Nutanix Flow

Для работы Nutanix Flow в разрезе микросегментации и распределённого межсетевого экрана, необходимо приобрести лицензии по количеству узлов Nutanix в кластере.

На текущий момент, функции создания виртуальных сетей и микросегментации доступны только на базе гипервизора Nutanix AHV. Для использования Nutanix Flow Networking необходимая версия ПО должна быть не ниже 6.0.1.

Сервис Nutanix Flow поддерживает следующие возможности:

• Создание VPC. Это независимое и изолированное пространство IP-адресов, которое функционирует как логически изолированная виртуальная сеть;
• Использование NAT Gateway, SNAT и Floating IP Address для обеспечения связности со внешними сетями;
• Распределённый межсетевой экран. Правила безопасности применяются непосредственно на хостах AHV с минимальным влиянием на производительность;
• Межсетевой экран на базе учётных записей. Для применения в среде EUC, можно использовать правила безопасности с применением на пользователя или групп пользователей;
• Централизованное управление. Управление и мониторинг, автоматизации доступны из консоли Prism Central;
• Визуализация. Доступна визуализация сетевых потоков и запросов для более эффективной настройки правил безопасности;
• Категоризация. Защищаемые ВМ можно разбивать на категории, к которым будут автоматически применяться настроенные правила безопасности;
• Доступна интеграция со сторонними решениями для более глубокого разбора сетевого трафика;

Nutanix Flow для микросегментации поддерживает следующие политики:

• Политика карантина (Quarantine policy) – подразумевает полную изоляцию ВМ от всей остальной сети или разрешение только определенного трафика от средств безопасности;
• Политика изоляции (Isolation policy) – позволяет изолировать друг от друга различные среды или группы ВМ;
• Политика на базе приложений (Application policy) – позволяет определить сервис или приложение, которое может состоять из нескольких ВМ, разрешить доступ к или от нет, но ограничить взаимодействие между ВМ в рамках этого сервиса или приложения;
• Политика на базе пользователей (Identity policy) – позволяет защищать конечные рабочие места путём соотношения пользователя или группы пользователей с политикой безопасности.

Нет. Для работы Flow в разрезе микросегментации и распределённого межсетевого экрана оверлейные сети не требуются.

Да. Для работы Flow Networking для организации VPC и использования оверлейных сетей используется GENEVE. Для работы управляющей части развёртываются специальные Network controllers.

Нет, никаких изменений сетевой топологии не требуется. Все правила безопасности применяются непосредственно внутри виртуального коммутатора AHV.

Функции виртуализации сетей и микросегментация включается на глобальном уровне в Prism Central для всех подключённых кластеров AHV. Прямо сейчас вы не можете явно запретить применение правил безопасности к определенному кластеру, но вы можете использовать фильтры политик безопасности и где необходимо применение правил. В качестве альтернативы убедитесь, что категории добавляются только к виртуальным машинам в желаемом кластере AHV.

Да. Flow Networking можно выключить и не использовать, но только при условии, что созданные ранее внешние сети и VPC удалены. Функция доступна из интерфейса Prism Central.

Обновление сетевых контроллеров для Flow Networking происходит аналогичным способом, как и других компонентов Nutanix, через доступный в Prism Central элемент LCM.