怎样将现有应用迁移到 VMware NSX

本文讲的是 怎样将现有应用迁移到 VMware NSX,安全策略肯定会有需要调整的时候,而识别和设计微分段区和层,有可能非常棘手。

WMware的NSX虚拟网络技术可以帮助公司企业获得更高水平的网络安全,但怎样部署,取决于你用的是全新应用(新区建设),还是从现有基础设施中将应用迁进NSX(旧城改造)。

NSX的微分段功能,基本上就是对每个服务器设置虚拟防火墙,控制进出流量,限制黑客在网络内的游弋探索,让应用和数据保护工作更简单易行。它实现过去只有靠超级昂贵和复杂的硬件才能达到的安全水准。

从安全的角度,新区建设模式是很理想的,因为可以从一开始就融入安全基因,而且微分段设置也相对容易。安全团队可以从一开始就规划好所需数据中心的不同区和层,并为之分配IP地址。然后,他们可以创建定制安全策略,支持该分段架构精密匹配需求。一切都是那么干净有序。

然而,大多数公司将要面对的,可能还是旧城改造场景,把现有应用从实体迁移到虚拟环境。这种情况下,现有安全策略就需要做迁移和调整,但问题是,原始设计中就没有微分段,让在微分段环境中识别和设计各个区与层变得更加困难。

搞清哪个服务器应该在放在哪个区,定义必要的防火墙规则等工作可能会非常棘手,因为安全团队对应用组件之间的流量情况往往不够清楚。那么,你该怎样规划和管理遗留应用的NSX虚拟化环境迁移呢?

应用连接性:发现的过程

最关键的第一步,是发现和映射需迁移应用的连接流。你得知道现有流,才能够在迁往NSX时做出必要的改变。

这是一个不应该被低估的急难险重任务。规范的公司,以机器可读的形式保有对应用流量的最新准确记录,所以能够快速启动迁移过程。而大多数情况下,该发现步骤会结合上所有可用数据源:从CMDB或自产库中导入数据,计算机辅助发现,以及智能流量应用连接性发现。

应用搬家

一旦成功发现了所有流量,就可以开始迁移应用到NSX了。首先是识别出需要移动的服务器,对每个服务器你都得在新环境中定义出匹配服务器。

为做到这一点,你得弄一张映射表,确认每一台新服务器的新IP地址。这一阶段,你还应该发现和定义每一台服务器的工作负载,覆盖需要的存储空间、CPU、操作系统和数据库。下一步就是把现有应用安装到服务器上了。

这涉及到重配置每台已迁移服务器的连接流,可能连接这些迁移服务器的其他很多服务器和应用的连接流也要重配置。你的策略可能需要做些调整,也许还需要编写新的策略,让NSX和内部环境协调工作,不造成按新服务器IP地址开工的已发现流量模式产生中断。

另外,你还要确保VMware提供的安全控制和策略支持你的现有应用流。如果你没做这一步,仅仅依靠旧有过滤策略,与新服务器的通信可能会被阻止。流量必须要能进出新地址——所以必须确保你的策略支持这一点,无论是在NSX还是在内部环境。

于是,你网络安全设备的没一条过滤规则都得仔细检查一遍,找出服务器旧地址出现的所有地方,然后复制这些规则,将新服务器地址添加进去。

新过滤策略写好后,就需将它们部署到相关设备上。该过程包括配置防火墙、路由器和负载平衡器,让流量可以进出新服务器。

从测试到生产

这一阶段,你会用到可以深入测试的能用系统,以确保全部所需功能都已就位,每个功能都按计划执行。只有确信测试环境中的应用与最终生产环境相当,才可以走到下一步骤。

从测试到生产,基本上就是重命名的过程:服务器会有个公开名称,用户也需要一个网站来访问你的应用。迁到了NSX,你就得重配置官方访问点,让其指向你的NSX部署,而不是指向原有服务器。这一阶段,检查是否需要对过滤测试进行调整,也是非常重要的。

