Si mireu la configuració de qualsevol tallafoc, el més probable és que vegem un full amb un munt d'adreces IP, ports, protocols i subxarxes. Així és com s'implementen clàssicament les polítiques de seguretat de la xarxa per a l'accés dels usuaris als recursos. Al principi intenten mantenir l'ordre en la configuració, però després els empleats comencen a moure's d'un departament a un altre, els servidors es multipliquen i canvien de rols, apareix l'accés per a diferents projectes on normalment no estan permès i sorgeixen centenars de camins de cabra desconeguts.
Al costat d'algunes regles, si teniu sort, hi ha comentaris "Vasya em va demanar que ho fes" o "Aquest és un pas a la DMZ". L'administrador de la xarxa surt i tot queda completament poc clar. Aleshores algú va decidir esborrar la configuració de Vasya i SAP es va estavellar, perquè Vasya una vegada va demanar aquest accés per executar el SAP de combat.
Avui parlaré de la solució VMware NSX, que ajuda a aplicar amb precisió les polítiques de seguretat i comunicació de xarxa sense confusió en les configuracions del tallafoc. Us mostraré quines funcions noves han aparegut en comparació amb les que tenia VMware anteriorment en aquesta part.
VMWare NSX és una plataforma de virtualització i seguretat per a serveis de xarxa. NSX resol problemes d'encaminament, commutació, equilibri de càrrega, tallafocs i pot fer moltes altres coses interessants.
NSX és el successor del propi producte vCloud Networking and Security (vCNS) de VMware i del Nicira NVP adquirit.
De vCNS a NSX
Anteriorment, un client tenia una màquina virtual vCNS vShield Edge independent en un núvol construït a VMware vCloud. Va servir com a passarel·la perifèrica, on era possible configurar moltes funcions de xarxa: NAT, DHCP, Firewall, VPN, equilibrador de càrrega, etc. vShield Edge limitava la interacció de la màquina virtual amb el món exterior segons les regles especificades a la Tallafocs i NAT. Dins de la xarxa, les màquines virtuals es comunicaven lliurement entre elles dins de subxarxes. Si realment voleu dividir i conquerir el trànsit, podeu crear una xarxa separada per a parts individuals de les aplicacions (màquines virtuals diferents) i establir les regles adequades per a la seva interacció amb la xarxa al tallafoc. Però això és llarg, difícil i poc interessant, sobretot quan tens diverses dotzenes de màquines virtuals.
A NSX, VMware va implementar el concepte de microsegmentació mitjançant un tallafoc distribuït integrat al nucli de l'hipervisor. Especifica polítiques de seguretat i interacció de xarxa no només per a adreces IP i MAC, sinó també per a altres objectes: màquines virtuals, aplicacions. Si NSX es desplega dins d'una organització, aquests objectes poden ser un usuari o un grup d'usuaris d'Active Directory. Cada objecte es converteix en un microsegment en el seu propi bucle de seguretat, a la subxarxa requerida, amb la seva pròpia DMZ acollidora :).
Anteriorment, només hi havia un perímetre de seguretat per a tot el conjunt de recursos, protegit per un commutador de vora, però amb NSX podeu protegir una màquina virtual separada d'interaccions innecessàries, fins i tot dins de la mateixa xarxa.
Les polítiques de seguretat i de xarxa s'adapten si una entitat es mou a una xarxa diferent. Per exemple, si movem una màquina amb una base de dades a un altre segment de xarxa o fins i tot a un altre centre de dades virtual connectat, les regles escrites per a aquesta màquina virtual continuaran aplicant-se independentment de la seva nova ubicació. El servidor d'aplicacions encara es podrà comunicar amb la base de dades.
La mateixa passarel·la d'entrada, vCNS vShield Edge, s'ha substituït per NSX Edge. Té totes les característiques genials de l'antic Edge, a més d'algunes funcions útils noves. En parlarem més endavant.
Què hi ha de nou amb NSX Edge?
La funcionalitat de NSX Edge depèn de NSX. N'hi ha cinc: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Tot el que és nou i interessant només es pot veure començant amb Advanced. Això inclou una nova interfície que, fins que vCloud canviï completament a HTML5 (VMware promet l'estiu del 2019), s'obre en una pestanya nova.
Tallafoc. Podeu seleccionar adreces IP, xarxes, interfícies de passarel·la i màquines virtuals com a objectes als quals s'aplicaran les regles.
DHCP. A més de configurar el rang d'adreces IP que s'emetran automàticament a les màquines virtuals d'aquesta xarxa, NSX Edge ara té les funcions següents: Enquadernació и relé.
A la pestanya Bindings Podeu vincular l'adreça MAC d'una màquina virtual a una adreça IP si necessiteu que l'adreça IP no es canviï. El més important és que aquesta adreça IP no està inclosa al grup DHCP.
A la pestanya relé La retransmissió de missatges DHCP està configurada per als servidors DHCP que es troben fora de la vostra organització a vCloud Director, inclosos els servidors DHCP de la infraestructura física.
Encaminament. vShield Edge només va poder configurar l'encaminament estàtic. Aquí va aparèixer l'encaminament dinàmic amb suport per als protocols OSPF i BGP. La configuració ECMP (Active-active) també està disponible, la qual cosa significa una migració per error actiu-actiu als encaminadors físics.
Configuració d'OSPF
Configuració de BGP
Una altra novetat és configurar la transferència de rutes entre diferents protocols,
redistribució de rutes.
