Se vi rigardas la agordon de iu ajn fajroŝirmilo, tiam plej verŝajne ni vidos folion kun amaso da IP-adresoj, havenoj, protokoloj kaj subretoj. Jen kiel retaj sekurecaj politikoj por uzanta aliro al rimedoj estas klasike efektivigitaj. Komence ili provas konservi ordon en la agordo, sed poste dungitoj komencas moviĝi de fako al fako, serviloj multiĝas kaj ŝanĝas siajn rolojn, aliro aperas por malsamaj projektoj al lokoj, kie ili kutime ne estas permesitaj, kaj centoj da nekonataj kapraj vojoj aperas. .
Apud iuj reguloj, se vi bonŝancas, estas komentoj "Vasya petis min fari ĉi tion" aŭ "Ĉi tio estas trairejo al la DMZ." La retadministranto forlasas, kaj ĉio fariĝas tute neklara. Tiam iu decidis forigi la agordon de Vasja, kaj SAP kraŝis, ĉar Vasja iam petis ĉi tiun aliron por funkciigi la batalan SAP.
Hodiaŭ mi parolos pri la solvo VMware NSX, kiu helpas precize apliki retajn komunikadojn kaj sekurecajn politikojn sen konfuzo en fajroŝirmilaj agordoj. Mi montros al vi, kiajn novajn funkciojn aperis kompare kun tio, kion VMware antaŭe havis en ĉi tiu parto.
VMWare NSX estas virtualigo kaj sekureca platformo por retservoj. NSX solvas problemojn pri vojigo, ŝanĝado, ŝarĝoekvilibro, fajroŝirmilo kaj povas fari multajn aliajn interesajn aferojn.
NSX estas la posteulo de la propra vCloud Networking and Security (vCNS) produkto de VMware kaj la akirita Nicira NVP.
De vCNS al NSX
Antaŭe, kliento havis apartan vCNS vShield Edge virtualan maŝinon en nubo konstruita sur VMware vCloud. Ĝi funkciis kiel landlima enirejo, kie eblis agordi multajn retajn funkciojn: NAT, DHCP, Fajroŝirmilo, VPN, ŝarĝbalancilo, ktp. vShield Edge limigis la interagadon de la virtuala maŝino kun la ekstera mondo laŭ la reguloj specifitaj en la Fajroŝirmilo kaj NAT. Ene de la reto, virtualaj maŝinoj komunikis unu kun la alia libere ene de subretoj. Se vi vere volas dividi kaj konkeri trafikon, vi povas fari apartan reton por individuaj partoj de aplikaĵoj (malsamaj virtualaj maŝinoj) kaj agordi la taŭgajn regulojn por ilia reto-interago en la fajroŝirmilo. Sed ĉi tio estas longa, malfacila kaj neinteresa, precipe kiam vi havas plurajn dekojn da virtualaj maŝinoj.
En NŜ, VMware efektivigis la koncepton de mikro-segmentado uzante distribuitan fajroŝirmilon konstruitan en la hipervizilerkernon. Ĝi specifas politikojn pri sekureco kaj interagado de reto ne nur por IP kaj MAC-adresoj, sed ankaŭ por aliaj objektoj: virtualaj maŝinoj, aplikoj. Se NSX estas deplojita ene de organizo, ĉi tiuj objektoj povas esti uzanto aŭ grupo de uzantoj de Active Directory. Ĉiu tia objekto iĝas mikrosegmento en sia propra sekureca buklo, en la bezonata subreto, kun sia propra komforta DMZ :).
Antaŭe, ekzistis nur unu sekureca perimetro por la tuta aro de rimedoj, protektita per rando-ŝaltilo, sed kun NSX vi povas protekti apartan virtualan maŝinon kontraŭ nenecesaj interagoj, eĉ ene de la sama reto.
Sekurec- kaj interkonektaj politikoj adaptiĝas se unuo moviĝas al malsama reto. Ekzemple, se ni movas maŝinon kun datumbazo al alia retsegmento aŭ eĉ al alia ligita virtuala datumcentro, tiam la reguloj skribitaj por ĉi tiu virtuala maŝino daŭre aplikiĝos sendepende de ĝia nova loko. La aplikaĵoservilo ankoraŭ povos komuniki kun la datumbazo.
