إذا نظرت إلى تكوين أي جدار حماية ، فعلى الأرجح سنرى ورقة بها مجموعة من عناوين IP والمنافذ والبروتوكولات والشبكات الفرعية. هذه هي الطريقة التي يتم بها تنفيذ سياسات أمان الشبكة بشكل كلاسيكي لوصول المستخدم إلى الموارد. في البداية ، يحاولون الحفاظ على النظام في التكوين ، ولكن بعد ذلك يبدأ الموظفون في الانتقال من قسم إلى آخر ، وتتضاعف الخوادم وتغير أدوارهم ، ويظهر الوصول لمشاريع مختلفة حيث لا يمكنهم ذلك عادةً ، ويتم الحصول على مئات من مسارات الماعز غير المعروفة.
بالقرب من بعض القواعد ، إذا كنت محظوظًا ، تتم كتابة التعليقات "طلبت من Vasya أن يفعل ذلك" أو "هذا ممر إلى المنطقة المجردة من السلاح". يتم إنهاء مسؤول الشبكة ، ويصبح كل شيء غير مفهوم تمامًا. ثم قرر شخص ما تنظيف تكوين Vasya ، وتحطمت SAP ، لأن Vasya طلب مرة واحدة هذا الوصول للعمل مع SAP القتالية.
سأتحدث اليوم عن حل VMware NSX ، الذي يساعد على تطبيق سياسات اتصالات الشبكة والأمان من نقطة إلى نقطة دون التباس في تكوينات جدار الحماية. سأوضح لك الميزات الجديدة التي ظهرت مقارنة بما كانت تمتلكه VMware في هذا الجزء.
برنامج VMWare NSX عبارة عن نظام أساسي لأمان خدمات الشبكات الافتراضية. يحل NSX مشاكل التوجيه والتبديل وموازنة التحميل وجدار الحماية والعديد من الأشياء الأخرى المثيرة للاهتمام.
NSX هو خليفة لمنتج VMware الخاص بـ VMware Networking and Security (vCNS) وحصل عليه Nicira NVP.
من vCNS إلى NSX
في السابق ، كان لدى العميل في السحابة المبنية على VMware vCloud جهاز افتراضي منفصل vCNS vShield Edge. لقد عملت كبوابة حافة ، حيث يمكنك تكوين العديد من وظائف الشبكة: NAT ، DHCP ، جدار الحماية ، VPN ، موازن التحميل ، إلخ. لقد حد vShield Edge من تفاعل الجهاز الظاهري مع العالم الخارجي وفقًا للقواعد المحددة في جدار الحماية و نات. داخل الشبكة ، كانت الأجهزة الافتراضية تتواصل بحرية فيما بينها داخل الشبكات الفرعية. إذا كنت تريد حقًا تقسيم حركة المرور والسيطرة عليها ، فيمكنك إنشاء شبكة منفصلة لأجزاء فردية من التطبيقات (أجهزة افتراضية مختلفة) ووصف القواعد المناسبة لتفاعل الشبكة في جدار الحماية. لكن هذا طويل ومعقد وغير مثير للاهتمام ، خاصة عندما يكون لديك عدة عشرات من الأجهزة الافتراضية.
في NSX ، طبقت VMware مفهوم التجزئة الصغيرة باستخدام جدار حماية موزع مدمج في قلب برنامج Hypervisor. وهو يصف سياسات الأمان والتفاعل الشبكي ليس فقط لعناوين IP و MAC ، ولكن أيضًا للأشياء الأخرى: الأجهزة الافتراضية ، والتطبيقات. إذا تم نشر NSX داخل مؤسسة ، فيمكن أن يصبح المستخدم أو مجموعة المستخدمين من Active Directory مثل هذه الكائنات. يتحول كل كائن إلى جزء صغير في حلقة الأمان الخاصة به ، في الشبكة الفرعية اليمنى ، مع DMZ المريح الخاص به :).
في السابق ، كان هناك محيط أمان واحد فقط لمجموعة الموارد بأكملها ، وكان محميًا بواسطة مفتاح حافة ، وباستخدام NSX ، يمكنك حماية جهاز افتراضي منفصل من التفاعلات غير الضرورية حتى داخل نفس الشبكة.
تتكيف سياسات الأمان والشبكات إذا انتقل كائن إلى شبكة مختلفة. على سبيل المثال ، إذا نقلنا الجهاز بقاعدة البيانات إلى جزء شبكة آخر أو حتى إلى مركز بيانات افتراضي آخر مرتبط ، فستستمر القواعد المحددة لهذا الجهاز الظاهري في العمل بغض النظر عن موقعه الجديد. سيظل خادم التطبيق قادرًا على الاتصال بقاعدة البيانات.
