{"id":7274,"date":"2025-02-07T16:39:19","date_gmt":"2025-02-07T15:39:19","guid":{"rendered":"https:\/\/vrealize.it\/?p=7274"},"modified":"2025-02-14T19:28:42","modified_gmt":"2025-02-14T18:28:42","slug":"vpc-networking-mit-vcf-nsx","status":"publish","type":"post","link":"https:\/\/vrealize.it\/de\/2025\/02\/07\/vpc-networking-mit-vcf-nsx\/","title":{"rendered":"VPC Networking mit VCF NSX"},"content":{"rendered":"\n

Mit der Version 4.0 von NSX, (dem Network Stack in VMware Cloud Foundation) wurde die Mandantenf\u00e4higkeit mittels Projekten eingef\u00fchrt und kurze Zeit sp\u00e4ter um VPCs erweitert.<\/p>\n

Die Einf\u00fchrung von VPCs (Virtual Private Cloud) auf der Netzwerkebene stellt einen “Self-Service” f\u00fcr Netzwerk, Security und weiteren Netzwerk Diensten, in einer isolierten Umgebung, zur Verf\u00fcgung. Die VPC Verantwortlichen k\u00f6nnen (innerhalb ihrer Grenzen) Netzwerke und Sicherheitsregeln erstellen und  entlasten so die Netzwerk und Security Teams. Au\u00dferdem erm\u00f6glicht es k\u00fcrzere Bereitstellungszeiten neuer Services durch die VPC Eigent\u00fcmer.<\/p>\n

Das Netzwerk und Security Team kann auf Projekt- bzw. auf der globalen Ebene in NSX, Leitplanken f\u00fcr die VPCs definieren und bestimmen welche Ressourcen genutzt werden d\u00fcrfen.<\/p>\n\n\n\n

Verschiebung der Verantwortlichkeiten<\/h2>\n\n\n\n

Durch das VPC Konstrukt wird die Verantwortung der Netzwerkverwaltung, Netzwerksicherheit und weiterer Services and den oder die VPC-Eigent\u00fcmer abgegeben. 
Aber…!!! Der VPC-Eigent\u00fcmer ist nicht zwingend ein Netzwerk- oder Sicherheits- Experte…<\/p>\n

Keiner m\u00f6chte, dass die gesamte Netzwerkinfrastruktur zum erliegen kommt oder man in der Presse mit einem Sicherheitsvorfall landet, weil versehentlich Ver\u00e4nderungen an der Netzwerk Infrastruktur vorgenommen wurden.
Damit die Vorteile eines VPCs genutzt werden k\u00f6nnen aber gleichzeitig die Infrastruktur nicht gef\u00e4hrdet wird, m\u00fcssen entsprechende Sicherheitsvorkehrungen getroffen werden.
Hinzu kommt, dass es f\u00fcr den VPC Eigent\u00fcmer so einfach wie m\u00f6glich sein muss die Netzwerkanforderungen selbst\u00e4ndig zu konfigurieren.
W\u00e4re es nicht sch\u00f6n, wenn man gewisse Aufgaben an die Applikationsverantwortlichen abgeben k\u00f6nnte?<\/p>\n\n\n\n

NSX Networking f\u00fcr VMware Cloud Foundation<\/strong> – kurz erkl\u00e4rt<\/h2>\n\n\n\n

NSX ist Bestandteil der VMware Cloud Foundation von Broadcom und stellt das virtuelle Netzwerk f\u00fcr die private Cloud zur Verf\u00fcgung.<\/p>\n

Durch den Einsatz von NSX werden virtuelle Routing-Funktionalit\u00e4ten auf den ESX Hosts bereitgestellt (DR – Distributed Router) die f\u00fcr die Kommunikation zwischen den VMs zust\u00e4ndig ist.<\/p>\n

Die Kommunikation von VMs auf verschiedenen Hosts erfolgt \u00fcber Geneve Tunel (Gelb hinterlegt), die unterliegende Netzwerk Infrastruktur sieht “nur” die Geneve Tunel Endpunkte der einzelnen ESXi Server, aber nicht die Kommunikation der Virtuellen Maschinen. <\/p>\n

Die Kommunikation in externe Netze erfolgt \u00fcber die NSX EDGE, die den Geneve Tunel entfernt und mittels Routing-Protokollen (oder mit statischem Routing) die inneren Netze, nach au\u00dfen propagiert.<\/p>\n

Zus\u00e4tzlich kann \u00fcber das VMware vDefend Firewall AddOn eine L4-7 Firewall vor jeder einzelne VM und auf den Gateways aktiviert werden. <\/p>\n\n\n\n

\"Schaubild<\/figure>\n\n\n\n

!!!Das Schaubild ist eine High Level Sicht und hat keinen Anspruch auf Vollst\u00e4ndigkeit. Es soll lediglich dazu dienen den grunds\u00e4tzlichen Aufbau zu verstehen, der f\u00fcr die Bildung der VPCs ben\u00f6tigt wird!!!<\/p>\n\n\n\n

Logisch ergibt sich daraus folgendes Bild:<\/p>\n\n\n\n

\"NSX<\/figure>\n\n\n\n