La randa enirejo mem, vCNS vShield Edge, estis anstataŭigita per NSX Edge. Ĝi havas ĉiujn ĝentilajn funkciojn de la malnova Edge, krom kelkaj novaj utilaj funkcioj. Ni parolos pri ili plu.
Kio estas nova kun la NSX Edge?
NSX Edge-funkcio dependas de NSX. Estas kvin el ili: Norma, Profesia, Altnivela, Enterprise, Plus Remote Branch Office. Ĉio nova kaj interesa videblas nur komencante per Advanced. Inkluzive de nova interfaco, kiu, ĝis vCloud tute ŝanĝas al HTML5 (VMware promesas someron 2019), malfermiĝas en nova langeto.
Fajromuro. Vi povas elekti IP-adresojn, retojn, enirejinterfacojn kaj virtualajn maŝinojn kiel objektojn al kiuj la reguloj estos aplikitaj.
DHCP. Krom agordi la gamon da IP-adresoj, kiuj estos aŭtomate eldonitaj al virtualaj maŝinoj en ĉi tiu reto, NSX Edge nun havas la jenajn funkciojn: devigaj и relajso.
En la langeto Ligiloj Vi povas ligi la MAC-adreson de virtuala maŝino al IP-adreso se vi bezonas la IP-adreson por ne ŝanĝiĝi. La ĉefa afero estas, ke ĉi tiu IP-adreso ne estas inkluzivita en la DHCP Pool.
En la langeto relajso relajso de DHCP-mesaĝoj estas agordita al DHCP-serviloj kiuj situas ekster via organizo en vCloud Director, inkluzive de DHCP-serviloj de la fizika infrastrukturo.
Envojigo. vShield Edge povis nur agordi statikan vojigon. Ĉi tie aperis dinamika vojigo kun subteno por OSPF kaj BGP-protokoloj. ECMP (Aktiva-aktiva) agordoj ankaŭ fariĝis haveblaj, kio signifas aktiv-aktivan malsukceson al fizikaj enkursigiloj.
Agordo de OSPF
Agordo de BGP
Alia nova afero estas agordi la translokigon de itineroj inter malsamaj protokoloj,
redistribuo de vojoj.
L4/L7 Ŝarĝbalancilo. X-Forwarded-For estis lanĉita por la HTTPs-kapo. Ĉiuj ploris sen li. Ekzemple, vi havas retejon, kiun vi ekvilibrigas. Sen plusendi ĉi tiun kaplinion, ĉio funkcias, sed en la statistiko de la retservilo vi vidis ne la IP de la vizitantoj, sed la IP de la ekvilibristo. Nun ĉio estas ĝusta.
Ankaŭ en la langeto Aplikaj Reguloj vi nun povas aldoni skriptojn, kiuj rekte kontrolos trafikan ekvilibron.
vpn. Krom IPSec VPN, NSX Edge subtenas:
- L2 VPN, kiu permesas vin etendi retojn inter geografie disigitaj retejoj. Tia VPN necesas, ekzemple, por ke, kiam oni moviĝas al alia retejo, la virtuala maŝino restas en la sama subreto kaj konservas sian IP-adreson.
- SSL VPN Plus, kiu permesas al uzantoj konekti malproksime al kompania reto. Ĉe la vSphere-nivelo ekzistis tia funkcio, sed por vCloud Director tio estas novigo.
SSL-atestiloj. Atestiloj nun povas esti instalitaj sur la NSX Edge. Ĉi tio denove venas al la demando, kiu bezonis ekvilibriston sen atestilo por https.
Grupigado de Objektoj. En ĉi tiu langeto, grupoj de objektoj estas specifitaj por kiuj certaj retaj interagaj reguloj aplikiĝos, ekzemple fajroŝirmigaj reguloj.
Ĉi tiuj objektoj povas esti IP kaj MAC-adresoj.
Ekzistas ankaŭ listo de servoj (protokolo-havenkombinaĵo) kaj aplikoj kiuj povas esti uzataj dum kreado de fajroŝirmilaj reguloj. Nur la administranto de la portalo vCD povas aldoni novajn servojn kaj aplikojn.
Statistiko. Konektostatistiko: trafiko, kiu pasas tra la enirejo, fajroŝirmilo kaj balancilo.
