對于一個(gè)多層的應用來(lái)說(shuō)，應用的前端更多的部署在公有云上，數據庫部署在私有云的環(huán)境中，云上和云下網(wǎng)絡(luò )的互通采用了 site to site VPN 技術(shù)或者 AWS 的 Direct Connect 以及 Azure 的 Express Route。在這種情況下，暴露了巨大的攻擊面，云上的安全威脅也會(huì )泛洪到云下的環(huán)境，所以需要在這種多云的環(huán)境下對云上和云下的工作負載進(jìn)行安全防護。

　　從上圖可以看出，云上的攻擊者向云下發(fā)起了攻擊。為了避免這種攻擊的發(fā)生，可以在云下對工作負載進(jìn)行安全策略的部署，同時(shí)在云上通過(guò)安全組實(shí)現云上的安全策略的部署。通過(guò)這種方式雖然可以進(jìn)行安全策略部署，但是運維起來(lái)非常的復雜：第一，私有云、公有云的安全策略獨立規劃，獨立的部署，不同的管理界面，而且每朵云都有各自的管理方式，形成了架構孤島；第二，在多云的應用場(chǎng)景中，由于采用不同的云基礎設施，需要花費大量的時(shí)間學(xué)習這些云基礎設施安全策略的特點(diǎn)，非常高的學(xué)習成本，同時(shí)也增加了管理成本。這是目前安全運維面臨兩大主要挑戰。

　　眾所周知，VMware NSX-T Data Center 提供了在私有云環(huán)境下的網(wǎng)絡(luò )和安全。它在幾年前就開(kāi)始提供在私有云環(huán)境下微分段能力，實(shí)現了 L4-L7 的安全防護能力，安全策略可以應用到虛擬機的虛擬網(wǎng)卡級別，并且在私有云環(huán)境下通過(guò)一個(gè)管理界面提供了網(wǎng)絡(luò )安全策略的部署，同時(shí)通過(guò)虛擬機名稱(chēng)或虛擬機標記等虛擬機屬性創(chuàng )建動(dòng)態(tài)的安全組，簡(jiǎn)化了安全策略的部署以及梳理工作，也不關(guān)心應用是跑在虛擬機、容器還是物理機的環(huán)境。

　　然而在多云的時(shí)代，NSX-T Data Center 也擴展到了原生的公有云，比如 AWS 和 Azure，在這種多云的環(huán)境中，我們稱(chēng)為 NSX Cloud。NSX Cloud 提供了一種新的多云網(wǎng)絡(luò )安全的管理模式，為在原生公有云中運行的工作負載跨多個(gè)公有云提供一致的網(wǎng)絡(luò )和安全策略。

　　與 NSX-T Data Center 一起，我們可以獲得應用到所有工作負載的網(wǎng)絡(luò )服務(wù)和安全策略的統一視圖，無(wú)論是像今天私有云中運行的虛擬機，還是運行在 AWS 和 Azure 上的工作負載。

　　接下來(lái)將為大家介紹一下 NSX Cloud 的特點(diǎn)及使用場(chǎng)景，后續也會(huì )給大家介紹 NSX Cloud 組件及實(shí)現方式。

　　第一，NSX Cloud 使用與 NSX-T Data Center 一樣的管理和控制平臺。

　　因此在多云的環(huán)境中，只需要部署一套安全解決方案就可以管理從私有云到公有云的安全策略，安全策略只需要定義一次，就可以應用到任何位置的工作負載，包括云端、Region、AZ等。安全策略將根據應用屬性和用戶(hù)定義的標記以動(dòng)態(tài)方式應用于每個(gè)工作負載。如下圖所示：

　　第二，在公有云上可以對現有的計算實(shí)例實(shí)施微段安全策略，提供 L4-L7 的狀態(tài)化分布式防火墻。

　　在云上有多個(gè) VPC 或 VNET 的情況下，只須在一個(gè) VPC 或 VNET 中部署冗余的 Public Cloud Gateway（簡(jiǎn)稱(chēng)PCG）就可以實(shí)現整個(gè)云上的微分段安全策略，其它 VPC 或 VNET 可以共享 PCG，同時(shí)不改變云上的網(wǎng)絡(luò )架構，支持代理模式和無(wú)代理模式，如下所示：

