اگر به پیکربندی هر فایروال نگاه کنید، به احتمال زیاد صفحهای با مجموعهای از آدرسهای IP، پورتها، پروتکلها و زیرشبکهها را خواهیم دید. به این صورت است که سیاست های امنیتی شبکه برای دسترسی کاربر به منابع به طور کلاسیک پیاده سازی می شود. ابتدا سعی میکنند نظم را در پیکربندی حفظ کنند، اما سپس کارمندان شروع به حرکت از بخش به بخش دیگر میکنند، سرورها چند برابر میشوند و نقشهایشان را تغییر میدهند، دسترسی برای پروژههای مختلف در جایی ظاهر میشود که معمولاً مجاز نیستند، و صدها مسیر ناشناخته بز ظاهر میشوند.
در کنار برخی قوانین، اگر خوش شانس باشید، نظراتی وجود دارد که "واسیا از من خواست این کار را انجام دهم" یا "این یک گذرگاه به DMZ است." مدیر شبکه استعفا می دهد و همه چیز کاملاً نامشخص می شود. سپس شخصی تصمیم گرفت پیکربندی Vasya را پاک کند، و SAP از کار افتاد، زیرا Vasya یک بار برای اجرای SAP رزمی این دسترسی را درخواست کرد.
امروز در مورد راه حل VMware NSX صحبت خواهم کرد، که کمک می کند تا به طور دقیق سیاست های ارتباطی و امنیتی شبکه را بدون سردرگمی در تنظیمات فایروال اعمال کنید. من به شما نشان خواهم داد که چه ویژگی های جدیدی در مقایسه با آنچه قبلاً VMware در این بخش داشت ظاهر شده است.
VMWare NSX یک بستر مجازی سازی و امنیتی برای خدمات شبکه است. NSX مشکلات مسیریابی، سوئیچینگ، تعادل بار، فایروال و بسیاری چیزهای جالب دیگر را حل می کند.
NSX جانشین محصول vCloud Networking and Security (vCNS) خود VMware و Nicira NVP است.
از vCNS تا NSX
پیش از این، یک کلاینت یک ماشین مجازی vCNS vShield Edge جداگانه در یک ابر ساخته شده بر روی VMware vCloud داشت. این به عنوان یک دروازه مرزی عمل می کرد، که در آن می توان بسیاری از عملکردهای شبکه را پیکربندی کرد: NAT، DHCP، فایروال، VPN، متعادل کننده بار و غیره. vShield Edge تعامل ماشین مجازی با دنیای خارج را طبق قوانین مشخص شده در فایروال و NAT. در داخل شبکه، ماشینهای مجازی آزادانه در زیر شبکهها با یکدیگر ارتباط برقرار میکردند. اگر واقعاً می خواهید ترافیک را تقسیم و غلبه کنید، می توانید برای بخش های جداگانه برنامه ها (ماشین های مجازی مختلف) یک شبکه جداگانه ایجاد کنید و قوانین مناسب برای تعامل شبکه آنها در فایروال تنظیم کنید. اما این طولانی، دشوار و غیر جالب است، به خصوص زمانی که چندین ماشین مجازی دارید.
در NSX، VMware مفهوم ریز بخشبندی را با استفاده از یک فایروال توزیع شده که در هسته Hypervisor تعبیه شده است، پیادهسازی کرد. این سیاست های امنیتی و تعامل شبکه را نه تنها برای آدرس های IP و MAC، بلکه برای سایر اشیاء نیز مشخص می کند: ماشین های مجازی، برنامه ها. اگر NSX در یک سازمان مستقر شده باشد، این اشیاء می توانند یک کاربر یا گروهی از کاربران از Active Directory باشند. هر یک از این شیء در حلقه امنیتی خود، در زیرشبکه مورد نیاز، با DMZ دنج خود به یک ریز بخش تبدیل می شود :).
پیش از این، تنها یک محیط امنیتی برای کل منابع وجود داشت که توسط یک سوئیچ لبه محافظت می شد، اما با NSX می توانید یک ماشین مجازی مجزا را از تعاملات غیر ضروری حتی در همان شبکه محافظت کنید.
