请访问原文链接:VMware NSX 9.0 正式版发布 - 下一代网络安全虚拟化平台 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
网络虚拟化平台
VMware NSX
使用 VMware NSX,通过单一窗口像管理单个实体一样管理整个网络。
NSX 概览
VMware NSX® 是一个支持 VMware 云网络解决方案的网络虚拟化和安全性平台,能够以软件定义的方式构建跨数据中心、云环境和应用框架的网络。借助 NSX,无论应用是在虚拟机 (VM)、容器还是在物理服务器上运行,都能够使应用具备更完善的网络连接和安全能力。与虚拟机的运维模式类似,可独立于底层硬件对网络进行置备和管理 (sysin)。NSX 通过软件方式重现整个网络模型,从而实现在几秒钟内创建和置备从简单网络到复杂多层网络的任何网络拓扑。用户可以创建多个具有不同要求的虚拟网络,利用由 NSX 或范围广泛的第三方集成(从新一代防火墙到高性能管理解决方案)生态系统提供的服务组合构建本质上更敏捷、更安全的环境。然后,可以将这些服务延展至同一云环境内部或跨多个云环境的各种端点。
✅ 主要优势
- 通过自动化将网络置备时间从数天缩短至数秒并提高运维效率。
- 利用工作负载级微分段、工作负载级高级威胁防护和精细安全机制保护应用。
- 在不同的数据中心和原生公有云内,以及跨不同的数据中心和原生公有云之间,以独立于物理网络拓扑的方式,对网络和安全策略进行统一管理。
- 能够详尽显示应用拓扑状况、自动生成安全策略建议以及持续进行流监控。
- 采用内置的全分布式威胁防护引擎,支持对东西向流量的高级横向威胁防护。
✅ 应用场景
安全性
NSX 有助于在私有云和公有云环境中高效实现对应用的零信任安全保护。无论目标是锁定关键应用、以软件方式创建逻辑隔离区 (DMZ),还是减小虚拟桌面环境的受攻击面,NSX 都可以通过微分段在单个工作负载级别定义和强制实施网络安全策略。多云网络
NSX 提供网络虚拟化解决方案,可跨异构站点以一致的方式实现网络连接和安全性,从而精简多云运维。因此,NSX 可支持多种多云应用场景,从无缝数据中心扩展到多数据中心池化,再到工作负载快速移动。自动化
通过将网络和安全服务虚拟化,NSX 可以突破手动管理式网络和安全服务及策略的瓶颈,从而可以更快速地置备和部署全栈应用。NSX 与云管理平台和其他自动化工具(例如 vRealize Automation/vRealize Automation Cloud、Terraform、Ansible 等)原生集成,开发人员和 IT 团队能够按照业务要求的速度置备、部署和管理应用。云原生应用的网络连接和安全性
NSX 为容器化应用和微服务提供集成式全栈网络连接和安全性,从而可以在开发新应用时针对每个容器提供精细策略。这可为微服务实现容器间的原生 L3 网络连接和微分段功能,并跨新旧应用提供网络连接和安全策略的端到端可见性。
✅ VMware NSX 版本
Professional 版
适用于需要敏捷的自动化网络连接及微分段功能,并且可能具有公有云端点的企业。Advanced 版
适用于以下企业:需要 Professional 版功能及高级网络和安全服务,与范围广泛的生态系统集成,且可能拥有多个站点。Enterprise Plus 版
适用于这样的企业:需要 NSX 提供的最先进的功能 (sysin),以使用 vRealize Network Insight 执行网络运维、通过 VMware HCX® 实现混合云移动性,以及借助 NSX Intelligence 实现流量可见性和安全运维。Remote Office Branch Office (ROBO) 版
适用于要对远程办公室或分支机构中的应用进行网络连接和安全虚拟化改造的企业。
新增功能
VMware NSX 9.0
发布日期:2025 年 6 月 17 日
本文包含以下内容:
- 授权
- 虚拟私有云 (VPC) 网络
- 增强型数据路径与性能
- Edge 平台
- 安装与升级 - LCM
- 运维操作
- 监控
- 平台安全
授权
要为 NSX 授权,请将 VCF 许可证分配给您的 vCenter 实例。当 NSX 连接到该 vCenter 时,将自动获得授权。在获得授权前,NSX 最多可在评估模式下使用 90 天。
虚拟私有云 (VPC) 网络
vCenter 中的虚拟私有云 (VPC)
VCF 9.0 支持一个统一的网络框架,与行业标准保持一致,可供 vCenter、VKS NSX 和 VCF Automation 使用。此功能使管理员可以直接在 vCenter 的 Networking 面板中通过 VPC 使用虚拟网络。
