linux cpu占用率如何看
638
2022-08-24
NSX-T 各个版本更新汇总
本文汇总下从 NSX-T 1.x 版本开始,各个大小版本支持的功能。NSX-T 目前最新为 4.0 版本,官方正式将其命名为 NSX,表示 NSX-v 的时代已经过去。
什么是 NSX-T?
NSX-T 是 VMware 推出的面向混合云的网络虚拟化和安全平台。其最初版本主要是为了适应各种 IaaS 平台,例如 vSphere、OpenStack 等,后来在发展过程中,随着业界技术的演进逐渐开始支持 Kubernetes/OpenShift 等容器平台,以及 AWS 等公有云平台,为企业带来跨云的一致性网络和安全方案。
在技术层面,以 vSphere 环境为例,NSX-T 可以在已有物理架构上构建一套全新的网络供上层的 VM 使用,传统物理网络具备的 2~7 层功能 NSX-T 均能实现,而且以分布式的架构做了很多优化,使得这些功能的性能可以随着服务器/工作负载的增加而线性增加。
如下图所示,NSX 的很多功能均嵌入在虚拟化层来实现,对于 Underlay 物理网络来说,并不能直接感知到上层 NSX 的存在,对于工作负载来说,其网络也主要由 NSX 负责,感知不到底层 Underlay 网络的存在。可以理解为 NSX 即使虚拟机和物理网络之间的代理人。通过这样的架构,NSX 可以以透明的方式为 VM 提供很多功能,并且视需求按需开启。
下面是各个版本的功能更新清单(限于篇幅,只保留了常见的功能):
NSX-T 1.x 功能
通过逻辑交换机(Logical Switch)为 VM 提供二层接入功能。同时支持下列二层网络及安全功能:
设置 QoS 策略设置 IP 地址发现策略(基于 ARP 或者 DHCP Snooping 发现)设置 SpoofGuard 策略:防止 ARP 欺骗攻击、恶意更改 IP 等行为设置交换安全策略:限制一个端口的 MAC 数量等MAC 地址学习:为一个交换端口自动学习并绑定多个 MAC 地址,一般常见于 MACVLAN/嵌套环境
L2 Bridge 功能:将 VXLAN 二层桥接到 VLAN 网络中三层网络特性
支持双层网关架构,T0 用于连接虚拟网络和物理网络,T1 为租户提供三层网关功能;T0 支持静态路由及 BGP 对接T0 支持 ECMPT1 支持 SNAT、DNAT 功能T0 支持无状态 Reflexive NAT支持 BFD 特性DHCP Server 及 DHCP Relay支持 Route-map 功能,用于设置 BGP 属性
分布式安全功能(DFW)
设置 L2 及 L3 防火墙规则防火墙排除列表(全局白名单)
支持通过下列方式设置安全组
IP 地址集MAC 地址集Service Group其他安全组逻辑端口逻辑交换机(VXLAN)
隧道封装使用 Geneve 封装管理运维相关
IPFIX端口镜像功能配置备份恢复一键生成支持包Traceflow 功能
NSX-T 2.0 功能(2017)
安全功能增强:
支持通过 VM 名称来设置组,供 DFW 使用支持 Edge Firewall(即边界防火墙功能)
RBAC 及 vIDM 支持:支持为用户设置 6 个不同的角色,支持集成 VMware Identity Manager 来实现统一登录支持 Kubernetes 集成(通过 NCP)
NSX-T 2.1 功能(2017)
负载均衡器功能:支持单臂旁挂部署或者 in-line 部署,LB 可以在 vSphere、OpenStack 以及 Kubernetes 等环境中使用DFW 支持命中统计增强 NSX-T 仪表盘,增强搜索过滤功能
NSX-T 2.2 功能(2018)
基础网络连接:
支持 VLAN tagging 功能,即可以设置 Trunk 端口组,允许一个接口下有多个 VLAN 流量通过N-VDS 支持增强的数据路径,即支持 DPDK 功能支持为 VLAN 逻辑交换机设置 Teaming 绑定策略(仅 ESXi)支持 CSP 接口,用于将 T0/T1 连接到 VLAN 网络中
Edge Firewall 支持四层状态化防火墙多云相关:
支持与 Azure 对接实现安全策略统一管理(借助 NSX Cloud)
支持下列 VPN 功能:
