Hvis du ser på konfigurationen af enhver firewall, vil vi højst sandsynligt se et ark med en masse IP-adresser, porte, protokoller og undernet. Dette er, hvordan netværkssikkerhedspolitikker for brugeradgang til ressourcer er klassisk implementeret. Først forsøger de at opretholde orden i konfigurationen, men så begynder medarbejderne at bevæge sig fra afdeling til afdeling, servere formerer sig og ændrer deres roller, adgang til forskellige projekter dukker op, hvor de normalt ikke er tilladt, og hundredvis af ukendte gedestier dukker op.
Ved siden af nogle regler, hvis du er heldig, er der kommentarer "Vasya bad mig om at gøre dette" eller "Dette er en passage til DMZ." Netværksadministratoren stopper, og alt bliver helt uklart. Så besluttede nogen at rydde Vasyas konfiguration, og SAP styrtede ned, fordi Vasya engang bad om denne adgang til at køre kamp-SAP.
I dag vil jeg tale om VMware NSX-løsningen, som hjælper til præcist at anvende netværkskommunikation og sikkerhedspolitikker uden forvirring i firewall-konfigurationer. Jeg viser dig, hvilke nye funktioner der er dukket op i forhold til, hvad VMware tidligere havde i denne del.
VMWare NSX er en virtualiserings- og sikkerhedsplatform til netværkstjenester. NSX løser problemer med routing, switching, belastningsbalancering, firewall og kan mange andre interessante ting.
NSX er efterfølgeren til VMwares eget vCloud Networking and Security-produkt (vCNS) og det opkøbte Nicira NVP.
Fra vCNS til NSX
Tidligere havde en klient en separat vCNS vShield Edge virtuel maskine i en sky bygget på VMware vCloud. Den fungerede som en grænsegateway, hvor det var muligt at konfigurere mange netværksfunktioner: NAT, DHCP, Firewall, VPN, load balancer osv. vShield Edge begrænsede den virtuelle maskines interaktion med omverdenen i henhold til reglerne specificeret i Firewall og NAT. Inden for netværket kommunikerede virtuelle maskiner frit med hinanden inden for undernet. Hvis du virkelig ønsker at opdele og erobre trafik, kan du lave et separat netværk for individuelle dele af applikationer (forskellige virtuelle maskiner) og sætte de passende regler for deres netværksinteraktion i firewallen. Men dette er langt, svært og uinteressant, især når du har flere dusin virtuelle maskiner.
I NSX implementerede VMware konceptet med mikrosegmentering ved hjælp af en distribueret firewall indbygget i hypervisorkernen. Den specificerer sikkerheds- og netværksinteraktionspolitikker ikke kun for IP- og MAC-adresser, men også for andre objekter: virtuelle maskiner, applikationer. Hvis NSX er implementeret i en organisation, kan disse objekter være en bruger eller gruppe af brugere fra Active Directory. Hvert sådant objekt bliver til et mikrosegment i sin egen sikkerhedsløkke, i det nødvendige undernet, med sin egen hyggelige DMZ :).
Tidligere var der kun én sikkerhedsperimeter for hele puljen af ressourcer, beskyttet af en edge-switch, men med NSX kan du beskytte en separat virtuel maskine mod unødvendige interaktioner, selv inden for det samme netværk.
Sikkerheds- og netværkspolitikker tilpasser sig, hvis en enhed flytter til et andet netværk. For eksempel, hvis vi flytter en maskine med en database til et andet netværkssegment eller endda til et andet tilsluttet virtuelt datacenter, så vil reglerne, der er skrevet for denne virtuelle maskine, fortsat gælde uanset dens nye placering. Applikationsserveren vil stadig være i stand til at kommunikere med databasen.
Selve edge-gatewayen, vCNS vShield Edge, er blevet erstattet af NSX Edge. Den har alle de gentlemanske funktioner fra den gamle Edge, plus et par nye nyttige funktioner. Vi vil tale om dem yderligere.
Hvad er nyt med NSX Edge?
NSX Edge-funktionalitet afhænger af
Firewall. Du kan vælge IP-adresser, netværk, gateway-grænseflader og virtuelle maskiner som objekter, som reglerne vil blive anvendt på.
DHCP. Ud over at konfigurere rækken af IP-adresser, der automatisk udstedes til virtuelle maskiner på dette netværk, har NSX Edge nu følgende funktioner: Binding и Relæ.
I fanen Bindinger Du kan binde MAC-adressen på en virtuel maskine til en IP-adresse, hvis du har brug for, at IP-adressen ikke ændres. Det vigtigste er, at denne IP-adresse ikke er inkluderet i DHCP-puljen.
I fanen Relæ relæ af DHCP-meddelelser er konfigureret til DHCP-servere, der er placeret uden for din organisation i vCloud Director, inklusive DHCP-servere i den fysiske infrastruktur.
Routing. vShield Edge kunne kun konfigurere statisk routing. Dynamisk routing med understøttelse af OSPF- og BGP-protokoller dukkede op her. ECMP (Active-active) indstillinger er også blevet tilgængelige, hvilket betyder aktiv aktiv failover til fysiske routere.
