Ako pogledate konfiguraciju bilo kojeg firewall-a, tada ćemo najvjerovatnije vidjeti list s gomilom IP adresa, portova, protokola i podmreža. Ovako se klasično implementiraju politike mrežne sigurnosti za pristup korisnika resursima. U početku pokušavaju održati red u konfiguraciji, ali onda zaposleni počinju da se sele iz odjela u odjel, serveri se umnožavaju i mijenjaju svoje uloge, pojavljuje se pristup za različite projekte tamo gdje obično ne mogu, a dobijaju se stotine nepoznatih kozjih tragova.
Pored nekih pravila, ako imate sreće, napisani su komentari "Zamolio sam Vasju da to uradi" ili "Ovo je prolaz u DMZ". Mrežni administrator odustaje i sve postaje potpuno neshvatljivo. Tada je neko odlučio da očisti Vasjinu konfiguraciju i SAP se srušio, jer je Vasja jednom tražio ovaj pristup za rad sa borbenim SAP-om.
Danas ću govoriti o VMware NSX rješenju, koje pomaže u primjeni mrežne komunikacije i sigurnosnih politika od tačke do tačke bez zabune u konfiguracijama zaštitnog zida. Pokazat ću vam koje su se nove funkcije pojavile u odnosu na ono što je VMware imao u ovom dijelu.
VMWare NSX je sigurnosna platforma za virtuelizaciju i mrežne usluge. NSX rješava probleme rutiranja, komutacije, balansiranja opterećenja, firewall-a i mnoge druge zanimljive stvari.
NSX je nasljednik VMware-ovog vlastitog vCloud Networking and Security (vCNS) proizvoda koji je preuzeo Nicira NVP.
Od vCNS-a do NSX-a
Ranije je korisnik u oblaku izgrađenom na VMware vCloud imao zasebnu vCNS vShield Edge virtuelnu mašinu. Djelovao je kao rubni gateway, gdje je bilo moguće konfigurirati mnoge mrežne funkcije: NAT, DHCP, Firewall, VPN, balansator opterećenja, itd. vShield Edge je ograničio interakciju virtualne mašine sa vanjskim svijetom prema pravilima propisanim u Firewall i NAT. Unutar mreže, virtuelne mašine su slobodno komunicirale među sobom unutar podmreža. Ako zaista želite podijeliti i dominirati prometom, možete napraviti posebnu mrežu za pojedine dijelove aplikacija (različite virtualne mašine) i propisati odgovarajuća pravila za njihovu mrežnu interakciju u firewall-u. Ali ovo je dugo, komplikovano i nezanimljivo, posebno kada imate nekoliko desetina virtuelnih mašina.
U NSX, VMware je implementirao koncept mikro-segmentacije koristeći distribuirani zaštitni zid ugrađen u jezgro hipervizora. Propisuje politike sigurnosti i mrežne interakcije ne samo za IP i MAC adrese, već i za druge objekte: virtuelne mašine, aplikacije. Ako je NSX raspoređen unutar organizacije, tada korisnik ili grupa korisnika iz Active Directory-a mogu postati takvi objekti. Svaki takav objekat pretvara se u mikrosegment u svojoj sigurnosnoj petlji, u desnoj podmreži, sa svojom udobnom DMZ :).
Ranije je postojao samo jedan sigurnosni perimetar za cijeli skup resursa, bio je zaštićen rubnim prekidačem, a sa NSX-om možete zaštititi odvojenu virtuelnu mašinu od nepotrebnih interakcija čak i unutar iste mreže.
Sigurnosne i mrežne politike se prilagođavaju ako se objekt preseli na drugu mrežu. Na primjer, ako premjestimo stroj s bazom podataka u drugi mrežni segment, ili čak u drugi povezani virtualni podatkovni centar, tada će pravila propisana za ovu virtualnu mašinu nastaviti da rade bez obzira na njegovu novu lokaciju. Poslužitelj aplikacija će i dalje moći komunicirati s bazom podataka.
Sam vCNS vShield Edge zamijenjen je NSX Edgeom. Ima sve džentlmenske stvari starog Edgea plus nekoliko cool novih funkcija. O njima i dalje će se raspravljati.
Šta je novo sa NSX Edge?
Funkcionalnost NSX Edge zavisi od
Vatrozid. Možete odabrati IP adrese, mreže, interfejse gateway-a i virtuelne mašine kao objekte na koje će se primjenjivati pravila.
DHCP. Pored konfigurisanja opsega IP adresa koje će se automatski izdavati virtuelnim mašinama na ovoj mreži, NSX Edge je postao dostupan funkcijama vezivanje и relej.
Na kartici vezovi možete vezati MAC adresu virtuelne mašine za IP adresu ako želite da se IP adresa ne menja. Glavna stvar je da ova IP adresa nije uključena u DHCP skup.
Na kartici relej konfiguriše prenošenje DHCP poruka na DHCP servere koji su izvan vaše organizacije u vCloud Directoru, uključujući DHCP servere fizičke infrastrukture.
Routing. vShield Edge se mogao konfigurirati samo sa statičkim usmjeravanjem. Ovdje se pojavilo dinamičko rutiranje s podrškom za OSPF i BGP protokole. ECMP (Active-active) postavke su također postale dostupne, što znači aktivno-aktivno prebacivanje na fizičke rutere.
