VMware NSX за най-малките. Част 1

Ако погледнете конфигурацията на всяка защитна стена, тогава най-вероятно ще видим лист с куп IP адреси, портове, протоколи и подмрежи. Това е начинът, по който класически се изпълняват политиките за мрежова сигурност за потребителски достъп до ресурси. Отначало те се опитват да поддържат ред в конфигурацията, но след това служителите започват да се местят от отдел в отдел, сървърите се размножават и променят ролите си, достъпът за различни проекти се появява там, където обикновено не им е разрешен, и се появяват стотици неизвестни кози пътеки.

До някои правила, ако имате късмет, има коментари „Вася ме помоли да направя това“ или „Това е преминаване към DMZ“. Мрежовият администратор се отказва и всичко става напълно неясно. Тогава някой реши да изчисти конфигурацията на Vasya и SAP се срина, защото Vasya веднъж поиска този достъп, за да стартира бойния SAP.

Днес ще говоря за решението VMware NSX, което помага за прецизно прилагане на мрежова комуникация и политики за сигурност без объркване в конфигурациите на защитната стена. Ще ви покажа какви нови функции се появиха в сравнение с това, което VMware имаше преди това в тази част.

VMWare NSX е платформа за виртуализация и сигурност за мрежови услуги. NSX решава проблеми с маршрутизиране, комутиране, балансиране на натоварването, защитна стена и може да прави много други интересни неща.

NSX е наследник на собствения продукт на VMware vCloud Networking and Security (vCNS) и придобития Nicira NVP.

От vCNS до NSX

Преди това клиент имаше отделна виртуална машина vCNS vShield Edge в облак, изграден на VMware vCloud. Той действаше като граничен шлюз, където беше възможно да се конфигурират много мрежови функции: NAT, DHCP, защитна стена, VPN, балансиращо натоварване и т.н. vShield Edge ограничи взаимодействието на виртуалната машина с външния свят според правилата, посочени в Защитна стена и NAT. В рамките на мрежата виртуалните машини комуникираха помежду си свободно в подмрежи. Ако наистина искате да разделите и завладеете трафика, можете да направите отделна мрежа за отделни части от приложения (различни виртуални машини) и да зададете съответните правила за тяхното мрежово взаимодействие в защитната стена. Но това е дълго, трудно и безинтересно, особено когато имате няколко десетки виртуални машини.

В NSX VMware внедри концепцията за микросегментиране, използвайки разпределена защитна стена, вградена в ядрото на хипервизора. Той определя политики за сигурност и мрежово взаимодействие не само за IP и MAC адреси, но и за други обекти: виртуални машини, приложения. Ако NSX е внедрен в организация, тези обекти могат да бъдат потребител или група потребители от Active Directory. Всеки такъв обект се превръща в микросегмент в своя собствена защитна верига, в необходимата подмрежа, със собствена уютна DMZ :).

Преди това имаше само един защитен периметър за целия пул от ресурси, защитен от периферен превключвател, но с NSX можете да защитите отделна виртуална машина от ненужни взаимодействия, дори в рамките на една и съща мрежа.

Политиките за сигурност и мрежови политики се адаптират, ако даден обект се премести в друга мрежа. Например, ако преместим машина с база данни в друг мрежов сегмент или дори в друг свързан виртуален център за данни, тогава правилата, написани за тази виртуална машина, ще продължат да се прилагат независимо от новото й местоположение. Сървърът на приложения все още ще може да комуникира с базата данни.

Самият периферен шлюз, vCNS vShield Edge, е заменен от NSX Edge. Той има всички джентълменски характеристики на стария Edge, плюс няколко нови полезни функции. Ще говорим за тях по-нататък.

Какво е новото с NSX Edge?

Функционалността на NSX Edge зависи от издание NSX. Има пет от тях: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Всичко ново и интересно може да се види само като се започне от Advanced. Включително нов интерфейс, който, докато vCloud напълно премине към HTML5 (VMware обещава лятото на 2019 г.), се отваря в нов раздел.

Защитна стена. Можете да изберете IP адреси, мрежи, интерфейси на шлюз и виртуални машини като обекти, към които ще се прилагат правилата.

DHCP. В допълнение към конфигурирането на диапазона от IP адреси, които ще бъдат автоматично издадени на виртуални машини в тази мрежа, NSX Edge вече предлага следните функции: Подвързване и реле.

В раздела автомати Можете да свържете MAC адреса на виртуална машина с IP адрес, ако искате IP адресът да не се променя. Основното е, че този IP адрес не е включен в DHCP пула.

В раздела реле предаването на DHCP съобщения е конфигурирано за DHCP сървъри, които се намират извън вашата организация във vCloud Director, включително DHCP сървъри на физическата инфраструктура.

Маршрутизиране. vShield Edge може да конфигурира само статично маршрутизиране. Тук се появи динамично маршрутизиране с поддръжка на OSPF и BGP протоколи. ECMP (активно-активни) настройки също станаха достъпни, което означава активно-активно прехвърляне към физически рутери.

Настройка на OSPF

Настройка на BGP

Друго ново нещо е настройката на прехвърляне на маршрути между различни протоколи,
преразпределение на маршрута.

