一般來講 VMware NSX-T 可以通俗的理解為一個(gè) SDN（軟件定義網(wǎng)絡(luò)）的平臺(tái)。在NSX的教材中闡述其為一個(gè)集合SDN和NFV（網(wǎng)絡(luò)功能虛擬化）于一體的網(wǎng)絡(luò)平臺(tái)： Network Virtualization（網(wǎng)絡(luò)虛擬化）。借助成熟的vSphere運(yùn)算虛擬化平臺(tái)， NSX早在2013年的時(shí)候便已可以為虛擬機(jī)提供分布式 / 網(wǎng)關(guān)式防火墻。在2015年， NSX在VMware的產(chǎn)品家族中率先與vCenter控制平面結(jié)偶， 推出了面向多云環(huán)境的NSX-T平臺(tái)。

　　如上圖所示， NSX-T的數(shù)據(jù)轉(zhuǎn)發(fā)層面已經(jīng)不僅僅支持vSphere作為虛擬化平臺(tái)了， 同時(shí)支持了更為開放的主流Linux平臺(tái)， 其中可細(xì)分為支持Linux中的容器網(wǎng)絡(luò)和Linux的直裝服務(wù)器。高性能 / 多租戶的虛擬路由器則部署在NSX Edge中， NSX Edge支持兩種部署形態(tài)： 虛擬機(jī) / 服務(wù)器直裝，  前者部署便利性不言而喻， 后者借助Intel或Mellanox的DPDK追求最佳的性能。

　　在控制層面由于已經(jīng)與vCenter解偶， 從而有了獨(dú)立的網(wǎng)絡(luò)視角的管理界面。通過該界面NSX管理員可以使用API接口與多個(gè)vCenter對(duì)接（Up to 16）, 也可對(duì)接K8s平臺(tái)（Up to 100）為其提供容器網(wǎng)絡(luò)服務(wù)， K8s社區(qū)版的或商業(yè)版均支持。在非天朝地區(qū)還可以通過Cloud Service Manager組件對(duì)接公有云平臺(tái)（A家，M家，G家）, 從而提供一個(gè)統(tǒng)一的虛擬網(wǎng)絡(luò)平臺(tái)， 也將混合云網(wǎng)絡(luò)安全維度扁平化， 即便在混合云場(chǎng)景中， 客戶依然保持相同的網(wǎng)絡(luò)安全策略手段去設(shè)計(jì)和管理網(wǎng)絡(luò)。

　　如下圖所示，早在2014年VMware就提出了“零信任”安全模型， 該模型的原型來自公共安全體系架構(gòu)， 可以以機(jī)場(chǎng)的安檢流程來進(jìn)行類比。假定VMware為機(jī)場(chǎng)管理方，  當(dāng)乘客進(jìn)入機(jī)場(chǎng)開始便開始經(jīng)歷各種安全檢查，大家可以回憶一下大致的安檢過程：

 

　　前5個(gè)步驟對(duì)應(yīng)數(shù)據(jù)中心的安全布局類似于圖2中右側(cè)的邊界防火墻， IPS, 可能還有WAF / DDOS / 反垃圾郵件 / 防病毒和防惡意軟件等深度檢測(cè)的網(wǎng)關(guān)。這些網(wǎng)關(guān)的工作原理都是當(dāng)且僅當(dāng)流量經(jīng)過它時(shí)， 通過自身專用的CPU / 內(nèi)存 / 或芯片來做深度檢測(cè)。正如機(jī)場(chǎng)中的深度安檢時(shí)所用的儀器， 并非由機(jī)場(chǎng)生產(chǎn)。而是由第三方安全廠家生產(chǎn)， 與機(jī)場(chǎng)管理方安全流程集成與聯(lián)動(dòng)�？梢灶惐葹閿�(shù)據(jù)中心南北向流量的深度檢測(cè)。

