Edozein suebakiren konfigurazioari begiratzen badiozu, ziurrenik IP helbide, ataka, protokolo eta azpisare ugari dituen orri bat ikusiko dugu. Horrela inplementatzen dira sareko segurtasun politikak modu klasikoan erabiltzaileak baliabideetara sartzeko. Hasieran, konfigurazioan ordena mantentzen saiatzen dira, baina gero langileak sail batetik bestera mugitzen hasten dira, zerbitzariak ugaldu eta beren rolak aldatzen dituzte, proiektu ezberdinetarako sarbidea normalean ezin duten tokian agertzen da eta ehunka ahuntz-ibilbide ezezagun lortzen dira.
Arau batzuetatik gertu, zortea baduzu, "Vasyari eskatu diot egiteko" edo "Hau DMZrako pasarte bat da" iruzkinak idatzita daude. Sareko administratzaileak irten egiten da, eta dena guztiz ulertezina bihurtzen da. Orduan norbaitek Vasyaren konfigurazioa garbitzea erabaki zuen, eta SAPek huts egin zuen, Vasyak behin sarbide hori eskatu zuelako combat SAP-ekin lan egiteko.
Gaur VMware NSX soluzioari buruz hitz egingo dut, sareko komunikazio eta segurtasun politikak puntuz puntu aplikatzen laguntzen duena suebakiaren konfigurazioetan nahasketarik gabe. Erakutsiko dizut zer ezaugarri berri agertu diren zati honetan VMware-k izan ohi zuenarekin alderatuta.
VMWare NSX birtualizazio eta sare zerbitzuen segurtasun plataforma bat da. NSX-k bideratze, kommutazio, karga orekatzeko, suebaki eta beste gauza interesgarri asko konpontzen ditu.
NSX VMware-ren vCloud Networking and Security (vCNS) produktuaren oinordekoa da eta Nicira NVP-k eskuratu du.
vCNS-tik NSX-ra
Aurretik, VMware vCloud-en eraikitako hodei bateko bezero batek vCNS vShield Edge makina birtual bereizia zuen. Edge-gateway gisa jokatzen zuen, non sare-funtzio asko konfiguratu zenituzkeen: NAT, DHCP, Firewall, VPN, karga-orekatzailea, etab. vShield Edge-k makina birtualak kanpoko munduarekin duen interakzioa mugatu zuen Firewallean zehaztutako arauen arabera eta NAT. Sarearen barruan, makina birtualak aske komunikatzen ziren euren artean azpisareen barruan. Benetan trafikoa banatu eta menderatu nahi baduzu, sare bereizi bat egin dezakezu aplikazioen atal indibidualentzat (makina birtual desberdinak) eta haien sare-interakziorako arau egokiak preskriba ditzakezu suebakian. Baina hau luzea, korapilatsua eta interesgabea da, batez ere hainbat dozena makina birtual dituzunean.
NSX-en, VMware-k mikrosegmentazio kontzeptua inplementatu zuen hipervisorearen nukleoan integratutako suebaki banatu bat erabiliz. Segurtasun- eta sare-interakzio-politikak ezartzen ditu IP eta MAC helbideetarako ez ezik, beste objektu batzuetarako ere: makina birtualak, aplikazioak. NSX erakunde batean zabaltzen bada, Active Directory-ko erabiltzaile edo erabiltzaile talde bat horrelako objektu bihur daitezke. Horrelako objektu bakoitza mikrosegmentu bat bihurtzen da bere segurtasun-begizta batean, eskuineko azpisarean, bere DMZ erosoarekin :).
Aurretik, baliabideen multzo osorako segurtasun perimetro bakarra zegoen, ertz-etengailu baten bidez babestuta zegoen eta NSX-rekin, makina birtual bereizi bat babestu dezakezu sare berean alferrikako interakzioetatik ere.
