Demand-Services in der Cloud an. Die Services reichen von Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (SaaS) bis hin zu Anwendung und Database as a Service. Nutanix ist eine äußerst flexible, skalierbare und zuverlässige Cloud-Plattform. In Nutanix können Sie Server und Services in der Cloud als Bring-your-own-License (BYOL)-Service hosten.
Vorteile der virtuellen Firewall vSRX mit Nutanix
Advanced security—Schützt das Unternehmen durch die Bereitstellung erweiterter Sicherheitsservices, einschließlich Benutzer- und Anwendungs-Firewall, Advanced Threat Prevention und Intrusion Prevention.
Microsegmentation— Verwendet Mikrosegmentierung, um Anwendungen zu sichern und die Ausbreitung von Bedrohungen in der Unternehmens-Multicloud zu schützen. Schützt virtuelle Workloads durch effektive Mikrosegmentierung.
Mikrosegmentierung ermöglicht eine granulare Segmentierung und Kontrolle durch anwendung von Sicherheitsrichtlinien auf virtualisierter Host-Ebene. Aus Sicherheitssicht: Je granularer eine Bedrohung blockiert werden kann, desto effektiver ist die Abwehr der Ausbreitung der Bedrohung. Administratoren müssen ihre Sicherheitslösungen durch Mikrosegmentierung und automatisierte Bedrohungsabwehr erweitern und so die nötige Visibilität und Kontrolle bieten, um den Datenverkehr im Datencenter vor häufigen Sicherheitsverletzungen zu schützen.
Visibility— Bietet detaillierte Visibilität und Analysen zum Anwendungs-, Benutzer- und IP-Verhalten.
Automation—Bietet umfangreiche APIs und Automatisierungsbibliotheken von Nutanix und Juniper Networks, um agile DevOps-Workflows zu ermöglichen; um eine verbesserte Sicherheitsreaktion durch eine einheitliche Automatisierung von Sicherheits- und Netzwerk-Workflows zu ermöglichen.
Operational simplicity— Optimiert und ermöglicht die Bereitstellung und Durchsetzung von Richtlinien mit einer zentralen Verwaltungskonsole und einfachen, intuitiven Steuerungen über Multicloud-Bereitstellungen hinweg.
Verstehen der virtuellen Firewall-Bereitstellung der vSRX mit Nutanix AHV
Nutanix Acropolis Hyperconverged Infrastructure (HCI) unterstützt die Wahl des Kunden bei Virtualisierungslösungen wie VMware vSphere (ESXi), Microsoft HyperV, Citrix XenServer und Nutanix AHV. AHV ist ein nutanix Hypervisor mit vielen Funktionen. AHV ist ein unternehmensfähiger Hypervisor, der auf bewährter Open-Source-Technologie basiert. Nutanix AHV ist eine lizenzfreie Virtualisierungslösung im Lieferumfang von Acropolis, die Unternehmensvirtualisierung bereit für eine Multicloud-Welt bietet. Mit Acropolis und AHV ist die Virtualisierung eng in das Nutanix Enterprise Cloud OS integriert, anstatt als eigenständiges Produkt, das separat lizenziert, bereitgestellt und verwaltet werden muss.
Gängige Aufgaben wie die Bereitstellung, das Klonen und den Schutz von VMs werden zentral über Nutanix Prism verwaltet, anstatt unterschiedliche Produkte und Richtlinien in einer Stückstrategie zu verwenden.
Abbildung 1 veranschaulicht die Sicherheit von Anwendungen, die in einem privaten Subnetz der Nutanix Enterprise Cloud mit AHV Hypervisor ausgeführt werden.
