Hər hansı bir firewall konfiqurasiyasına baxsanız, çox güman ki, bir dəstə IP ünvanları, portlar, protokollar və alt şəbəkələr olan bir vərəq görəcəyik. İstifadəçilərin resurslara girişi üçün şəbəkə təhlükəsizliyi siyasətləri klassik olaraq belə həyata keçirilir. Əvvəlcə konfiqurasiyada nizam-intizamı qorumağa çalışırlar, lakin sonra işçilər şöbədən şöbəyə keçməyə başlayır, serverlər çoxalır və rollarını dəyişir, müxtəlif layihələrə giriş ümumiyyətlə icazə verilməyən yerlərdə görünür və yüzlərlə naməlum keçi yolları ortaya çıxır.
Bəzi qaydaların yanında, şanslısınızsa, "Vasya bunu məndən istədi" və ya "Bu, DMZ-yə keçiddir" şərhləri var. Şəbəkə administratoru işdən çıxır və hər şey tamamilə anlaşılmaz olur. Sonra kimsə Vasyanın konfiqurasiyasını təmizləmək qərarına gəldi və SAP qəzaya uğradı, çünki Vasya bir dəfə döyüş SAP-nı idarə etmək üçün bu girişi istədi.
Bu gün mən firewall konfiqurasiyalarında çaşqınlıq olmadan şəbəkə rabitəsi və təhlükəsizlik siyasətlərini dəqiq tətbiq etməyə kömək edən VMware NSX həlli haqqında danışacağam. Mən sizə bu hissədə VMware-in əvvəllər sahib olduqları ilə müqayisədə hansı yeni xüsusiyyətlərin ortaya çıxdığını göstərəcəyəm.
VMWare NSX şəbəkə xidmətləri üçün virtuallaşdırma və təhlükəsizlik platformasıdır. NSX marşrutlaşdırma, keçid, yük balansı, firewall problemlərini həll edir və bir çox başqa maraqlı şeylər edə bilər.
NSX VMware-in öz vCloud Networking and Security (vCNS) məhsulunun və əldə edilmiş Nicira NVP-nin varisidir.
vCNS-dən NSX-ə
Əvvəllər müştərinin VMware vCloud üzərində qurulmuş buludda ayrıca vCNS vShield Edge virtual maşını var idi. O, bir çox şəbəkə funksiyalarını konfiqurasiya etmək mümkün olan sərhəd qapısı rolunu oynadı: NAT, DHCP, Firewall, VPN, yük balanslaşdırıcısı və s. vShield Edge virtual maşının xarici dünya ilə qarşılıqlı əlaqəsini qanunda göstərilən qaydalara uyğun olaraq məhdudlaşdırdı. Firewall və NAT. Şəbəkə daxilində virtual maşınlar alt şəbəkələr daxilində bir-biri ilə sərbəst əlaqə saxlayırdılar. Əgər həqiqətən trafiki bölmək və fəth etmək istəyirsinizsə, proqramların ayrı-ayrı hissələri (müxtəlif virtual maşınlar) üçün ayrıca şəbəkə yarada və onların şəbəkələrarası qarşılıqlı əlaqəsi üçün firewallda müvafiq qaydaları təyin edə bilərsiniz. Ancaq bu, uzun, çətin və maraqsızdır, xüsusən də bir neçə onlarla virtual maşınınız olduqda.
NSX-də VMware hipervizor nüvəsində quraşdırılmış paylanmış təhlükəsizlik divarından istifadə edərək mikro-seqmentasiya konsepsiyasını həyata keçirdi. O, yalnız IP və MAC ünvanları üçün deyil, həm də digər obyektlər: virtual maşınlar, proqramlar üçün təhlükəsizlik və şəbəkə qarşılıqlı siyasətlərini müəyyən edir. Əgər NSX təşkilat daxilində yerləşdirilibsə, bu obyektlər Active Directory-dən istifadəçi və ya istifadəçilər qrupu ola bilər. Hər bir belə obyekt öz təhlükəsizlik dövrəsində, tələb olunan alt şəbəkədə, öz rahat DMZ ilə mikroseqmentə çevrilir :).
Əvvəllər bütün resurslar hovuzu üçün kənar keçid ilə qorunan yalnız bir təhlükəsizlik perimetri var idi, lakin NSX ilə siz ayrı bir virtual maşını hətta eyni şəbəkə daxilində lazımsız qarşılıqlı təsirlərdən qoruya bilərsiniz.