اگر یک موجودیت به شبکه دیگری نقل مکان کند، سیاستهای امنیتی و شبکه سازگار میشوند. به عنوان مثال، اگر یک ماشین با پایگاه داده را به بخش شبکه دیگری یا حتی به مرکز داده مجازی متصل دیگری منتقل کنیم، قوانین نوشته شده برای این ماشین مجازی بدون توجه به مکان جدید آن همچنان اعمال می شود. سرور برنامه همچنان می تواند با پایگاه داده ارتباط برقرار کند.
خود دروازه لبه، vCNS vShield Edge، با NSX Edge جایگزین شده است. تمام ویژگی های جنتلمنی Edge قدیمی، به علاوه چند ویژگی مفید جدید را دارد. در ادامه در مورد آنها صحبت خواهیم کرد.
NSX Edge چه چیز جدیدی دارد؟
عملکرد NSX Edge بستگی دارد NSX. پنج مورد از آنها وجود دارد: استاندارد، حرفه ای، پیشرفته، سازمانی، دفتر شعبه راه دور پلاس. همه چیز جدید و جالب را می توان فقط با شروع پیشرفته مشاهده کرد. این شامل یک رابط جدید است که تا زمانی که vCloud به طور کامل به HTML5 تغییر نکند (VMware تابستان 2019 را وعده می دهد)، در یک برگه جدید باز می شود.
دیواره آتش. میتوانید آدرسهای IP، شبکهها، رابطهای دروازه و ماشینهای مجازی را بهعنوان اشیایی که قوانین روی آنها اعمال میشود، انتخاب کنید.
DHCP علاوه بر پیکربندی محدوده آدرسهای IP که به طور خودکار برای ماشینهای مجازی در این شبکه صادر میشوند، NSX Edge اکنون دارای عملکردهای زیر است: اجباری и رله.
در برگه اتصالات اگر نیاز به تغییر نکردن آدرس IP دارید، میتوانید آدرس MAC یک ماشین مجازی را به یک آدرس IP متصل کنید. نکته اصلی این است که این آدرس IP در استخر DHCP گنجانده نشده است.
در برگه رله رله پیام های DHCP برای سرورهای DHCP که در خارج از سازمان شما در مدیر vCloud قرار دارند، از جمله سرورهای DHCP زیرساخت فیزیکی پیکربندی شده است.
مسیریابی. vShield Edge فقط می تواند مسیریابی استاتیک را پیکربندی کند. مسیریابی پویا با پشتیبانی از پروتکل های OSPF و BGP در اینجا ظاهر شد. تنظیمات ECMP (Active-active) نیز در دسترس هستند، که به معنای خطای فعال-فعال به روترهای فیزیکی است.
راه اندازی OSPF
راه اندازی BGP
یک چیز جدید دیگر تنظیم انتقال مسیرها بین پروتکل های مختلف است.
توزیع مجدد مسیر
L4/L7 Load Balancer. X-Forwarded-For برای هدر HTTP معرفی شد. همه بدون او گریه کردند. به عنوان مثال، شما یک وب سایت دارید که در حال متعادل کردن آن هستید. بدون فوروارد کردن این هدر، همه چیز کار می کند، اما در آمار وب سرور شما نه IP بازدیدکنندگان، بلکه IP متعادل کننده را مشاهده کردید. حالا همه چیز درست است.
همچنین در زبانه Application Rules اکنون می توانید اسکریپت هایی اضافه کنید که مستقیماً تعادل ترافیک را کنترل می کنند.
VPN علاوه بر IPSec VPN، NSX Edge از:
- L2 VPN، که به شما امکان می دهد شبکه ها را بین سایت های پراکنده جغرافیایی گسترش دهید. به عنوان مثال، به چنین VPN نیاز است تا هنگام انتقال به سایت دیگری، ماشین مجازی در همان زیرشبکه باقی بماند و آدرس IP خود را حفظ کند.
- SSL VPN Plus، که به کاربران اجازه می دهد از راه دور به یک شبکه شرکتی متصل شوند. در سطح vSphere چنین عملکردی وجود داشت، اما برای vCloud Director این یک نوآوری است.
گواهینامه های SSL اکنون می توان گواهی ها را بر روی NSX Edge نصب کرد. این دوباره به این سؤال می رسد که چه کسی به یک متعادل کننده بدون گواهی برای https نیاز دارد.
گروه بندی اشیاء در این تب، گروه هایی از اشیاء را مشخص می کنید که قوانین تعامل شبکه خاصی برای آنها اعمال می شود، به عنوان مثال، قوانین فایروال.
این اشیاء می توانند آدرس IP و MAC باشند.
