Αν κοιτάξετε τις ρυθμίσεις παραμέτρων οποιουδήποτε τείχους προστασίας, τότε πιθανότατα θα δούμε ένα φύλλο με μια δέσμη διευθύνσεων IP, θυρών, πρωτοκόλλων και υποδικτύων. Αυτός είναι ο τρόπος με τον οποίο εφαρμόζονται κλασικά οι πολιτικές ασφάλειας δικτύου για την πρόσβαση των χρηστών σε πόρους. Στην αρχή προσπαθούν να διατηρήσουν την τάξη στη διαμόρφωση, αλλά μετά οι υπάλληλοι αρχίζουν να μετακινούνται από τμήμα σε τμήμα, οι διακομιστές πολλαπλασιάζονται και αλλάζουν τους ρόλους τους, εμφανίζεται η πρόσβαση για διαφορετικά έργα όπου συνήθως δεν τους επιτρέπεται και εκατοντάδες άγνωστα μονοπάτια κατσίκας εμφανίζονται.
Δίπλα σε ορισμένους κανόνες, αν είστε τυχεροί, υπάρχουν σχόλια "Η Vasya μου ζήτησε να το κάνω αυτό" ή "Αυτό είναι ένα πέρασμα στο DMZ". Ο διαχειριστής του δικτύου αποχωρεί και όλα γίνονται εντελώς ασαφή. Τότε κάποιος αποφάσισε να διαγράψει τη διαμόρφωση του Vasya και το SAP κατέρρευσε, επειδή κάποτε ο Vasya ζήτησε αυτήν την πρόσβαση για να εκτελέσει το combat SAP.
Σήμερα θα μιλήσω για τη λύση VMware NSX, η οποία βοηθά στην ακριβή εφαρμογή πολιτικών επικοινωνίας και ασφάλειας δικτύου χωρίς σύγχυση στις ρυθμίσεις παραμέτρων του τείχους προστασίας. Θα σας δείξω ποια νέα χαρακτηριστικά έχουν εμφανιστεί σε σύγκριση με αυτά που είχε προηγουμένως η VMware σε αυτό το μέρος.
Το VMWare NSX είναι μια πλατφόρμα εικονικοποίησης και ασφάλειας για υπηρεσίες δικτύου. Το NSX επιλύει προβλήματα δρομολόγησης, μεταγωγής, εξισορρόπησης φορτίου, τείχους προστασίας και πολλά άλλα ενδιαφέροντα πράγματα.
Το NSX είναι ο διάδοχος του προϊόντος vCloud Networking and Security (vCNS) της VMware και του αποκτηθέντος Nicira NVP.
Από vCNS σε NSX
Προηγουμένως, ένας πελάτης είχε μια ξεχωριστή εικονική μηχανή vCNS vShield Edge σε ένα σύννεφο που ήταν χτισμένο σε VMware vCloud. Λειτούργησε ως συνοριακή πύλη, όπου ήταν δυνατή η διαμόρφωση πολλών λειτουργιών δικτύου: NAT, DHCP, Firewall, VPN, load balancer, κ.λπ. Το vShield Edge περιόρισε την αλληλεπίδραση της εικονικής μηχανής με τον έξω κόσμο σύμφωνα με τους κανόνες που καθορίζονται στο Τείχος προστασίας και NAT. Μέσα στο δίκτυο, οι εικονικές μηχανές επικοινωνούσαν μεταξύ τους ελεύθερα μέσα σε υποδίκτυα. Εάν θέλετε πραγματικά να διαιρέσετε και να κατακτήσετε την κυκλοφορία, μπορείτε να δημιουργήσετε ένα ξεχωριστό δίκτυο για μεμονωμένα μέρη εφαρμογών (διαφορετικές εικονικές μηχανές) και να ορίσετε τους κατάλληλους κανόνες για την αλληλεπίδρασή τους στο δίκτυο στο τείχος προστασίας. Αλλά αυτό είναι μακρύ, δύσκολο και χωρίς ενδιαφέρον, ειδικά όταν έχετε πολλές δεκάδες εικονικές μηχανές.