Segurtasun- eta sare-politikak egokitzen dira objektu bat beste sare batera mugitzen bada. Adibidez, datu-basea duen makina beste sare-segmentu batera mugitzen badugu, edo baita lotutako beste datu-zentro birtual batera ere, makina birtual honetarako agindutako arauek funtzionatzen jarraituko dute bere kokapen berria edozein izanda ere. Aplikazio zerbitzariak datu-basearekin komunikatu ahal izango du oraindik.
vCNS vShield Edge bera NSX Edge-k ordezkatu du. Edge zaharraren jaunentzako gauza guztiak ditu eta funtzio berri polit batzuk ditu. Horiei buruz eta gehiago eztabaidatuko da.
Zer berri dago NSX Edge-rekin?
NSX Edge funtzionalitatearen araberakoa da
Suebakia. IP helbideak, sareak, atebide-interfazeak eta makina birtualak hauta ditzakezu arauak aplikatuko zaizkien objektu gisa.
DHCP. Sare honetako makina birtualei automatikoki emango zaien IP helbide sorta konfiguratzeaz gain, NSX Edge funtzio erabilgarri bihurtu da. Loteslea ΠΈ Relay.
Fitxan Loturak makina birtualaren MAC helbidea IP helbidearekin lotu dezakezu IP helbidea ez aldatzea nahi baduzu. Gauza nagusia da IP helbide hau ez dagoela DHCP Pool-en barne.
Fitxan Relay vCloud Director-en zure erakundetik kanpo dauden DHCP zerbitzarietara DHCP mezuak bidaltzea konfiguratzen du, azpiegitura fisikoko DHCP zerbitzariak barne.
Bideratzea. vShield Edge bideratze estatikoarekin soilik konfiguratu ahal izan da. Bideratze dinamikoa OSPF eta BGP protokoloen laguntzarekin agertu zen hemen. ECMP (Active-active) ezarpenak ere erabilgarri egon dira, hau da, bideratzaile fisikoen hutsegite aktibo-aktiboa.
OSPF konfiguratzen
BGP konfiguratzen
Beste gauza berri bat protokolo ezberdinen arteko ibilbideen transferentzia ezartzea da,
ibilbidearen birbanaketa.
L4/L7 Karga-orekatzailea. HTTPs goibururako X-Forwarded-For sartu da. Hura gabe, denak negarrez ari ziren. Adibidez, orekatzen ari zaren webgune bat duzu. Goiburu hau birbidali gabe, dena funtzionatzen du, baina web zerbitzariaren estatistiketan ez duzu bisitarien IPa ikusten, balantzailearen IPa baizik. Orain dena ondo dago.
Aplikazio-arauak fitxan ere, trafikoaren oreka zuzenean kontrolatuko duten script-ak gehi ditzakezu.
vpn. IPSec VPNaz gain, NSX Edge-k onartzen ditu:
- L2 VPN, geografikoki sakabanatuta dauden guneen artean sareak luzatzeko aukera ematen duena. Halako VPN bat behar da, adibidez, beste gune batera mugitzean, makina birtuala azpisare berean egon dadin eta bere IP helbidea mantentzen du.
- SSL VPN Plus, erabiltzaileei urrunetik konektatzeko aukera ematen die sare korporatibo batera. vSphere mailan halako funtzio bat zegoen, baina vCloud Director-entzat berrikuntza bat da.
SSL ziurtagiriak. Ziurtagiriak NSX Edge-n instalatu daitezke orain. Hau da berriro https-rako ziurtagiririk gabeko orekatzailea nork behar zuen.
Objektuak taldekatzea. Fitxa honek sareko interakzio-arau jakin batzuk aplikatuko zaizkien objektu-taldeak ezartzen ditu, adibidez, suebaki-arauak.
Objektu hauek IP eta MAC helbideak izan daitezke.
Suebakiaren arauak osatzerakoan erabil daitezkeen zerbitzuen (protokolo-atatuaren konbinazioa) eta aplikazioen zerrenda ere badu. vCD atariaren administratzaileak soilik gehitu ditzake zerbitzu eta aplikazio berriak.
Estatistikak. Konexio-estatistikak: atebidetik, suebakitik eta karga-orekatzailetik pasatzen den trafikoa.
IPSEC VPN eta L2 VPN tunel bakoitzaren egoera eta estatistikak.
