Kui vaatate mis tahes tulemüüri konfiguratsiooni, näeme tõenäoliselt lehte, millel on hulk IP-aadresse, porte, protokolle ja alamvõrke. Nii rakendatakse klassikaliselt võrguturbepoliitikat kasutaja juurdepääsuks ressurssidele. Algul püütakse konfiguratsioonis korda hoida, kuid siis hakkavad töötajad osakonnast osakonda liikuma, serverid paljunevad ja rollid muutuvad, erinevatele projektidele tekib ligipääs sinna, kuhu tavaliselt ei lubata, ja tekib sadu tundmatuid kitseradu.
Mõne reegli kõrval on hea õnne korral kommentaarid "Vasya palus mul seda teha" või "See on läbipääs DMZ-sse". Võrguadministraator lõpetab töö ja kõik muutub täiesti ebaselgeks. Siis otsustas keegi Vasya konfiguratsiooni tühjendada ja SAP jooksis kokku, sest Vasya palus kunagi seda juurdepääsu võitlus-SAP-i käitamiseks.
Täna räägin VMware NSX lahendusest, mis aitab tulemüüri seadistustes täpselt rakendada võrgusuhtlus- ja turvapoliitikaid ilma segaduseta. Näitan teile, millised uued funktsioonid on võrreldes VMware'iga selles osas varem olnud.
VMWare NSX on võrguteenuste virtualiseerimis- ja turvaplatvorm. NSX lahendab marsruutimise, ümberlülitamise, koormuse tasakaalustamise, tulemüüri probleeme ja saab teha palju muud huvitavat.
NSX on VMware'i enda vCloud Networking and Security (vCNS) toote ja omandatud Nicira NVP järglane.
vCNS-ist NSX-i
Varem oli kliendil VMware vCloudile ehitatud pilves eraldi vCNS vShield Edge virtuaalmasin. See toimis servalüüsina, kus oli võimalik konfigureerida paljusid võrgufunktsioone: NAT, DHCP, tulemüür, VPN, koormuse tasakaalustaja jne. vShield Edge piiras virtuaalmasina suhtlemist välismaailmaga vastavalt dokumendis sätestatud reeglitele. Tulemüür ja NAT. Võrguses suhtlesid virtuaalmasinad üksteisega alamvõrkudes vabalt. Kui soovite tõesti liiklust jagada ja vallutada, saate teha eraldi võrgu rakenduste üksikutele osadele (erinevad virtuaalmasinad) ja seada tulemüüris vastavad reeglid nende võrguga suhtlemiseks. Kuid see on pikk, raske ja ebahuvitav, eriti kui teil on mitukümmend virtuaalset masinat.
NSX-is rakendas VMware mikrosegmenteerimise kontseptsiooni, kasutades hüperviisori kernelisse sisseehitatud hajutatud tulemüüri. See määrab turva- ja võrguinteraktsioonipoliitikad mitte ainult IP- ja MAC-aadresside, vaid ka muude objektide jaoks: virtuaalsed masinad, rakendused. Kui NSX on organisatsioonis juurutatud, võivad need objektid olla Active Directory kasutajad või kasutajate rühmad. Iga selline objekt muutub mikrosegmendiks oma turvaahelas, vajalikus alamvõrgus, oma hubase DMZ-ga :).
Varem oli kogu ressursside kogumi jaoks ainult üks turvapiirkond, mis oli kaitstud servalülitiga, kuid NSX-iga saate kaitsta eraldi virtuaalset masinat tarbetute interaktsioonide eest isegi samas võrgus.
Turva- ja võrgupoliitikad kohanduvad, kui üksus kolib teise võrku. Näiteks kui teisaldame andmebaasiga masina mõnda teise võrgusegmenti või koguni teise ühendatud virtuaalsesse andmekeskusesse, siis selle virtuaalmasina jaoks kirjutatud reeglid kehtivad ka edaspidi sõltumata selle uuest asukohast. Rakendusserver saab endiselt andmebaasiga suhelda.