Στο NSX, το VMware υλοποίησε την έννοια της μικρο-τμηματοποίησης χρησιμοποιώντας ένα κατανεμημένο τείχος προστασίας ενσωματωμένο στον πυρήνα του hypervisor. Καθορίζει πολιτικές ασφάλειας και αλληλεπίδρασης δικτύου όχι μόνο για διευθύνσεις IP και MAC, αλλά και για άλλα αντικείμενα: εικονικές μηχανές, εφαρμογές. Εάν το NSX έχει αναπτυχθεί σε έναν οργανισμό, αυτά τα αντικείμενα μπορεί να είναι ένας χρήστης ή ομάδα χρηστών από την υπηρεσία καταλόγου Active Directory. Κάθε τέτοιο αντικείμενο μετατρέπεται σε μικροτμήμα στο δικό του βρόχο ασφαλείας, στο απαιτούμενο υποδίκτυο, με το δικό του άνετο DMZ :).
Προηγουμένως, υπήρχε μόνο μία περίμετρος ασφαλείας για ολόκληρη τη δεξαμενή πόρων, προστατευμένη από έναν διακόπτη άκρων, αλλά με το NSX μπορείτε να προστατεύσετε μια ξεχωριστή εικονική μηχανή από περιττές αλληλεπιδράσεις, ακόμη και μέσα στο ίδιο δίκτυο.
Οι πολιτικές ασφάλειας και δικτύωσης προσαρμόζονται εάν μια οντότητα μετακινηθεί σε διαφορετικό δίκτυο. Για παράδειγμα, αν μετακινήσουμε ένα μηχάνημα με βάση δεδομένων σε άλλο τμήμα δικτύου ή ακόμα και σε άλλο συνδεδεμένο εικονικό κέντρο δεδομένων, τότε οι κανόνες που έχουν γραφτεί για αυτήν την εικονική μηχανή θα συνεχίσουν να ισχύουν ανεξάρτητα από τη νέα του θέση. Ο διακομιστής εφαρμογής θα εξακολουθεί να μπορεί να επικοινωνεί με τη βάση δεδομένων.
Η ίδια η πύλη edge, vCNS vShield Edge, έχει αντικατασταθεί από το NSX Edge. Διαθέτει όλα τα gentlemanly χαρακτηριστικά του παλιού Edge, καθώς και μερικά νέα χρήσιμα χαρακτηριστικά. Θα μιλήσουμε για αυτούς περαιτέρω.
Τι νέο υπάρχει με το NSX Edge;
Η λειτουργικότητα του NSX Edge εξαρτάται από NSX. Υπάρχουν πέντε από αυτά: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Οτιδήποτε νέο και ενδιαφέρον μπορεί να δει κανείς μόνο ξεκινώντας με το Advanced. Αυτό περιλαμβάνει μια νέα διεπαφή, η οποία, έως ότου το vCloud αλλάξει εντελώς σε HTML5 (το VMware υπόσχεται το καλοκαίρι του 2019), ανοίγει σε μια νέα καρτέλα.
Firewall. Μπορείτε να επιλέξετε διευθύνσεις IP, δίκτυα, διεπαφές πύλης και εικονικές μηχανές ως αντικείμενα στα οποία θα εφαρμοστούν οι κανόνες.
DHCP. Εκτός από τη διαμόρφωση του εύρους των διευθύνσεων IP που θα εκδοθούν αυτόματα σε εικονικές μηχανές σε αυτό το δίκτυο, το NSX Edge διαθέτει πλέον τις ακόλουθες λειτουργίες: Δεσμευτικός и Αναμετάδοση.
Στην καρτέλα Δέσμευση Μπορείτε να συνδέσετε τη διεύθυνση MAC μιας εικονικής μηχανής σε μια διεύθυνση IP εάν θέλετε να μην αλλάξει η διεύθυνση IP. Το κύριο πράγμα είναι ότι αυτή η διεύθυνση IP δεν περιλαμβάνεται στο DHCP Pool.
Στην καρτέλα Αναμετάδοση Η αναμετάδοση μηνυμάτων DHCP έχει ρυθμιστεί σε διακομιστές DHCP που βρίσκονται εκτός του οργανισμού σας στο vCloud Director, συμπεριλαμβανομένων των διακομιστών DHCP της φυσικής υποδομής.
