Se guardate a cunfigurazione di qualsiasi firewall, allora più prubabilmente vedemu un fogliu cù una mansa di indirizzi IP, porti, protokolli è subnets. Hè cusì chì e pulitiche di sicurezza di rete per l'accessu di l'utilizatori à e risorse sò classicamente implementate. À u principiu, cercanu di mantene l'ordine in a cunfigurazione, ma poi l'impiegati cumincianu à passà da u dipartimentu à u dipartimentu, i servitori si multiplicanu è cambianu u so rolu, l'accessu per i diversi prughjetti appare induve sò generalmente micca permessi, è emergenu centinaie di camini di capre scunnisciuti.
Accantu à qualchi regule, se site furtunatu, ci sò cumenti "Vasya m'hà dumandatu di fà questu" o "Questu hè un passaghju à a DMZ". L'amministratore di a rete si abbanduneghja, è tuttu diventa completamente pocu chjaru. Allora qualchissia hà decisu di sguassà a cunfigurazione di Vasya, è SAP s'hè lampatu, perchè una volta Vasya hà dumandatu questu accessu per eseguisce u SAP di cummattimentu.
Oghje parleraghju di a suluzione VMware NSX, chì aiuta à applicà precisamente a cumunicazione di a rete è e pulitiche di sicurezza senza cunfusione in i cunfigurazioni di firewall. Vi mustraraghju ciò chì e funzioni novi sò apparsu cumparatu cù ciò chì VMware avia prima in questa parte.
VMWare NSX hè una piattaforma di virtualizazione è di sicurità per i servizii di rete. NSX risolve i prublemi di routing, switching, load balancing, firewall è pò fà parechje altre cose interessanti.
NSX hè u successore di u pruduttu vCloud Networking and Security (vCNS) di VMware è l'acquistu Nicira NVP.
Da vCNS à NSX
In precedenza, un cliente avia una macchina virtuale vCNS vShield Edge separata in un nuvulu custruitu nantu à VMware vCloud. Agiò cum'è una porta di fruntiera, induve era pussibule cunfigurà parechje funzioni di rete: NAT, DHCP, Firewall, VPN, load balancer, etc. vShield Edge hà limitatu l'interazzione di a macchina virtuale cù u mondu esternu secondu e regule specificate in u Firewall è NAT. Dentru a reta, e macchine virtuali cumunicavanu l'una cù l'altri liberamente in subnets. Se vulete veramente dividisce è cunquistà u trafficu, pudete fà una reta separata per e parti individuali di l'applicazioni (sferenti macchine virtuali) è stabilisce e regule appropritate per a so interazzione di rete in u firewall. Ma questu hè longu, difficiule è pocu interessante, soprattuttu quandu avete parechje decine di macchine virtuali.
In NSX, VMware hà implementatu u cuncettu di micro-segmentazione utilizendu un firewall distribuitu integratu in u kernel di l'hypervisor. Specifica e pulitiche di sicurezza è di interazzione di rete micca solu per l'indirizzi IP è MAC, ma ancu per altri oggetti: macchine virtuali, applicazioni. Se NSX hè implementatu in una urganizazione, questi oggetti ponu esse un utilizatore o un gruppu d'utilizatori da Active Directory. Ogni tali ughjettu si trasforma in un microsegmentu in u so propiu ciclu di sicurità, in a subnet necessaria, cù a so propria DMZ accogliente :).
Nanzu, ci era solu un perimetru di sicurità per tuttu u gruppu di risorse, prutettu da un switch di punta, ma cù NSX pudete prutege una macchina virtuale separata da interazzioni inutili, ancu in a stessa reta.
E pulitiche di sicurezza è di rete si adattanu se una entità si move in una reta diversa. Per esempiu, se movemu una macchina cù una basa di dati à un altru segmentu di a rete o ancu à un altru centru di dati virtuale cunnessu, allora e regule scritte per questa macchina virtuale continuanu à applicà indipendentemente da u so novu locu. U servitore di l'applicazioni serà sempre capace di cumunicà cù a basa di dati.
U gateway edge stessu, vCNS vShield Edge, hè statu rimpiazzatu da NSX Edge. Hà tutte e caratteristiche gentili di u vechju Edge, più uni pochi di funzioni utili. Parleremu di elli in più.
Chì ci hè di novu cù u NSX Edge?
A funziunalità NSX Edge dipende da
firewall. Pudete selezziunà l'indirizzi IP, rete, interfacce di gateway è macchine virtuali cum'è oggetti à quale e regule seranu applicate.
DHCP. In più di cunfigurà a gamma di indirizzi IP chì saranu automaticamente emessi à e macchine virtuali in questa reta, NSX Edge hà avà e seguenti funzioni: Binding и longa.
In a tabulazione Attacchi Pudete ligà l'indirizzu MAC di una macchina virtuale à un indirizzu IP se avete bisognu di l'indirizzu IP per ùn cambià. A cosa principal hè chì questu indirizzu IP ùn hè micca inclusu in u Pool DHCP.
In a tabulazione longa u relay di missaghji DHCP hè cunfiguratu à i servitori DHCP chì si trovanu fora di a vostra urganizazione in vCloud Director, cumpresi i servitori DHCP di l'infrastruttura fisica.
Routing. vShield Edge puderia solu cunfigurà u routing staticu. L'itinerariu dinamicu cù supportu per i protokolli OSPF è BGP apparsu quì. I paràmetri ECMP (Active-active) sò ancu dispunibili, chì significa failover attivu-attivu à i router fisichi.