基于 IPsec 协议的 L2VPNL3 IPSec Site-to-Site VPN
自动化相关:
新增 Terraform Provider,可以通过 Terraform 来自动化创建二层逻辑交换机、三层网关、防火墙、组等对象
负载均衡器增强:
支持 SSL Termination支持访问信息统计支持访问日志支持 Sorry Pool
NSX-T 2.3 功能(2018)
支持裸金属服务器,可以为下列 OS 提供 VLAN/VXLAN 网络连接以及四层状态化防火墙功能:
支持 RHEL 7.4、CentOS 7.4、Ubuntu 16.04
多云相关:
支持与 AWS 对接实现安全策略统一管理(借助 NSX Cloud)
支持 T0/T1 服务插入(Service Insertion),可以在 T0/T1 上设置流量重定向策略将流量发给第三方安全产品进行进一步过滤支持在 CSP 接口上启用状态化 NAT 及状态化防火墙增加网络拓扑图功能,可以展示 VM 到 VM 间的通信路径,绘制 VM 间经过的逻辑组件(此功能 2.4 被废弃)自动化相关:
Ansible Module:通过 Ansible Playbook 自动化部署 NSX 组件
NSX-T 2.4 功能(2019)
支持下列 IPv6 功能:
IPv6 静态路由IPv6 Neighbor DiscoveryDHCPv6 relayIPv6 DFWIPv6 Edge Firewall支持 BGP IPv6 address-family,支持相关的前缀列表和 route-mapIPv6 二层交换安全
基础网络连接:
Inter-SR 路由:当 T0 使用 A/A 模式时,不同 Edge 间可以建立 iBGP 邻居,此功能在 Edge Uplink 故障(例如 Edge 和物理设备间连接断开)时,可以保证流量故障 Edge 节点的流量横向发送给其他 Edge 节点,保证流量能被正常转发,避免路由黑洞T0 支持和物理设备使用 iBGP 对接支持在有多个不同 AS 号的邻居的情况下开启 ECMPT0 Uplink 接口支持 ARP 代理
安全功能:
DFW 及 Gateway Firewall 支持 IPv6 流量过滤支持通过 OS 的名称来设置安全组支持基于用户身份的防火墙(IDFW),可以基于 Windows AD 安全组来设置防火墙规则DFW 支持 L7 内容感知防火墙DFW 支持 URL/FQDN 白名单,可以基于内置的 URL 库放行指定 URL/FQDN 的访问服务插入功能:通过 Network Service Insertion(SI)接口将流量发送给第三方安全设备进行进一步分析/过滤,例如和第三方 IDS/IPS、NGFW、流量分析工具进行集成。在 2.4 版本之前,仅 T0/T1 支持此特性,2.4 开始支持在东西向上执行Guest Introspection:提供 GI 接口,用于和第三方无代理防病毒产品进行集成
VM 的 IP 发现策略有所变化:
新增基于 VMtools 的 IP 发现(之前版本具备基于 ARP 和 DHCP Snooping 的 IP 发现)新增 IPv6 支持(基于 DHCPv6 和 ND)支持将发现的 IP 手动设置为白名单或者忽略
新增两个全局 MTU 配置:
全局 TEP MTU:即 GENEVE 封装后 IP 报文的 MTU,或者 TEP 接口的 MTU 大小全局逻辑接口 MTU:所有逻辑接口的 MTU,通常默认为 1500,但可以按需修改
安装相关增强:
通过 Profile 来对 vSphere 集群进行配置安装,以此来提供一致性快速安装支持通过 UI 来部署额外的 NSX Manager 节点来组成集群可为主机设置多个 N-VDS,同时支持在 Profile 中指定 VMKernel 和物理网卡迁移配置
Terraform Provider 新增下列功能:
支持创建负载均衡服务支持配置 DHCP 服务支持配置 IPAM 相关服务(IP 池、IP 块)
管理运维相关:
NSX-T 2.4.1 功能(2019)
HCX 支持将工作负载迁移到 NSX-T 环境,可用于 v to T,T to T,其他环境到 T 的迁移
NSX-T 2.5 功能(2019)
新增 NSX Intelligence 组件,可实现下列功能:
接近实时进行流采集进行流、VM 及组等对象的展示自动基于采集到的流量进行安全策略推荐
基础网络相关:
Edge Bridge 功能支持将一个 Segment 桥接到多个 VLAN(使用多个 Bridge Profile)T1 支持 Failure Domain,FD 一般和 AZ、多中心相对应,通过 FD 功能可以保证同一个状态化服务的主备 Edge 节点分布在不同 AZ 或 DC 中,提供站点级别的高可用(FD 设置需要使用 API 完成)BGP 支持 4 字节 AS 号支持 BGP Graceful restart
支持下列 IPv6 功能:
支持 IPv6 SLAAC支持 IPv6 RouterAdvertisement支持 IPv6 重复地址检测(DAD)
Edge Firewall 支持 L7 内容感知防火墙防火墙配置相关增强:
在发布策略时自动保存一份策略,同时支持配置回滚功能配置草稿,用户可以将配置的防火墙策略临时保存为草稿,而不是直接发布会话时间调整:支持针对 TCP、UDP、ICMP 协议设置会话超时时间DFW 及 Edge Firewall 同时支持 SYN Flood 保护,用户可以针对 SYN Flood 攻击设置策略进行预警、日志记录或者流量丢弃
Guest Introspection 相关增强:
支持 Linux 无代理防病毒提供 Endpoint Protection 仪表盘,用于查看受保护/未受保护的 VM、Host Agent 状态,以及 Service VM 状态提供监控仪表盘,可以监控各个集群第三方服务部署状态
VPN 增强:
T1 支持 IPsec VPNL2VPN 支持对于 VLAN 进行桥接强制限制 TCP MSS 大小,通过这种方式可以避免 IP 分片
运维增强:
容量仪表盘:展示当前 NSX Manager 规模下支持的最大容量以及已使用容量支持 SNMPv3Traceflow 支持地址解析问题分析:支持通过 Traceflow 注入 ARP/ND 报文,以分析二层解析是否正常
NSX-T 2.5.1 功能(2019)
Edge 节点支持 vSphere 的 DRS、HA、vMotion 等特性
NSX-T 3.0 功能(2020)
基础网络功能:
支持在 vSphere 7.0 上基于 vDS(虚拟分布式交换机)部署 NSX,不再需要 N-VDS支持 RHEL 7.6 及 RHEL 7.7 裸金属服务器支持 Windows 2016 裸金属服务器,可为 Windows 提供网络连接和安全功能T0 支持通过 UI/API 进行高可用模式转换T1 Uplink 支持出向和入向流量限速T0 支持 VRF lite 功能:每个 VRF 可以有自己独立的路由表、上行链路、NAT 配置、网关防火墙配置支持三层组播功能
T0 支持组播复制功能,需要使用组播功能的 VM 需要直接连接到 T0PR 需要部署在 NSX 外部
支持 NAT64 功能NSX DHCP 支持 DHCPv6 功能
联邦功能(NSX Federation):提供多中心联邦功能,可以跨中心实现大二层网络和一致的安全策略管理(3.0 版本的联邦仅可用于测试环境)Edge 增强:
提供 Xlarge 规模,提供更高的性能和容量Edge VM BFD 时间最低支持 500ms,裸金属 Edge BFD 时间最低支持 50ms当 Edge 通过 NSX UI 部署时:
Edge 会自动跟随 ESXi 开机Edge VM 会自动被加入 DFW 排除列表中
安全功能:
新增安全仪表盘,用于查看防火墙和 IDS 的状态基于时间的防火墙策略:可以设置规则的生效时间Edge Firewall 新增 URL 分析功能,可用于分析 VM 访问的域名情况(例如类别、安全评分等)IDFW 支持过滤 ICMP 协议(仅 VDI 桌面,RDSH 不支持)IDFW 支持过滤 UDP 流量新增 D-IDS (分布式 IDS 功能),可以基于特征库对 VM 流量进行分析检测,并在匹配到特征时进行告警和事件记录
VPN 相关:
支持通过 Intel QAT 卡进行 VPN 流量加解密(仅裸金属 Edge)L2VPN 支持 Local-Egress:L2VPN 的两端可以配置同一个网关地址,VM 的出向流量从本地的网关发出T1 支持 L2VPNVPN 支持状态化故障切换:IKE SA 及 IPsec SA 会被实时同步到备份节点,以此来实现无感知故障切换支持 Path MTU Discovery:通过此特性可以自动发现端到端路径支持的最大 MTU,使得应用在后期传输数据时限制包的大小,避免 IP 分片(此特性 L2 及 L3 VPN 均支持)
自动化相关:
Terraform Provider 支持 Policy APIAnsible Module 支持对对象进行升级
管理运维相关:
支持在部署 NSX Manager 和 Intelligence 时选择磁盘的置备模式(精简置备或厚置备)Traceflow 支持 Spoofguard:当流量被 Spoofguard 丢弃时,Traceflow 能够进行展示当主机被移出 NSX 集群时,NSX 相关组件会被自动卸载支持 SNMP Trap提供交互式的网络拓扑图:拓扑图可以包含 T0、T1、分段、VM、容器等组件,并支持导出成 PDF新增快速向导:可以在 Security-Only 场景下快速部署 NSX 组件
支持通过 LDAP 与 AD 服务器对接进行用户认证支持与 OpenLDAP 对接进行用户认证
NSX-T 3.0.1 功能(2020)
联邦功能增强:
Global Manager 支持三节点集群部署当 Local Manager 不能访问 Global Manager 时,允许用户通过 Local Manager 修改部分全局对象GM 支持组嵌套防火墙规则支持使用其他区域的组(即规则的配置位置和其使用的组的位置不同)T0 支持 Active/Standby 高可用模式
新增 del nsx 命令行,用于在 UI 卸载 NSX 失败时,用户可以登录到 ESXi 手动进行 NSX 相关组件的删除
NSX-T 3.0.2 功能(2020)
支持 Oracle Linux 裸金属服务器允许更改 DR(分布式路由器)的 MAC 地址提供 N-VDS 到 VDS 的 CLI 迁移工具
NSX-T 3.1 功能(2020)
联邦功能增强:
支持为 Global Manager 配置 Standby 集群,部署在第二个数据中心中,数据中心间网络延迟 150ms 内即可支持 Global Manager 升级,联邦正式支持生产环境
基础网络连接:
可以通过 CLI 查看 L2 Bridge 配置文件以及统计信息支持多个 TEP 分布在不同的网段中支持 RFC5549,可以通过 BGP IPv6 only peer 通告 IPv4 路由前缀
支持组播功能:
T1 Gateway 支持组播复制,组播发送者和接收者均连接到 T1T1 所有上行和下行接口支持 IGMPv2T0 和物理交换机之间的上行链路支持 PIM-SMDFW 支持组播流量支持设置多个静态 RP
Edge 相关:
Edge 节点支持替换功能,即可以部署一台新的 Edge,然后将旧 Edge 节点的服务平滑切换到新节点上支持为 Edge 网卡配置多个队列以提升性能:可以在 Edge 关机时为 Edge 添加下列高级参数,使得一个网卡有多个队列:
ethernet0.pnicFeatures = "4"ethernet1.pnicFeatures = "4"ethernet2.pnicFeatures = "4"ethernet3.pnicFeatures = "4"
如果 Edge 是 3.1 环境下新部署的,则系统会自动添加上述参数,如果是从早期版本升级到 3.1,则相关 Edge 需要重新部署或者手动添加该参数
安全相关:
FQDN 过滤功能增强,支持自定义 FQDN支持导出/导入防火墙规则新增 D-IPS(分布式 IPS 功能),可以基于特征库对 VM 流量进行检测和过滤增强 D-IPS 仪表盘,可以展示攻击详情可以基于攻击类型、攻击目标、CVSS 评分来设置防护规则
自动化相关:
Terraform Provider 支持 NSX Federation
安装相关:
增强快速安装向导:提供简单的 UI 来帮助用户快速部署 NSX对 NSX 安装包大小进行精简简化裸金属服务器的安装,不再依赖 Ansible 来进行主机准备正式支持 Manager 单节点部署方式,通过 vSphere HA 来为 Manager 提供高可用