　　而面對(duì)當(dāng)今的網(wǎng)絡(luò)威脅， 也許僅僅南北向的深度檢測(cè)是不夠的。國(guó)內(nèi)安全形勢(shì)亦是如此， 等保2.0還有"花王"行動(dòng)， 各種監(jiān)管機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全的審核已不僅僅是南北向（垂直滲透）, 或我們常說的邊界安全。因?yàn)橥�往最難以應(yīng)對(duì)的安全威脅是來自內(nèi)網(wǎng)。所謂"吾恐季孫之憂，不在顓臾，而在蕭薔之內(nèi)也"。經(jīng)過了機(jī)場(chǎng)的各種深度檢測(cè)后， 身在候機(jī)廳的你并不是可以任意登機(jī)口登機(jī)的， 最后還需由機(jī)場(chǎng)工作人員完成最后的登機(jī)前驗(yàn)票， 簡(jiǎn)單的驗(yàn)票流程， 由機(jī)場(chǎng)人員完成， 檢測(cè)的過程高效 /顆粒度到個(gè)人 / 寬度到每個(gè)登機(jī)口。 這好比數(shù)據(jù)中心中的東西向流量安全， 這便是VMware作為機(jī)場(chǎng)管理方最擅長(zhǎng)的分布式防火墻。這種分布式防火墻不追求檢測(cè)的深度， 而專注檢測(cè)的執(zhí)行顆粒度與寬度。這樣解釋并不是說NSX分布式防火墻不能做到深度檢測(cè)， 只是這樣做會(huì)勢(shì)必會(huì)消耗更多的資源去執(zhí)行深度檢測(cè)的任務(wù)， 從而會(huì)與宿主機(jī)中的業(yè)務(wù)虛擬機(jī)（或容器）有征用資源的沖突。上文中提到的深度包檢測(cè)設(shè)備無不是有自己專用的處理資源。

　　VMware推薦的采用集成第三方安全解決方案來構(gòu)建邊界的安全， 內(nèi)網(wǎng)采用平臺(tái)內(nèi)置分布式防火墻構(gòu)筑彈性寬度的防御體系。二者依據(jù)管理者的意志進(jìn)行安全聯(lián)動(dòng)， 這樣的網(wǎng)絡(luò)安全框架更為合理。

　　構(gòu)建全向安全數(shù)據(jù)中心首先應(yīng)該先打破一個(gè)固有的錯(cuò)誤假設(shè)“內(nèi)網(wǎng)安全”后， 再去構(gòu)建一個(gè)南北向深度防御，東西向高精度的管控粗顆粒度檢測(cè)的網(wǎng)絡(luò)安全體系。再加之能夠縱向管理的安全審計(jì)系統(tǒng)，提供流量可視化，安全審計(jì)，數(shù)據(jù)積淀，事件回溯等，秉承的思維應(yīng)該是“專業(yè)的事交給專業(yè)的人做”。

　　NSX 同時(shí)算上-V和-T兩個(gè)版本， 所支持的第三方安全生態(tài)合作伙伴可謂是非常豐富的， 下圖中圍繞著NSX以及vSphere的安全生態(tài)可見一斑。

　　關(guān)于具體的版本所支持的第三方安全生態(tài)可以登陸VMware兼容性官方網(wǎng)站進(jìn)行查詢：

　　https://www.vmware.com/resources/compatibility/search.php?deviceCategory=nsxt

　　接下來我們一起看看NSX-T集成第三方安全的產(chǎn)品的方案以及實(shí)現(xiàn)原理。

　　上圖通過以下幾個(gè)維度分析了NSX-T網(wǎng)絡(luò)平臺(tái)集成第三方安全解決方案的收益：

　　可以基于VMware軟件定義數(shù)據(jù)中心（SDDC）產(chǎn)品家族的環(huán)境或者是諸多公有云環(huán)境構(gòu)建

　　下一代防火墻

　　IPS / IDS

　　URL Filtering /Anti-Virus / Sandboxing

　　網(wǎng)絡(luò)可視化 / 分析 / 聚合

　　顆粒度更高的安全服務(wù)

