Merhabalar,
Bu makalemde, VMware’in network sanallaştırma teknolojisi olan VMware NSX ve mimarisi hakkında giriş seviye bilgileri aktaracağım. İlerleyen makalelerde de daha derinlemesine bilgiler aktarmaya devam edeceğim. Yazı dizisini bölümlere ayıracağım ve ortalığın karışmasına izin vermeden, sistematik şekilde, bu teknolojiye ait bilgileri sizlere aktaracağım.
VMware NSX nedir?
VMware NSX, fiziksel ağınıza ve sanal sunucu altyapınıza, sanal ağların operasyonel olarak uygulanmasını sağlayan, yazılım tanımlı veri merkezi (Software Defined Data Center-SDDC) modelinde kullanılan network sanallaştırma platformudur. NSX, network yöneticilerinin, network ve güvenlik davranışlarını dinamik olarak ve programlı olarak başlatmasına, denetlemesine, değiştirmesine ve yönetmesine olanak tanıyan Yazılım Tanımlı Ağ (Software Defined Networking-SDN) çözümü olarak kategorize edilebilir. NSX ile switching, routing, firewall bileşenleri, hipervisor’e gömülü bir şekilde gelir ve tüm data center yapısında dağıtık olarak bu hizmetler verilir. Bu model ile sanal network ve servisler için, bir platform gibi çalışan “Network Hypervisor” katmanı elde edilmiş olur.
Sanal network’ler ve sanal network topolojileri, temel donanımdan bağımsız olarak programlı olarak sağlanır ve yönetilir. NSX ile, yalnızca yazılım katmanı kullanılarak, en basitten en karmaşık ve çok katmanlı topolojilere kadar tüm network topolojileri, çok kısa bir süre içerisinde tanımlanıp ayarları yapılabilir. Sistem yöneticileri, farklı özelliklerdeki ağları, hizmet verilmek istenen servis kombinasyonlarına göre, üst güvenlik özelliklerini barındıracak şekilde oluşturabilirler. Fiziksel network altyapısında değişiklik yapmanız gerekmediği için, oldukça da uygun maliyetlidir. Tüm güncellemeler ve uyarlamalar, yazılımsal olarak uzaktan, hızlı ve otomatik bir şekilde yapılabilir.
VMware NSX, yazılım tanımlı veri merkezi (SDDC) mimarisinin temel yapılarından biridir ve en alt katmandan en üst katmana kadar yepyeni bir network operasyon modelini oluşturmaktadır. NSX, tüm topolojileri ve tüm modelleri yazılım seviyesinde oluşturduğu için, veri merkezlerinde daha önce fiziksel ağlar ile ulaşılamayan seviyede çevikliğe, güvenliğe ve maliyet avantajına sahip olunmaktadır. Ayrıca NSX, aşağıdaki tabloda da görülebileceği gibi, mantıksal anahtarlama, yönlendirme, güvenlik duvarı, yük dengeleme, VPN, Quality of Service ve izleme yeteneklerine sahip, uçtan uca bütünlük sağlayan, mantıksal ağ bileşenlerini ve servisleri sağlar.
Önemli Özellikleri
Anahtarlama: Bir veri merkezinin kendi içinde veya veri merkezleri arasında, yönlendirme kurallarının kullanıldığı fiziksel altyapılar da dahil (Layer 3 / Routed), mantıksal anahtarlama grupları oluşturulabilir.
Yönlendirme: Sanal ağlar arasında, hipervisor Kernel seviyesinde ve fiziksel network’e çıkmadan mantıksal alanda yönlendirme yapılabilir. Bu yönlendirme işlemi, minimum CPU / bellek ek yükü ile hipervizör kernel’inde gerçekleştirilir. Böylece sanal altyapı içindeki trafiği yönlendirmek için en uygun veri yolu sağlanır.
Gateway Firewall : NSX gateway’e gömülü, merkezi yönetim ve politikalar ile tüm ortama dağıtılmış, Layer 7’ye kadar statefull güvenlik duvarı (uygulama kimliği ve URL beyaz listesi dahil) özelliği bulunur.
Distributed Firewall: NSX gateway’e gömülü, merkezi yönetim ve politikalar ile tüm ortama dağıtılmış, Layer 7’ye kadar statefull güvenlik duvarı (uygulama kimliği ve URL beyaz listesi dahil) özelliği bulunur. Ek olarak, NSX Distributed Firewall, Kubernetes ve Pivotal Cloud Foundry, AWS ve Azure gibi native public cloud ortamlarına entegre edilebilir.
Güvenlik uygulaması, kernel ve VNIC düzeyinde yapılır. Güvenlik duvarı kuralları ile fiziksel cihazlarda darboğaz oluşturmadan yüksek oranda ölçeklenebilir güvenlik uygulamaları sağlanır. Güvenlik duvarı, kernel’e dağıtılır ve dolayısıyla minimum CPU ek yükü getirir.