Δρομολόγηση. Το vShield Edge μπορούσε να διαμορφώσει μόνο τη στατική δρομολόγηση. Η δυναμική δρομολόγηση με υποστήριξη για πρωτόκολλα OSPF και BGP εμφανίστηκε εδώ. Οι ρυθμίσεις ECMP (Active-active) έχουν επίσης γίνει διαθέσιμες, που σημαίνει ενεργή-ενεργή ανακατεύθυνση σε φυσικούς δρομολογητές.
Ρύθμιση OSPF
Ρύθμιση BGP
Ένα άλλο νέο πράγμα είναι η ρύθμιση της μεταφοράς διαδρομών μεταξύ διαφορετικών πρωτοκόλλων,
ανακατανομή διαδρομής.
L4/L7 Load Balancer. Το X-Forwarded-For εισήχθη για την κεφαλίδα HTTP. Όλοι έκλαιγαν χωρίς αυτόν. Για παράδειγμα, έχετε έναν ιστότοπο που εξισορροπείτε. Χωρίς προώθηση αυτής της κεφαλίδας, όλα λειτουργούν, αλλά στα στατιστικά του διακομιστή ιστού δεν είδατε την IP των επισκεπτών, αλλά την IP του εξισορροπητή. Τώρα όλα είναι σωστά.
Επίσης, στην καρτέλα Κανόνες εφαρμογής μπορείτε τώρα να προσθέσετε σενάρια που θα ελέγχουν άμεσα την εξισορρόπηση της κυκλοφορίας.
vpn. Εκτός από το IPSec VPN, το NSX Edge υποστηρίζει:
- L2 VPN, το οποίο σας επιτρέπει να επεκτείνετε δίκτυα μεταξύ γεωγραφικά διασκορπισμένων τοποθεσιών. Ένα τέτοιο VPN χρειάζεται, για παράδειγμα, ώστε κατά τη μετακίνηση σε άλλη τοποθεσία, η εικονική μηχανή να παραμένει στο ίδιο υποδίκτυο και να διατηρεί τη διεύθυνση IP της.
- SSL VPN Plus, το οποίο επιτρέπει στους χρήστες να συνδέονται εξ αποστάσεως σε εταιρικό δίκτυο. Στο επίπεδο vSphere υπήρχε μια τέτοια λειτουργία, αλλά για το vCloud Director αυτή είναι μια καινοτομία.
Πιστοποιητικά SSL. Τα πιστοποιητικά μπορούν πλέον να εγκατασταθούν στο NSX Edge. Αυτό έρχεται και πάλι στο ερώτημα ποιος χρειαζόταν έναν εξισορροπητή χωρίς πιστοποιητικό για το https.
Ομαδοποίηση αντικειμένων. Σε αυτήν την καρτέλα, καθορίζονται ομάδες αντικειμένων για τις οποίες θα ισχύουν ορισμένοι κανόνες αλληλεπίδρασης δικτύου, για παράδειγμα, κανόνες τείχους προστασίας.
Αυτά τα αντικείμενα μπορεί να είναι διευθύνσεις IP και MAC.
Υπάρχει επίσης μια λίστα υπηρεσιών (συνδυασμός πρωτοκόλλου-θύρας) και εφαρμογών που μπορούν να χρησιμοποιηθούν κατά τη δημιουργία κανόνων τείχους προστασίας. Μόνο ο διαχειριστής της πύλης vCD μπορεί να προσθέσει νέες υπηρεσίες και εφαρμογές.
Στατιστική. Στατιστικά στοιχεία σύνδεσης: κίνηση που διέρχεται από την πύλη, το τείχος προστασίας και τον εξισορροπητή.
Κατάσταση και στατιστικά στοιχεία για κάθε σήραγγα IPSEC VPN και L2 VPN.
Ξύλευση. Στην καρτέλα Edge Settings, μπορείτε να ρυθμίσετε τον διακομιστή για την εγγραφή αρχείων καταγραφής. Η καταγραφή λειτουργεί για DNAT/SNAT, DHCP, Τείχος προστασίας, δρομολόγηση, εξισορροπητή, IPsec VPN, SSL VPN Plus.
