Pokud se podíváte na konfiguraci jakéhokoli firewallu, s největší pravděpodobností uvidíme list s hromadou IP adres, portů, protokolů a podsítí. Takto jsou klasicky implementovány zásady zabezpečení sítě pro přístup uživatelů ke zdrojům. Nejprve se snaží udržet pořádek v konfiguraci, ale pak se zaměstnanci začnou přesouvat z oddělení na oddělení, servery se množí a mění své role, objevují se přístupy pro různé projekty tam, kde obvykle nejsou povoleny, a objevují se stovky neznámých kozích cest.
Vedle některých pravidel, pokud budete mít štěstí, jsou komentáře „Vasya mě o to požádal“ nebo „Toto je průchod do DMZ“. Správce sítě skončí a vše se stane zcela nejasným. Pak se někdo rozhodl vyčistit Vasyovu konfiguraci a SAP se zhroutil, protože Vasya jednou požádal o tento přístup, aby mohl spustit bojový SAP.
Dnes budu hovořit o řešení VMware NSX, které pomáhá přesně aplikovat síťovou komunikaci a bezpečnostní zásady bez zmatků v konfiguracích firewallů. Ukážu vám, jaké nové funkce se objevily ve srovnání s tím, co měl VMware dříve v této části.
VMWare NSX je virtualizační a bezpečnostní platforma pro síťové služby. NSX řeší problémy směrování, přepínání, vyvažování zátěže, firewall a umí mnoho dalších zajímavých věcí.
NSX je nástupcem vlastního produktu VMware vCloud Networking and Security (vCNS) a získaného NVP Nicira.
Od vCNS po NSX
Dříve měl klient samostatný virtuální stroj vCNS vShield Edge v cloudu postaveném na VMware vCloud. Fungoval jako hraniční brána, kde bylo možné konfigurovat mnoho síťových funkcí: NAT, DHCP, Firewall, VPN, load balancer atd. vShield Edge omezil interakci virtuálního stroje s vnějším světem podle pravidel specifikovaných v Firewall a NAT. V rámci sítě spolu virtuální stroje volně komunikovaly v rámci podsítí. Pokud opravdu chcete provoz rozdělit a podmanit si, můžete udělat samostatnou síť pro jednotlivé části aplikací (různé virtuální stroje) a nastavit ve firewallu příslušná pravidla pro jejich síťovou interakci. Ale to je dlouhé, obtížné a nezajímavé, zvláště když máte několik desítek virtuálních strojů.
V NSX VMware implementoval koncept mikrosegmentace pomocí distribuovaného firewallu zabudovaného do jádra hypervisoru. Specifikuje zásady zabezpečení a síťové interakce nejen pro IP a MAC adresy, ale také pro další objekty: virtuální stroje, aplikace. Pokud je NSX nasazen v rámci organizace, tyto objekty mohou být uživatelem nebo skupinou uživatelů ze služby Active Directory. Každý takový objekt se promění v mikrosegment ve vlastní bezpečnostní smyčce, v požadované podsíti, s vlastní útulnou DMZ :).
Dříve existoval pouze jeden bezpečnostní perimetr pro celý fond zdrojů, chráněný hraničním přepínačem, ale s NSX můžete chránit samostatný virtuální stroj před zbytečnými interakcemi, a to i v rámci stejné sítě.
Zásady zabezpečení a sítě se přizpůsobí, pokud se entita přesune do jiné sítě. Pokud například přesuneme stroj s databází do jiného segmentu sítě nebo dokonce do jiného připojeného virtuálního datového centra, pak pravidla napsaná pro tento virtuální stroj budou nadále platit bez ohledu na jeho nové umístění. Aplikační server bude i nadále schopen komunikovat s databází.
Samotná okrajová brána, vCNS vShield Edge, byla nahrazena NSX Edge. Má všechny gentlemanské funkce starého Edge a navíc pár nových užitečných funkcí. Budeme o nich mluvit dále.
Co je nového u NSX Edge?
Funkčnost NSX Edge závisí na NSX. Je jich pět: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Vše nové a zajímavé lze vidět až počínaje Advanced. Včetně nového rozhraní, které, dokud vCloud zcela nepřejde na HTML5 (VMware slibuje léto 2019), se otevře na nové kartě.
Firewall. Jako objekty, na které budou pravidla aplikována, můžete vybrat adresy IP, sítě, rozhraní bran a virtuální počítače.
DHCP. Kromě konfigurace rozsahu IP adres, které budou automaticky přiděleny virtuálním strojům v této síti, má NSX Edge nyní následující funkce: Vazba и Relé.
V záložce vazby MAC adresu virtuálního počítače můžete svázat s IP adresou, pokud potřebujete, aby se IP adresa neměnila. Hlavní věc je, že tato IP adresa není zahrnuta v DHCP Pool.
V záložce Relé přenos zpráv DHCP je nakonfigurován na servery DHCP, které jsou umístěny mimo vaši organizaci v aplikaci vCloud Director, včetně serverů DHCP fyzické infrastruktury.
Směrování. vShield Edge mohl konfigurovat pouze statické směrování. Objevilo se zde dynamické směrování s podporou protokolů OSPF a BGP. Zpřístupnila se také nastavení ECMP (Active-active), což znamená aktivní-aktivní převzetí služeb při selhání na fyzické routery.