Yük Dengeleme: SSL sonlandırma özelliği ile birlikte L4-L7 seviyesinde yük dengeleme yapılabilmektedir.
VPN: L2 ve L3 SSL VPN hizmetleri desteklenmektedir.
Fiziksel ağlara bağlantı: Mantıksal ve fiziksel alanlarda dağıtılan iş yükleri arasındaki iletişim için NSX-v içinde L2 ve L3 Gateway desteği sağlanır.
NSX Gateway : Sanal ve fiziksel iş yükleri arasında kesintisiz bağlantı için, fiziksel ağda yapılandırılmış VLAN’lar ve NSX paylaşım ağları arasında köprü oluşturma desteği.
NSX Intelligence : NSX Intelligence, gelişmiş görünürlük için otomatik güvenlik politikası önerileri sunar. Her ağ trafiği akışının sürekli izlenmesi ve görüntülenmesini sağlayarak yüksek ve kolayca denetlenebilir bir güvenlik duruşu sağlar. NSX-T ™ Data Center ile aynı kullanıcı arayüzünün bir parçası olan NSX Intelligence, hem ağ hem de güvenlik ekipleri için tek bir ekrandan takip sunar.
NSX Data Center API : Bulut yönetim platformları, DevOps otomasyon araçları ve özel otomasyon ile entegrasyon için JSON tabanlı RESTful API desteği sunar.
Operasyonlar : Sanal ağ altyapısında sorun gidermek ve proaktif olarak izlemek için merkezi CLI, izleme akışı, mantıksal SPAN ve IPFIX gibi yerel işlem özellikleri sunar. Gelişmiş analiz ve sorun giderme için VMware vRealize® Network Insight ™ gibi araçlarla da entegre edilebilir.
Context-Aware Micro-Segmentation : Güvenlik grupları ve politikaları ile uyarlanabilir mikro segmentation politikalarını etkinleştirmek için makine adı ve etiketler, (IP adresleri, bağlantı noktaları ve protokollerin ötesinde) işletim sistemi türü ve Layer 7 uygulama bilgileri gibi öğeleri içerecek şekilde dinamik olarak oluşturulabilir ve otomatik olarak güncelleştirilebilir. Active Directory ve diğer kaynaklardan gelen kimlik bilgilerine dayanan politikalar, uzak masaüstü hizmetlerinde ve sanal masaüstü altyapısı (VDI) ortamlarında bireysel kullanıcı oturumu düzeyine kadar kullanıcı düzeyinde güvenlik sağlar.
Otomasyon: vRealize Automation ve Openstack gibi bulut yönetim platformları ile de üst seviyede entegrasyon sağlanabilir ve daha gelismiş otomasyon yetenekleri kazandırılabilir. Ayrıca, API destekleyen herhangi bir bulut yönetim platformu ile entegrasyon ve firmalara özgü otomasyon yapılabilmektedir.
Third-Party Partner Entegrasyonu : Yeni nesil güvenlik duvarı, saldırı tespit sistemi (IDS) / saldırı önleme sistemi (IPS), ajansız antivirüs, anahtarlama, operasyonlar ve görünürlük gibi çok çeşitli kategorilerde üçüncü taraf iş ortaklarıyla yönetim, Control Plane ve Data Plane entegrasyonu desteği sağlar.
Multi-Cloud Networking and Security : Alt katmandaki fiziksel topolojiden veya bulut platformundan bağımsız olarak, veri merkezi, private ve public cloud yapıları arasında tutarlı ağ bağlantıları ve güvenlik özellikleri sağlar.
Container Networking and Security : Hem VM olarak hem de Bare-metal olarak çalışan sunucularda, Kubernetes ve Cloud Foundry üzerine kurulu platformlardaki container’lar için yük dengeleme, mikro segmentation (Distributed Firewalling), yönlendirme ve anahtarlamayı destekler. Container ağ trafiği (mantıksal bağlantı noktaları, SPAN / Mi, IPFIX ve izleme akışı) için görünürlük sağlar.
VMware NSX Bileşenleri ve Mimarisi
Öncelikle bazı tarihi gelişmelerden ve neden Network sanallaştırma ihtiyacı olduğundan bahsetmek yerinde olacaktır.
Layer 3 switch gibi geleneksel ağ bileşenlerinin fonksiyonları, üç farklı katmana ayrılabilir:
- Management Plane : Cihazın konfigürasyonu için kullanılan ve SSH ya da API kullanılarak bağlanılan arabirimdir.
- Control Plane : Control Plane, trafiğin nereye gönderileceğine karar veren bölümdür. Üzerinde yazılım barındıran, OSPF, RIP, LDP gibi IP bazlı tüm protokollerin çalıştığı, routing işlemlerinin yapıldığı bölümdür.