　　第三，提供端到端運維的可見(jiàn)性。

　　可能通過(guò) IPFIX、traceflow 和 syslog 獲取流和數據包的信息，同時(shí)提供了在多云環(huán)境下的網(wǎng)絡(luò )拓撲，如下圖所示：

　　

　　我們可以通過(guò) NSX Cloud 實(shí)現在多云環(huán)境下的安全策略的管理，那么它的架構是什么樣的，具體在實(shí)際的生產(chǎn)環(huán)境中如何部署呢？

　　

　　Cloud Service Manager（CSM）

　　提供了私有云和公有云 VPC/VNET 以及實(shí)例的視圖以及安全策略的統一視圖，同時(shí)通過(guò) CSM 在 VPC或 VNET 中部署 PCG設備（是一個(gè)虛擬機），提供 PCG 生命周期的管理，CSM 屬于控制平面的組件。

　　提供了私有云和公有云網(wǎng)絡(luò )和安全策略部署的統一視圖，所有的策略配置都在 NSX Manager 中提供，并下發(fā)的實(shí)例運行的地方。

　　它是公有云中的 NSX 本地控制平面，它是由 CSM 部署，它在 VPC/VNET 中執行資源清單的發(fā)現，也包括云中的標記的發(fā)現，以 active-standby 方式部署在云端。

　　屬于數據平面的組件，通過(guò)它執行分布式防火墻的策略，相當于實(shí)例中的代理，PCG 做為控制平面，將 NSX Manager 中配置的安全策略下發(fā)的 NSX Tools 執行安全策略。另外，也支持無(wú)代理的方式，即不需要在計算實(shí)例中安裝任何代理，PCG 通過(guò) API 調用原生公有云安全組實(shí)現安全策略。

　

　　要通過(guò) NSX Cloud 交付云上云下一致的網(wǎng)絡(luò )安全策略，需要提前做一些準備工作。

　　以上四個(gè)條件具備了之后，這時(shí)我們就可以部署 NSX Cloud 了。

　　1、如果已經(jīng)在數據中心部署了 NSX-T Data Center，并實(shí)現了在數據中心內部的微分段，這時(shí)我們就直接在數據中心內部部署 CSM。部署 CSM使用的 OVA 與 NSX-T Manager Appliance 是一樣的，在部署過(guò)程中選擇部署 CSM 即可。如果沒(méi)有部署 NSX-T Data Center，先部署 NSX-T Data Center，完成部署 CSM 后，在 CSM 的頁(yè)面中加入 NSX-T Data Center 的帳號，然后在加入 AWS 和 Azure 的帳號同步云上的資源清單，如下圖所示 ：

　　

　　點(diǎn)擊 instances 或 VPC/VNET，可以查看到云上的詳細信息。

　　

　　2、在 AWS/Azure 的 Transit VPC/VNET 中部署 PCG，部署 PCG 的時(shí)候，選擇 PCG 所使用的 subnet。

　　

　　3、如果采用代理方式，需要在實(shí)例中安裝 NSX tools，如下圖所示：

 

　　4、在實(shí)例中安裝 NSX tools 后，這個(gè)實(shí)例成為了 NSX managed 的實(shí)例，這時(shí)我們就可以在 NSX 的界面中發(fā)現這個(gè)實(shí)例以及實(shí)例上的標記，在 NSX 可以針對標記創(chuàng )建動(dòng)態(tài)安全組來(lái)實(shí)現微分段的策略。

　　5、如果其它 VPC/VNET 中的實(shí)例也需要一致的安全策略，這時(shí)需要將其它的計算 VPC/VNET 鏈接到 Transit VPC/VNET 來(lái)共享 PCG，然后在計算 VPC/VNET 中的實(shí)例中安裝 NSX tools。如下圖所示：

　　

　　在應用遷移到了公有云的進(jìn)程中，如果客戶(hù)數據中心已經(jīng)使用了 NSX 的微分段來(lái)實(shí)施安全策略，那么我們就可以通過(guò) NSX Cloud 將私有云、原生公有云上的工作負載統一實(shí)施安全策略，不需要對私有云以及公有云的網(wǎng)絡(luò )架構進(jìn)行修改，就可以實(shí)現私有云和公有云一致的安全策略交付，簡(jiǎn)化了安全的運維工作，同時(shí)提供了安全的可視性。