Nastavení OSPF
Nastavení BGP
Další novinkou je nastavení přenosu tras mezi různými protokoly,
přerozdělení trasy.
L4/L7 Load Balancer. Pro hlavičku HTTPs bylo zavedeno X-Forwarded-For. Všichni bez něj plakali. Máte například web, který vyvažujete. Bez předávání této hlavičky vše funguje, ale ve statistikách webového serveru jste neviděli IP návštěvníků, ale IP balanceru. Nyní je vše správně.
Na záložce Pravidla aplikací nyní můžete také přidávat skripty, které budou přímo řídit vyvažování provozu.
VPN. Kromě IPSec VPN podporuje NSX Edge:
- L2 VPN, která vám umožňuje roztáhnout sítě mezi geograficky rozptýlenými lokalitami. Taková VPN je potřeba například proto, aby při přesunu na jiný web virtuální stroj zůstal ve stejné podsíti a zachoval si svou IP adresu.
- SSL VPN Plus, která uživatelům umožňuje vzdálené připojení k podnikové síti. Na úrovni vSphere taková funkce byla, ale pro vCloud Director je to inovace.
SSL certifikáty. Certifikáty lze nyní nainstalovat na NSX Edge. Zde se opět dostáváme k otázce, kdo potřeboval balancer bez certifikátu pro https.
Seskupování objektů. V této záložce jsou specifikovány skupiny objektů, pro které budou platit určitá pravidla síťové interakce, například pravidla firewallu.
Těmito objekty mohou být adresy IP a MAC.
K dispozici je také seznam služeb (kombinace protokol-port) a aplikací, které lze použít při vytváření pravidel brány firewall. Nové služby a aplikace může přidávat pouze správce portálu vCD.
Statistika. Statistika připojení: provoz, který prochází bránou, firewallem a balancerem.
Stav a statistiky pro každý tunel IPSEC VPN a L2 VPN.
Protokolování. Na záložce Edge Settings můžete nastavit server pro záznam protokolů. Protokolování funguje pro DNAT/SNAT, DHCP, Firewall, směrování, balancer, IPsec VPN, SSL VPN Plus.
Pro každý objekt/službu jsou k dispozici následující typy výstrah:
-Ladit
—Pozor
— Kritické
- Chyba
-Varování
- Oznámení
— Info
Rozměry hrany NSX
V závislosti na řešených úlohách a objemu VMware vytvořte NSX Edge v následujících velikostech:
NSX Edge
(Kompaktní)
NSX Edge
(Velký)
NSX Edge
(Čtyř-velký)
NSX Edge
(X-Large)
vCPU
1
2
4
6
Memory
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Jmenování
Jeden
aplikace, test
datové centrum
Malé
nebo průměr
datové centrum
Nabito
firewall
Vyvažování
zatížení na úrovni L7
Níže v tabulce jsou provozní metriky síťových služeb v závislosti na velikosti NSX Edge.
NSX Edge
(Kompaktní)
NSX Edge
(Velký)
NSX Edge
(Čtyř-velký)
NSX Edge
(X-Large)
rozhraní
10
10
10
10
Dílčí rozhraní (kmen)
200
200
200
200
Pravidla NAT
2,048
4,096
4,096
8,192
Záznamy ARP
Do přepsání
1,024
2,048
2,048
2,048
Pravidla FW
2000
2000
2000
2000
Výkon FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Fondy DHCP
20,000
20,000
20,000
20,000
Cesty ECMP
8
8
8
8
Statické trasy
2,048
2,048
2,048
2,048
LB bazény
64
64
64
1,024
Virtuální servery LB
64
64
64
1,024
Server/Pool LB
32
32
32
32
LB zdravotní kontroly
320
320
320
3,072
Pravidla aplikace LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
Sítě L2VPN na klienta/server
200
200
200
200
Tunely IPSec
512
1,600
4,096
6,000
Tunely SSLVPN
50
100
100
1,000
SSLVPN privátní sítě
16
16
16
16
Souběžné relace
64,000
1,000,000
1,000,000
1,000,000
Sessions/Second
8,000
50,000
50,000
50,000
Propustnost LB L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB propustnost režim L4)
6Gbps
6Gbps
6Gbps
LB připojení/s (L7 proxy)
46,000
50,000
50,000
Souběžná připojení LB (L7 Proxy)
8,000
60,000
60,000
LB připojení/s (režim L4)
50,000
50,000
50,000
Souběžná připojení LB (režim L4)
600,000
1,000,000
1,000,000
BGP trasy
20,000
50,000
250,000
250,000
BGP sousedé
10
20
100
100
Přerozdělené trasy BGP
No Limit
No Limit
No Limit
No Limit
Cesty OSPF
20,000
50,000
100,000
100,000
Maximální počet záznamů OSPF LSA 750 typu 1
20,000
50,000
100,000
100,000
OSPF sousedství
10
20
40
40
OSPF trasy přerozděleny
2000
5000
20,000
20,000
Celkem tras
20,000
50,000
250,000
250,000
→
Tabulka ukazuje, že se doporučuje organizovat vyvažování na NSX Edge pro produktivní scénáře, které začínají pouze od velké velikosti.
To je vše, co pro dnešek mám. V následujících částech podrobně projdu, jak nakonfigurovat jednotlivé síťové služby NSX Edge.
Zdroj: www.habr.com