- Data Plane : Paketlerin iletilmesi işlemlerinin gerçekleştirildiği bölümdür.
SDDC yapısı da kabaca aşağıdaki gibi düşünülebilir.
Bulut ortamları, bir hizmet modeli olarak sunulmaya başladığında, şirketler geçiş yapmak üzere işlemlerine başlamışlardı. Fakat onları bekleyen bazı sürprizler olmuştu. Çünkü genelde hybrid yapıda kullanım şekli düşünülüyordu ve kendi sistemlerini bulut sistemleriyle konuşturmaları gerekiyordu. Bunun için de VPN bağlantısıyla, bulut hizmet sağlayıcısının kullandığı donanımlar ile kendi donanımları arasında köprüler kuruyorlardı. İşte problem de burada başladı. Çünkü karşılıklı kullanılan cihazların, marka-model-firmware gibi uyumsuzlukları ortaya çıkıyordu ve sürekli bağlantı kopması gibi problemler can sıkıcı bir hal alıyordu. Dolayısıyla firmware upgrade yapılamayan cihazların, uyumlu cihazlarla değiştirilmesi gerekiyordu ve bu da öngörülemeyen maliyet artışına sebep oluyordu.
Network sanallaştırma ile, Software Defined Data Center modeline tam anlamıyla geçiş oldu diyebiliriz. Çünkü Control Plane bölümü, fiziksel cihazdan alınarak bir sanal makine üzerine aktarıldı. Yani artık tamamen yazılımsal hale geldi.
Burası önemli bir gelişme… Böylece birbirinden ayrılan bölümler çok daha hızlı çalışacak, kapasite arttırımı için de sadece port düzeyinde genişletilmesi yeterli olacaktır. Control Plane üzerinde sanal donanım kaynaklarının arttırımı, yedekleme, çeşitli işlemler öncesi snapshot alma, ücretsiz cluster konumlandırma gibi kolaylıkları da beraberinde getirdi. Ayrıca farklı fiziksel cihazlar arasındaki uyumsuzluklar da böylece aşılmış oldu.
Kısa bir özet sonrası gelelim VMware NSX teknolojisine…
Temel olarak VMware NSX de bu katmanlarla birlikte gelir, ancak arada büyük bir farkla… NSX’de bu katmanlar için merkezi bir yönetim vardır.
Management Plane : Bu katman için, dedike bir NSX Manager, bir appliance olarak (vCenter sunucusuna bağlı sanal bir cihazdır) dağıtılır. vCenter Sunucusu tarafından, vRealize Automation (bir Orchestrator plug-in yardımıyla), VMware Integrated Open-Stack veya vCloud Director gibi araçlarla kullanılan genel bir REST API’si sağlar.
Control Plane : NSX controller, Control Plane’in ana bileşenidir. NSX Controller, VXLAN’a dayalı olarak mantıksal ağı merkezi olarak yönetmekten sorumlu, üç sanal sunucudan oluşan Clustered bir yazılım kümesidir. Ayrıca NSX Controller, mantıksal yönlendiriciyi koordine eder. Bir sistem yöneticisi mantıksal bir yönlendirici dağıtırsa, NSX de OSPF ve BGP gibi yönlendirme protokollerine dayalı olarak yol alışverişi yapan bir kontrol sanal makinesi sağlar. Anons edilmesi gereken yeni bir rota olduğunda, bilgiler önce NSX denetleyicisine ve ardından ESXi düğümlerinde çalışan bir user agent’a iletilir.
Data Plane : ESXi sunucularının kendisinden oluşur. ESXi sunucular, VXLAN, yönlendirme ve kernel tabanlı güvenlik duvarı için ek kernel modülleri içeren distributed switch çalıştırır. Bu uygulama ile, veri merkezi içindeki ağ trafiği için en uygun veri yolu sağlanmış olur. Giden iletişim için, diğer tarafta, VXLAN veya kernel tabanlı yönlendiriciler kullanılmaz; bunun yerine VMware’in yaklaşımı, sanal ortamı fiziksel dünyaya bağlayan bir EDGE yani Gateway dağıtmaktır.
Fiziksel Network : Son olarak, NSX fiziksel bir ağ üzerinde çalışmalıdır. Sadece bir gereklilik vardır: VXLAN protokolünün ek yükü nedeniyle maksimum aktarım birimi (MTU) 50 bayt artırılmalıdır. Bununla birlikte, uygulamada birçok müşteri NSX’in tüm potansiyelini kullanmak için istikrarlı ve güçlü bir ağ altyapısı kullanma eğilimindedir.
Giriş mahiyetinde buraya kadar olan kısım, ilk bölüm için sanırım yeterli olacaktır. Zaten komplike olan ortamı küçük parçalara ayırarak incelemek, NSX teknolojisini çok daha iyi anlamamızı sağlayacaktır.
Yararlı olması dileğiyle.
Yusuf İşleyen