VMware NSX
クラウドネイティブのアプリケーション環境にも対応可能な
SDN (Software-Defined Network) モデルを実現するネットワーク仮想化プラットフォーム。
- マルチクラウド
VMware NSX の製品概要
VMware NSX とは
VMware NSX (旧 VMware NSX-T Data Center) は、クラウド ネイティブのアプリケーション環境を構築する俊敏性に優れた Software-Defined Infrastructure を提供し、ネットワークの仮想化、抽象化を実現し、物理的なネットワークから分離された状態で仮想マシン同様にネットワークを一元管理します。既存の物理ネットワークを有効活用しつつ、ネットワーク HW からネットワークコンポーネントを切り離してオーバーレイ (仮想ネットワーク) で展開することで、ネットワークインフラに見られるベンダーロックインを回避し、柔軟かつ迅速なネットワーク構成と、一貫性のあるエンドツーエンドのネットワーク、ポリシーの自動化を実現します。
VMware NSX は、クラウド ネイティブのアプリケーション、ベア メタル ワークロード、マルチ ハイパーバイザー環境、パブリック クラウド、および複数のクラウドをサポートし、異種のエンドポイント環境やテクノロジー スタックを含む新しいアプリケーション フレームワークやアーキテクチャの運用におけるネットワーク、セキュリティ、自動化、および操作の簡素化を提供することに重点を置いています。
柔軟かつシンプルなネットワークが事業継続を支援
ワークロードを、サイトやクラウド間で簡単に移動できるので、データセンターを拡張したり統合するプロセスが簡素化するだけでなく、複数あるデータセンターをプール化し、効率的なディザスタリカバリによる事業継続性を確保することができます。
ポリシーベースの集中管理で、運用の簡素化・自動化を推進
ネットワークとセキュリティのサービスのプロビジョニングと管理をブループリントにより、一貫性のある形で自動化します。アプリケーションを迅速に展開できるようになるため、アプリケーション プラットフォームやフレームワークにわたる運用上のボトルネックが低減されます。
マルチクラウド ネットワーク運用の効率化
機密データを保存、処理、転送するシステムを分離することで、コンプライアンスの対象範囲を縮小します。
クラウドネイティブなアプリケーション環境の構築
複数のアプリケーション フレームワークにまたがるコンテナ化されたワークロードに対して、仮想マシンと同様のクラウドネイティブなネットワークとセキュリティを実現します。Kubernetes に対するネイティブ コンテナ ネットワーク、マイクロセグメンテーション、オブザーバビリティーも活用できます。
ネットワークでランサムウェア対策
機密データを保存、処理、転送するシステムを分離するなど、ワークロードの攻撃対象領域を縮小して、データ活用と保護の両立を実現する「マイクロセグメンテーション」を実現します。管理するすべてのサイトやクラウドでのランサムウェア対策を実践できます。
機能や詳細については SB C&S のエキスパートによる技術ブログもご覧ください。
VMware NSX の主な機能
論理スイッチ
VMware NSX の論理スイッチは VXLAN プロトコルのカプセル化技術を使用して L3 ネットワーク上に仮想的な L2 ネットワークを構築し、本来ルーティングを必要とする仮想マシン間通信を L2 の通信として処理します。
分散論理ルータ
論理スイッチ間のルーティングを提供します。ホスト内で発生する異なるセグメントへの通信をホスト内で完結させることで、従来発生していた物理ルータへのヘアピントラフィックの削減を実現します。
NSX Edge
North-South 方向のルーティング、ネットワーク境界の論理ファイアウォール、ロードバランシング、VPN、NAT、DHCP などの各種ネットワークサービスを提供します。
分散ファイアウォール
仮想マシン単位にファイアウォールを設置してセキュリティセグメントを細分化し、「マイクロセグメンテーション」を実現します。
REST API
VMware NSX は REST API に対応しています。VMware 製品以外のアプリケーションと VMware NSX を連携させることが可能です。
vRealize Network Insight
仮想ネットワーク環境の情報を収集し、トラフィックのネットワークトポロジをグラフィカルに可視化します。実際に発生している通信をもとに適したファイアウォールポリシーの自動生成も可能です。
VMware NSX の導入メリット
ネットワークの効果
システム間のネットワーク分離性の向上
- 物理ネットワーク機器への設定変更作業を完全排除
- 仮想スイッチ間でのオーバレイネットワーク(仮想ネットワーク)を形成
- 仮想マシンの追加、削除、移動等には自動追従
物理ネットワーク機器のダウンサイジングが可能
- 物理ネットワークトラフィックの削減
- ハイパーパイザー内で提供されるネットワークサービス
- 仮想マシンから最短ルートで提供されるネットワークサービス
オーケストレーションツールとの連動により自動化を実現
- 自動化により、ネットワークのプロビジョニングの所要時間を数分から数秒まで短縮し、運用効率を向上
- ネットワークポリシーも含めた PaaS レベルの展開を実現
- L2/3 のみならず、セキュリティや LB までの展開が可能
- 標準化による運用統一が可能
セキュリティの効果
- 既存ネットワークのまま、セキュリティ強化を実現
- 分散ファイアウォール機能のみから利用可能かつ、既存環境への導入も容易
- ネットワーク設定変更作業で作業量が多いセキュリティ関連の多くを自動化
- 同一セグメント内での脅威拡散防止の実現
- ホワイトリスト型のアクセス制御の実現
- スイッチ上の ACL 設定を排除可能
- セグメン卜間のアプライアンス型ファイアウォールも、排除可能
