Wenn Sie sich die Konfiguration einer Firewall ansehen, werden wir höchstwahrscheinlich ein Blatt mit einer Reihe von IP-Adressen, Ports, Protokollen und Subnetzen sehen. Auf diese Weise werden Netzwerksicherheitsrichtlinien für den Benutzerzugriff auf Ressourcen klassisch umgesetzt. Zuerst versuchen sie, die Ordnung in der Konfiguration aufrechtzuerhalten, aber dann beginnen Mitarbeiter, von Abteilung zu Abteilung zu wechseln, Server vervielfachen sich und ändern ihre Rollen, Zugriffe für verschiedene Projekte erscheinen dort, wo sie normalerweise nicht erlaubt sind, und es entstehen Hunderte unbekannter Ziegenpfade.
Neben einigen Regeln gibt es, wenn man Glück hat, Kommentare wie „Vasya hat mich darum gebeten“ oder „Dies ist eine Passage zur DMZ.“ Der Netzwerkadministrator kündigt und alles wird völlig unklar. Dann beschloss jemand, Vasyas Konfiguration zu löschen, und SAP stürzte ab, weil Vasya einmal um diesen Zugriff gebeten hatte, um das Kampf-SAP auszuführen.
Heute werde ich über die VMware NSX-Lösung sprechen, die dabei hilft, Netzwerkkommunikations- und Sicherheitsrichtlinien präzise und ohne Verwirrung in Firewall-Konfigurationen anzuwenden. In diesem Teil zeige ich Ihnen, welche neuen Funktionen im Vergleich zu dem, was VMware bisher hatte, hinzugekommen sind.
VMWare NSX ist eine Virtualisierungs- und Sicherheitsplattform für Netzwerkdienste. NSX löst Routing-, Switching-, Load-Balancing- und Firewall-Probleme und kann viele andere interessante Dinge tun.
NSX ist der Nachfolger von VMwares eigenem vCloud Networking and Security (vCNS)-Produkt und dem übernommenen Nicira NVP.
Von vCNS zu NSX
Zuvor verfügte ein Client über eine separate virtuelle vCNS vShield Edge-Maschine in einer Cloud, die auf VMware vCloud basierte. Es fungierte als Grenzgateway, an dem viele Netzwerkfunktionen konfiguriert werden konnten: NAT, DHCP, Firewall, VPN, Load Balancer usw. vShield Edge begrenzte die Interaktion der virtuellen Maschine mit der Außenwelt gemäß den in der Firewall und NAT. Innerhalb des Netzwerks kommunizierten virtuelle Maschinen innerhalb von Subnetzen frei miteinander. Wenn Sie den Datenverkehr wirklich aufteilen und erobern möchten, können Sie für einzelne Teile von Anwendungen (verschiedene virtuelle Maschinen) ein separates Netzwerk erstellen und in der Firewall die entsprechenden Regeln für deren Netzwerkinteraktion festlegen. Dies ist jedoch langwierig, schwierig und uninteressant, insbesondere wenn Sie über mehrere Dutzend virtuelle Maschinen verfügen.
In NSX implementierte VMware das Konzept der Mikrosegmentierung mithilfe einer verteilten Firewall, die in den Hypervisor-Kernel integriert ist. Es legt Sicherheits- und Netzwerkinteraktionsrichtlinien nicht nur für IP- und MAC-Adressen fest, sondern auch für andere Objekte: virtuelle Maschinen, Anwendungen. Wenn NSX innerhalb einer Organisation bereitgestellt wird, können diese Objekte ein Benutzer oder eine Benutzergruppe aus Active Directory sein. Jedes dieser Objekte wird zu einem Mikrosegment in seiner eigenen Sicherheitsschleife, im erforderlichen Subnetz, mit seiner eigenen gemütlichen DMZ :).
Bisher gab es nur einen Sicherheitsperimeter für den gesamten Ressourcenpool, der durch einen Edge-Switch geschützt war. Mit NSX können Sie jedoch eine separate virtuelle Maschine vor unnötigen Interaktionen schützen, sogar innerhalb desselben Netzwerks.
