VMware将NSX与容器结合 进一步提升安全性能

VMware公司发布了NSX-T的一套全新版本，其专门用于立足多种环境运行NSX网络虚拟化工具。

NSX-T源自NSX-MH，这套NX VMware早期版本诞生于虚拟巨头收购软件定义网络先驱厂商Nicira的不久之后。在VMware收购Nicira之前，后者支持多种虚拟机管理程序的思路确实拥有现实意义; 但在被并入VMware之后，ESX自然成了惟一有必要考虑的管理程序选项。

不过NSX-T目前仍然保持着旺盛的活力，并成为虚拟巨头眼中的重要解决方案——其能够帮助众多客户享受网络虚拟化功能，而无需一步到位全面接入VMware生态系统。也正因为如此，VMware公司将NSX-T 2.0定位为“用于构建云原生应用程序环境的高灵活度软件定义基础设施。”

本次最值得关注的新特性包括为Kubernetes引入微拆分能力。微拆分机制能够将虚拟网络功能迁移至工作负载当中，保证各类负载立足自身连接逻辑实现隔离。由于能够随意拆分这些微型片段，因此整套体系中的错误连接将可以轻松得到处理。另外，其对于容器编排方案的适应性亦允许用户为每个微服务实例创建独立网络，确保各容器组件能够获得所需连接且不必进行额外分配。

另一大特性在于分布式网络加密，且能够处理NSX所涉及的一切加密与密钥管理任务。这种能力对于NSX-T而言非常重要，特别是考虑到NSX-T需要连接不同虚拟机管理程序中运行的工作负载——包括内部、云端甚至是Kubernetes负责编排的容器负载。企业客户当然不希望资源之间的通信内容全部以非加密方式存在。NSX-T将允许客户定义并应用策略以强制执行加密，进而保证整个业务体系始终利用正确的密钥切实完成加密。

此外，本次公布的全新Edge Firewall防火墙将能够在各NSX域内保护出入流量。

必须承认，VMware的容器发展战略还远远无法令人信服，或者只会受到需要持续使用其虚拟化方案的企业的被动接受。NSX-T的出现则在这方面起到了一定改善作用，其能够帮助客户不受vSphere限制而实现云原生使用方式，同时亦标志着虚拟巨头开始向Kubernetes伸出橄榄枝——而不再采取忽视态度。