- 分散ファイアウォールより、仮想マシン関するトラフィックを制御可能
- 物理環境に関しては、仮想アプライアンス型ファイアウォールを設置可能
- マイクロセグメンテーションときめ細かなセキュリティを個々のワークロードに適用
- 主要なサードパーティ ベンダーのエコシステムを通じた高度なセキュリティとネットワーク サービスの利用
VMware NSX のエディションとライセンス
VMware NSX は、「Professional」「Advanced」「Enterprise Plus」「Remote Office Branch Office (ROBO)」の4つのエディションを用意しています。各エディションの概要と機能は以下の通りです。
Professional
基本的なネットワーク仮想化機能を提供します。マイクロセグメンテーションやパブリック クラウドのエンドポイント導入を検討している企業に適しています。
Advanced
Professional の機能に加えて、高度なネットワークおよびセキュリティのサービスを提供します。幅広いパートナー エコシステムとの連携や、マルチサイトを検討している企業に適しています。
Enterprise Plus
Advanced の機能に加えて、ネットワークの可視化とセキュリティ運用の一元化、ハイブリッドクラウドにおけるモビリティを検討している企業に適しています。
ROBO
Remote Office Branch Office (ROBO) ライセンスは、すでに VMware NSX を導入している企業や組織が、支社や子会社などに NSX の機能を展開する際に使用可能なライセンスです。
Professional
ネットワークを仮想化
基本のファイアウォールと接続性
- 論理ネットワーク
- ルーティング
- L4 Edge / 分散 ファイアウォール
Advanced
高度なサービス
- Professional に加えて
- +
- Identity Firewall
- ロードバランシング
- 複数 vCenter
- L7 およびセッションに
- 対応した高度なファイアウォール
- URL の許可リスト機能
Enterprise Plus
運用、ハイブリッド化、
セキュリティ
- Advanced に加えて
- +
- HCX Advanced
- VRNI Advanced による運用
- NSX Intelligence Standard
- フェデレーション
Advanced Threat Prevention(ATP)
高度なセキュリティ
- Advanced または Enterprise Plus のみを対象とする
アドオン サブスクリプション - Distributed IDS/IPS
- Network Detection & Response (NDR)
- Network Sandbox
- Distributed & Gateway Firewall (L4‒L7)
- NSX Intelligence Standard
VMware NSX の機能比較
| Professional | Advanced | Enterprise Plus | ROBO | |
|---|---|---|---|---|
| 機能 | ||||
| VDS 7.0 の作成 | ● | ● | ● | ● |
| 分散スイッチング & 分散ルーティング | ● | ● | ● | ●*1 |
| ゲートウェイ ファイアウォール | ● | ● | ● | ● |
| ゲートウェイ NAT | ● | ● | ● | ● |
| L2 ブリッジ (物理環境との接続) | ● | ● | ● | |
| ダイナミックルーティング、ECMP (アクティブ/アクティブ) 込み | ● | ● | ● | ● |
| IP v6 スタティックルーティング | ● | ● | ● | |
| 分散ファイアウォール | ● | ● | ● | ● |
| VPN (L2 and L3) | ● | ● | ● | ● |
| ロードバランサ(VMware NSX Advanced Load Balancer ‒ Basic Edition) | ● | ● | ● | |
| 2 台以上との vCenter 連携 | ● | ● | ||
| IPv6 ダイナミックルーティング、DHCPv6、NAT 64 | ● | ● | ||
| コンテナネットワーク&セキュリティ、Antrea 連携 | ● | ● | ||
| VRF | ● | ● | ||
| フェデレーション | ● | |||
| イーサネットVPN (EVPN) | ● | |||
| VMware Aria Log Insight for NSX | ● | ● | ● | ● |
| VMware Aria Network Insight Advanced | ● | |||
| VMware HCX Advanced | ● | |||
| セキュリティ機能関連*2 | ||||
| 分散ファイアウォール サードパーティ連携 (サードパーティのエンドポイント保護とサービスインサーション) |
● | ● | ||
| FQDN フィルタリング (分散ファイアウォール) |
● | ● | ||
| ユーザー ID ファイアウォール (分散ファイアウォール) |
● | ● | ||
| L7 アプリケーション ファイアウォール - ベーシック (分散ファイアウォール、ゲートウェイファイアウォール) |
● | ● | ||
| NSX Intelligence | ||||
| VM 間フロー解析 | ● | |||
| ファイアウォール可視化 | ● | |||
| セキュリティポリシーの自動生成 | ● | |||
| 分散ファイアウォール推奨ルール、推奨グループの分析 | ● | |||
*1 VLAN ベースのスイッチングのみ可能
*2 IDS/IPS、NDR などのセキュリティ機能については、NSX Security ライセンスガイドをご覧ください。