Edge lüüs ise, vCNS vShield Edge, on asendatud NSX Edge'iga. Sellel on kõik vana Edge'i härrasmehelikud funktsioonid ja mõned uued kasulikud funktsioonid. Räägime neist edasi.
Mis on NSX Edge'is uut?
NSX Edge'i funktsionaalsus sõltub sellest NSX. Neid on viis: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Kõike uut ja huvitavat saab näha alles Advanced'iga alustades. See hõlmab uut liidest, mis kuni vCloud täielikult HTML5-le üle lülitub (VMware lubab 2019. aasta suve), avaneb uuel vahelehel.
Tulemüür. Objektidena, millele reegleid rakendatakse, saate valida IP-aadresse, võrke, lüüsiliideseid ja virtuaalseid masinaid.
DHCP. Lisaks selle võrgu virtuaalsetele masinatele automaatselt väljastatavate IP-aadresside vahemiku konfigureerimisele on NSX Edge'il nüüd järgmised funktsioonid. Siduv и Relee.
Vahekaardil Sidemed Kui soovite, et IP-aadress ei muutuks, saate virtuaalmasina MAC-aadressi siduda IP-aadressiga. Peaasi, et see IP-aadress ei kuulu DHCP basseini.
Vahekaardil Relee DHCP-sõnumite edastamine on konfigureeritud DHCP-serveritele, mis asuvad väljaspool teie organisatsiooni vCloud Directoris, sealhulgas füüsilise infrastruktuuri DHCP-serveritele.
Marsruutimine. vShield Edge sai konfigureerida ainult staatilist marsruutimist. Siin ilmus dünaamiline marsruutimine OSPF-i ja BGP-protokollide toega. Saadaval on ka ECMP (Active-active) sätted, mis tähendab aktiivset-aktiivset tõrkesiiret füüsilistele ruuteritele.
OSPF-i seadistamine
BGP konfigureerimine
Veel üks uus asi on marsruutide ülekandmise seadistamine erinevate protokollide vahel,
marsruudi ümberjagamine.
L4/L7 koormuse tasakaalustaja. X-Forwarded-For võeti kasutusele HTTPs-i päise jaoks. Kõik nutsid ilma temata. Näiteks on teil veebisait, mida tasakaalustate. Ilma selle päise edastamiseta kõik toimib, kuid veebiserveri statistikas nägite mitte külastajate IP-d, vaid tasakaalustaja IP-d. Nüüd on kõik õige.
Ka vahekaardil Rakendusreeglid saate nüüd lisada skripte, mis juhivad otseselt liikluse tasakaalustamist.
vpn. Lisaks IPSec VPN-ile toetab NSX Edge:
- L2 VPN, mis võimaldab laiendada võrke geograafiliselt hajutatud saitide vahel. Sellist VPN-i on vaja näiteks selleks, et teisele saidile kolides jääks virtuaalmasin samasse alamvõrku ja säilitaks oma IP-aadressi.
- SSL VPN Plus, mis võimaldab kasutajatel luua kaugühenduse ettevõtte võrguga. vSphere'i tasemel oli selline funktsioon olemas, kuid vCloud Directori jaoks on see uuendus.
SSL-sertifikaadid. Sertifikaate saab nüüd installida NSX Edge'i. Siit tuleb jälle küsimus, et kellel oli vaja https sertifikaadita tasakaalustajat.
Objektide rühmitamine. Sellel vahekaardil saate määrata objektide rühmad, millele rakenduvad teatud võrguinteraktsioonireeglid, näiteks tulemüürireeglid.
Need objektid võivad olla IP- ja MAC-aadressid.
Seal on ka loend teenustest (protokolli-pordi kombinatsioon) ja rakendustest, mida saab tulemüürireeglite loomisel kasutada. Uusi teenuseid ja rakendusi saab lisada ainult vCD-portaali administraator.
Statistika. Ühenduse statistika: liiklus, mis läbib lüüsi, tulemüüri ja tasakaalustajat.