Sicherheits- und Netzwerkrichtlinien passen sich an, wenn eine Entität in ein anderes Netzwerk wechselt. Wenn wir beispielsweise eine Maschine mit Datenbank in ein anderes Netzwerksegment oder sogar in ein anderes angeschlossenes virtuelles Rechenzentrum verschieben, gelten die für diese virtuelle Maschine geschriebenen Regeln unabhängig von ihrem neuen Standort weiterhin. Der Anwendungsserver kann weiterhin mit der Datenbank kommunizieren.
Das Edge-Gateway selbst, vCNS vShield Edge, wurde durch NSX Edge ersetzt. Es verfügt über alle Gentleman-Funktionen des alten Edge sowie ein paar neue nützliche Funktionen. Wir werden weiter darüber sprechen.
Was ist neu am NSX Edge?
Die Funktionalität von NSX Edge hängt davon ab
Firewall. Sie können IP-Adressen, Netzwerke, Gateway-Schnittstellen und virtuelle Maschinen als Objekte auswählen, auf die die Regeln angewendet werden.
DHCP. Neben der Konfiguration des IP-Adressbereichs, der automatisch an virtuelle Maschinen in diesem Netzwerk vergeben wird, verfügt NSX Edge nun über die folgenden Funktionen: Buchbindung и Relais.
Der Reiter Bindings Sie können die MAC-Adresse einer virtuellen Maschine an eine IP-Adresse binden, wenn Sie möchten, dass sich die IP-Adresse nicht ändert. Hauptsache, diese IP-Adresse ist nicht im DHCP-Pool enthalten.
Der Reiter Relais Die Weiterleitung von DHCP-Nachrichten wird an DHCP-Server konfiguriert, die sich außerhalb Ihrer Organisation in vCloud Director befinden, einschließlich DHCP-Servern der physischen Infrastruktur.
Routenführung. vShield Edge konnte nur statisches Routing konfigurieren. Hier erschien dynamisches Routing mit Unterstützung für OSPF- und BGP-Protokolle. ECMP-Einstellungen (Aktiv-Aktiv) sind ebenfalls verfügbar, was einen Aktiv-Aktiv-Failover auf physische Router bedeutet.
OSPF einrichten
BGP einrichten
Neu ist auch die Einrichtung der Routenübertragung zwischen verschiedenen Protokollen,
Routenumverteilung.
L4/L7 Load Balancer. Für den HTTPs-Header wurde X-Forwarded-For eingeführt. Alle weinten ohne ihn. Sie haben beispielsweise eine Website, die Sie ausgleichen. Ohne die Weiterleitung dieses Headers funktioniert alles, allerdings sah man in der Webserver-Statistik nicht die IP der Besucher, sondern die IP des Balancers. Jetzt stimmt alles.
Außerdem können Sie auf der Registerkarte „Anwendungsregeln“ jetzt Skripte hinzufügen, die die Verkehrsverteilung direkt steuern.
VPN. Zusätzlich zu IPSec VPN unterstützt NSX Edge:
- L2-VPN, mit dem Sie Netzwerke zwischen geografisch verteilten Standorten ausdehnen können. Ein solches VPN wird beispielsweise benötigt, damit die virtuelle Maschine bei einem Umzug an einen anderen Standort im gleichen Subnetz bleibt und ihre IP-Adresse behält.
- SSL VPN Plus, das es Benutzern ermöglicht, sich remote mit einem Unternehmensnetzwerk zu verbinden. Auf vSphere-Ebene gab es eine solche Funktion, für vCloud Director ist dies jedoch eine Innovation.
SSL-Zertifikate. Zertifikate können jetzt auf dem NSX Edge installiert werden. Hier stellt sich erneut die Frage, wer einen Balancer ohne Zertifikat für https benötigt.
Gruppieren von Objekten. Auf dieser Registerkarte werden Gruppen von Objekten angegeben, für die bestimmte Regeln für die Netzwerkinteraktion gelten, beispielsweise Firewall-Regeln.
Diese Objekte können IP- und MAC-Adressen sein.
Außerdem gibt es eine Liste von Diensten (Protokoll-Port-Kombination) und Anwendungen, die beim Erstellen von Firewall-Regeln verwendet werden können. Nur der vCD-Portaladministrator kann neue Dienste und Anwendungen hinzufügen.
Statistik Verbindungsstatistik: Datenverkehr, der das Gateway, die Firewall und den Balancer passiert.