Opsætning af OSPF
Opsætning af BGP
En anden ny ting er at opsætte overførslen af ruter mellem forskellige protokoller,
ruteomfordeling.
L4/L7 Load Balancer. X-Forwarded-For blev introduceret til HTTPs-headeren. Alle græd uden ham. For eksempel har du en hjemmeside, som du balancerer. Uden at videresende denne overskrift fungerer alt, men i webserverstatistikken så du ikke de besøgendes IP, men balancerens IP. Nu er alt rigtigt.
Også på fanen Application Rules kan du nu tilføje scripts, der direkte kontrollerer trafikbalancering.
VPN. Ud over IPSec VPN understøtter NSX Edge:
- L2 VPN, som giver dig mulighed for at strække netværk mellem geografisk spredte websteder. En sådan VPN er for eksempel nødvendig, så den virtuelle maskine forbliver i det samme undernet, når den flyttes til et andet sted, og beholder sin IP-adresse.
- SSL VPN Plus, som giver brugerne mulighed for at oprette fjernforbindelse til et firmanetværk. På vSphere-niveau var der sådan en funktion, men for vCloud Director er dette en nyskabelse.
SSL-certifikater. Certifikater kan nu installeres på NSX Edge. Dette kommer igen til spørgsmålet om, hvem der havde brug for en balancer uden et certifikat til https.
Gruppering af objekter. På denne fane er der angivet grupper af objekter, for hvilke visse netværksinteraktionsregler vil gælde, for eksempel firewallregler.
Disse objekter kan være IP- og MAC-adresser.
Der er også en liste over tjenester (protokol-port-kombination) og applikationer, der kan bruges ved oprettelse af firewall-regler. Kun vCD-portaladministratoren kan tilføje nye tjenester og applikationer.
Statistikker. Forbindelsesstatistik: trafik, der passerer gennem gatewayen, firewallen og balanceren.
Status og statistik for hver IPSEC VPN og L2 VPN-tunnel.
Logning. På fanen Edge Settings kan du indstille serveren til optagelse af logfiler. Logning fungerer for DNAT/SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus.
Følgende typer advarsler er tilgængelige for hvert objekt/tjeneste:
-Fejlfinde
-Alert
-Kritisk
- Fejl
-Advarsel
- Varsel
— Info
NSX Edge Dimensions
Afhængig af de opgaver, der løses, og mængden af VMware
NSX Edge
(Kompakt)
NSX Edge
(Stor)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
vCPU
1
2
4
6
Hukommelse
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Tid
En
ansøgning, test
datacenter
lille
eller gennemsnitlig
datacenter
Indlæst
firewall
Balancing
belastninger på niveau L7
Nedenfor i tabellen er driftsmålingerne for netværkstjenester afhængigt af størrelsen på NSX Edge.
NSX Edge
(Kompakt)
NSX Edge
(Stor)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
Interfaces
10
10
10
10
Undergrænseflader (trunk)
200
200
200
200
NAT-regler
2,048
4,096
4,096
8,192
ARP-indgange
Indtil Overskriv
1,024
2,048
2,048
2,048
FW regler
2000
2000
2000
2000
FW ydeevne
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP-puljer
20,000
20,000
20,000
20,000
ECMP-stier
8
8
8
8
Statiske ruter
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
LB virtuelle servere
64
64
64
1,024
LB Server/Pool
32
32
32
32
LB Sundhedstjek
320
320
320
3,072
LB ansøgningsregler
4,096
4,096
4,096
4,096
L2VPN Clients Hub til Spoke
5
5
5
5
L2VPN-netværk pr. klient/server
200
200
200
200
IPSec-tunneler
512
1,600
4,096
6,000
SSLVPN-tunneler
50
100
100
1,000
SSLVPN private netværk
16
16
16
16
Samtidige sessioner
64,000
1,000,000
1,000,000
1,000,000
Sessioner/sekund
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB-gennemløb L4-tilstand)
6Gbps
6Gbps
6Gbps
LB Connections/s (L7 Proxy)
46,000
50,000
50,000
LB samtidige forbindelser (L7 proxy)
8,000
60,000
60,000
LB-forbindelser/s (L4-tilstand)
50,000
50,000
50,000
LB samtidige forbindelser (L4-tilstand)
600,000
1,000,000
1,000,000
BGP ruter
20,000
50,000
250,000
250,000
BGP Naboer
10
20
100
100
BGP-ruter omfordelt
No Limit
No Limit
No Limit
No Limit
OSPF ruter
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF-ruter omfordelt
2000
5000
20,000
20,000
Samlede ruter
20,000
50,000
250,000
250,000
→
Tabellen viser, at det anbefales at organisere balancering på NSX Edge til produktive scenarier, der kun starter fra Large-størrelsen.
Det er alt, hvad jeg har for i dag. I de følgende dele vil jeg gennemgå i detaljer, hvordan man konfigurerer hver NSX Edge-netværkstjeneste.
Kilde: www.habr.com