Konfigurisanje OSPF-a
Konfigurisanje BGP-a
Još jedna nova stvar je postavljanje prijenosa ruta između različitih protokola,
preraspodjela ruta.
L4/L7 Balanser opterećenja. Uveden X-Forwarded-For za HTTPs zaglavlje. Bez njega, svi su plakali. Na primjer, imate web stranicu koju balansirate. Bez prosljeđivanja ovog zaglavlja sve funkcionira, ali u statistici web servera niste vidjeli IP posjetitelja, već IP balansera. Sada je sve u redu.
Također na kartici Pravila aplikacije sada možete dodati skripte koje će direktno kontrolirati balansiranje prometa.
vpn. Pored IPSec VPN-a, NSX Edge podržava:
- L2 VPN, koji vam omogućava da proširite mreže između geografski raspršenih lokacija. Takav VPN je potreban, na primjer, kako bi pri prelasku na drugu lokaciju virtuelna mašina ostala na istoj podmreži i zadržala svoju IP adresu.
- SSL VPN Plus, koji korisnicima omogućava daljinsko povezivanje na korporativnu mrežu. Postojala je takva funkcija na vSphere nivou, ali za vCloud Director ovo je inovacija.
SSL sertifikati. Certifikati se sada mogu instalirati na NSX Edge. Ovo je opet na pitanje kome je trebao balanser bez sertifikata za https.
Grupisanje objekata. Ova kartica samo postavlja grupe objekata za koje će se primjenjivati određena pravila mrežne interakcije, na primjer, pravila zaštitnog zida.
Ovi objekti mogu biti IP i MAC adrese.
Takođe sadrži listu usluga (kombinacija protokol-port) i aplikacija koje se mogu koristiti prilikom kompajliranja pravila zaštitnog zida. Samo administrator vCD portala može dodati nove servise i aplikacije.
Statistika. Statistika veze: saobraćaj koji prolazi kroz gateway, firewall i balansator opterećenja.
Status i statistika za svaki IPSEC VPN i L2 VPN tunel.
Logging. Na kartici Edge Settings možete postaviti server za snimanje dnevnika. Zapisivanje radi za DNAT/SNAT, DHCP, Firewall, Routing, Balancer, IPsec VPN, SSL VPN Plus.
Za svaki objekat/uslugu dostupne su sljedeće vrste upozorenja:
— Otklanjanje grešaka
— Upozorenje
— Kritično
- greška
—Upozorenje
-Biljeska
— info
NSX Edge dimenzije
Ovisno o zadacima koji se rješavaju i količini VMware-a
NSX Edge
(kompaktan)
NSX Edge
(Veliko)
NSX Edge
(četvorostruko veliki)
NSX Edge
(X-Large)
vCPU
1
2
4
6
memorija
512MB
1GB
1GB
8GB
disk
512MB
512MB
512MB
4.5GB + 4GB
Imenovanje
Jedan
aplikacija, test
data centar
Mala
ili srednje
data centar
Napunjeno
firewall
Balansiranje
opterećenja na nivou L7
Tabela ispod prikazuje metriku performansi mrežne usluge na osnovu veličine NSX Edge.
NSX Edge
(kompaktan)
NSX Edge
(Veliko)
NSX Edge
(četvorostruko veliki)
NSX Edge
(X-Large)
interfejsi
10
10
10
10
Podinterfejsi (Trank)
200
200
200
200
NAT pravila
2,048
4,096
4,096
8,192
ARP Entries
do prepisivanja
1,024
2,048
2,048
2,048
FW pravila
2000
2000
2000
2000
F.W. Performanse
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP bazeni
20,000
20,000
20,000
20,000
ECMP staze
8
8
8
8
Statičke rute
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
LB virtuelni serveri
64
64
64
1,024
LB Server/Pool
32
32
32
32
LB provjere zdravlja
320
320
320
3,072
Pravila aplikacije LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub to govori
5
5
5
5
L2VPN mreže po klijentu/serveru
200
200
200
200
IPSec tuneli
512
1,600
4,096
6,000
SSL VPN tuneli
50
100
100
1,000
SSLVPN privatne mreže
16
16
16
16
Concurrent Sessions
64,000
1,000,000
1,000,000
1,000,000
Sessions/Second
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput L4 Mode)
6Gbps
6Gbps
6Gbps
LB konekcije/e (L7 proxy)
46,000
50,000
50,000
LB istovremene veze (L7 proxy)
8,000
60,000
60,000
LB konekcije/e (L4 način rada)
50,000
50,000
50,000
LB istovremene veze (L4 način rada)
600,000
1,000,000
1,000,000
BGP rute
20,000
50,000
250,000
250,000
BGP Neighbours
10
20
100
100
BGP rute redistribuirane
No Limit
No Limit
No Limit
No Limit
OSPF rute
20,000
50,000
100,000
100,000
OSPF LSA unosi Max 750 Tip-1
20,000
50,000
100,000
100,000
OSPF susjedstva
10
20
40
40
OSPF rute su preraspodijeljene
2000
5000
20,000
20,000
Total Routes
20,000
50,000
250,000
250,000
→
Tabela pokazuje da je preporučljivo organizirati balansiranje na NSX Edgeu za produktivne scenarije samo počevši od Velike veličine.
Za danas imam sve. U sljedećim dijelovima ću detaljno proći kroz konfiguraciju svake NSX Edge mrežne usluge.
izvor: www.habr.com