Müəssisə başqa şəbəkəyə keçərsə, təhlükəsizlik və şəbəkə siyasəti uyğunlaşır. Məsələn, verilənlər bazası olan maşını başqa bir şəbəkə seqmentinə və ya hətta başqa bir əlaqəli virtual məlumat mərkəzinə köçürsək, bu virtual maşın üçün yazılmış qaydalar onun yeni yerindən asılı olmayaraq tətbiq olunmağa davam edəcəkdir. Proqram serveri hələ də verilənlər bazası ilə əlaqə saxlaya biləcək.
Kenar şlüzünün özü, vCNS vShield Edge, NSX Edge ilə əvəz edilmişdir. O, köhnə Edge-in bütün centlmen xüsusiyyətlərinə və bir neçə yeni faydalı funksiyaya malikdir. Onlar haqqında daha ətraflı danışacağıq.
NSX Edge ilə nə yenilik var?
NSX Edge funksionallığı ondan asılıdır
firewall. Qaydaların tətbiq olunacağı obyektlər kimi siz IP ünvanlarını, şəbəkələri, şlüz interfeyslərini və virtual maşınları seçə bilərsiniz.
DHCP. Bu şəbəkədəki virtual maşınlara avtomatik veriləcək IP ünvanlarının diapazonunu konfiqurasiya etməklə yanaşı, NSX Edge indi aşağıdakı funksiyalara malikdir: Cild и rele.
Nişanda Bindings Dəyişməmək üçün IP ünvanına ehtiyacınız varsa, virtual maşının MAC ünvanını bir IP ünvanına bağlaya bilərsiniz. Əsas odur ki, bu IP ünvanı DHCP hovuzuna daxil deyil.
Nişanda rele DHCP mesajlarının ötürülməsi vCloud Director-də təşkilatınızdan kənarda yerləşən DHCP serverlərinə, o cümlədən fiziki infrastrukturun DHCP serverlərinə konfiqurasiya edilmişdir.
Marşrutlaşdırma. vShield Edge yalnız statik marşrutlaşdırmanı konfiqurasiya edə bilər. OSPF və BGP protokollarını dəstəkləyən dinamik marşrutlaşdırma burada ortaya çıxdı. ECMP (Aktiv-aktiv) parametrləri də əlçatan oldu, bu da fiziki marşrutlaşdırıcılara aktiv-aktiv keçid deməkdir.
OSPF-nin qurulması
BGP qurulması
Başqa bir yeni şey, müxtəlif protokollar arasında marşrutların ötürülməsinin qurulmasıdır,
marşrutun yenidən bölüşdürülməsi.
L4/L7 Yük balanslaşdırıcısı. X-Forwarded-For HTTPs başlığı üçün təqdim edildi. Onsuz hamı ağladı. Məsələn, balanslaşdırdığınız bir veb saytınız var. Bu başlığı yönləndirmədən hər şey işləyir, lakin veb server statistikasında ziyarətçilərin IP-sini deyil, balanslaşdırıcının IP-ni gördünüz. İndi hər şey qaydasındadır.
Həmçinin Tətbiq Qaydaları sekmesinde siz indi trafik balansını birbaşa idarə edəcək skriptlər əlavə edə bilərsiniz.
vpn. IPSec VPN-ə əlavə olaraq, NSX Edge aşağıdakıları dəstəkləyir:
- Coğrafi cəhətdən səpələnmiş saytlar arasında şəbəkələri genişləndirməyə imkan verən L2 VPN. Məsələn, belə bir VPN lazımdır ki, başqa sayta keçərkən virtual maşın eyni alt şəbəkədə qalsın və IP ünvanını saxlasın.
- İstifadəçilərə korporativ şəbəkəyə uzaqdan qoşulmağa imkan verən SSL VPN Plus. vSphere səviyyəsində belə bir funksiya var idi, lakin vCloud Director üçün bu bir yenilikdir.
SSL sertifikatları. Sertifikatlar indi NSX Edge-də quraşdırıla bilər. Bu yenə https üçün sertifikatı olmayan balanslaşdırıcının kimə lazım olduğu sualına gəlir.
Obyektlərin qruplaşdırılması. Bu tabda, müəyyən şəbəkə qarşılıqlı qaydaları, məsələn, firewall qaydaları tətbiq ediləcəyi obyekt qrupları göstərilir.
Bu obyektlər IP və MAC ünvanları ola bilər.
Firewall qaydaları yaratarkən istifadə edilə bilən xidmətlərin (protokol-port birləşməsi) və proqramların siyahısı da var. Yalnız vCD portal administratoru yeni xidmətlər və proqramlar əlavə edə bilər.
