一般来讲 VMware NSX-T 可以通俗的理解为一个 SDN（软件定义网络）的平台。在NSX的教材中阐述其为一个集合SDN和NFV（网络功能虚拟化）于一体的网络平台： Network Virtualization（网络虚拟化）。借助成熟的vSphere运算虚拟化平台， NSX早在2013年的时候便已可以为虚拟机提供分布式 / 网关式防火墙。在2015年， NSX在VMware的产品家族中率先与vCenter控制平面结偶， 推出了面向多云环境的NSX-T平台。

　　如上图所示， NSX-T的数据转发层面已经不仅仅支持vSphere作为虚拟化平台了， 同时支持了更为开放的主流Linux平台， 其中可细分为支持Linux中的容器网络和Linux的直装服务器。高性能 / 多租户的虚拟路由器则部署在NSX Edge中， NSX Edge支持两种部署形态： 虚拟机 / 服务器直装，  前者部署便利性不言而喻， 后者借助Intel或Mellanox的DPDK追求最佳的性能。

　　在控制层面由于已经与vCenter解偶， 从而有了独立的网络视角的管理界面。通过该界面NSX管理员可以使用API接口与多个vCenter对接（Up to 16）, 也可对接K8s平台（Up to 100）为其提供容器网络服务， K8s社区版的或商业版均支持。在非天朝地区还可以通过Cloud Service Manager组件对接公有云平台（A家，M家，G家）, 从而提供一个统一的虚拟网络平台， 也将混合云网络安全维度扁平化， 即便在混合云场景中， 客户依然保持相同的网络安全策略手段去设计和管理网络。

　　如下图所示，早在2014年VMware就提出了“零信任”安全模型， 该模型的原型来自公共安全体系架构， 可以以机场的安检流程来进行类比。假定VMware为机场管理方，  当乘客进入机场开始便开始经历各种安全检查，大家可以回忆一下大致的安检过程：

 

　　前5个步骤对应数据中心的安全布局类似于图2中右侧的边界防火墙， IPS, 可能还有WAF / DDOS / 反垃圾邮件 / 防病毒和防恶意软件等深度检测的网关。这些网关的工作原理都是当且仅当流量经过它时， 通过自身专用的CPU / 内存 / 或芯片来做深度检测。正如机场中的深度安检时所用的仪器， 并非由机场生产。而是由第三方安全厂家生产， 与机场管理方安全流程集成与联动。可以类比为数据中心南北向流量的深度检测。

　　而面对当今的网络威胁， 也许仅仅南北向的深度检测是不够的。国内安全形势亦是如此， 等保2.0还有"花王"行动， 各种监管机构对网络安全的审核已不仅仅是南北向（垂直渗透）, 或我们常说的边界安全。因为往往最难以应对的安全威胁是来自内网。所谓"吾恐季孙之忧，不在颛臾，而在萧蔷之内也"。经过了机场的各种深度检测后， 身在候机厅的你并不是可以任意登机口登机的， 最后还需由机场工作人员完成最后的登机前验票， 简单的验票流程， 由机场人员完成， 检测的过程高效 /颗粒度到个人 / 宽度到每个登机口。 这好比数据中心中的东西向流量安全， 这便是VMware作为机场管理方最擅长的分布式防火墙。这种分布式防火墙不追求检测的深度， 而专注检测的执行颗粒度与宽度。这样解释并不是说NSX分布式防火墙不能做到深度检测， 只是这样做会势必会消耗更多的资源去执行深度检测的任务， 从而会与宿主机中的业务虚拟机（或容器）有征用资源的冲突。上文中提到的深度包检测设备无不是有自己专用的处理资源。

　　VMware推荐的采用集成第三方安全解决方案来构建边界的安全， 内网采用平台内置分布式防火墙构筑弹性宽度的防御体系。二者依据管理者的意志进行安全联动， 这样的网络安全框架更为合理。