Status und Statistiken für jeden IPSEC-VPN- und L2-VPN-Tunnel.
Protokollierung. Auf der Registerkarte „Edge-Einstellungen“ können Sie den Server für die Aufzeichnung von Protokollen festlegen. Die Protokollierung funktioniert für DNAT/SNAT, DHCP, Firewall, Routing, Balancer, IPsec VPN, SSL VPN Plus.
Die folgenden Arten von Benachrichtigungen sind für jedes Objekt/jeden Dienst verfügbar:
-Debuggen
-Alarm
-Kritisch
- Fehler
-Warnung
- Beachten
- Die Info
NSX Edge-Abmessungen
Abhängig von den zu lösenden Aufgaben und dem Volumen von VMware
NSX Edge
(Kompakt)
NSX Edge
(Large)
NSX Edge
(Quad-Large)
NSX Edge
(X-Groß)
vCPU
1
2
4
6
Memory
512MB
1GB
1GB
8GB
Festplatten
512MB
512MB
512MB
4.5GB + 4GB
Termin
Eine sache
Anwendung, Test
Rechenzentrum
Klein
oder durchschnittlich
Rechenzentrum
Geladen
Firewall
Ausgleichend
Lasten auf Stufe L7
Unten in der Tabelle sind die Betriebsmetriken der Netzwerkdienste abhängig von der Größe von NSX Edge aufgeführt.
NSX Edge
(Kompakt)
NSX Edge
(Large)
NSX Edge
(Quad-Large)
NSX Edge
(X-Groß)
Schnittstellen
10
10
10
10
Unterschnittstellen (Trunk)
200
200
200
200
NAT-Regeln
2,048
4,096
4,096
8,192
ARP-Einträge
Bis zum Überschreiben
1,024
2,048
2,048
2,048
FW-Regeln
2000
2000
2000
2000
FW-Leistung
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP-Pools
20,000
20,000
20,000
20,000
ECMP-Pfade
8
8
8
8
Statische Routen
2,048
2,048
2,048
2,048
LB-Pools
64
64
64
1,024
Virtuelle LB-Server
64
64
64
1,024
LB-Server/Pool
32
32
32
32
LB-Gesundheitschecks
320
320
320
3,072
LB-Anwendungsregeln
4,096
4,096
4,096
4,096
L2VPN-Clients Hub-to-Spoke
5
5
5
5
L2VPN-Netzwerke pro Client/Server
200
200
200
200
IPSec-Tunnel
512
1,600
4,096
6,000
SSLVPN-Tunnel
50
100
100
1,000
Private SSLVPN-Netzwerke
16
16
16
16
Gleichzeitige Sitzungen
64,000
1,000,000
1,000,000
1,000,000
Sitzungen/Sekunde
8,000
50,000
50,000
50,000
LB-Durchsatz (L7-Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB-Durchsatz (L4-Modus)
6Gbps
6Gbps
6Gbps
LB-Verbindungen/s (L7-Proxy)
46,000
50,000
50,000
Gleichzeitige LB-Verbindungen (L7-Proxy)
8,000
60,000
60,000
LB-Verbindungen/s (L4-Modus)
50,000
50,000
50,000
Gleichzeitige LB-Verbindungen (L4-Modus)
600,000
1,000,000
1,000,000
BGP-Routen
20,000
50,000
250,000
250,000
BGP-Nachbarn
10
20
100
100
BGP-Routen neu verteilt
No Limit
No Limit
No Limit
No Limit
OSPF-Routen
20,000
50,000
100,000
100,000
OSPF LSA-Einträge Max. 750 Typ-1
20,000
50,000
100,000
100,000
OSPF-Nachbarschaften
10
20
40
40
OSPF-Routen neu verteilt
2000
5000
20,000
20,000
Gesamtrouten
20,000
50,000
250,000
250,000
→
Die Tabelle zeigt, dass empfohlen wird, den Ausgleich auf NSX Edge für produktive Szenarien erst ab der Größe „Groß“ zu organisieren.
Das ist alles, was ich für heute habe. In den folgenden Abschnitten werde ich im Detail erläutern, wie die einzelnen NSX Edge-Netzwerkdienste konfiguriert werden.
Source: habr.com