VMware把NSX和容器凑一块，安全性能又有点提升感觉还挺不错的

这个说法其实挺有意思的，它捕捉到了VMware在云计算和安全领域一个很重要的动向，就是VMware想把它在传统虚拟机（就是咱们常说的VM）世界里玩得很转的那套网络和安全本领，原封不动地、甚至更好地用到现在越来越火的容器（比如Docker、Kubernetes里的那些应用单元）环境里，NSX是VMware手里一张非常核心的网络虚拟化和安全王牌,现在要把这张牌打到容器的牌桌上。

（来源：基于VMware官方对NSX产品定位及其与Tanzu产品集成的持续宣传）

为什么说“凑一块”呢？因为容器和虚拟机虽然都是跑应用的东西，但脾气秉性很不一样，虚拟机像个独门独院的小别墅，有自己独立的操作系统，比较厚重，但也相对好管理，NSX之前就是给这些“小别墅”小区做安保和物业的，比如在每家每户门口设个保安（防火墙），规定哪几家可以互相串门（微隔离），而容器呢，更像是一个大开间的集体宿舍，很多应用模块（容器）共享一个操作系统，非常轻便、启动快，但传统的“小区安保”方法就不太适用了，因为“宿舍”里人员流动太快，今天住这个床位,明天可能就换到另一个房间了。

（来源：对容器与虚拟机技术差异的普遍技术共识）

VMware意识到，企业不可能为了用容器就把之前花大价钱建的虚拟机环境和安全体系全扔了，最理想的状态是，既能享受容器的敏捷性，又能延续虚拟机时代那套成熟的安全管理方式，他们就努力“凑”，把NSX和自家的容器平台Tanzu（特别是其中的Kubernetes发行版）深度整合，这个“凑”不是生拉硬拽,而是让NSX能够自然地理解容器的语言和运行方式。

（来源：VMware Tanzu产品文档中关于与NSX集成以实现安全与网络自动化的描述）

“安全性能又有点提升”具体体现在哪儿呢？主要有这么几个感觉不错的地方：

第一，是安全防护的起点提前了，或者说“左移”了，以前可能是应用部署好了，再慢慢去配置安全策略，现在通过NSX和容器的整合，安全策略可以变成应用定义的一部分，开发人员在编写应用配置文件（比如Kubernetes的YAML文件）的时候，就可以直接声明这个应用需要什么样的网络权限、谁能访问它，当容器一启动，NSX就能自动识别并施加这些安全规则，不需要运维和安全团队再事后手动操作，这就好比不是等宿舍楼盖好了再拉铁丝网，而是在画建筑设计图的时候，就把门禁系统和房间隔断都设计好了,从源头上减少了配置错误和安全空白期。

（来源：VMware关于DevSecOps及安全策略即代码的解决方案介绍）

第二，是实现了真正统一的“微隔离”，微隔离是NSX的看家本领，核心思想是哪怕在同一个网络内，不同的工作负载（不管是虚拟机还是容器）之间默认也是不通的，只有明确允许才能通信，把容器纳入NSX的管理范围后，就能用同一套工具、同一种语言，对虚拟机里的老应用和容器里的新应用实施无差别的微隔离策略，管理员不需要学两套东西，在一个控制台上就能看到整个混合环境（虚拟机+容器）的通信关系图，并统一设置规则，只有前端的Web容器可以访问后端的数据库虚拟机，其他一律拒绝”，这种一致性大大降低了管理复杂度,也减少了因为规则不统一可能出现的漏洞。

（来源：VMware NSX产品白皮书中关于跨虚拟机、容器、物理服务器统一微隔离能力的说明）

第三，是网络流量的可视化变得更清晰了，容器环境动态性极强，IP地址变来变去，靠传统手段很难看清谁在和谁通信，NSX能够深入容器网络内部，追踪和展示容器之间、容器与虚拟机之间甚至容器与外部世界之间的流量走向，一旦发现异常通信模式（比如某个容器突然开始大量扫描其他容器端口），就能及时报警或自动阻断,这种深度可视化对于检测和响应潜在的攻击非常关键。

（来源：VMware关于NSX高级威胁防护与流量分析功能的介绍）

第四，是能更好地保护容器平台本身，Kubernetes这样的容器编排系统有自己的管理通道（API Server等），如果这些关键组件被攻击，整个容器集群都可能沦陷，NSX可以为这些管理流量提供严格的网络层控制，只允许受信任的源IP地址访问管理接口，相当于给容器平台的“大脑”加了一把坚固的锁。

（来源：业界对Kubernetes安全最佳实践的讨论,以及VMware如何通过NSX实现部分实践）

总体来看，“VMware把NSX和容器凑一块”这个动作，其价值在于它试图弥合传统IT安全和现代云原生应用之间的鸿沟，它让企业能够在拥抱容器技术带来的速度和灵活性的同时，不牺牲在虚拟机时代积累下来的、经过实践检验的安全控制能力和运营经验，这种感觉上的“不错”，归根结底是给人一种“鱼与熊掌可以兼得”的信心——既不用因为担心安全而束手束脚不敢用容器，也不用为了用容器而被迫接受安全上的妥协或引入一套完全陌生的安全工具链，实际效果如何还得看具体部署和配置，但从这个思路和整合深度来看,确实是朝着提升整体安全态势迈出的扎实一步。