vCenter 中的 VPC 支持创建 VPC 及其内部的子网,子网可以是私有的 (sysin),也可以通过公共网络方式进行公开,从而通过 External IP 将虚拟机暴露至外部网络。
VCF Automation 中的虚拟私有云 (VPC)
VCF 9.0 提供统一的网络框架,支持 vCenter、VKS NSX 和 VCF Automation 的统一网络消费模型。
VPC 是构建网络的基础单元 (sysin),支持云用户在使用 VCF Automation 时对虚拟机与容器的网络需求进行自服务化配置、隔离,以及向单个 VPC 分配多个命名空间。
Supervisor 中的虚拟私有云 (VPC)
VPC 是 Supervisor 服务中的核心概念,为 VCF 提供云原生的网络使用模型。在 VPC 中,用户可以部署 StaticRoute、SecurityPolicy、K8s NetworkPolicy、TKG 集群、PodVM 和虚拟机等资源。
VPC 简化
VCF 9.0 中的 VPC 引入了 Connectivity 和 Service Profiles,使得可以集中定义外部连接与服务,从而简化了 VPC 的定义流程及其与 Transit Gateway 的连接方式 (sysin)。VPC 实例的创建也得到了优化,直接创建 VPC 对象,而非在 Tier-1 中创建,从而提升了性能。
VPC 的 Transit Gateway
NSX VPC Transit Gateway (TGW) 简化并优化了 VPC 之间及 VPC 与外部网络之间的通信。TGW 充当路由流量的中央枢纽,提供抽象层,使租户无需直接配置底层基础设施,从而避免配置错误。租户可根据需求附加外部连接,支持集中式(CTGW)和分布式(DTGW)连接类型。
分布式 VLAN 连接的 Transit Gateway
NSX Transit Gateway 配合分布式 VLAN 连接(DTGW)为网络通信提供了高性能的直接数据路径,从 ESX 主机直达网络结构。通过减少对额外基础设施组件的依赖,实现资源优化、简化部署,并提升网络吞吐与降低延迟。该方案还提供简化的外部连接模型,无需部署 Edge 节点或进行复杂路由配置 (sysin),从而降低网络复杂性。
支持 VPC 的工作负载域
当创建工作负载域时,会自动满足使用 VPC 的所有前提条件,从而实现 VPC 中的应用部署覆盖 NSX、vCenter 和 VCF Automation。
VPC 的 DHCP 增强功能
VCF 9.0 在 VPC 中引入了高级 DHCP 配置,超越基础用例,提供更大的灵活性与功能支持。同时引入新的 VPC 模型,支持集中式与分布式 Transit Gateway。
VPC 的 Terraform 支持
此功能扩展了广泛使用的 NSX Terraform Provider,增加对 Transit Gateway、VPC 及相关新结构的支持,从而允许通过 Terraform 实现云网络资源的消费。
增强型数据路径与性能
默认启用 EDP Standard 模式
EDP Standard 是一种数据包转发栈,专为提供更高吞吐量、更快包处理速率、更低延迟以及更优 CPU 利用率而设计。该栈提供了相较于传统 Standard 模式更强的性能表现。
在 VCF 9.0 中,EDP Standard 成为新建 VCF 工作负载域和全新安装的 NSX 默认主机交换机模式。已升级、导入或转换的工作负载域仍将继续使用传统模式 (sysin),直到手动切换。
NSX 交换机端口镜像 (SPAN) 支持 EDP
EDP 提供高性能“快速路径”以处理网络流量。本版本使 NSX 交换机端口镜像(SPAN)可利用 EDP 快速路径进行流量复制。
实时 EDP 流量监控
EDP 的快速路径现已支持实时流量分析工具 Live Traffic Analysis,便于用户监控网络数据包。
实时虚拟交换机
Industrial vSwitch 在 NSX 中新增 EDP 部署模式,专为工业自动化与 SCADA 系统优化。该模式提供可预测的延迟,并支持与 PRP(并行冗余协议)配合实现零延迟路径切换。
Edge 平台
Edge 主机亲和性
Edge 主机亲和性功能优化了在使用 vSphere 生命周期管理器(vLCM)进行主机升级时通过 Edge 节点传输的流量处理,从而减少网络中断。该功能不再依赖 vMotion,而是通过高级协议在 Edge 节点间无缝切换流量,提高 Edge 集群的高可用性。
NSX Edge 平台易用性
通过 vCenter 部署与配置 NSX Edge 节点及 Edge 集群的流程已大幅简化。此增强降低了配置复杂性,提升了在 VPC 环境下的操作效率。
默认禁用网关防火墙
从 NSX 9.0 开始,对于所有全新部署的 Tier-0 和 Tier-1 网关,其网关防火墙默认处于禁用状态。这项更新可提高网络性能并优化资源使用。