تم استبدال vCNS vShield Edge نفسه بـ NSX Edge. يحتوي على كل الأشياء الخاصة بالسادة من Edge القديم بالإضافة إلى بعض الميزات الجديدة الرائعة. عنهم وسيتم مناقشتها أكثر.
ما الجديد في NSX Edge؟
تعتمد وظيفة NSX Edge على ملفات NSX. هناك خمسة منهم: Standard ، Professional ، Advanced ، Enterprise ، Plus Remote Branch Office. كل ما هو جديد ومثير للاهتمام يمكن رؤيته فقط بدءًا من المستوى المتقدم. بما في ذلك الواجهة الجديدة التي تفتح في علامة تبويب جديدة حتى الانتقال الكامل من vCloud إلى HTML5 (يعد VMware بصيف 2019).
جدار الحماية. يمكنك تحديد عناوين IP والشبكات وواجهات البوابة والأجهزة الظاهرية ككائنات سيتم تطبيق القواعد عليها.
DHCP. بالإضافة إلى تكوين مجموعة عناوين IP التي سيتم إصدارها تلقائيًا للأجهزة الافتراضية على هذه الشبكة ، أصبحت NSX Edge وظائف متاحة ملزم и المرحل.
في علامة التبويب الارتباطات يمكنك ربط عنوان MAC الخاص بالجهاز الظاهري بعنوان IP إذا كنت تريد عدم تغيير عنوان IP. الشيء الرئيسي هو أن عنوان IP هذا غير مدرج في تجمع DHCP.
في علامة التبويب المرحل يقوم بتهيئة ترحيل رسائل DHCP إلى خوادم DHCP الموجودة خارج مؤسستك في vCloud Director ، بما في ذلك خوادم DHCP للبنية التحتية المادية.
التوجيه. لا يمكن تكوين vShield Edge إلا من خلال التوجيه الثابت. ظهر التوجيه الديناميكي هنا مع دعم بروتوكولات OSPF و BGP. أصبحت إعدادات ECMP (النشط النشط) متاحة أيضًا ، مما يعني تجاوز الفشل النشط النشط لأجهزة التوجيه الفعلية.
تكوين OSPF
تكوين BGP
شيء جديد آخر هو إعداد نقل المسارات بين البروتوكولات المختلفة ،
إعادة توزيع الطريق.
موازن تحميل L4 / L7. قدم X-Forwarded-For لرأس HTTPs. بدونه كان الجميع يبكون. على سبيل المثال ، لديك موقع ويب تقوم بموازنته. بدون إعادة توجيه هذا العنوان ، يعمل كل شيء ، ولكن في إحصائيات خادم الويب ، لم تر IP للزائرين ، ولكن IP الخاص بالموازن. الآن كل شيء على ما يرام.
أيضًا في علامة التبويب قواعد التطبيق ، يمكنك الآن إضافة برامج نصية تتحكم مباشرة في موازنة حركة المرور.
VPN. بالإضافة إلى IPSec VPN ، يدعم NSX Edge:
- L2 VPN ، الذي يسمح لك بتمديد الشبكات بين المواقع المتفرقة جغرافيًا. هناك حاجة إلى مثل هذه الشبكة الظاهرية الخاصة ، على سبيل المثال ، بحيث عند الانتقال إلى موقع آخر ، يظل الجهاز الظاهري على نفس الشبكة الفرعية ويحتفظ بعنوان IP الخاص به.
- SSL VPN Plus ، والذي يسمح للمستخدمين بالاتصال عن بعد بشبكة الشركة. كانت هناك مثل هذه الوظيفة على مستوى vSphere ، ولكن بالنسبة إلى vCloud Director ، يعد هذا ابتكارًا.
شهادات SSL. يمكن الآن تثبيت الشهادات على NSX Edge. هذا مرة أخرى لمسألة من يحتاج إلى موازن بدون شهادة لـ https.
تجميع الكائنات. تقوم علامة التبويب هذه فقط بتعيين مجموعات الكائنات التي سيتم تطبيق قواعد تفاعل معينة على الشبكة عليها ، على سبيل المثال ، قواعد جدار الحماية.
يمكن أن تكون هذه الكائنات عناوين IP و MAC.
يحتوي أيضًا على قائمة بالخدمات (تركيبة بروتوكول منفذ) والتطبيقات التي يمكن استخدامها عند تجميع قواعد جدار الحماية. يمكن فقط لمسؤول بوابة vCD إضافة خدمات وتطبيقات جديدة.