Configurazione di OSPF
Configurazione di BGP
Un'altra cosa nova hè a creazione di u trasferimentu di rotte trà diversi protokolli,
ridistribuzione di rotta.
L4/L7 Load Balancer. X-Forwarded-For hè statu introduttu per l'intestazione HTTPs. Tutti pienghjenu senza ellu. Per esempiu, avete un situ web chì site equilibratu. Senza trasmette stu capu, tuttu u travagliu, ma in l'statistiche di u servitore web ùn avete micca vistu l'IP di i visitori, ma l'IP di u balancer. Avà tuttu hè ghjustu.
Ancu in a tabulazione di Regoli di l'Applicazione pudete avà aghjunghje scripts chì cuntrullaranu direttamente l'equilibriu di u trafficu.
vpn. In più di IPSec VPN, NSX Edge supporta:
- L2 VPN, chì vi permette di allungà e rete trà siti geograficamente dispersi. Un tali VPN hè necessariu, per esempiu, per chì quandu si move in un altru situ, a macchina virtuale ferma in a stessa subnet è conserva u so indirizzu IP.
- SSL VPN Plus, chì permette à l'utilizatori di cunnette remotamente à una reta corporativa. À u livellu di vSphere ci era una tale funzione, ma per vCloud Director hè una innuvazione.
certificati SSL. I certificati ponu avà esse installati nantu à NSX Edge. Questu torna à a quistione di quale avia bisognu di un equilibratore senza un certificatu per https.
Grouping Objects. In questa tabulazione, i gruppi di l'uggetti sò specificati per quale certe regule di interazzione di a rete s'applicanu, per esempiu, reguli di firewall.
Questi ogetti ponu esse indirizzi IP è MAC.
Ci hè ancu una lista di servizii (cumbinazione di protocolu-portu) è di l'applicazioni chì ponu esse usatu quandu creanu reguli di firewall. Solu l'amministratore di u portale vCD pò aghjunghje novi servizii è applicazioni.
Statistiche. Statistiche di cunnessione: trafficu chì passa per u gateway, firewall è balancer.
Status è statistiche per ogni tunnellu VPN IPSEC è L2 VPN.
Logging. In a tabulazione Edge Settings, pudete stabilisce u servitore per a registrazione di logs. Logging funziona per DNAT/SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus.
I seguenti tipi di alerti sò dispunibuli per ogni ughjettu / serviziu:
- Debug
— Alerta
- Critica
- Errore
— Attenzione
— Avvisu
- Info
Dimensioni NSX Edge
Sicondu i travaglii chì sò risolti è u voluminu di VMware
NSX Edge
(compact)
NSX Edge
(Grande)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
vCPU
1
2
4
6
memoria
512MB
1GB
1GB
8GB
u discu
512MB
512MB
512MB
4.5GB + 4GB
Appuntamentu
Unu
applicazione, prova
centru di dati
Small
o mediu
centru di dati
Caricatu
firewall
Bilanciatu
carichi à u livellu L7
Sottu in a tavula sò e metriche operative di servizii di rete secondu a dimensione di NSX Edge.
NSX Edge
(compact)
NSX Edge
(Grande)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
interfaccia
10
10
10
10
Sub-Interfacce (Trunk)
200
200
200
200
Regole NAT
2,048
4,096
4,096
8,192
Entrate ARP
Finu à Overwrite
1,024
2,048
2,048
2,048
Regule FW
2000
2000
2000
2000
Prestazione FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Piscine DHCP
20,000
20,000
20,000
20,000
Percorsi ECMP
8
8
8
8
Percorsi statichi
2,048
2,048
2,048
2,048
Piscine LB
64
64
64
1,024
Servitori virtuali LB
64
64
64
1,024
LB Server / Pool
32
32
32
32
Cuntrolli di salute di LB
320
320
320
3,072
Reguli di l'applicazione LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
Reti L2VPN per Cliente / Servitore
200
200
200
200
Tunnels IPSec
512
1,600
4,096
6,000
Tunnels SSLVPN
50
100
100
1,000
Rete Private SSLVPN
16
16
16
16
Sessioni Concurrenti
64,000
1,000,000
1,000,000
1,000,000
Sessioni / Second
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput L4 Mode)
6Gbps
6Gbps
6Gbps
Cunnessioni LB/s (Proxy L7)
46,000
50,000
50,000
Connessioni simultanee LB (Proxy L7)
8,000
60,000
60,000
Connessioni LB/s (Mode L4)
50,000
50,000
50,000
Connessioni simultanee LB (Mode L4)
600,000
1,000,000
1,000,000
Percorsi BGP
20,000
50,000
250,000
250,000
I vicini di BGP
10
20
100
100
Routes BGP ridistribuite
No mia
No mia
No mia
No mia
Routes OSPF
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
Adiacenza OSPF
10
20
40
40
Routes OSPF ridistribuite
2000
5000
20,000
20,000
Total Routes
20,000
50,000
250,000
250,000
→
A tavula mostra chì hè cunsigliatu per urganizà l'equilibriu nantu à NSX Edge per scenarii produttivi solu partendu da a grandezza.
Hè tuttu ciò chì aghju per oghje. In e seguenti parti, andaraghju in dettagliu cumu cunfigurà ogni serviziu di rete NSX Edge.
Source: www.habr.com