همچنین لیستی از سرویس ها (ترکیب پروتکل-پورت) و برنامه هایی وجود دارد که می توانند هنگام ایجاد قوانین فایروال استفاده شوند. فقط مدیر پورتال vCD می تواند خدمات و برنامه های جدید اضافه کند.
آمار. آمار اتصال: ترافیکی که از دروازه، فایروال و متعادل کننده عبور می کند.
وضعیت و آمار برای هر تونل IPSEC VPN و L2 VPN.
ورود به سیستم. در تب تنظیمات لبه، میتوانید سرور را برای ضبط گزارشها تنظیم کنید. ورود به سیستم برای DNAT/SNAT، DHCP، فایروال، مسیریابی، متعادل کننده، IPsec VPN، SSL VPN Plus کار می کند.
انواع هشدارهای زیر برای هر شی/سرویس موجود است:
- اشکال زدایی
-هشدار
-بحرانی
- خطا
-هشدار
- اطلاع
- اطلاعات
ابعاد لبه NSX
بسته به وظایف در حال حل و حجم VMware NSX Edge را در اندازه های زیر ایجاد کنید:
NSX Edge
(فشرده - جمع و جور)
NSX Edge
(بزرگ)
NSX Edge
(چهار بزرگ)
NSX Edge
(X-Large)
vCPU
1
2
4
6
حافظه
512MB
1GB
1GB
8GB
دیسک
512MB
512MB
512MB
4.5GB + 4GB
انتصاب
یکی
کاربرد، تست
مرکز اطلاعات
کوچک
یا متوسط
مرکز اطلاعات
لود شده
دیواره آتش
تعادل
بارگذاری در سطح L7
در جدول زیر معیارهای عملیاتی خدمات شبکه بسته به اندازه NSX Edge آورده شده است.
NSX Edge
(فشرده - جمع و جور)
NSX Edge
(بزرگ)
NSX Edge
(چهار بزرگ)
NSX Edge
(X-Large)
واسط
10
10
10
10
رابط های فرعی (Trunk)
200
200
200
200
قوانین NAT
2,048
4,096
4,096
8,192
ورودی های ARP
تا بازنویسی
1,024
2,048
2,048
2,048
قوانین FW
2000
2000
2000
2000
عملکرد FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
استخرهای DHCP
20,000
20,000
20,000
20,000
مسیرهای ECMP
8
8
8
8
مسیرهای استاتیک
2,048
2,048
2,048
2,048
استخرهای LB
64
64
64
1,024
سرورهای مجازی LB
64
64
64
1,024
سرور / استخر LB
32
32
32
32
بررسی های سلامت LB
320
320
320
3,072
قوانین برنامه LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Speke
5
5
5
5
شبکه های L2VPN به ازای هر مشتری/سرور
200
200
200
200
تونل های IPSec
512
1,600
4,096
6,000
تونل های SSLVPN
50
100
100
1,000
شبکه های خصوصی SSLVPN
16
16
16
16
جلسات همزمان
64,000
1,000,000
1,000,000
1,000,000
جلسات / دوم
8,000
50,000
50,000
50,000
پروکسی LB Throughput L7)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput Mode L4)
6Gbps
6Gbps
6Gbps
اتصالات/های LB (پراکسی L7)
46,000
50,000
50,000
اتصالات همزمان LB (پراکسی L7)
8,000
60,000
60,000
اتصالات LB (حالت L4)
50,000
50,000
50,000
اتصالات همزمان LB (حالت L4)
600,000
1,000,000
1,000,000
مسیرهای BGP
20,000
50,000
250,000
250,000
BGP Neighbors
10
20
100
100
مسیرهای BGP دوباره توزیع شد
بدون محدودیت
بدون محدودیت
بدون محدودیت
بدون محدودیت
مسیرهای OSPF
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
مجاورت های OSPF
10
20
40
40
مسیرهای OSPF دوباره توزیع شد
2000
5000
20,000
20,000
مجموع مسیرها
20,000
50,000
250,000
250,000
→
جدول نشان می دهد که توصیه می شود برای سناریوهای سازنده فقط از اندازه بزرگ شروع به تعادل در NSX Edge سازماندهی کنید.
این تمام چیزی است که برای امروز دارم. در قسمت های بعدی به طور مفصل نحوه پیکربندی هر سرویس شبکه NSX Edge را شرح خواهم داد.
منبع: www.habr.com