إحصائيات. إحصائيات الاتصال: حركة المرور التي تمر عبر البوابة وجدار الحماية وموازن التحميل.
حالة وإحصاءات كل نفق IPSEC VPN و L2 VPN.
تسجيل. في علامة التبويب إعدادات الحافة ، يمكنك ضبط الخادم لتسجيل السجلات. يعمل التسجيل مع DNAT / SNAT و DHCP و Firewall و Routing و Balancer و IPsec VPN و SSL VPN Plus.
الأنواع التالية من التنبيهات متاحة لكل كائن / خدمة:
- تصحيح
- يُحذًِر
- شديد الأهمية
- خطأ
-تحذير
-يلاحظ
- معلومات
أبعاد حافة NSX
اعتمادًا على المهام المراد حلها وأحجام برنامج VMware قم بإنشاء NSX Edge بالأحجام التالية:
إن إس إكس إيدج
(المدمج)
إن إس إكس إيدج
(كبير)
إن إس إكس إيدج
(رباعي كبير)
إن إس إكس إيدج
(X-كبير)
وحدة المعالجة المركزية الافتراضية
1
2
4
6
مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
512MB
1GB
1GB
8GB
أسطوانة
512MB
512MB
512MB
4.5GB + 4GB
موعد
واحد
التطبيق والاختبار
مركز البيانات
صغير
أو متوسط
مركز البيانات
محمل
جدار الحماية
موازنة
الأحمال على المستوى L7
يوضح الجدول أدناه مقاييس أداء خدمة الشبكة بناءً على حجم NSX Edge.
إن إس إكس إيدج
(المدمج)
إن إس إكس إيدج
(كبير)
إن إس إكس إيدج
(رباعي كبير)
إن إس إكس إيدج
(X-كبير)
واجهات
10
10
10
10
واجهات فرعية (جذع)
200
200
200
200
قواعد NAT
2,048
4,096
4,096
8,192
إدخالات ARP
حتى الكتابة
1,024
2,048
2,048
2,048
قواعد مهاجم
2000
2000
2000
2000
FW الأداء
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
تجمعات DHCP
20,000
20,000
20,000
20,000
مسارات ECMP
8
8
8
8
طرق ثابتة
2,048
2,048
2,048
2,048
حمامات LB
64
64
64
1,024
خوادم LB الافتراضية
64
64
64
1,024
خادم LB / تجمع
32
32
32
32
فحوصات LB الصحية
320
320
320
3,072
قواعد تطبيق LB
4,096
4,096
4,096
4,096
محور عملاء L2VPN للتحدث
5
5
5
5
شبكات L2VPN لكل عميل / خادم
200
200
200
200
أنفاق IPSec
512
1,600
4,096
6,000
أنفاق SSL VPN
50
100
100
1,000
شبكات SSLVPN الخاصة
16
16
16
16
الجلسات المتزامنة
64,000
1,000,000
1,000,000
1,000,000
الجلسات / الثانية
8,000
50,000
50,000
50,000
وكيل LB الصبيب L7)
2.2Gbps
2.2Gbps
3Gbps
وضع L4 الصبيب)
6Gbps
6Gbps
6Gbps
اتصالات LB / s (وكيل L7)
46,000
50,000
50,000
اتصالات LB المتزامنة (وكيل L7)
8,000
60,000
60,000
اتصالات LB (وضع L4)
50,000
50,000
50,000
اتصالات LB المتزامنة (وضع L4)
600,000
1,000,000
1,000,000
طرق BGP
20,000
50,000
250,000
250,000
جيران BGP
10
20
100
100
تمت إعادة توزيع مسارات BGP
لا حدود
لا حدود
لا حدود
لا حدود
طرق OSPF
20,000
50,000
100,000
100,000
إدخالات OSPF LSA بحد أقصى 750 نوع -1
20,000
50,000
100,000
100,000
تجاور OSPF
10
20
40
40
تم إعادة توزيع مسارات OSPF
2000
5000
20,000
20,000
إجمالي الطرق
20,000
50,000
250,000
250,000
→
يوضح الجدول أنه يوصى بتنظيم التوازن على NSX Edge للسيناريوهات الإنتاجية التي تبدأ فقط من الحجم الكبير.
اليوم لدي كل شيء. في الأجزاء التالية ، سوف أتصفح تفاصيل كل خدمة شبكة NSX Edge بالتفصيل.
المصدر: www.habr.com