一般來講 VMware NSX-T 可以通俗的理解為一個 SDN（軟件定義網(wǎng)絡）的平臺。在NSX的教材中闡述其為一個集合SDN和NFV（網(wǎng)絡功能虛擬化）于一體的網(wǎng)絡平臺： Network Virtualization（網(wǎng)絡虛擬化）。借助成熟的vSphere運算虛擬化平臺， NSX早在2013年的時候便已可以為虛擬機提供分布式 / 網(wǎng)關式防火墻。在2015年， NSX在VMware的產(chǎn)品家族中率先與vCenter控制平面結偶， 推出了面向多云環(huán)境的NSX-T平臺。

　　如上圖所示， NSX-T的數(shù)據(jù)轉發(fā)層面已經(jīng)不僅僅支持vSphere作為虛擬化平臺了， 同時支持了更為開放的主流Linux平臺， 其中可細分為支持Linux中的容器網(wǎng)絡和Linux的直裝服務器。高性能 / 多租戶的虛擬路由器則部署在NSX Edge中， NSX Edge支持兩種部署形態(tài)： 虛擬機 / 服務器直裝，  前者部署便利性不言而喻， 后者借助Intel或Mellanox的DPDK追求最佳的性能。

　　在控制層面由于已經(jīng)與vCenter解偶， 從而有了獨立的網(wǎng)絡視角的管理界面。通過該界面NSX管理員可以使用API接口與多個vCenter對接（Up to 16）, 也可對接K8s平臺（Up to 100）為其提供容器網(wǎng)絡服務， K8s社區(qū)版的或商業(yè)版均支持。在非天朝地區(qū)還可以通過Cloud Service Manager組件對接公有云平臺（A家，M家，G家）, 從而提供一個統(tǒng)一的虛擬網(wǎng)絡平臺， 也將混合云網(wǎng)絡安全維度扁平化， 即便在混合云場景中， 客戶依然保持相同的網(wǎng)絡安全策略手段去設計和管理網(wǎng)絡。

　　如下圖所示，早在2014年VMware就提出了“零信任”安全模型， 該模型的原型來自公共安全體系架構， 可以以機場的安檢流程來進行類比。假定VMware為機場管理方，  當乘客進入機場開始便開始經(jīng)歷各種安全檢查，大家可以回憶一下大致的安檢過程：

 

　　前5個步驟對應數(shù)據(jù)中心的安全布局類似于圖2中右側的邊界防火墻， IPS, 可能還有WAF / DDOS / 反垃圾郵件 / 防病毒和防惡意軟件等深度檢測的網(wǎng)關。這些網(wǎng)關的工作原理都是當且僅當流量經(jīng)過它時， 通過自身專用的CPU / 內(nèi)存 / 或芯片來做深度檢測。正如機場中的深度安檢時所用的儀器， 并非由機場生產(chǎn)。而是由第三方安全廠家生產(chǎn)， 與機場管理方安全流程集成與聯(lián)動。可以類比為數(shù)據(jù)中心南北向流量的深度檢測。

　　而面對當今的網(wǎng)絡威脅， 也許僅僅南北向的深度檢測是不夠的。國內(nèi)安全形勢亦是如此， 等保2.0還有"花王"行動， 各種監(jiān)管機構對網(wǎng)絡安全的審核已不僅僅是南北向（垂直滲透）, 或我們常說的邊界安全。因為往往最難以應對的安全威脅是來自內(nèi)網(wǎng)。所謂"吾恐季孫之憂，不在顓臾，而在蕭薔之內(nèi)也"。經(jīng)過了機場的各種深度檢測后， 身在候機廳的你并不是可以任意登機口登機的， 最后還需由機場工作人員完成最后的登機前驗票， 簡單的驗票流程， 由機場人員完成， 檢測的過程高效 /顆粒度到個人 / 寬度到每個登機口。 這好比數(shù)據(jù)中心中的東西向流量安全， 這便是VMware作為機場管理方最擅長的分布式防火墻。這種分布式防火墻不追求檢測的深度， 而專注檢測的執(zhí)行顆粒度與寬度。這樣解釋并不是說NSX分布式防火墻不能做到深度檢測， 只是這樣做會勢必會消耗更多的資源去執(zhí)行深度檢測的任務， 從而會與宿主機中的業(yè)務虛擬機（或容器）有征用資源的沖突。上文中提到的深度包檢測設備無不是有自己專用的處理資源。

　　VMware推薦的采用集成第三方安全解決方案來構建邊界的安全， 內(nèi)網(wǎng)采用平臺內(nèi)置分布式防火墻構筑彈性寬度的防御體系。二者依據(jù)管理者的意志進行安全聯(lián)動， 這樣的網(wǎng)絡安全框架更為合理。

