Калі паглядзець канфіг любога файрвала, то, хутчэй за ўсё, мы ўбачым прасціну з кучай IP-адрасоў, партоў, пратаколаў і падсетак. Так класічна рэалізуюцца палітыкі сеткавай бяспекі для доступу карыстальнікаў да рэсурсаў. Спачатку ў канфігу імкнуцца падтрымліваць парадак, але потым супрацоўнікі пачынаюць пераходзіць з аддзела ў аддзел, серверы размнажацца і змяняць свае ролі, з'яўляюцца доступы для розных праектаў туды, куды ім звычайна нельга, і атрымліваюцца сотні невядомых казіных сцежак.
Каля нейкіх правілаў, калі пашанцуе, прапісаныя каментары "Папрасіў зрабіць Вася" ці "Гэта праход у DMZ". Сеткавы адміністратар звальняецца, і ўсё становіцца зусім незразумела. Потым нехта вырашыў пачысціць канфіг ад Васі, і ўпаў SAP, таму што некалі Вася прасіў гэты доступ для працы баявога SAP.
Сёння я распавяду пра рашэнне VMware NSX, якое дапамагае кропкава ўжываць палітыкі сеткавага ўзаемадзеяння і бяспекі без блытаніны ў канфігах файрвола. Пакажу, якія новыя функцыі з'явіліся ў параўнанні з тым, што было раней у VMware у гэтай частцы.
VMWare NSX - платформа віртуалізацыі і забеспячэння бяспекі сеткавых сэрвісаў. NSX вырашае задачы маршрутызацыі, камутацыі, балансаванні нагрузкі, файрвола і ўмее шмат іншага цікавага.
NSX – гэта пераемнік уласнага прадукта VMware vCloud Networking and Security (vCNS) і набытага Nicira NVP.
Ад vCNS да NSX
Раней у кліента ў воблаку, пабудаваным на VMware vCloud, была асобная віртуальная машына vCNS v Shield Edge. Ён выконваў ролю памежнага шлюза, дзе можна было наладзіць мноства сеткавых функцый: NAT, DHCP, Firewall, VPN, балансавальніка нагрузкі і інш. vShield Edge абмяжоўваў узаемадзеянне віртуальнай машыны з навакольным светам паводле правіл, прапісаным у Firewall і NAT. Унутры сеткі віртуальныя машыны размаўлялі паміж сабой свабодна ў межах падсетак. Калі вельмі жадаецца падзяляць і панаваць трафікам, можна зрабіць асобную сетку для асобных частак прыкладанняў (розных віртуальных машын) і прапісаць у файрвале адпаведныя правілы па іх сеткавым узаемадзеянні. Але гэта доўга, складана і нецікава, асабліва калі ў вас некалькі дзясяткаў віртуальных машын.
У NSX VMware рэалізавала канцэпцыю мікрасегментацыі з дапамогай размеркаванага файрвала (distributed firewall), убудаванага ў ядро гіпервізара. У ім прапісваюцца палітыкі бяспекі і сеткавага ўзаемадзеяння не толькі для IP-і MAC-адрасоў, але і для іншых аб'ектаў: віртуальных машын, прыкладанняў. Калі NSX разгорнуты ўсярэдзіне арганізацый, то такімі аб'ектамі могуць стаць карыстач або група карыстачоў з Active Directory. Кожны такі аб'ект ператвараецца ў мікрасегмент у сваім контуры бяспекі, у патрэбнай падсетцы, са сваёй утненькай DMZ :).
Раней перыметр бяспекі быў адзін на ўвесь пул рэсурсаў, абараняўся памежным камутатарам, а з NSX можна ахаваць ад лішніх узаемадзеянняў асобную віртуальную машыну нават у межах адной сеткі.
Палітыкі бяспекі і сеткавага ўзаемадзеяння адаптуюцца, калі аб'ект пераязджае ў іншую сетку. Напрыклад, калі мы перанясем машыну з базай дадзеных у іншы сеткавы сегмент ці нават у іншы злучаны віртуальны дата-цэнтр, то правілы, прапісаныя для гэтай віртуальнай машыны, працягнуць дзейнічаць безадносна яе новага становішча. Сервер прыкладанняў па-ранейшаму зможа ўзаемадзейнічаць з базай даных.
На змену самаму памежнаму шлюзу vCNS vShield Edge прыйшоў NSX Edge. У яго ёсць увесь джэнтльменскі набор старога Edge плюс некалькі новых карысных функцый. Пра іх і пойдзе размова далей.
Што новага ў NSX Edge?
Функцыянальнасць NSX Edge залежыць ад
Брандмаўэр. У якасці аб'ектаў, да якіх будуць прымяняцца правілы, можна выбраць IP-адрасы, сеткі, інтэрфейсы шлюза і віртуальныя машыны.
DHCP. Акрамя налады дыяпазону IP-адрасоў, якія будуць аўтаматычна выдавацца віртуальным машынам гэтай сеткі, у NSX Edge сталі даступныя функцыі Абавязковы и рэле.
Ва ўкладцы Пераплёты можна прывязаць MAC-адрас віртуальнай машыны да IP-адрасу, калі трэба каб IP-адрас не змяняўся. Галоўнае, каб гэты IP-адрас не ўваходзіў у DHCP Pool.
Ва ўкладцы рэле наладжваецца рэтрансляцыя DHCP-паведамленняў DHCP-серверам, якія знаходзяцца па-за межамі вашай арганізацыі ў vCloud Director, у тым ліку і DHCP-серверам фізічнай інфраструктуры.