　　构建全向安全数据中心首先应该先打破一个固有的错误假设“内网安全”后， 再去构建一个南北向深度防御，东西向高精度的管控粗颗粒度检测的网络安全体系。再加之能够纵向管理的安全审计系统，提供流量可视化，安全审计，数据积淀，事件回溯等，秉承的思维应该是“专业的事交给专业的人做”。

　　NSX 同时算上-V和-T两个版本， 所支持的第三方安全生态合作伙伴可谓是非常丰富的， 下图中围绕着NSX以及vSphere的安全生态可见一斑。

　　关于具体的版本所支持的第三方安全生态可以登陆VMware兼容性官方网站进行查询：

　　https://www.vmware.com/resources/compatibility/search.php?deviceCategory=nsxt

　　接下来我们一起看看NSX-T集成第三方安全的产品的方案以及实现原理。

　　上图通过以下几个维度分析了NSX-T网络平台集成第三方安全解决方案的收益：

　　可以基于VMware软件定义数据中心（SDDC）产品家族的环境或者是诸多公有云环境构建

　　下一代防火墙

　　IPS / IDS

　　URL Filtering /Anti-Virus / Sandboxing

　　网络可视化 / 分析 / 聚合

　　颗粒度更高的安全服务

　　简化部署 / 安全联动

　　以应用为中心的安全策略一致性

　　服务链条

　　可分布式部署到所需的宿主机中

　　可指定部署在专用的安全服务集群中

　　通过几张胶片我们分别看看东西向 / 南北向 是如何集成的，

　　如上图所示， 第三方安全设备在南北向集成时， 可以与平台边界路由器（T0 Router）集成，也可下沉到租户路由器（T1 Router）。借助NSX-T作为网络平台， 第三方防火墙不仅仅可以在租户的边界对虚拟机进行深度检测， 也可对该网络内的容器执行相同的策略， 而第三方安全设备并不需做额外与K8s的配置。

　　上图展示了南北向集成的防火墙实例是如何工作的， 旁边的英文描述已经大致说明了转发机制。NSX-T采用策略路由将目标分段导流（重定向）到第三方防火墙中， 再通过BFD检测保持MAC地址的更新以及HA状态的检测。在南北向的集成部署模式当中第三方设备是支持主备（Active/Standby）模式的， 当然你非要Standalone也是可以的。

　　东西向的安全集成则有两种模式， 分布式部署/ 集中式部署。

　　上图向大家展示的就是第三方安全产品采用分布式方式部署， 简单的可以理解为每个宿主机一台第三方安全VM。值的一提的是， 在东西向部署中采用的流量重定向的封装为Geneve（可理解为VxLAN）, 采用该中模式就为在南北向中集成多重安全服务埋下了伏笔， 也就是服务链条。再看如下图您就会更好的理解为什么第三方安全VM可以集中部署了。

　　既然是采用Geneve封装， 那么其实第三方安全VM放在哪一台宿主中并不是强制的，只要底层路由可达的前提下都是可以的。图8的部署模式中， 用户可以设置一些特定的运算资源（宿主机）作为安全服务集群， 集中可将多个或多样的安全产品部署进去。分布式部署的模型中第三方安全VM会更靠近受保护终端， 带宽和延时亲和。集中式部署则有着清晰的资源开销预支， 用户还可以为该安全服务集群单独制定集群策略， 某些带宽和延时不敏感的场景下还能为用户节省第三方License的开销。

　　东西向的安全集成大家不难发现， 它的检测颗粒度更高， 不仅仅是在租户或平台的边界， 而是可以深入到每个子网/微分段/安全组中去。通过Geneve的隧道封装我们可以将多种的安全或监控服务串联在一起形成一个服务链条， 如下图所示。

　　如上图所示， 可以通过配置Service Profile还可以为不同的安全分组采用不同的服务链条， 实现安全服务等级的划分和不同监管要求的落实。