Statuso kaj statistiko por ĉiu IPSEC VPN kaj L2 VPN-tunelo.
Enhavo. En la langeto Edge Settings, vi povas agordi la servilon por registri registrojn. Registrado funkcias por DNAT/SNAT, DHCP, Fajroŝirmilo, vojigo, ekvilibro, IPsec VPN, SSL VPN Plus.
La jenaj specoj de atentigoj disponeblas por ĉiu objekto/servo:
— Sencimigi
—Atentu
-Kritikaj
- Eraro
—Averto
— Rimarku
— Informoj
NSX Edge Dimensions
Depende de la taskoj solvitaj kaj la volumeno de VMware kreu NSX Edge en la sekvaj grandecoj:
NSX Edge
(Kompakta)
NSX Edge
(Granda)
NSX Edge
(Kvaropo-Granda)
NSX Edge
(X-Granda)
vCPU
1
2
4
6
memoro
512MB
1GB
1GB
8GB
disko
512MB
512MB
512MB
4.5GB + 4GB
Citas
Unu
apliko, testo
datumcentro
Malgranda
aŭ mezumo
datumcentro
Ŝarĝita
fajroŝirmilo
Ekvilibro
ŝarĝoj ĉe nivelo L7
Malsupre en la tabelo estas la operaciaj metrikoj de retservoj depende de la grandeco de NSX Edge.
NSX Edge
(Kompakta)
NSX Edge
(Granda)
NSX Edge
(Kvaropo-Granda)
NSX Edge
(X-Granda)
interfacoj
10
10
10
10
Subinterfacoj (trunko)
200
200
200
200
NAT-Reguloj
2,048
4,096
4,096
8,192
ARP-Enskriboj
Ĝis Overwrite
1,024
2,048
2,048
2,048
FW-Reguloj
2000
2000
2000
2000
FW Performance
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP Pools
20,000
20,000
20,000
20,000
ECMP-Vojoj
8
8
8
8
Senmovaj Vojoj
2,048
2,048
2,048
2,048
LB Naĝejoj
64
64
64
1,024
LB Virtualaj Serviloj
64
64
64
1,024
LB Servilo/Naĝejo
32
32
32
32
LB Sankontroloj
320
320
320
3,072
Reguloj pri Apliko de LB
4,096
4,096
4,096
4,096
L2VPN Klientoj Hub to Spoke
5
5
5
5
L2VPN-retoj per Kliento/Servilo
200
200
200
200
IPSec-Tuneloj
512
1,600
4,096
6,000
SSLVPN-Tuneloj
50
100
100
1,000
SSLVPN Privataj Retoj
16
16
16
16
Samtempaj Sesioj
64,000
1,000,000
1,000,000
1,000,000
Sesioj/Dua
8,000
50,000
50,000
50,000
LB-traigo L7-Prokurilo)
2.2Gbps
2.2Gbps
3Gbps
LB Trafia L4-Reĝimo)
6Gbps
6Gbps
6Gbps
LB-Konektoj/j (L7-Prokurilo)
46,000
50,000
50,000
LB Samtempaj Konektoj (L7 Prokurilo)
8,000
60,000
60,000
LB-Konektoj/j (L4-Reĝimo)
50,000
50,000
50,000
LB Samtempaj Ligoj (L4-Reĝimo)
600,000
1,000,000
1,000,000
BGP-Itineroj
20,000
50,000
250,000
250,000
BGP Najbaroj
10
20
100
100
BGP-Itineroj Redistribuitaj
Senlima
Senlima
Senlima
Senlima
OSPF-Itineroj
20,000
50,000
100,000
100,000
OSPF LSA Eniroj Max 750 Tipo-1
20,000
50,000
100,000
100,000
OSPF Apudaĵoj
10
20
40
40
OSPF-Itineroj Redistribuitaj
2000
5000
20,000
20,000
Tutaj Itineroj
20,000
50,000
250,000
250,000
→
La tabelo montras, ke oni rekomendas organizi ekvilibron sur NSX Edge por produktivaj scenaroj nur ekde la Granda grandeco.
Tion mi havas por hodiaŭ. En la sekvaj partoj mi trarigardos detale kiel agordi ĉiun retan servon de NSX Edge.
fonto: www.habr.com