　　簡(jiǎn)化部署 / 安全聯(lián)動(dòng)

　　以應(yīng)用為中心的安全策略一致性

　　服務(wù)鏈條

　　可分布式部署到所需的宿主機(jī)中

　　可指定部署在專用的安全服務(wù)集群中

　　通過幾張膠片我們分別看看東西向 / 南北向 是如何集成的，

　　如上圖所示， 第三方安全設(shè)備在南北向集成時(shí)， 可以與平臺(tái)邊界路由器（T0 Router）集成，也可下沉到租戶路由器（T1 Router）。借助NSX-T作為網(wǎng)絡(luò)平臺(tái)， 第三方防火墻不僅僅可以在租戶的邊界對(duì)虛擬機(jī)進(jìn)行深度檢測(cè)， 也可對(duì)該網(wǎng)絡(luò)內(nèi)的容器執(zhí)行相同的策略， 而第三方安全設(shè)備并不需做額外與K8s的配置。

　　上圖展示了南北向集成的防火墻實(shí)例是如何工作的， 旁邊的英文描述已經(jīng)大致說明了轉(zhuǎn)發(fā)機(jī)制。NSX-T采用策略路由將目標(biāo)分段導(dǎo)流（重定向）到第三方防火墻中， 再通過BFD檢測(cè)保持MAC地址的更新以及HA狀態(tài)的檢測(cè)。在南北向的集成部署模式當(dāng)中第三方設(shè)備是支持主備（Active/Standby）模式的， 當(dāng)然你非要Standalone也是可以的。

　　東西向的安全集成則有兩種模式， 分布式部署/ 集中式部署。

　　上圖向大家展示的就是第三方安全產(chǎn)品采用分布式方式部署， 簡(jiǎn)單的可以理解為每個(gè)宿主機(jī)一臺(tái)第三方安全VM。值的一提的是， 在東西向部署中采用的流量重定向的封裝為Geneve（可理解為VxLAN）, 采用該中模式就為在南北向中集成多重安全服務(wù)埋下了伏筆， 也就是服務(wù)鏈條。再看如下圖您就會(huì)更好的理解為什么第三方安全VM可以集中部署了。

　　既然是采用Geneve封裝， 那么其實(shí)第三方安全VM放在哪一臺(tái)宿主中并不是強(qiáng)制的，只要底層路由可達(dá)的前提下都是可以的。圖8的部署模式中， 用戶可以設(shè)置一些特定的運(yùn)算資源（宿主機(jī)）作為安全服務(wù)集群， 集中可將多個(gè)或多樣的安全產(chǎn)品部署進(jìn)去。分布式部署的模型中第三方安全VM會(huì)更靠近受保護(hù)終端， 帶寬和延時(shí)親和。集中式部署則有著清晰的資源開銷預(yù)支， 用戶還可以為該安全服務(wù)集群?jiǎn)为?dú)制定集群策略， 某些帶寬和延時(shí)不敏感的場(chǎng)景下還能為用戶節(jié)省第三方License的開銷。

　　東西向的安全集成大家不難發(fā)現(xiàn)， 它的檢測(cè)顆粒度更高， 不僅僅是在租戶或平臺(tái)的邊界， 而是可以深入到每個(gè)子網(wǎng)/微分段/安全組中去。通過Geneve的隧道封裝我們可以將多種的安全或監(jiān)控服務(wù)串聯(lián)在一起形成一個(gè)服務(wù)鏈條， 如下圖所示。

　　如上圖所示， 可以通過配置Service Profile還可以為不同的安全分組采用不同的服務(wù)鏈條， 實(shí)現(xiàn)安全服務(wù)等級(jí)的劃分和不同監(jiān)管要求的落實(shí)。