Die Nutanix AHV-Virtualisierungslösung, einschließlich der tools, die Sie zur Verwaltung benötigen, wird ab Werk bereits installiert und einsatzbereit, sodass Sie das System betriebsbereit haben, sobald Sie das Cluster ins Rack gelegt und eingeschaltet haben. Wenn das System einsatzbereit ist, können Sie die Umgebung über eine einfache HTML 5-Weboberfläche verwalten. Prism Element, das auf jedem bereitgestellten Cluster verfügbar ist, integriert diese Benutzeroberfläche in die gesamte Nutanix-Lösung. Sie können auf Prism Element über jeden einzelnen Nutanix-Cluster über die Cluster-IP oder über eine der einzelnen Nutanix Controller Virtual Machine (CVM)-IP-Adressen zugreifen. Prism Element erfordert keine zusätzliche Software. es ist in jeden Nutanix-Cluster integriert und umfasst Unterstützung für AHV.
Wenn Sie einen zentralisierten Mechanismus für die Verwaltung Ihrer Bereitstellung bevorzugen, ist Prism Central über das Nutanix-Portal verfügbar oder kann direkt über den Nutanix-Cluster bereitgestellt werden. Prism Central ist eine robuste, optionale Software-Appliance-VM, die auf ESXi, Hyper-V oder AHV ausgeführt werden kann.
Prism Central ist sowohl eine Plattform als auch eine Hypervisor-unabhängige Managementschnittstelle, die eine aggregierte Ansicht Ihrer bereitgestellten Nutanix-Cluster bietet. Prism Central ermöglicht ihnen nicht nur die Ansicht und Verwaltung des Clusters, es bietet auch Einblicke in VMs, Hosts, Festplatten und Container oder gepoolte Festplatten.
Prism Central bietet eine einzige Schnittstelle für die Verwaltung nicht nur mehrerer Nutanix-Cluster, sondern auch den nativen Nutanix Hypervisor, AHV. Im Gegensatz zu anderen Hypervisoren erfordert AHV keine zusätzlichen Back-End-Anwendungen oder Datenbanken, um die in der Benutzeroberfläche gerenderten Daten zu verwalten.
Prism läuft auf jedem Knoten im Cluster, wählt aber wie andere Komponenten einen führenden. Alle Anfragen werden von den Followern mithilfe von Linux iptables an den Führenden weitergeleitet. Auf diese Weise können Administratoren über eine beliebige CONTROLLER-VM-IP-Adresse auf Prism zugreifen. Wenn der Prism-Leader scheitert, wird ein neuer Leiter gewählt. Der Leader kommuniziert auch mit den ESXi-Hosts, um den VM-Status und entsprechende Informationen zu erhalten. Junos Space Security Director verwaltet virtuelle Firewalls der vSRX Virtual Firewall, die auf jedem Knoten eines Nutanix AHV-Clusters bereitgestellt werden, und fungiert als einheitlicher Sicherheitsrichtlinienmanager, um konsistente Richtlinien auf allen virtuellen vSRX-Firewall-VMs in privaten und öffentlichen Clouds (AWS/Azure) auf Nutanix-Basis anzuwenden.
Der Datenverkehr zwischen VMs und Anwendungen wird über die virtuelle vSRX-Firewall umgeleitet, sodass Firewall-Sicherheitsservices der nächsten Generation mit erweiterter Bedrohungsabwehr bereitgestellt werden können. Sicherheitsrichtlinien, die auf den Datenverkehr innerhalb der Nutanix Enterprise Cloud durchgesetzt werden, ergänzen die Nutanix HCI durch Mikrosegmentierung, indem sie komplexe Bedrohungen blockiert, die sich seitlich ausbreiten, während gleichzeitig der Anwendungs- und Benutzerzugriff identifiziert und kontrolliert wird. Auf diese Weise können Sicherheitsadministratoren geschäftskritische Anwendungen und Daten mithilfe von Zero-Trust-Sicherheitsprinzipien isolieren und segmentieren.