　　構建全向安全數(shù)據(jù)中心首先應該先打破一個固有的錯誤假設“內(nèi)網(wǎng)安全”后， 再去構建一個南北向深度防御，東西向高精度的管控粗顆粒度檢測的網(wǎng)絡安全體系。再加之能夠縱向管理的安全審計系統(tǒng)，提供流量可視化，安全審計，數(shù)據(jù)積淀，事件回溯等，秉承的思維應該是“專業(yè)的事交給專業(yè)的人做”。

　　NSX 同時算上-V和-T兩個版本， 所支持的第三方安全生態(tài)合作伙伴可謂是非常豐富的， 下圖中圍繞著NSX以及vSphere的安全生態(tài)可見一斑。

　　關于具體的版本所支持的第三方安全生態(tài)可以登陸VMware兼容性官方網(wǎng)站進行查詢：

　　https://www.vmware.com/resources/compatibility/search.php?deviceCategory=nsxt

　　接下來我們一起看看NSX-T集成第三方安全的產(chǎn)品的方案以及實現(xiàn)原理。

　　上圖通過以下幾個維度分析了NSX-T網(wǎng)絡平臺集成第三方安全解決方案的收益：

　　可以基于VMware軟件定義數(shù)據(jù)中心（SDDC）產(chǎn)品家族的環(huán)境或者是諸多公有云環(huán)境構建

　　下一代防火墻

　　IPS / IDS

　　URL Filtering /Anti-Virus / Sandboxing

　　網(wǎng)絡可視化 / 分析 / 聚合

　　顆粒度更高的安全服務

　　簡化部署 / 安全聯(lián)動

　　以應用為中心的安全策略一致性

　　服務鏈條

　　可分布式部署到所需的宿主機中

　　可指定部署在專用的安全服務集群中

　　通過幾張膠片我們分別看看東西向 / 南北向 是如何集成的，

　　如上圖所示， 第三方安全設備在南北向集成時， 可以與平臺邊界路由器（T0 Router）集成，也可下沉到租戶路由器（T1 Router）。借助NSX-T作為網(wǎng)絡平臺， 第三方防火墻不僅僅可以在租戶的邊界對虛擬機進行深度檢測， 也可對該網(wǎng)絡內(nèi)的容器執(zhí)行相同的策略， 而第三方安全設備并不需做額外與K8s的配置。

　　上圖展示了南北向集成的防火墻實例是如何工作的， 旁邊的英文描述已經(jīng)大致說明了轉發(fā)機制。NSX-T采用策略路由將目標分段導流（重定向）到第三方防火墻中， 再通過BFD檢測保持MAC地址的更新以及HA狀態(tài)的檢測。在南北向的集成部署模式當中第三方設備是支持主備（Active/Standby）模式的， 當然你非要Standalone也是可以的。

　　東西向的安全集成則有兩種模式， 分布式部署/ 集中式部署。

　　上圖向大家展示的就是第三方安全產(chǎn)品采用分布式方式部署， 簡單的可以理解為每個宿主機一臺第三方安全VM。值的一提的是， 在東西向部署中采用的流量重定向的封裝為Geneve（可理解為VxLAN）, 采用該中模式就為在南北向中集成多重安全服務埋下了伏筆， 也就是服務鏈條。再看如下圖您就會更好的理解為什么第三方安全VM可以集中部署了。

　　既然是采用Geneve封裝， 那么其實第三方安全VM放在哪一臺宿主中并不是強制的，只要底層路由可達的前提下都是可以的。圖8的部署模式中， 用戶可以設置一些特定的運算資源（宿主機）作為安全服務集群， 集中可將多個或多樣的安全產(chǎn)品部署進去。分布式部署的模型中第三方安全VM會更靠近受保護終端， 帶寬和延時親和。集中式部署則有著清晰的資源開銷預支， 用戶還可以為該安全服務集群單獨制定集群策略， 某些帶寬和延時不敏感的場景下還能為用戶節(jié)省第三方License的開銷。

　　東西向的安全集成大家不難發(fā)現(xiàn)， 它的檢測顆粒度更高， 不僅僅是在租戶或平臺的邊界， 而是可以深入到每個子網(wǎng)/微分段/安全組中去。通過Geneve的隧道封裝我們可以將多種的安全或監(jiān)控服務串聯(lián)在一起形成一個服務鏈條， 如下圖所示。

　　如上圖所示， 可以通過配置Service Profile還可以為不同的安全分組采用不同的服務鏈條， 實現(xiàn)安全服務等級的劃分和不同監(jiān)管要求的落實。