退役遗留版本

最后阶段,就是退役应用连接的遗留版本——但千万别在绝对就绪之前做这事儿。一定要确保你的新系统有时间成熟,是经过足够时间的测试而非常稳定的。为避免造成安全缺口,给黑客留下入口点,最佳实践要求退役所有来自旧有防火墙、路由器和负载平衡器的过滤规则。不过,在退役这些规则之前,不要忘了核实这些规则不再被NSX部署的其他应用所使用。

管理网络

一旦迁移过程完成,你就要开始管理和维护整个企业网络中的安全策略了。最有效的方法,是使用全面支持NSX防火墙和云安全控制,以及你现有传统内部防火墙资产的自动化解决方案。

值得指出的是,你的NSX部署也要符合现有网络的合规和审计要求,所以你需要一个能够提供物理和虚拟两种网络功能可见性的安全管理解决方案,这样,其合规状态才能够被集中监视和记录下来,供审计使用。

向NSX迁移,也是去除多年积攒下来的非必要安全策略的一个好机会,比如哪些重复的、冗余的、不必要的规则。良好的安全策略管理解决方案,将会自动标记冗余和其他风险,易于理顺策略。

总之,向NSX迁移应用,需要可重复的强过程以确保成功。没有万灵丹,一键迁移这种事想都不要想。自动化对该过程的成功至关重要,可以省去很多耗时且易出错的人工安全过程,比如连接的发现和映射、迁移、持续的维护。因此,你的团队可以充分利用NSX部署的好处,专注于最大化该服务带来的灵活性和网络安全的增强。

时间: 2024-09-23 01:02:07

怎样将现有应用迁移到 VMware NSX的相关文章

《新一代SDN——VMware NSX 网络原理与实践》——2.3 各厂商的网络虚拟化解决方案

2.3 各厂商的网络虚拟化解决方案 介绍完几种Overlay技术之后,我们就需要对比一下几大厂商基于Overlay技术的网络虚拟化解决方案了.各家厂商的解决方案各有千秋,各有利弊.在这里介绍它们的网络虚拟化解决方案,目的是让读者对整个行业的趋势有一个了解,也让读者了解VMware NSX网络虚拟化解决方案在行业中所处的地位. 2.3.1 Cisco ACI解决方案 Cisco ACI是Cisco公司提出的SDN和网络虚拟化解决方案,它的主要组件有应用策略基础设施控制器(APIC)和ACI交换矩阵

VMware CTO:未来VMware NSX与思科ACI将有更多整合

VMware副总裁兼首席技术官Chris Wolf本周二向大约150名IT领导者表示,未来他们将会看到VMware NSX平台与思科之间会有更多的集成. "我们和思科进行了充分的会谈,我希望在不远的将来我们可以就这些会谈向大家公开分享一些信息."当被问及IT高管们未来在VMware NSX与思科整合方面将会看到怎样进展时,Wolf这样表示."思科是一家出色的硬件厂商.他们也是长期以来VMware一个很重要的合作伙伴--我们将会与思科做一些很好的整合,正如我们与其他很多合作伙伴

VMware NSX在实际应用中更受用户青睐

市场催生成熟的存储虚拟化 最直观的理解存储虚拟化,是在我们为应用分配存储资源时,不必关心数据的实际存取方式和位置,而这仅仅是功能上的需求.客户真正能够从中获益的,应当是异构的.层次化的.地理上分布的存储环境虚拟化,并且能够提供业务连续性和灾难恢复支持. 大量的应用需求在呼唤存储虚拟化技术的不断成熟,首先是来自硬件升级时盘阵间数据的迁移:其次是信息生命周期管理(ILM)以及层次化存储(Tiered Storage)架构设计趋势下的数据迁移:再有,大量异构环境下本地及远程的数据镜像,数据复制操作等等

《新一代SDN——VMware NSX 网络原理与实践》——1.3 网络虚拟化的兴起

1.3 网络虚拟化的兴起 前文已经提到,网络虚拟化是云计算和SDN发展到一定阶段的产物,因此可以认为网络虚拟化是新一代的SDN.而云计算又是随着服务器虚拟化技术飞速发展而诞生的.因此,我们从介绍服务器虚拟化技术开始,引入网络虚拟化技术. 早期的网络虚拟化与现在的网络虚拟化在架构上有很多的不同,这会在本节中进行介绍,以使得读者在后续章节更好地理解VMware NSX网络虚拟化技术. 1.3.1 服务器虚拟化的日趋成熟近年来,服务器虚拟化技术被炒得火热,也日趋成熟.它是伴随着x86计算机性能飞速发展