Οι ακόλουθοι τύποι ειδοποιήσεων είναι διαθέσιμοι για κάθε αντικείμενο/υπηρεσία:
—Εντοπισμός σφαλμάτων
-Συναγερμός
-Κρίσιμος
- Λάθος
-Προειδοποίηση
- Ειδοποίηση
— Πληροφορίες
NSX Edge Dimensions
Ανάλογα με τις εργασίες που επιλύονται και τον όγκο του VMware δημιουργήστε NSX Edge στα ακόλουθα μεγέθη:
NSX Edge
(Συμπαγής)
NSX Edge
(Μεγάλο)
NSX Edge
(Τετράκλινο)
NSX Edge
(X-Large)
vCPU
1
2
4
6
Μνήμη
300 ΜΒ
1GB
1GB
8GB
Disk
300 ΜΒ
300 ΜΒ
300 ΜΒ
4.5GB + 4GB
Ραντεβού
Ενας
εφαρμογή, δοκιμή
κέντρο δεδομένων
Ένα μικρό
ή μέσος όρος
κέντρο δεδομένων
Φορτωμένος
τείχος προστασίας
Εξισορρόπηση
φορτία στο επίπεδο L7
Παρακάτω στον πίνακα είναι οι μετρήσεις λειτουργίας των υπηρεσιών δικτύου ανάλογα με το μέγεθος του NSX Edge.
NSX Edge
(Συμπαγής)
NSX Edge
(Μεγάλο)
NSX Edge
(Τετράκλινο)
NSX Edge
(X-Large)
Διασυνδέσεις
10
10
10
10
Υποδιεπαφές (Trunk)
200
200
200
200
Κανόνες NAT
2,048
4,096
4,096
8,192
Εγγραφές ARP
Μέχρι την Αντικατάσταση
1,024
2,048
2,048
2,048
Κανόνες FW
2000
2000
2000
2000
Απόδοση FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Πισίνες DHCP
20,000
20,000
20,000
20,000
Διαδρομές ECMP
8
8
8
8
Στατικές διαδρομές
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
Εικονικοί διακομιστές LB
64
64
64
1,024
Διακομιστής/Πισίνα LB
32
32
32
32
Έλεγχοι υγείας LB
320
320
320
3,072
Κανόνες εφαρμογής LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Speke
5
5
5
5
Δίκτυα L2VPN ανά πελάτη/διακομιστή
200
200
200
200
Σήραγγες IPSec
512
1,600
4,096
6,000
Σήραγγες SSLVPN
50
100
100
1,000
Ιδιωτικά δίκτυα SSLVPN
16
16
16
16
Ταυτόχρονες συνεδρίες
64,000
1,000,000
1,000,000
1,000,000
Συνεδρίες/Δεύτερη
8,000
50,000
50,000
50,000
Μεσολάβηση LB Throughput L7)
2.2Gbps
2.2Gbps
3Gbps
Λειτουργία LB διέλευσης L4)
6Gbps
6Gbps
6Gbps
Συνδέσεις/ες LB (L7 Proxy)
46,000
50,000
50,000
Ταυτόχρονες συνδέσεις LB (L7 Proxy)
8,000
60,000
60,000
Συνδέσεις/ες LB (Λειτουργία L4)
50,000
50,000
50,000
Ταυτόχρονες συνδέσεις LB (Λειτουργία L4)
600,000
1,000,000
1,000,000
Διαδρομές BGP
20,000
50,000
250,000
250,000
BGP Γείτονες
10
20
100
100
Διαδρομές BGP Αναδιανεμήθηκαν
Κανένα όριο
Κανένα όριο
Κανένα όριο
Κανένα όριο
Διαδρομές OSPF
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
Γειτονιές OSPF
10
20
40
40
Ανακατανεμήθηκαν οι διαδρομές OSPF
2000
5000
20,000
20,000
Σύνολο Διαδρομών
20,000
50,000
250,000
250,000
→
Ο πίνακας δείχνει ότι συνιστάται η οργάνωση της εξισορρόπησης στο NSX Edge για παραγωγικά σενάρια μόνο ξεκινώντας από το Μεγάλο μέγεθος.
Αυτό είναι το μόνο που έχω για σήμερα. Στα επόμενα μέρη θα εξετάσω λεπτομερώς πώς να ρυθμίσετε τις παραμέτρους κάθε υπηρεσίας δικτύου NSX Edge.
Πηγή: www.habr.com