Iga IPSEC VPN-i ja L2 VPN-tunneli olek ja statistika.
Logimine. Vahekaardil Edge Settings saate seadistada serveri logide salvestamiseks. Logimine töötab DNAT/SNAT, DHCP, tulemüüri, marsruutimise, tasakaalustaja, IPsec VPN, SSL VPN Plus jaoks.
Iga objekti/teenuse kohta on saadaval järgmist tüüpi hoiatused.
— Silumine
— Hoiatus
— Kriitiline
- Viga
— Hoiatus
— Pange tähele
— Info
NSX serva mõõtmed
Olenevalt lahendatavatest ülesannetest ja VMware mahust looge NSX Edge järgmistes suurustes:
NSX Edge
(Kompaktne)
NSX Edge
(Suur)
NSX Edge
(neli suur)
NSX Edge
(X-suur)
vCPU
1
2
4
6
Mälu
512MB
1GB
1GB
8GB
Ketas
512MB
512MB
512MB
4.5GB + 4GB
Nimetamine
Üks
rakendus, test
andmekeskus
Väike
või keskmine
andmekeskus
Laaditud
tulemüür
Tasakaalustamine
koormused tasemel L7
Allolevas tabelis on võrguteenuste töömõõdikud sõltuvalt NSX Edge'i suurusest.
NSX Edge
(Kompaktne)
NSX Edge
(Suur)
NSX Edge
(neli suur)
NSX Edge
(X-suur)
Liidesed
10
10
10
10
Alamliidesed (pagasiruumi)
200
200
200
200
NAT reeglid
2,048
4,096
4,096
8,192
ARP-kirjed
Kuni ülekirjutamiseni
1,024
2,048
2,048
2,048
FW reeglid
2000
2000
2000
2000
FW jõudlus
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP basseinid
20,000
20,000
20,000
20,000
ECMP teed
8
8
8
8
Staatilised marsruudid
2,048
2,048
2,048
2,048
LB basseinid
64
64
64
1,024
LB virtuaalserverid
64
64
64
1,024
LB server/bassein
32
32
32
32
LB tervisekontroll
320
320
320
3,072
LB taotlemise reeglid
4,096
4,096
4,096
4,096
L2VPN-i klientide keskus
5
5
5
5
L2VPN võrgud kliendi/serveri kohta
200
200
200
200
IPSec tunnelid
512
1,600
4,096
6,000
SSLVPN tunnelid
50
100
100
1,000
SSLVPN privaatvõrgud
16
16
16
16
Samaaegsed seansid
64,000
1,000,000
1,000,000
1,000,000
Seansid/Sekund
8,000
50,000
50,000
50,000
LB läbilaskevõime L7 puhverserver)
2.2Gbps
2.2Gbps
3Gbps
LB läbilaskevõime L4 režiim)
6Gbps
6Gbps
6Gbps
LB ühendused/-d (L7 puhverserver)
46,000
50,000
50,000
LB samaaegsed ühendused (L7 puhverserver)
8,000
60,000
60,000
LB ühendused/-d (L4 režiim)
50,000
50,000
50,000
LB samaaegsed ühendused (L4 režiim)
600,000
1,000,000
1,000,000
BGP marsruudid
20,000
50,000
250,000
250,000
BGP naabrid
10
20
100
100
BGP marsruudid on ümber jaotatud
No Limit
No Limit
No Limit
No Limit
OSPF marsruudid
20,000
50,000
100,000
100,000
OSPF LSA kirjed Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF külgnemised
10
20
40
40
OSPF-i marsruudid on ümber jaotatud
2000
5000
20,000
20,000
Marsruute kokku
20,000
50,000
250,000
250,000
→
Tabelis on näidatud, et NSX Edge'i tasakaalustamine on soovitatav korraldada produktiivsete stsenaariumide jaoks ainult alates suurest suurusest.
See on kõik, mis mul tänaseks on. Järgmistes osades käsitlen üksikasjalikult iga NSX Edge võrguteenuse konfigureerimist.
Allikas: www.habr.com