Маршрутызацыя. У vShield Edge можна было наладжваць толькі статычную маршрутызацыю. Тут зьявілася дынамічная маршрутызацыя з падтрымкай пратаколаў OSPF і BGP. Таксама сталі даступныя налады ECMP (Active-active), а значыць і аварыйнае пераключэнне тыпу "актыўны-актыўны" на фізічныя маршрутызатары.
Настройка OSPF
Настройка BGP
Яшчэ з новага - настройка перадачы маршрутаў паміж рознымі пратаколамі,
пераразмеркаванне маршрутаў (route redistribution).
L4/L7 Балансавальнік нагрузкі. З'явіўся X-Forwarded-For для загалоўка HTTPs. Без яго ўсе плакалі. Напрыклад, у вас ёсць сайт, які вы балансуеце. Без пракіду гэтага загалоўка ўсё працуе, але ў статыстыцы вэб-сервера вы бачылі не IP наведвальнікаў, а IP балансавальніка. Цяпер усё стала правільна.
Таксама ва ўкладцы Application Rules зараз можна дадаваць скрыпты, якія будуць наўпрост кіраваць балансаваннем трафіку.
vpn. У дадатак да IPSec VPN, NSX Edge падтрымлівае:
- L2 VPN, які дазваляе расцягнуць сеткі паміж геаграфічна разнесенымі пляцоўкамі. Такі VPN патрэбен, напрыклад, каб пры пераездзе на іншую пляцоўку віртуальная машына заставалася ў той жа падсеткі і захоўвала IP-адрас.
- SSL VPN Plus, які дазваляе карыстальнікам падлучацца выдалена да карпаратыўнай сеткі. На ўзроўні vSphere такая функцыя была, а вось для vCloud Director гэтая навіна.
SSL-сертыфікаты. На NSX Edge зараз можна паставіць сертыфікаты. Гэта зноў да пытання, каму патрэбен быў балансавальнік без сертыфіката для https.
Групы аб'ектаў (Grouping Objects). У гэтай укладцы як раз задаюцца групы аб'ектаў, для якіх будуць дзейнічаць тыя ці іншыя правілы сеткавага ўзаемадзеяння, напрыклад правілы файрвала.
Гэтымі аб'ектамі могуць быць IP-і MAC-адрасы.
Тут таксама паказаны спіс сэрвісаў (спалучэнне пратакол-порт) і прыкладанняў, якія можна выкарыстоўваць пры складанні правіл файрвола. Новыя сэрвісы і прыкладанні дадаваць можа толькі адміністратар партала vCD.
Статыстыка. Статыстыка па падлучэннях: трафік, які праходзіць праз шлюз, файрвол і балансавальнік.
Статус і статыстыку па кожным тунэлі IPSEC VPN і L2 VPN.
Лагіраванне. Ва ўкладцы Edge Settings можна задаць сервер для запісу логаў. Лагаванне працуе для DNAT/SNAT, DHCP, Firewall, маршрутызацыі, балансавальніка, IPsec VPN, SSL VPN Plus.
Для кожнага аб'екта/сэрвісу даступны наступныя тыпы абвестак:
- Debug
- Alert
- Critical
- Error
- Warning
- Notice
- Info
Памеры NSX Edge
У залежнасці ад развязальных задач і аб'ёмаў VMware
NSX Edge
(Compact)
NSX Edge
(Вялікі)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
vCPU
1
2
4
6
памяць
512MB
1GB
1GB
8GB
Дыск
512MB
512MB
512MB
4.5GB + 4GB
Прызначэнне
адно
дадатак, тэставы
дата-цэнтр
Невялікі
ці сярэдні
дата-цэнтр
Нагружаны
файрвол
балансіроўка
нагрузкі на ўзроўні L7
Ніжэй у табліцы - працоўныя метрыкі сеткавых службаў у залежнасці ад памеру NSX Edge.
NSX Edge
(Compact)
NSX Edge
(Вялікі)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
Інтэрфейсы
10
10
10
10
Sub Interfaces (Trunk)
200
200
200
200
Правілы NAT
2,048
4,096
4,096
8,192
Запісы ARP
Until Overwrite
1,024
2,048
2,048
2,048
FW Rules
2000
2000
2000
2000
FW Performance
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP Pools
20,000
20,000
20,000
20,000
ECMP Paths
8
8
8
8
Статычныя маршруты
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
LB Virtual Servers
64
64
64
1,024
LB Server / Pool
32
32
32
32
LB Health Checks
320
320
320
3,072
LB Application Rules
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
L2VPN Networks per Client/Server
200
200
200
200
Тунэлі IPSec
512
1,600
4,096
6,000
SSLVPN Tunnels
50
100
100
1,000
SSLVPN Private Networks
16
16
16
16
Паралельныя сеансы
64,000
1,000,000
1,000,000
1,000,000
Sessions/Second
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput L4 Mode)
6Gbps
6Gbps
6Gbps
LB Connections/s (L7 Proxy)
46,000
50,000
50,000
LB Concurrent Connections (L7 Proxy)
8,000
60,000
60,000
LB Connections/s (L4 Mode)
50,000
50,000
50,000
LB Concurrent Connections (L4 Mode)
600,000
1,000,000
1,000,000
BGP Routes
20,000
50,000
250,000
250,000
BGP Neighbors
10
20
100
100
BGP Routes Redistributed
* No Limit
* No Limit
* No Limit
* No Limit
OSPF Routes
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF Routes Redistributed
2000
5000
20,000
20,000
Total Routes
20,000
50,000
250,000
250,000
→
З табліцы відаць, што балансаванне на NSX Edge для прадуктыўных сцэнараў рэкамендуецца арганізоўваць, толькі пачынальна з памеру Large.
На сёння ў мяне ўсё. У наступных частках падрабязна прайдуся па наладзе кожнай сеткавай службы NSX Edge.
Крыніца: habr.com