《新一代SDN——VMware NSX 网络原理与实践》——第2章 NSX网络虚拟化概览 2.1VMware NSX网络虚拟化解决方案简介

第2章 NSX网络虚拟化概览 网络虚拟化技术诞生后,有不少厂商都推出了所谓的网络虚拟化解决方案.这些厂商实现"网络虚拟化"的方式各异,有些是自己研发的项目,有些是通过收购,有些是利用开源项目进行再开发.而VMware NSX网络虚拟化平台的基本架构到底是怎样的,它与别的厂家有哪些不同?这些问题会在本章进行探讨. 2.1 VMware NSX网络虚拟化解决方案简介 尽管VMware NSX网络虚拟化平台是通过收购Nicira而获得的,但是在收购一年多时间之后,NSX才正式发布.在这一年多

《新一代SDN——VMware NSX 网络原理与实践》——2.2 当前主流的Overlay隧道技术

2.2 当前主流的Overlay隧道技术 目前,市面上除了VMware外,Cisco和Microsoft等公司都能提供网络虚拟化解决方案.在介绍其网络虚拟化解决方案并进行对比之前,需要先讨论一下现在的网络虚拟化使用的Overlay技术分为哪几种.经各大厂商努力,已经有三种Overlay技术成形,即VXLAN.NVGRE.STT. 2.2.1 VXLAN技术 首先讨论VXLAN.VXLAN是Virtal Extensible LAN(虚拟可扩展局域网)的缩写.它是为了解决前文提到的数据中心的三个问

《新一代SDN——VMware NSX 网络原理与实践》——1.2 认识SDN

1.2 认识SDN 介绍完为什么需要SDN和SDN的起源后,是时候介绍SDN到底是什么了.理解SDN架构,对于理解VMware NSX网络虚拟化解决方案的三个平面架构以及其逻辑网络.物理网络解耦的设计,是非常重要的--SDN的核心思想是控制平面与转发平面的分离,这与NSX中管理平面.控制平面和数据平面的设计如出一辙. SDN其实直到现在也没有清晰的定义,但是其核心理念已逐渐被人们接受.本章将下来会讨论SDN的理念.架构,以及它如何面对当前的IT难题. 1.2.1 SDN是什么 SDN是Softw

《新一代SDN——VMware NSX 网络原理与实践》——第1章 SDN与网络虚拟化的起源与现状 1.1SDN的起源和发展历程

第1章 SDN与网络虚拟化的起源与现状 SDN是一个内容丰富却又定义模糊的名词.说它内容丰富,是因为在当今云计算大行其道的情况下,SDN已成为实现云计算的一种重要方法,其技术已席卷了企业私有云和公有云服务提供商的数据中心方方面面.说它定义模糊,是因为SDN还不像其他计算机或网络技术被一些组织或企业进行了标准化定义,当人们谈到SDN时,可能还在讨论"SDN究竟是什么"这个问题. 网络虚拟化则是云计算和SDN发展到一定阶段的产物.服务器虚拟化技术的飞速发展间接催生了云计算的兴起.而在云计算

VMware NSX威胁传统网络厂商硬件业务

SDN软件定于网络正在成为传统网络厂商追逐的热点,而VMware NSX的推出则是VMware切入网络虚拟化市场重要产品.NSX如同VMware的http://www.aliyun.com/zixun/aggregation/13995.html">服务器虚拟化技术,NSX可以基于任何现有的物理网络基础架构无中断部署新的网络拓扑结构.其实NSX虚拟网络是一种软件容器,可以将逻辑网络组件(逻辑交换机.逻辑路由器.逻辑防火墙.逻辑负载平衡器等)组成新的网络架构来承载工作负载. 简单理解NSX的