L4/L7 Load Balancer. X-Forwarded-For беше въведен за HTTPs хедъра. Всички плакаха без него. Например, имате уебсайт, който балансирате. Без препращане на този хедър всичко работи, но в статистиката на уеб сървъра не видяхте IP-то на посетителите, а IP-то на балансьора. Сега всичко е точно.

Също така в раздела Правила на приложението вече можете да добавяте скриптове, които директно ще контролират балансирането на трафика.

vpn. В допълнение към IPSec VPN, NSX Edge поддържа:

• L2 VPN, който ви позволява да разтягате мрежи между географски разпръснати сайтове. Такава VPN е необходима например, така че при преместване на друг сайт виртуалната машина да остане в същата подмрежа и да запази своя IP адрес.

• SSL VPN Plus, който позволява на потребителите да се свързват дистанционно към корпоративна мрежа. На ниво vSphere имаше такава функция, но за vCloud Director това е иновация.

SSL сертификати. Сертификатите вече могат да се инсталират на NSX Edge. Тук отново стигаме до въпроса кому трябваше балансьор без сертификат за https.

Групиране на обекти. В този раздел се посочват групи от обекти, за които ще се прилагат определени правила за мрежово взаимодействие, например правила за защитна стена.

Тези обекти могат да бъдат IP и MAC адреси.

 


Има и списък с услуги (комбинация протокол-порт) и приложения, които могат да се използват при създаване на правила за защитна стена. Само администраторът на vCD портала може да добавя нови услуги и приложения.

 


Статистика. Статистика на връзката: трафик, който преминава през шлюза, защитната стена и балансира.

Състояние и статистика за всеки IPSEC VPN и L2 VPN тунел.

Сеч. В раздела Edge Settings можете да зададете сървъра за запис на журнали. Регистрирането работи за DNAT/SNAT, DHCP, защитна стена, маршрутизиране, балансиране, IPsec VPN, SSL VPN Plus.
 
За всеки обект/услуга са налични следните типове сигнали:

— Отстраняване на грешки
-Тревога
— Критично
- Грешка
-Внимание
— Забележете
— Информация

NSX Edge Размери

В зависимост от решаваните задачи и обема на VMware препоръчва създайте NSX Edge в следните размери:

NSX Edge
(компактен)

NSX Edge
(Голям)

NSX Edge
(Четири голям)

NSX Edge
(X-голям)

vCPU

1

2

4

6

памет

512MB

1GB

1GB

8GB

Disk

512MB

512MB

512MB

4.5GB + 4GB

Длъжност

един
приложение, тест
център за данни

Малък
или средно
център за данни

Зареден
защитна стена

Балансиране
товари на ниво L7

По-долу в таблицата са работните показатели на мрежовите услуги в зависимост от размера на NSX Edge.

NSX Edge
(компактен)

NSX Edge
(Голям)

NSX Edge
(Четири голям)

NSX Edge
(X-голям)

Интерфейси

10

10

10

10

Подинтерфейси (транк)

200

200

200

200

Правила на NAT

2,048

4,096

4,096

8,192

ARP записи
До презаписване

1,024

2,048

2,048

2,048

Правила на FW

2000

2000

2000

2000

FW Изпълнение

3Gbps

9.7Gbps

9.7Gbps

9.7Gbps

DHCP пулове

20,000

20,000

20,000

20,000

Пътища на ECMP

8

8

8

8

Статични маршрути

2,048

2,048

2,048

2,048

LB басейни

64

64

64

1,024

LB виртуални сървъри

64

64

64

1,024

LB сървър/пул

32

32

32

32

LB Здравни проверки

320

320

320

3,072

Правила за кандидатстване на LB

4,096

4,096

4,096

4,096

L2VPN Clients Hub to Spoke

5

5

5

5

L2VPN мрежи на клиент/сървър

200

200

200

200

IPSec тунели

512

1,600

4,096

6,000

Тунели SSLVPN

50

100

100

1,000

SSLVPN Частни мрежи

16

16

16

16

Едновременни сесии

64,000

1,000,000

1,000,000

1,000,000

Сесии/втори

8,000

50,000

50,000

50,000

LB пропускателна способност L7 прокси)

2.2Gbps

2.2Gbps

3Gbps

LB пропускателна способност L4 режим)

6Gbps

6Gbps

6Gbps

LB връзки/и (L7 прокси)

46,000

50,000

50,000

LB едновременни връзки (L7 прокси)

8,000

60,000

60,000

LB връзки/s (режим L4)

50,000

50,000

50,000

LB едновременни връзки (режим L4)

600,000

1,000,000

1,000,000

BGP маршрути

20,000

50,000

250,000

250,000

BGP съседи

10

20

100

100

Преразпределени BGP маршрути

Няма ограничение

Няма ограничение

Няма ограничение

Няма ограничение

OSPF маршрути

20,000

50,000

100,000

100,000

OSPF LSA записи Макс. 750 Тип-1

20,000

50,000

100,000

100,000

OSPF съседства

10

20

40

40

Преразпределени OSPF маршрути

2000

5000

20,000

20,000

Общо маршрути

20,000

50,000

250,000

250,000

→ източник

Таблицата показва, че се препоръчва да се организира балансиране на NSX Edge за продуктивни сценарии само като се започне от големия размер.

Това е всичко, което имам за днес. В следващите части ще разгледам подробно как да конфигурирам всяка мрежова услуга NSX Edge.

Източник: www.habr.com