Komponenten der virtuellen Firewall vSRX mit Nutanix
Die gemeinsame Lösung mit der virtuellen Firewall vSRX und Nutanix umfasst die folgenden Schlüsselkomponenten:
vSRX Virtual Firewall— Die virtuelle Firewall vSRX bietet die gleichen erweiterten Sicherheitsfunktionen wie die physischen Firewalls der SRX-Serie von Juniper Networks, jedoch in virtualisierter Form.
Junos Space Security Director— Mit Junos Space Security Director können Netzwerkbetreiber ein verteiltes Netzwerk virtueller und physischer Firewalls von einem einzigen Standort aus verwalten. Security Director dient als Verwaltungsschnittstelle für die virtuelle Firewall vSRX und verwaltet die Firewall-Richtlinien auf allen vSRX Virtual Firewall-Instanzen. Es umfasst ein anpassbares Dashboard mit Details, Bedrohungskarten und Ereignisprotokollen, die einen beispiellosen Einblick in die Netzwerksicherheit bieten. Die mobile Remote-Überwachung ist auch über eine mobile Anwendung für Google Android- und Apple iOS-Systeme möglich.
Nutanix AHV— Nutanix AHV ist eine Virtualisierungslösung der Enterprise-Klasse, die im Nutanix Enterprise Cloud OS enthalten ist und keine zusätzlichen Softwarekomponenten lizenziert, installiert oder verwaltet werden muss. AHV basiert auf bewährter Open-Source-Virtualisierungstechnologie und kombiniert einen erweiterten Datenpfad für optimale Leistung, stärkere Sicherheit, Flow-Netzwerkvirtualisierung und umfassende Verwaltungsfunktionen, um einen schlankeren, aber leistungsstärkeren Virtualisierungsstack ohne kostspielige Regalware und niedrigere Virtualisierungskosten bereitzustellen.
Nutanix Manager (Nutanix Prism)— Nutanix Prism ist ein End-to-End-Management-Tool für Administratoren zur Konfiguration und Überwachung des Nutanix-Clusters und der Lösungen für virtualisierte Datencenter-Umgebungen mithilfe von nCLI und der Webkonsole. Die End-to-End-Managementfunktion optimiert und automatisiert gängige Workflows, sodass mehrere Managementlösungen für den Betrieb von Datencentern überflüssig sind. Basierend auf fortschrittlicher Technologie für maschinelles Lernen analysiert Prism Systemdaten, um umsetzbare Erkenntnisse zur Optimierung der Virtualisierung und des Infrastrukturmanagements zu generieren.
Beispiel für die virtuelle Firewall vSRX mit Nutanix AHV
Eine Beispielbereitstellung einer virtuellen vSRX-Firewall zur Bereitstellung von Sicherheit für Anwendungen, die in einem privaten Subnetz der Nutanix Enterprise Cloud mit AHV-Hypervisor ausgeführt werden, ist in Abbildung 2 dargestellt.
Ein Bild der virtuellen vSRX-Firewall wird mit der Nutanix AHV-Virtualisierungslösung als Hypervisor in den Linux-basierten Kernel geladen. AHV-basierte VMs unterstützen die Mehrfachmandantenfähigkeit, sodass Sie mehrere virtuelle vSRX-Firewall-VMs auf dem Hostbetriebssystem ausführen können. AHV verwaltet und teilt die Systemressourcen zwischen dem Hostbetriebssystem und mehreren virtuellen vSRX-Firewall-VMs.
Die virtuelle Firewall vSRX erfordert, dass Sie hardwarebasierte Virtualisierung auf einem Hostbetriebssystem aktivieren, das einen Intel Virtualization Technology (VT)-fähigen Prozessor enthält.
Zu den grundlegenden Komponenten dieser Bereitstellung gehören:
Linux bridge—Wird für CVM-Steuerungsverkehr verwendet
Open vSwitch (OVS) bridge(s)—Verwendung von VM-Datenverkehr und zur Verbindung mit physischen Ports
Physical switch—Übertragung des ein- oder ausgehenden Datenverkehrs zu den physischen Netzwerkports auf dem Host