Statistika. Bağlantı statistikası: şlüzdən, firewalldan və balanslaşdırıcıdan keçən trafik.
Hər bir IPSEC VPN və L2 VPN tuneli üçün status və statistika.
Giriş. Edge Parametrləri sekmesinde, qeydləri qeyd etmək üçün serveri təyin edə bilərsiniz. Giriş DNAT/SNAT, DHCP, Firewall, marşrutlaşdırma, balanslaşdırıcı, IPsec VPN, SSL VPN Plus üçün işləyir.
Hər bir obyekt/xidmət üçün aşağıdakı xəbərdarlıq növləri mövcuddur:
-Debug
- Xəbərdarlıq
- Tənqidi
- Səhv
-Xəbərdarlıq
- Xəbərdarlıq
- Məlumat
NSX Edge Ölçüləri
Həll olunan vəzifələrdən və VMware-in həcmindən asılı olaraq
NSX Edge
(Yığcam)
NSX Edge
(Böyük)
NSX Edge
(Dördlü-Böyük)
NSX Edge
(X-Böyük)
vCPU
1
2
4
6
Yaddaş
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Təyinat
Bir
tətbiq, sınaq
məlumat mərkəzi
Kiçik
və ya orta
məlumat mərkəzi
Yükləndi
firewall
Balanslaşdırma
L7 səviyyəsində yüklər
Aşağıdakı cədvəldə NSX Edge ölçüsündən asılı olaraq şəbəkə xidmətlərinin əməliyyat göstəriciləri verilmişdir.
NSX Edge
(Yığcam)
NSX Edge
(Böyük)
NSX Edge
(Dördlü-Böyük)
NSX Edge
(X-Böyük)
İnterfeys
10
10
10
10
Alt İnterfeyslər (Magistral)
200
200
200
200
NAT qaydaları
2,048
4,096
4,096
8,192
ARP Girişləri
Üzərinə yazana qədər
1,024
2,048
2,048
2,048
FW qaydaları
2000
2000
2000
2000
FW Performansı
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP Hovuzları
20,000
20,000
20,000
20,000
ECMP yolları
8
8
8
8
Statik marşrutlar
2,048
2,048
2,048
2,048
LB Hovuzları
64
64
64
1,024
LB Virtual Serverlər
64
64
64
1,024
LB Server/Hovuz
32
32
32
32
LB Sağlamlıq Yoxlamaları
320
320
320
3,072
LB Tətbiq Qaydaları
4,096
4,096
4,096
4,096
Danışmaq üçün L2VPN Müştərilər Mərkəzi
5
5
5
5
Müştəri/Server üçün L2VPN Şəbəkələri
200
200
200
200
IPSec Tunelləri
512
1,600
4,096
6,000
SSLVPN tunelləri
50
100
100
1,000
SSLVPN Şəxsi Şəbəkələri
16
16
16
16
Paralel Sessiyalar
64,000
1,000,000
1,000,000
1,000,000
Sessiyalar/Saniyə
8,000
50,000
50,000
50,000
LB Throughput L7 Proksi)
2.2Gbps
2.2Gbps
3Gbps
LB Ötürmə L4 rejimi)
6Gbps
6Gbps
6Gbps
LB Əlaqələri/s (L7 Proksi)
46,000
50,000
50,000
LB Concurrent Connections (L7 Proxy)
8,000
60,000
60,000
LB Əlaqələri/s (L4 Rejimi)
50,000
50,000
50,000
LB Paralel Əlaqələr (L4 Modu)
600,000
1,000,000
1,000,000
BGP marşrutları
20,000
50,000
250,000
250,000
BGP Qonşuları
10
20
100
100
BGP marşrutları yenidən paylandı
No Limit
No Limit
No Limit
No Limit
OSPF marşrutları
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF bitişiklikləri
10
20
40
40
OSPF marşrutları yenidən paylandı
2000
5000
20,000
20,000
Ümumi marşrutlar
20,000
50,000
250,000
250,000
→
Cədvəl göstərir ki, yalnız Böyük ölçüdən başlayaraq məhsuldar ssenarilər üçün NSX Edge-də balanslaşdırmanı təşkil etmək tövsiyə olunur.
Bu gün üçün əlimdə olan şey budur. Aşağıdakı hissələrdə hər bir NSX Edge şəbəkə xidmətini necə konfiqurasiya edəcəyimi ətraflı izah edəcəyəm.
Mənbə: www.habr.com