對于一個多層的應用來說，應用的前端更多的部署在公有云上，數(shù)據(jù)庫部署在私有云的環(huán)境中，云上和云下網(wǎng)絡的互通采用了 site to site VPN 技術或者 AWS 的 Direct Connect 以及 Azure 的 Express Route。在這種情況下，暴露了巨大的攻擊面，云上的安全威脅也會泛洪到云下的環(huán)境，所以需要在這種多云的環(huán)境下對云上和云下的工作負載進行安全防護。

　　從上圖可以看出，云上的攻擊者向云下發(fā)起了攻擊。為了避免這種攻擊的發(fā)生，可以在云下對工作負載進行安全策略的部署，同時在云上通過安全組實現(xiàn)云上的安全策略的部署。通過這種方式雖然可以進行安全策略部署，但是運維起來非常的復雜：第一，私有云、公有云的安全策略獨立規(guī)劃，獨立的部署，不同的管理界面，而且每朵云都有各自的管理方式，形成了架構孤島；第二，在多云的應用場景中，由于采用不同的云基礎設施，需要花費大量的時間學習這些云基礎設施安全策略的特點，非常高的學習成本，同時也增加了管理成本。這是目前安全運維面臨兩大主要挑戰(zhàn)。

　　眾所周知，VMware NSX-T Data Center 提供了在私有云環(huán)境下的網(wǎng)絡和安全。它在幾年前就開始提供在私有云環(huán)境下微分段能力，實現(xiàn)了 L4-L7 的安全防護能力，安全策略可以應用到虛擬機的虛擬網(wǎng)卡級別，并且在私有云環(huán)境下通過一個管理界面提供了網(wǎng)絡安全策略的部署，同時通過虛擬機名稱或虛擬機標記等虛擬機屬性創(chuàng)建動態(tài)的安全組，簡化了安全策略的部署以及梳理工作，也不關心應用是跑在虛擬機、容器還是物理機的環(huán)境。

　　然而在多云的時代，NSX-T Data Center 也擴展到了原生的公有云，比如 AWS 和 Azure，在這種多云的環(huán)境中，我們稱為 NSX Cloud。NSX Cloud 提供了一種新的多云網(wǎng)絡安全的管理模式，為在原生公有云中運行的工作負載跨多個公有云提供一致的網(wǎng)絡和安全策略。

　　與 NSX-T Data Center 一起，我們可以獲得應用到所有工作負載的網(wǎng)絡服務和安全策略的統(tǒng)一視圖，無論是像今天私有云中運行的虛擬機，還是運行在 AWS 和 Azure 上的工作負載。

　　接下來將為大家介紹一下 NSX Cloud 的特點及使用場景，后續(xù)也會給大家介紹 NSX Cloud 組件及實現(xiàn)方式。

　　第一，NSX Cloud 使用與 NSX-T Data Center 一樣的管理和控制平臺。

　　因此在多云的環(huán)境中，只需要部署一套安全解決方案就可以管理從私有云到公有云的安全策略，安全策略只需要定義一次，就可以應用到任何位置的工作負載，包括云端、Region、AZ等。安全策略將根據(jù)應用屬性和用戶定義的標記以動態(tài)方式應用于每個工作負載。如下圖所示：

　　第二，在公有云上可以對現(xiàn)有的計算實例實施微段安全策略，提供 L4-L7 的狀態(tài)化分布式防火墻。

　　在云上有多個 VPC 或 VNET 的情況下，只須在一個 VPC 或 VNET 中部署冗余的 Public Cloud Gateway（簡稱PCG）就可以實現(xiàn)整個云上的微分段安全策略，其它 VPC 或 VNET 可以共享 PCG，同時不改變云上的網(wǎng)絡架構，支持代理模式和無代理模式，如下所示：

　　第三，提供端到端運維的可見性。

　　可能通過 IPFIX、traceflow 和 syslog 獲取流和數(shù)據(jù)包的信息，同時提供了在多云環(huán)境下的網(wǎng)絡拓撲，如下圖所示：