安装与升级 - LCM
VCF 9.0 中的 NSX 安装
NSX 是 Broadcom VMware Cloud Foundation 解决方案的组成部分。创建工作负载域或部署 VCF 时,会自动安装 NSX Manager,从而启用虚拟网络功能(如 VPC)。
NSX VIB 默认包含于 ESX,支持 Live Patch
ESX 默认包含虚拟网络内核模块(VIB),简化了安装与升级流程。此变更使 NSX VIB 现可支持 ESX 的 Live Patch 功能。使用 Live Patch,无需将主机置于维护模式 (sysin),即可完成升级,也不会影响 vMotion 或 DRS 操作。
统一配置管理
本版本将 NSX 配置与 vSphere Config Profiles(VCP)集成,支持在集群级别统一管理 ESX、VDS 与 NSX 配置。NSX 专属配置仍由 NSX 管理,但通过此次集成,管理员可在一个中央平台上进行集中配置与合规管理,真正实现“一站式”配置体验。
在管理 VMkernel 接口上启用虚拟网络 TEP
NSX 需要隧道端点(TEP)在传输节点之间封装与解封以太网帧。每个 TEP 都需要一个 IP 地址来构建网络结构。现在管理员可以将默认的 VMkernel(VMK0)接口及其 IP 用作 TEP,而不再强制需要额外配置专用接口,从而减少主机 IP 地址配置需求。
支持单一 NSX Manager
VCF 9.0 支持部署单个 NSX Manager,适用于资源需求较少、无需高可用性的用户。
若需实现高可用性,仍建议部署三节点 NSX Manager 集群。
NSX 升级流程对齐
VCF 9.0 对 NSX 与 vSphere 升级流程进行了对齐,以降低停机时间、统一周期、强化测试与文档支持,确保升级的可扩展性与适应性。
无中断 NSX 升级
无中断 NSX 升级功能提升了 NSX Manager 升级的速度与效率。NSX 现可更准确地判断主机是否能进入维护模式,并避免超时错误。
运维操作
分组与标记的可用性改进
用户现在可以在不受系统生成标签影响的前提下,为 Segment 和 Segment Port 分配最多支持数量的用户定义标签。
Inventory 可用性改进
NSX 资源清单的可用性增强包括:
- NSX Manager 与传输节点间的连接性提升,减少清单同步失败问题,降低 CPU 消耗,释放更多资源用于工作负载;
- NSX Manager 与 vCenter 间连接异常引发的告警处理更加高效,减少误报。
NSX 在线诊断系统(ODS)增强
ODS Runbook 功能优化:
- NSX 组件(如 SHA 插件)在检测到错误时会自动调用 ODS,减少对外部监控平台的依赖;
- 在发生 ESX 上的 BFD 闪断时支持自动运行时故障排查。某些 BGP/BFD 问题需实时调试,支持包可能不包含关键信息。
监控
针对 VCF Networking 用户的逻辑交换机 IPFIX
VCF Operations for Networks 提供了一种新的 IPFIX 流收集方式。此功能引入了一个新的 ConnectionTrack 模块,记录如 sessionFlags、RetransmissionCount、flowDirection、averageLatency 等关键流信息。NSX 交换机 IPFIX 利用该模块重新设计用户态流导出器,支持导出新模板的流记录。
NSX 系统运行状况监控与 VCF Operations 集成
NSX UI 提供系统运行状况页面,可集中监控管理集群、传输节点与 Edge 节点的整体状态,包括状态、告警、资源使用、API 使用情况与计算管理器可达性等。
NSX Edge 监控文档增强
NSX Edge 的监控与故障排查指标现已提供详细说明,便于用户理解监控信息。
平台安全
证书管理
升级 NSX Manager 前,建议先运行 CARR 脚本,以确保 Transport Node(TN)的证书不会在 825 天内过期。
如果检测到证书将在 825 天内过期,可重新运行 CARR 脚本进行替换。
下载地址
VMware NSX 9.0
- nsx unified appliance ova
- nsx edge ova
- 百度网盘链接:<公布方式待定>
相关产品:
文章用于推荐和分享优秀的软件产品及其相关技术,所有软件默认提供官方原版(免费版或试用版),免费分享。对于部分产品笔者加入了自己的理解和分析,方便学习和研究使用。任何内容若侵犯了您的版权,请联系作者删除。如果您喜欢这篇文章或者觉得它对您有所帮助,或者发现有不当之处,欢迎您发表评论,也欢迎您分享这个网站,或者赞赏一下作者,谢谢!
支付宝赞赏
微信赞赏
赞赏一下