Erregistratzea. Edge ezarpenak fitxan, zerbitzaria ezar dezakezu erregistroak grabatzeko. Erregistroak DNAT/SNAT, DHCP, Firewall, Bideraketa, Balancer, IPsec VPN, SSL VPN Plus-ekin funtzionatzen du.
Objektu/zerbitzu bakoitzeko alerta mota hauek daude eskuragarri:
- arazketa
β Alerta
β Kritikoa
β akatsa
βOharra
βOharra
βinformazioa
NSX Edge neurriak
Ebatzi beharreko zereginen eta VMware-ren bolumenen arabera
NSX Edge
(Traktua)
NSX Edge
(Handia)
NSX Edge
(lau-handia)
NSX Edge
(X-handia)
vCPU
1
2
4
6
Memoria
512MB
1GB
1GB
8GB
Disko
512MB
512MB
512MB
4.5GB + 4GB
Hitzordua
Bat
aplikazioa, proba
datu-zentroa
txiki
edo ertaina
datu-zentroa
Kargatu
suebakia
orekatzeko
kargak L7 mailan
Beheko taulan sareko zerbitzuen errendimenduaren neurketak erakusten dira NSX Edge-ren tamainaren arabera.
NSX Edge
(Traktua)
NSX Edge
(Handia)
NSX Edge
(lau-handia)
NSX Edge
(X-handia)
Interfazeak
10
10
10
10
Azpiinterfazeak (enborra)
200
200
200
200
NAT arauak
2,048
4,096
4,096
8,192
ARP sarrerak
gainidatzi arte
1,024
2,048
2,048
2,048
FW Arauak
2000
2000
2000
2000
F.W. emanaldia
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP igerilekuak
20,000
20,000
20,000
20,000
ECMP bideak
8
8
8
8
Ibilbide estatikoak
2,048
2,048
2,048
2,048
LB igerilekuak
64
64
64
1,024
LB zerbitzari birtualak
64
64
64
1,024
LB Zerbitzaria / Pool
32
32
32
32
LB Osasun Kontrolak
320
320
320
3,072
LB Aplikazio Arauak
4,096
4,096
4,096
4,096
L2VPN bezeroen gunea Spoke-ra
5
5
5
5
L2VPN sareak bezero/zerbitzari bakoitzeko
200
200
200
200
IPSec tunelak
512
1,600
4,096
6,000
SSL VPN tunelak
50
100
100
1,000
SSLVPN Sare Pribatuak
16
16
16
16
Aldibereko saioak
64,000
1,000,000
1,000,000
1,000,000
Saioak/Bigarren
8,000
50,000
50,000
50,000
LB errendimendua L7 proxy)
2.2Gbps
2.2Gbps
3Gbps
LB errendimendua L4 modua)
6Gbps
6Gbps
6Gbps
LB konexioak/k (L7 proxy)
46,000
50,000
50,000
LB aldibereko konexioak (L7 proxy)
8,000
60,000
60,000
LB konexioak/s (L4 modua)
50,000
50,000
50,000
LB aldibereko konexioak (L4 modua)
600,000
1,000,000
1,000,000
BGP Ibilbideak
20,000
50,000
250,000
250,000
BGP Bizilagunak
10
20
100
100
BGP Ibilbideak birbanatuta
Ez dago mugarik
Ez dago mugarik
Ez dago mugarik
Ez dago mugarik
OSPF Ibilbideak
20,000
50,000
100,000
100,000
OSPF LSA sarrerak gehienez 750 mota-1
20,000
50,000
100,000
100,000
OSPF Albokotasunak
10
20
40
40
OSPF Ibilbideak birbanatuta
2000
5000
20,000
20,000
Guztira Ibilbideak
20,000
50,000
250,000
250,000
β
Taulak erakusten du gomendagarria dela NSX Edge-n oreka antolatzea tamaina Handitik hasita soilik agertoki produktiboetarako.
Gaur denetarik daukat. Ondorengo zatietan, NSX Edge sareko zerbitzu bakoitzaren konfigurazioan ibiliko naiz zehatz-mehatz.
Iturria: www.habr.com