管理运维相关:
Distributed Load Balancer 支持流追踪(DLB 是 vSphere with Tanzu 中的分布式负载均衡组件)支持更多告警:
容量告警Edge 健康告警IDS/IPS CPU 使用率过高、内存使用率过高IDFW 下与 AD 通信中断或者 AD 增量同步失败Federation:主 GM 到备 GM 脑裂控制平面到数据平面超时中断
网络拓扑图中支持展示 VPN 隧道和会话,方便进行 VPN 相关排错UI 支持深色模式支持自定义 RBAC 角色:支持根据需求自定义角色和细化权限,在 3.1 之前仅支持预设的几个角色
NSX-T 3.1.1 功能(2021)
基础网络连接:
支持 OSPFv2:T0 和物理设备之间可以使用 OSPF 进行路由对接。目前一个 T0 仅支持单个OSPF 区域,可以是普通类型或者 NSSA 类型CSP 接口(服务接口)上支持 DHCPv4 Relay
Avi 对接:支持通过 NSX Service Insertion 和 Avi 进行对接,通过此特性可以实现保留客户端 IP 功能。详见:Guestuser,此用户默认未激活,可以按需激活使用NSX License 可以用于为 vSphere 开启 vDS 功能提供 N-VDS 到 VDS 迁移的 UI 向导(在“系统”>“配置”>“入门”中)
Federation 增强:
支持最多 650 台主机支持通过 PowerCLI 来进行自动化配置
NSX-T 3.2 功能(2021)
注意:NSX-T 3.2.0 仅支持全新部署,不支持从更老版本升级,升级请使用 3.2.0.1 版本
支持 vCenter 集成:
在 3.2 下,可以通过 vCenter 7.0u3 向导式部署 NSX,部署完成后,在 vCenter 中会出现一个嵌入式 NSX 管理界面,以此来简化管理在这种配置模式下,支持直接针对 vDS 端口组上的 VM 进行访问控制,而无需像之前版本一样必须将 VM 迁移到 NSX Segment 中
基础网络连接:
Windows 裸金属服务器支持 Bond 网卡绑定支持 L3 EVPN Route server 模式ESXi 上的 DR(Distributed Router)支持基于 IP 五元组的 ECMP 转发T0 A/A 模式下支持代理 ARP组播支持 T0 A/A,在 3.2 之前,组播流量在 T0 传输时只能是 A/S
安全功能:
支持为 vDS 端口组上的 VM 执行 DFW 或者 IDPS 保护支持 RHEL 8.0 裸金属服务器支持更多的七层应用,新增超过 750 种应用特征库支持分布式防病毒功能及沙箱功能(此功能中国大陆目前不能销售)IDFW 支持使用 AD、Palo Alto Global Protect、Aruba ClearPass 等作为认证源,可以不再依赖于 VMtools 进行用户身份发现,支持对物理机进行基于身份的访问控制IDFW 支持针对 SMB 协议进行访问控制支持基于行为的 IDPS(例如有服务进行端口探测等)Edge Firewall 支持加密流量审查Edge 支持 IDS/IPS 功能
新增 NAPP 平台,这是一些运行在 Kubernetes 集群上的管理组件,用于管理:
NSX Intelligence 服务衡量指标收集和展示网络流量分析功能(NTA)网络威胁检测和响应功能(NDR)
容器网络与安全:
支持与 Antrea 进行对接,实现容器网络与虚拟化网络的统一管理支持通过 NSX UI 为容器集群配置安全策略:通过一致的 UI 为容器和虚拟化配置安全策略支持和 Antrea 对接实现全路由功能(Tanzu 环境)
联邦功能:
支持 tag 复制功能:在容灾环境下,当 VM 被复制到备份数据中心后,此 VM 的安全 tag 可以被同时复制到备份数据中心,以此来保证 NSX 基于 tag 的策略可以正确应用给两个站点的 VM支持防火墙草稿功能Global Manager 支持进行 LDAP 对接实现基于角色的访问控制
管理运维相关:
新增实时流量分析(Live Traffic Analysis)功能:可以实时对虚拟机的流量进行分析,并展示不同会话的通信路径,同时可以提供实时流量的下载功能,以供进一步分析选择性端口镜像:在端口镜像时可以对流量进行过滤,以此来减少镜像流量,减少开销全局 MTU 检查,检查相关组件 MTU 配置是否正确增强拓扑图功能:支持查看 Edge、ESXi 等组件的逻辑架构,同时也可以查看 T0/T1 的细化拓扑图
NSX-T 3.2.1 功能(2022)
联邦功能(NSX Federation):
支持将已有的非联邦对象转换成联邦对象,实现 Brownfield 的 Federation 部署Federation Traceflow:在 NSX Global Manager 中可以执行跨中心的流追踪
基础网络功能:
支持 SLES 12 SP5 裸金属服务器
边界防火墙(Gateway Firewall):
TLS 1.2 流量解密支持在生产环境下部署,使用此功能后,边界防火墙支持对加密流量进行审查和过滤正式支持 IDPS 特性
Edge 相关:
datapath 支持四个接口(之前仅支持三个接口)。目前仅支持全新部署的 Edge,已有 Edge 需要重新部署
安装和升级:
支持 Manager 滚动升级,在升级时 NSX Manager 可以正常登陆使用在为主机部署 NSX 时,如果系统发现 vDS MTU 为 1500,则会自动修改 MTU 为 NSX 全局 MTU 大小(一般为 1700)在裸金属服务器上安装 NSX 时可以使用非 root 用户
N-VDS 到 VDS 迁移工具增强:
支持识别底层 N-VDS 的配置差异,避免因为 N-VDS 重名造成的冲突
NSX-v to NSX-T 迁移器:
支持将 NSX-v Cross-VC 环境迁移到 NSX-T Federation 环境支持迁移双 TEP 的 Edge 节点支持在迁移过程中添加主机到站点
NSX-T 4.0.0.1 功能(2022)
基础网络连接:
管理平面支持 IPv6:NSX 从 2.4 版本开始就已经支持数据平面的 IPv4/IPv6 双栈,从 4.0 开始,NSX 的管理平面也开始支持 IPv4/IPv6 双栈,即用户可以为 NSX Manager 设置双栈地址,通过双栈地址管理 NSX Manager除此之外, NSX 4.0 Manager 也支持下列服务和访问:
IPv6 syslogIPv6 SNMPIPv6 SSHIPv6 SFTP (备份和恢复)通过 IPv6 与 DNS 服务器通信通过 IPv6 与 NTP 服务器通信设置 IPv6 集群 VIP通过 IPv6 与 LDAP/AD 服务器通信,此特性支持 NSX IDFW(基于用户身份的防火墙)及 AD 集成认证通过 IPv6 与其他 VMware 运维工具集成,例如 vRNI, vRLI 及 vROPs 等
允许在 T0 创建后修改 T0 和 T1 间接口的网段。在 4.0 之前,仅有在创建 T0 时才能指定此接口的网段,默认为 100.64.0.0/16基于策略的 VPN 支持 NAT:NAT 规则目前可以应用给 Policy-based VPN 解封装后的流量,来执行 DNAT 或者 no-DNAT 策略简化 DHCP UI 配置工作流DHCP Server 支持 Standby 重选举,即当 DHCP 主节点故障后,备节点会提升为主,但是此时再没有备份节点,开启此功能后,NSX 可以自动再为环境分配一个新的备份节点(以前 NSX T1 支持此功能)
安全相关:
支持 IP 黑名单:DFW 开始支持 IP 黑名单,开启后与黑名单 IP 相关的访问均会被丢弃。IP 黑名单库是由 NSX 云端服务提供,需要联网更新,每天可能更新数次新增支持下列裸金属 OS :RHEL 8.2, 8.4, Ubuntu 20.04, CentOS 8.2, 8.4
支持 VPN 的抓包和流追踪不再支持的功能/环境:
废弃 ESXi 上的 N-VDS 功能,4.0 及之后部署中,必须使用 VDS 来进行部署,早期的 NSX VDS 将不可用仅支持 vSphere Integrated OpenStack(VIO),不再支持其他 OpenStack 及 KVM 环境不再支持下列裸金属 OS:RHEL 7.8, 8.0, 8.3, CentOS 7.8, 8.0, 8.3
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~