　　

　　我們可以通過 NSX Cloud 實現(xiàn)在多云環(huán)境下的安全策略的管理，那么它的架構是什么樣的，具體在實際的生產環(huán)境中如何部署呢？

　　

　　Cloud Service Manager（CSM）

　　提供了私有云和公有云 VPC/VNET 以及實例的視圖以及安全策略的統(tǒng)一視圖，同時通過 CSM 在 VPC或 VNET 中部署 PCG設備（是一個虛擬機），提供 PCG 生命周期的管理，CSM 屬于控制平面的組件。

　　提供了私有云和公有云網(wǎng)絡和安全策略部署的統(tǒng)一視圖，所有的策略配置都在 NSX Manager 中提供，并下發(fā)的實例運行的地方。

　　它是公有云中的 NSX 本地控制平面，它是由 CSM 部署，它在 VPC/VNET 中執(zhí)行資源清單的發(fā)現(xiàn)，也包括云中的標記的發(fā)現(xiàn)，以 active-standby 方式部署在云端。

　　屬于數(shù)據(jù)平面的組件，通過它執(zhí)行分布式防火墻的策略，相當于實例中的代理，PCG 做為控制平面，將 NSX Manager 中配置的安全策略下發(fā)的 NSX Tools 執(zhí)行安全策略。另外，也支持無代理的方式，即不需要在計算實例中安裝任何代理，PCG 通過 API 調用原生公有云安全組實現(xiàn)安全策略。

　

　　要通過 NSX Cloud 交付云上云下一致的網(wǎng)絡安全策略，需要提前做一些準備工作。

　　以上四個條件具備了之后，這時我們就可以部署 NSX Cloud 了。

　　1、如果已經(jīng)在數(shù)據(jù)中心部署了 NSX-T Data Center，并實現(xiàn)了在數(shù)據(jù)中心內部的微分段，這時我們就直接在數(shù)據(jù)中心內部部署 CSM。部署 CSM使用的 OVA 與 NSX-T Manager Appliance 是一樣的，在部署過程中選擇部署 CSM 即可。如果沒有部署 NSX-T Data Center，先部署 NSX-T Data Center，完成部署 CSM 后，在 CSM 的頁面中加入 NSX-T Data Center 的帳號，然后在加入 AWS 和 Azure 的帳號同步云上的資源清單，如下圖所示 ：

　　

　　點擊 instances 或 VPC/VNET，可以查看到云上的詳細信息。

　　

　　2、在 AWS/Azure 的 Transit VPC/VNET 中部署 PCG，部署 PCG 的時候，選擇 PCG 所使用的 subnet。

　　

　　3、如果采用代理方式，需要在實例中安裝 NSX tools，如下圖所示：

 

　　4、在實例中安裝 NSX tools 后，這個實例成為了 NSX managed 的實例，這時我們就可以在 NSX 的界面中發(fā)現(xiàn)這個實例以及實例上的標記，在 NSX 可以針對標記創(chuàng)建動態(tài)安全組來實現(xiàn)微分段的策略。

　　5、如果其它 VPC/VNET 中的實例也需要一致的安全策略，這時需要將其它的計算 VPC/VNET 鏈接到 Transit VPC/VNET 來共享 PCG，然后在計算 VPC/VNET 中的實例中安裝 NSX tools。如下圖所示：

　　

　　在應用遷移到了公有云的進程中，如果客戶數(shù)據(jù)中心已經(jīng)使用了 NSX 的微分段來實施安全策略，那么我們就可以通過 NSX Cloud 將私有云、原生公有云上的工作負載統(tǒng)一實施安全策略，不需要對私有云以及公有云的網(wǎng)絡架構進行修改，就可以實現(xiàn)私有云和公有云一致的安全策略交付，簡化了安全的運維工作，同時提供了安全的可視性。