我们很高兴地宣布VMware NSX 4.1全面上市,该版本为私有云、混合云和多云的虚拟化网络和高级安全提供了新功能。该版本的新特性和功能将使VMware NSX客户能够利用增强的网络和高级安全,提高运营效率和灵活性,并简化了故障排除的过程。
领先于威胁,保护我们的网络
01 揭示每一个威胁
NSX 4.1引入了一项新功能,允许将IDS/IPS日志从NSX网关防火墙(GFW)发送到我们的网络检测和响应(NDR) ,这是VMware NSX高级威胁防御(ATP)的一部分。这项新功能是对我们现有的NSX分布式防火墙(DFW)的补充,后者将IDS/IPS日志发送到NDR已经有相当一段时间了。有了这个新功能,NSX 4.1客户可以更全面地了解网络活动,从而更快、更有效地应对威胁。通过分析GFW和DFW的IDS/IPS日志,结合我们的网络流量分析(NTA)和沙箱,我们的NDR系统可以关联事件并识别攻击模式,提供针对网络发起的威胁的完整图像。
02 保护Windows11系统
NSX 4.1引入了针对Windows 11的 NSX Guest Introspection,为运行微软最新版操作系统的虚拟机提供高级威胁检测和修复。除此之外,还支持Windows旧版本和一系列基于Linux的操作系统。NSX Guest Introspection使用VMware工具内的瘦代理驱动(a thin agent driver)程序,提供有关虚拟机状态的实时信息,以便采取高效的安全措施。通过NSX 4.1,客户可以利用最新的安全功能和增强功能,同时兼顾对各种操作系统的支持。
03 简化容器安全问题
我们通过对Antrea和NSX集成做了最新改进,通过集中管理防火墙规则,从而加强了容器安全和策略执行的手段。通过NSX 4.1,我们可以对Kubernetes和NSX对象创建防火墙规则,还可以根据NSX标签和Kubernetes标签创建动态组。此外,该版本允许创建防火墙策略,在一个单一规则中允许或阻止虚拟机和Kubernetes pods之间的流量。防火墙规则也可以应用于同时包含NSX和Kubernetes对象的安全组。NSX 4.1也涉及了对Traceflow和UI的改进,优化了故障排除,并通过NSX提供真正的Kubernetes网络策略集中管理。
Layer3网络的增强
01 支持IPv6
在NSX 4.0中,我们引入了基于IPv6的管理平面,支持从外部系统到NSX管理集群(仅限本地管理器)的IPv6通信。这包括NSX管理器对外部管理接口中的双栈(IPv4和IPv6)的支持。通过NSX 4.1,我们为传输节点和NSX管理器之间的控制面和管理面通信引入了IPv6支持。NSX管理器集群仍必须以双栈模式(IPv4和IPv6)部署,并将能够通过IPv4或IPv6与传输节点(ESXi hosts and Edge Nodes)进行通信。当传输节点被配置为双栈(IPv4和IPv6)时,首选IPv6通信。
02 VRF间的路由流程
这个版本引入了更先进的VRF互连和路由泄露模型。用户将能够通过在VRF之间导入和导出路由,使用更简单的工作流程和细粒度的控制来配置VRF间的路由。不同VRF中的租户可以完全控制他们的私有路由空间,并且他们可以独自决定要接受或公布哪些路由。
提高运营效率
01 多租户
NSX 4.1引入了多租户结构,以实现灵活的资源分配和管理,提高运营效率。企业管理员(Provider)可以将平台分割成不同项目(Projects),将不同的空间给不同的租户,同时保持可见性和控制权 。NSX消费模型的这种扩展允许NSX用户消费他们自己的对象,看到与自己配置相关的警报,并通过Traceflow测试他们工作负载之间的连接性。用户可以根据自己的RBAC权限从一个项目切换到另一个项目。与特定项目绑定的用户只能访问他们自己的项目。日志可以通过 "项目短日志ID "关联到一个项目上,该ID可以应用于网关防火墙日志和分布式防火墙日志。
02 在线诊断系统
NSX 4.1引入了在线诊断系统,这是一项新功能,将简化故障排除流程,并实现调试过程的自动化 。该系统提供预定义的运行簿,其中包含调试步骤,以排除特定问题的故障。这些运行簿可以通过API调用,并将触发使用CLI、API和脚本的调试步骤。调试后会提供建议来解决这个问题,并且可以下载在调试过程中收集的中间文件,以便进一步分析。
本文作者:NSX 团队, VMware
内容来源|公众号:VMware 中国研发中心
有任何疑问,欢迎扫描下方公众号联系我们哦~