Equilibrador de càrrega L4/L7. X-Forwarded-For es va introduir per a la capçalera HTTPs. Tothom va plorar sense ell. Per exemple, teniu un lloc web que esteu equilibrant. Sense reenviar aquesta capçalera, tot funciona, però a les estadístiques del servidor web no veieu la IP dels visitants, sinó la IP de l'equilibrador. Ara tot està bé.
També a la pestanya Regles d'aplicació ara podeu afegir scripts que controlaran directament l'equilibri del trànsit.
VPN. A més de la VPN IPSec, NSX Edge admet:
- VPN L2, que us permet estirar xarxes entre llocs dispersos geogràficament. Aquesta VPN és necessària, per exemple, perquè quan es traslladi a un altre lloc, la màquina virtual romangui a la mateixa subxarxa i conservi la seva adreça IP.
- SSL VPN Plus, que permet als usuaris connectar-se de forma remota a una xarxa corporativa. A nivell de vSphere hi havia aquesta funció, però per a vCloud Director això és una innovació.
Certificats SSL. Els certificats ara es poden instal·lar a NSX Edge. Això torna a plantejar-se qui necessitava un equilibrador sense certificat per a https.
Agrupació d'objectes. En aquesta pestanya, especifiqueu grups d'objectes als quals s'aplicaran determinades regles d'interacció de xarxa, per exemple, regles de tallafoc.
Aquests objectes poden ser adreces IP i MAC.
També hi ha una llista de serveis (combinació protocol-port) i aplicacions que es poden utilitzar en crear regles de tallafoc. Només l'administrador del portal de vCD pot afegir nous serveis i aplicacions.
Estadístiques. Estadístiques de connexió: trànsit que passa per la passarel·la, el tallafoc i l'equilibrador.
Estat i estadístiques de cada túnel VPN IPSEC i VPN L2.
Enregistrament. A la pestanya Configuració Edge, podeu configurar el servidor per enregistrar registres. El registre funciona per a DNAT/SNAT, DHCP, tallafoc, enrutament, equilibrador, VPN IPsec, VPN SSL Plus.
Els següents tipus d'alertes estan disponibles per a cada objecte/servei:
—Depurar
—Alerta
—Crític
- Error
—Avís
—Avís
—Informació
Dimensions NSX Edge
Depenent de les tasques que es resolguin i del volum de VMware creeu NSX Edge amb les mides següents:
NSX Edge
(Compacte)
NSX Edge
(Gran)
NSX Edge
(Quàdruple gran)
NSX Edge
(X-gran)
vCPU
1
2
4
6
Memòria
512MB
1GB
1GB
8GB
Disc
512MB
512MB
512MB
4.5GB + 4GB
Cita
Un
aplicació, prova
centre de dades
Petit
o mitjana
centre de dades
Carregat
tallafoc
Equilibri
càrregues al nivell L7
A continuació, a la taula, hi ha les mètriques operatives dels serveis de xarxa en funció de la mida de NSX Edge.
NSX Edge
(Compacte)
NSX Edge
(Gran)
NSX Edge
(Quàdruple gran)
NSX Edge
(X-gran)
Interfícies
10
10
10
10
Subinterfícies (tronc)
200
200
200
200
Normes NAT
2,048
4,096
4,096
8,192
Entrades ARP
Fins a sobreescriure
1,024
2,048
2,048
2,048
Regles FW
2000
2000
2000
2000
Rendiment FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Grups de DHCP
20,000
20,000
20,000
20,000
Rutes ECMP
8
8
8
8
Rutes estàtiques
2,048
2,048
2,048
2,048
Piscines LB
64
64
64
1,024
Servidors virtuals LB
64
64
64
1,024
Servidor/pool LB
32
32
32
32
Controls de salut de LB
320
320
320
3,072
Normes d'aplicació de LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub a Spoke
5
5
5
5
Xarxes L2VPN per client/servidor
200
200
200
200
Túnels IPSec
512
1,600
4,096
6,000
Túnels SSLVPN
50
100
100
1,000
Xarxes privades SSLVPN
16
16
16
16
Sessions Concurrents
64,000
1,000,000
1,000,000
1,000,000
Sessions/Segona
8,000
50,000
50,000
50,000
Proxy L7 de rendiment de LB)
2.2Gbps
2.2Gbps
3Gbps
Mode L4 de rendiment LB)
6Gbps
6Gbps
6Gbps
Connexions LB/s (proxy L7)
46,000
50,000
50,000
Connexions concurrents LB (proxy L7)
8,000
60,000
60,000
Connexions LB/s (mode L4)
50,000
50,000
50,000
Connexions concurrents LB (mode L4)
600,000
1,000,000
1,000,000
Rutes BGP
20,000
50,000
250,000
250,000
Veïns de BGP
10
20
100
100
Rutes BGP redistribuïdes
Sense límit
Sense límit
Sense límit
Sense límit
Rutes OSPF
20,000
50,000
100,000
100,000
Màxim d'entrades OSPF LSA 750 tipus 1
20,000
50,000
100,000
100,000
Adjacències OSPF
10
20
40
40
Rutes OSPF redistribuïdes
2000
5000
20,000
20,000
Total de rutes
20,000
50,000
250,000
250,000
→
La taula mostra que es recomana organitzar l'equilibri a NSX Edge per a escenaris productius només a partir de la mida gran.
Això és tot el que tinc per avui. A les parts següents explicaré detalladament com configurar cada servei de xarxa NSX Edge.
Font: www.habr.com